ASKS

Architektur-basierte Sicherheitsanalyse geschäftskritischer Software-Systeme (ASKS)

Ziel des Projektes ASKS ist die Sicherheitsanalyse geschäftskritischer Anwendungen (wie z.B. JEE- und .NET- Anwendungen). Die Software soll hierbei auf Basis der Software- Architektur analysiert werden. Dies ermöglicht eine Fokussierung der Analysen auf sicherheitskritische Daten und Module. Typische Sicherheitsprobleme, die mit diesem architektur-basierten Ansatz aufgedeckt werden können, sind: 1. Fehlerhafte Rollenmodelle von JEE-Anwendungen, 2. Fehlende Durchsetzung der Zugriffskontrolle und Umgehung von APIs, 3. Sicherheitslücken durch fehlerhafte Vertrauensbeziehungen zwischen Software-Komponenten, 4. Fehlender kryptographischer Schutz von Daten und Kommunikationskanälen, 5. Verletzung der Grenzen von Vertrauensbereichen (compartments). Die Sicherheitsanalysen werden mit Hilfe des Bauhaus-Werkezuges, eines Werkzeugkastens für das Reverse Engineering und Programmverstehen, umgesetzt. Insbesondere soll die Reflexionsanalyse eingesetzt werden, um Sicherheitsverletzungen wie z.B. die oben genannte Umgehung von APIs im Quelltext aufzudecken.

Förderer: BMBF