News

Unterschätzte Gefahr: Wie sich Sicherheitslücken über Code-Snippets verbreiten

(Foto: Shutterstock)

Sicherheitsforscher sind der Frage nachgegangen, wie Code-Snippets zur Verbreitung von Sicherheitslücken beitragen. Wir verraten euch, was sie herausgefunden haben.

Unsichere Code-Snippets: Das Problem mit der Copy-and-Paste-Programmierung

Eigene Code-Schnipsel mit anderen Entwicklern zu teilen, kann vor allem Anfängern beim Erlernen einer Programmiersprache helfen. Außerdem kann es auch Zeit sparen, einen bestehenden Code aus dem Netz zu übernehmen. Das Problem dabei: Theoretisch können sich so auch Sicherheitslücken verbreiten. Jetzt haben Forscher der TU Berlin, der Universität des Saarlandes, der TU Braunschweig und des Software-Herstellers und Sicherheitsdienstleisters Trend Micro erstmals einen genaueren Blick auf das Problem geworfen.

Code-Snippets: Sicherheitslücken verbreiten sich von Tutorials in Github-Projekte. (Grafik: Tommi Unruh, Bhargava Shastry, Malte Skoruppa, Federico Maggi, Konrad Rieck, Jean-Pierre Seifert, Fabian Yamaguchi)

Die Wissenschaftler entwarfen dazu ein Analyse-Framework, mit dem sie mehr als 64.000 PHP-Codebasen auf Github untersucht haben. Darin fand das Team 117 Sicherheitslücken, die eine starke syntaktische Ähnlichkeit zu Code-Snippets aus bekannten Tutorials aufweisen. Damit haben sie den Beleg erbracht, dass sich Sicherheitslücken aus Tutorials tatsächlich verbreiten. Außerdem zeigt ihr Vorgehen auch, dass sich schlecht geschriebene Tutorials zur Suche nach Sicherheitslücken eignen. Soll heißen: Was den Forschern gelungen ist, könnte letztlich auch von Menschen mit weniger hehren Motiven umgesetzt werden.

Sicherheitslücken in Snippets: Brauchen wir Code-Audits für Tutorials?

In ihrem Paper „Leveraging Flawed Tutorials for Seeding Large-Scale Web Vulnerability Discovery“ legen die Autoren nahe, dass Code in Tutorials genauso gut geprüft werden sollte, wie Code für den Produktiveinsatz. Passiert das nicht, können sich Sicherheitslücken weit über das ursprüngliche Einsatzgebiet als reine Lernhilfe hinaus vervielfältigen und am Ende wirklich zu einer Gefahr werden. Wie das von den Wissenschaftlern eingesetzte Analyse-Framework funktioniert, könnt ihr in dem Paper „Efficient and Flexible Discovery of PHP Application Vulnerabilities“ nachlesen.

Ebenfalls interessant ist unser Artikel „Operation Rosehub: Wie 50 Google-Mitarbeiter 2.600 Open-Source-Projekte sicherer gemacht haben“.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.