MIT-Analysewerkzeug findet Sicherheitslücken in Rails-Anwendungen

Im Rahmen seiner Doktorarbeit hat Joseph Near am MIT (Massachusetts Institute of Technology) drei Debugger für das Webframework Ruby on Rails entwickelt, die Schwachstellen im Code aufdecken sollen. Ein Ansatz namens Space, der das Zugriffsverhalten der Programme analysiert, hat sich dabei laut einer Pressemitteilung des MIT als besonders erfolgreich erwiesen.

Dass Webanwendungen viele externe Bibliotheken nutzen, erschwert die statische Codeanalyse, die den Code eines Programms untersucht. Rails-Anwendungen greifen sogar für zahlreiche Basisoperationen auf Libraries zurück. Genau dieses Vorgehen nutzt Near in seinem Ansatz, indem er die verwendeten Bibliotheken so umgeschrieben hat, dass sie die jeweils definierten Operationen in einer logischen Sprache beschreiben. Dadurch erstellt der Rails-Interpreter beim Übersetzen des Codes eine zeilenweise Erläuterung, wie das Programm mit Daten umgeht.

Modell versus Realität

Near definiert sieben unterschiedliche Arten des Zugriffs wie öffentlich verfügbare Inhalte, private Nutzerdaten oder Administratoren mit erweiterten Rechten. Daraus erstellt er logische Modelle, die beschreiben, welcher Nutzer auf welche Daten zugreifen darf. Der Space-Debugger vergleicht schließlich das erlaubte mit dem tatsächlichen Verhalten und wertet Abweichungen als potenzielle Sicherheitslücken.

Für die korrekte Umsetzung ist eine gewisse Kenntnis des Codes notwendig, um zu definieren, welche Daten welchen Teilen des Modells entsprechen. Near erstellte wohl relativ problemlos die Beziehungen öffentlicher Webanwendungen. Laut der Mitteilung entdeckte der Debugger 23 Fehler in 50 beliebten Webappplikationen. Ob das bedeutet, dass fast die Hälfte der Anwendungen Schwachstellen aufweisen oder ob einige Anwendungen mehrfach betroffen sind, geht aus der Meldung nicht hervor. Im Mai will Near zusammen mit Daniel Jackson. Professor für Elektrotechnik und Computerwissenschaften am MIT, die Ergebnisse im Detail vorstellen. (rme)