Die Axt im Walde

Seite 4: Fazit

Fazit

Die drei hier vorgestellten Fuzzing-Tools geben einen ersten Einblick in die angewandte Fuzzing-Technik. In ihrem Funktionsumfang sind sie allerdings begrenzt. Daneben gibt es eine Vielzahl weiterer Fuzzing-Tools unter Windows und Linux für vielerlei Netzwerkprotokolle, Dateiarten und Anwendungen. Einige bieten leicht zu bedienende Benutzeroberflächen, andere sind nur über eine Befehlszeile mit zahlreichen Parametern zu starten, Letztere sind aber in der Regel flexibler als ein GUI-Tool.

Besonders anpassungsfähig sind Fuzzing-Frameworks wie Smudge und Spikefile, die dem Anwender allerdings eine längere Einarbeitungszeit abverlangen. Wer sich näher mit den theoretischen Grundlagen von Fuzzing beschäftigen möchte, sollte sich den Artikel "Datensalat" in der c't 18/06 ab Seite 210 zu Gemüte führen.

Fuzzing-Tools geben sowohl Sicherheitsspezialisten als auch Entwicklern eine Möglichkeit, potenzielle Sicherheitslücken schnell aufzudecken. Allerdings werden die Sicherheitsmailing-Listen schon jetzt mit Fehlerberichten überhäuft, in denen offenbar völlig unreflektiert und ohne weitere Analyse jeder Absturz eines Programmes bei einem Fuzzing-Test gleich als Sicherheitsproblem eingestuft wird. Zwar sind auch Abstürze aufgrund möglicher DoS-Attacken ein mögliches Sicherheitsproblem, oftmals wird ihnen aber das Potenzial für "Remote-Code-Execution" einfach angedichtet. Für einen Sicherheitsverantwortlichen oder Administrator wird es damit zukünftig immer schwieriger, wirklich kritische Lücken von eher harmlosen zu unterscheiden.