EP3830687A1

EP3830687A1 - Verfahren zum analysieren von quelltexten

Info

Publication number: EP3830687A1
Application number: EP19746460.5A
Authority: EP
Inventors: Marc Sebastian Patric STÖTTINGER; René PALIGE
Original assignee: Continental Teves AG and Co OHG
Current assignee: Continental Teves AG and Co OHG
Priority date: 2018-08-03
Filing date: 2019-07-25
Publication date: 2021-06-09
Also published as: US20210157929A1; WO2020025463A1; DE102018213053A1; KR20210024161A; CN112534400A; JP2021533476A

Abstract

Die Erfindung betrifft ein Verfahren zum Analysieren von Quelltexten (10), mit dem Schritt: Identifizieren von Quelltextschwachstellen (14), welche anfällig für Implementierungsangriffe sind, wobei das Identifizieren der Quelltextschwachstellen (14) während der aktiven Quelltextentwicklung ohne die Notwendigkeit einer Programmkompilierung erfolgt.

Description

Verfahren zum Analysieren von Quelltexten

Die Erfindung betrifft ein Verfahren zum Analysieren von Quelltexten, mit dem Schritt: Identifizieren von Quell textschwachstellen, welche anfällig für Implementierungsan griffe sind.

Ferner betrifft die Erfindung eine Vorrichtung zur Datenver arbeitung, ein Computerprogrammprodukt und einen computer lesbaren Datenträger.

Bei der Entwicklung von Quelltexten, beispielsweise unter Verwendung einer integrierten Entwicklungsumgebung, werden Quelltextentwickler regelmäßig bei der Quelltextgenerierung unterstützt, damit die Quelltextentwicklung beschleunigt und die Fehleranfälligkeit der späteren Software verringert wird. Eine im Stand der Technik bekannte Entwicklerunterstützung ist die Syntaxhervorhebung, bei welcher der Quelltext während der aktiven Quelltextentwicklung einer Syntaxprüfung unterzogen wird, sodass Quelltextfehler während der aktiven Quelltext entwicklung identifiziert werden können. Der Quelltextent- wickler wird während der aktiven Quelltextentwicklung durch ein optisches Hervorheben der identifizierten Quelltextpassagen auf diese aufmerksam gemacht. Durch die Syntaxhervorhebung werden in der Kompilierungsphase auftretende Fehler verringert, sodass die Softwareentwicklung beschleunigt wird.

Neben der Syntaxhervorhebung sind Quelltext-Echtzeitprüfungen bekannt, welche den Quelltext während der aktiven Quelltext entwicklung auf unsichere Standardfunktionen, wie strcpy oder printf untersuchen. Hierbei kann der Quelltext beispielsweise mit einer Art Wörterbuch zuvor definierter unsicherer Stan dardfunktionen abgeglichen werden. Es handelt sich hierbei um eine lediglich statische Prüfung, durch welche keine Quell textschwachstellen identifiziert werden können, welche anfällig für Implementierungsangriffe sind. Für Implementierungsangriffe anfällige Quelltextschwachstellen können bisher lediglich während der Laufzeit eines Programms, also nach Abschluss der Programmierung und Implementierung, identifiziert werden. Hierzu ist beispielsweise eine Soft wareemulation oder die Analyse eines Testsystems notwendig. Mithin ist somit zum Identifizieren entsprechender Quell textschwachstellen die Programmkompilierung oder die Binärdatei notwendig. Wenn entsprechende Quelltextschwachstellen iden tifiziert werden, ist es somit erforderlich, sich erneut der Quelltextentwicklung zuzuwenden, wodurch zeit- und somit kostenaufwendige Entwicklungsschleifen zum Beheben der iden tifizierten Schwachstellen notwendig sind.

Ferner kommt es bei den bekannten Verfahren zum Analysieren von Binärdateien häufig nicht zu einer Sensibilisierung der

Quelltextentwickler für entsprechende Schwachstellenmuster. Somit führen die bekannten Verfahren auch nicht zu einem Lernfortschritt bei den Quelltextentwicklern .

Die der Erfindung zugrundeliegende Aufgabe besteht somit darin, die Entwicklung von Quelltexten, welche unanfällig gegen Im plementierungsangriffe sind, zu beschleunigen und/oder zu vereinfachen .

Die Aufgabe wird gelöst durch ein Verfahren der eingangs ge nannten Art, wobei das Identifizieren der Quelltextschwach- stellen während der aktiven Quelltextentwicklung ohne die Notwendigkeit einer Programmkompilierung erfolgt.

Die Erfindung macht sich die Erkenntnis zunutze, dass durch das Identifizieren von Quelltextschwachstellen, welche anfällig für Implementierungsangriffe sind, während der aktiven Quelltex tentwicklung zeit- und kostenaufwendige Entwicklungsschleifen, welche eine Emulation von Software oder die Analyse eines Testsystems bedingen, vermieden werden können. Ferner erlaubt das Identifizieren von entsprechenden Quelltextschwachstellen während der aktiven Quelltextentwicklung eine direkte Rück meldung an den Quelltextentwickler, wodurch eine Sensibili- sierung des Quelltextentwicklers für entsprechende Quell textschwachstellen erreicht werden kann.

Die Quelltextanalyse erstreckt sich somit auf das dynamische Implementierungsverhalten des Quelltextes und nicht lediglich auf unsichere Standardfunktionen, wie strcpy oder printf. Im Sinne der Erfindung fallen unter den Ausdruck Implementie rungsangriff also keine Angriffe, welche ausschließlich auf der Softwareebene erfolgen.

Das Verfahren wird vorzugsweise teilweise oder vollständig in einer integrierten Entwicklungsumgebung ausgeführt. Insbe sondere ist keine Erzeugung einer Binärdatei zum Identifizieren entsprechender Quelltextschwachstellen notwendig. Insgesamt kommt es zu einer erheblichen Beschleunigung des Entwick lungsprozesses und zu einer erheblich verringerten Anfälligkeit des Quelltextes für Implementierungsangriffe.

In einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens umfasst das Identifizieren der Quelltextschwach- stellen, welche anfällig für Implementierungsangriffe sind, das Identifizieren von Quelltextschwachstellen, welche anfällig für Seitenkanalangriffe sind und/oder das Identifizieren von Quelltextschwachstellen, welche anfällig für Fehlerinjekti onsangriffe sind. Seitenkanalangriffe und Fehlerinjektions angriffe stellen Unterarten von Implementierungsangriffen dar. Seitenkanalangriffe können auch als Side Channel Attacks (SCA) bezeichnet werden. Seitenkanalangriffe nutzen die physische Implementierung eines Kryptosystems in einem Gerät oder in einer Software aus. Dabei wird ein Gerät bei der Ausführung von kryptografischen Algorithmen beobachtet und eine Korrelation zwischen den beobachteten Informationen und einem verwendeten Schlüssel untersucht. Entsprechende Seitenkanalangriffe können beispielsweise auf der Analyse der Laufzeit eines Algorithmus, des Energieverbrauchs während Berechnungsvorgängen oder der elektromagnetischen Strahlung beruhen. Fehlerinjektionsan griffe können auch als Fault Injection Attacks (FIA) bezeichnet werden. Bei der Fehlerinjektion können beispielsweise Störungen (Glitches) in die Versorgungsspannung eines Geräts eingebracht werden. Eine andere Fehlerinjektion betrifft das Einfügen von Störungen in das Taktsignal eines Geräts. Darüber hinaus sind Fehlerinjektionsangriffe bekannt, bei welchen das angegriffene Gerät einer Strahlung ausgesetzt wird.

Das erfindungsgemäße Verfahren wird ferner dadurch vorteilhaft weitergebildet, dass die identifizierten Quelltextschwach- stellen optisch hervorgehoben werden, wobei das optische Hervorheben der identifizierten Quelltextschwachstellen während der aktiven Quelltextentwicklung ohne die Notwendigkeit einer Programmkompilierung erfolgt. Das optische Hervorheben kann beispielsweise durch ein farbliches Hinterlegen, das Einstellen einer geänderten Textfarbe und/oder das Einstellen einer ge änderten Schriftart oder eines geänderten Schriftstils erfolgen. Alternativ oder zusätzlich kann beim Identifizieren von ent sprechenden Quelltextschwachstellen ein Pop-up-Fenster ein geblendet werden, welches den Quelltextentwickler auf die identifizierte Quelltextschwachstelle hinweist. Durch das optische Hervorheben bzw. das Hinweisen auf die identifizierte Quelltextschwachstelle wird ein Lerneffekt für den Quelltex tentwickler umgesetzt. Es erfolgt eine Sensibilisierung des Quelltextentwicklers für Quelltextschwachstellen, welche an fällig für Implementierungsangriffe sind.

In einer weiteren bevorzugten Ausführungsform des erfin dungsgemäßen Verfahrens erfolgt das Identifizieren der

Quelltextschwachstellen und/oder das optische Hervorheben der identifizierten Quelltextschwachstellen in Echtzeit während der aktiven Quelltextentwicklung . Auf diese Weise können ent sprechende Quelltextschwachstellen beim Programmieren

on-the-fly durch den Quelltextentwickler direkt modifiziert oder ersetzt werden. Der gesamte Entwicklungsprozess wird auf diese Weise erheblich beschleunigt.

Das erfindungsgemäße Verfahren wird ferner dadurch vorteilhaft weitergebildet, dass eine hinterlegte Erläuterung zu der identifizierten Quelltextschwachstelle selbsttätig geladen wird. Alternativ oder zusätzlich wird eine Erläuterung zu der identifizierten Quelltextschwachstelle selbsttätig erzeugt. Abhängig von der Komplexität der identifizierten Quell textschwachstelle kann es ausreichen, den Quelltextentwickler mit einer hinterlegten Erläuterung auf die Quelltextschwach- stelle aufmerksam zu machen und/oder dem Quelltextentwickler durch eine hinterlegte Erläuterung ergänzende Informationen zu der identifizierten Quelltextschwachstelle zur Verfügung zu stellen. In anderen Fällen kann die identifizierte Quell textschwachstelle zur Erzeugung einer entsprechenden Erläu terung verwendet werden, sodass die erzeugte Erläuterung quelltextspezifische Elemente umfasst, welche sich auf den tatsächlich vom Quelltextentwickler formulierten Quelltext beziehen. Alternativ oder zusätzlich kann das Verfahren das selbsttätige Anzeigen der geladenen oder erzeugten Erläuterung zu der identifizierten Quelltextschwachstelle umfassen.

In einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens wird ein Alternativquelltext zu der identifizierten Quelltextschwachstelle selbsttätig erzeugt und/oder der er zeugte Alternativquelltext zu der identifizierten Quell textschwachstelle selbsttätig angezeigt. Der Alterna

tivquelltext umfasst vorzugsweise keine Quelltextschwachstelle, welche anfällig für Implementierungsangriffe ist. Insbesondere kann der Alternativquelltext eine neue Quelltextstruktur aufweisen .

Ferner ist ein erfindungsgemäßes Verfahren bevorzugt, bei welchem die identifizierte Quelltextschwachstelle durch den erzeugten Alternativquelltext auf Grundlage eines von einem Quelltextentwickler eingegebenen Korrekturbefehls selbsttätig ersetzt wird. Auf diese Weise entfällt das aufwendige manuelle Anpassen des Quelltextes zur Eliminierung der identifizierten Quelltextschwachstelle . Die Quelltextentwicklung wird auf diese Weise weiter beschleunigt.

Das erfindungsgemäße Verfahren kann zum Analysieren von

Quelltexten genutzt werden, welche in Fahrzeugen, insbesondere in Automobilen, eingesetzt werden. Insbesondere werden die Quelltexte für fahrzeuginterne Steuerungseinrichtungen ver wendet. Weitere Einsatzgebiete sind die Entwicklung von

Smartcard-Software, Entwicklungen betreffend das Internet der Dinge, Industrie 4.0 und andere Entwicklungen für Bereiche, in welchen Geräte miteinander interagieren und ein hohes Maß an Sicherheit notwendig ist.

Die der Erfindung zugrundeliegende Aufgabe wird ferner durch eine Vorrichtung zur Datenverarbeitung gelöst, welche einen Prozessor umfasst, der so konfiguriert ist, dass er das Verfahren zum Analysieren von Quelltexten nach einer der vorstehend be schriebenen Ausführungsformen ausführt. Hinsichtlich der Vorteile und Modifikationen der erfindungsgemäßen Vorrichtung wird auf die Vorteile und Modifikationen des erfindungsgemäßen Verfahrens verwiesen.

Die der Erfindung zugrundeliegende Aufgabe wird ferner durch ein Computerprogrammprodukt gelöst, welches Befehle umfasst, die bei der Ausführung des Programms durch einen Computer diesen veranlassen, das Verfahren zum Analysieren von Quelltexten nach einer der vorstehend beschriebenen Ausführungsformen auszu führen. Hinsichtlich der Vorteile und Modifikationen des er findungsgemäßen Computerprogrammprodukts wird auf die Vorteile und Modifikationen des erfindungsgemäßen Verfahrens verwiesen.

Die der Erfindung zugrundeliegende Aufgabe wird ferner durch einen computerlesbaren Datenträger gelöst, auf welchem das zuvor beschriebene Computerprogrammprodukt gespeichert ist.

Nachfolgend wird eine bevorzugte Ausführungsform der Erfindung unter Bezugnahme auf die beiliegende Zeichnung näher erläutert und beschrieben. Dabei zeigt:

Fig. 1 Teile einer über eine erfindungsgemäße Vorrichtung zur

Datenverarbeitung abrufbare integrierte Entwick lungsumgebung . Die in der Fig. 1 dargestellte integrierte Entwicklungsumgebung zeigt schematisch ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens zum Analysieren von Quelltexten 10.

Das Verfahren wird mittels einer Vorrichtung zur Datenverar beitung ausgeführt, wobei die Vorrichtung einen Prozessor umfasst, der so konfiguriert ist, dass er das nachfolgend beschriebene Verfahren ausführen kann. Das Verfahren basiert auf einem Computerprogrammprodukt, welches Befehle umfasst, die bei der Ausführung des Programms durch einen Computer diesen veranlassen, das Verfahren entsprechend auszuführen.

Während des Verfahrens werden Quelltextschwachstellen 14 in nerhalb eines von einem Quelltextentwickler eingegebenen Quelltextes 10 identifiziert. Der Quelltextentwickler gibt den Quelltext 10 über eine als Tastatur ausgebildete Eingabeein richtung in einen Editor 12 ein. Das Identifizieren der

Quelltextschwachstellen 14 erfolgt in Echtzeit während der aktiven Quelltextentwicklung und ohne die Notwendigkeit einer Programmkompilierung .

Im Rahmen des Verfahrens werden Quelltextschwachstellen 14 identifiziert, welche anfällig für Implementierungsangriffe, wie etwa Seitenkanalangriffe oder Fehlerinjektionsangriffe, sind. Somit erstreckt sich die Quelltextanalyse nicht auf unsichere Standardfunktionen, wie strcpy oder printf, sondern vielmehr auf das Implementierungsverhalten des Quelltextes 10.

Wenn Quelltextschwachstellen 14 identifiziert werden, welche anfällig für Implementierungsangriffe sind, werden die iden tifizierten Quelltextschwachstellen 14 optisch hervorgehoben, damit der Quelltextentwickler während der aktiven Quelltext entwicklung auf die Quelltextschwachstellen 14 aufmerksam gemacht wird. Das optische Hervorheben der identifizierten Quelltextschwachstellen 14 erfolgt somit ebenfalls on-the-fly, also während der aktiven Quelltextentwicklung ohne die Not wendigkeit einer Programmkompilierung. Vorliegend beinhaltet der Quelltext 10 eine for-Anweisung und eine if-Anweisung . Beide Anweisungen wurden als anfällig für Implementierungsangriffe identifiziert und optisch hervorge hoben .

Die if-Anweisung wurde im Rahmen des Verfahrens als Quell textschwachstelle 14 identifiziert, welche anfällig für Sei tenkanalangriffe ist. Zu der if-Anweisung wurde ein Fenster 16a geöffnet, welches die Segmente 18a, 18b umfasst. In dem Segment 18a wird dem Quelltextentwickler eine hinterlegte Erläuterung zu der identifizierten Quelltextschwachstelle 14 angezeigt, nämlich, dass die if-Anweisung nicht ausgeglichen ist und somit ein missbrauchbares Zeitverhalten auftreten kann. In dem Segment 18b wird dem Quelltextentwickler ein Korrekturvorschlag zum Eliminieren der Quelltextschwachstelle 14 angezeigt, nämlich, dass die if-Anweisung mit einer else-Anweisung kombiniert werden soll .

Die for-Anweisung wurde im Rahmen des Verfahrens als Quell textschwachstelle 14 identifiziert, welche anfällig für Feh lerinjektionsangriffe ist. Zu der for-Anweisung wurde ein Fenster 16b geöffnet, welches die Segmente 20a, 20b umfasst. In dem Segment 20a wird dem Quelltextentwickler eine hinterlegte Erläuterung zu der identifizierten Quelltextschwachstelle 14 angezeigt, nämlich, dass für die for-Schleife kein Ende definiert ist und somit eine missbrauchbare Kontrollflussmanipulation möglich ist. In dem Segment 20b wird dem Quelltextentwickler ein Korrekturvorschlag zum Eliminieren der Quelltextschwachstelle 14 angezeigt, nämlich das Einfügen eines zweiten Zählwertes, welcher prüft, ob alle Iterationen der for-Schleife durchgeführt wurden. Ferner wird in dem Segment 20b das Einfügen einer else-Anweisung zur Eliminierung der Quelltextschwachstelle 14 vorgeschlagen .

Die angezeigten Alternativquelltexte können somit modifizierte und/oder ergänzte Quelltextstrukturen aufweisen. Der Quell textentwickler kann durch die Eingabe eines entsprechenden Korrekturbefehls das Ersetzen der identifizierten Quell- textschwachstelle 14 durch den angezeigten Alternativquelltext veranlassen .

Bezugszeichenliste

10 Quelltext

12 Editor

14 Quelltextschwachstelle

16a, 16b Fenster

18a, 18b Segmente

20a, 20b Segmente

Claims

Patentansprüche

1. Verfahren zum Analysieren von Quelltexten (10), mit dem Schritt :

Identifizieren von Quelltextschwachstellen (14), welche anfällig für Implementierungsangriffe sind; dadurch gekennzeichnet, dass das Identifizieren der Quelltextschwachstellen (14) während der aktiven Quell textentwicklung ohne die Notwendigkeit einer Programm kompilierung erfolgt.

2. Verfahren nach Anspruch 1,

dadurch gekennzeichnet, dass das Identifizieren der Quelltextschwachstellen (14), welche anfällig für Im plementierungsangriffe sind, zumindest einen der folgenden Schritte umfasst:

Identifizieren von Quelltextschwachstellen (14), welche anfällig für Seitenkanalangriffe sind;

Identifizieren von Quelltextschwachstellen (14), welche anfällig für Fehlerinjektionsangriffe sind.

3. Verfahren nach Anspruch 1 oder 2,

gekennzeichnet durch den Schritt:

optisches Hervorheben der identifizierten Quell textschwachstellen (14),

wobei das optische Hervorheben der identifizierten

Quelltextschwachstellen (14) während der aktiven Quell textentwicklung ohne die Notwendigkeit einer Programm kompilierung erfolgt.

4. Verfahren nach einem der vorstehenden Ansprüche,

dadurch gekennzeichnet, dass das Identifizieren der Quelltextschwachstellen (14) und/oder das optische Her vorheben der identifizierten Quelltextschwachstellen (14) in Echtzeit während der aktiven Quelltextentwicklung erfolgt .

5. Verfahren nach einem der vorstehenden Ansprüche, gekennzeichnet durch zumindest einen der folgenden

Schritte :

selbsttätiges Laden einer hinterlegten Erläuterung zu einer identifizierten Quelltextschwachstelle (14); selbsttätiges Erzeugen einer Erläuterung zu einer identifizierten Quelltextschwachstelle (14);

selbsttätiges Anzeigen der geladenen oder erzeugten Erläuterung zu der identifizierten Quell textschwachstelle (14).

6. Verfahren nach einem der vorstehenden Ansprüche,

gekennzeichnet durch zumindest einen der folgenden

Schritte :

selbsttätiges Erzeugen eines Alternativquelltextes zu einer identifizierten Quelltextschwachstelle (14); selbsttätiges Anzeigen des erzeugten Alterna tivquelltextes zu der identifizierten Quell textschwachstelle (14).

7. Verfahren nach Anspruch 6,

gekennzeichnet durch den Schritt:

selbsttätiges Ersetzen der identifizierten Quell textschwachstelle (14) durch den erzeugten Alter nativquelltext auf Grundlage eines von einem

Quelltextentwickler eingegebenen Korrekturbefehls.

8. Vorrichtung zur Datenverarbeitung, umfassend einen Pro zessor, der so konfiguriert ist, dass er das Verfahren nach einem der vorstehenden Ansprüche ausführt.

9. Computerprogrammprodukt umfassend Befehle, die bei der Ausführung des Programms durch einen Computer diesen veranlassen, das Verfahren nach einem der Ansprüche 1 bis 8 auszuführen.

10. Computerlesbarer Datenträger, auf dem das Computerpro grammprodukt nach Anspruch 9 gespeichert ist.