Definition „Fuzzing“ Was ist Fuzz Testing?

Die Suche nach Bugs verläuft meistens geordnet. Fuzz Testing hingegen zeichnet sich durch das Hinzufügen zufälliger Datensätze aus. Auf diesem Weg können Fehler entdeckt werden, die herkömmlichen Testmechanismen verborgen bleiben.

In der IT gehört ein Entstehungsmythos nicht unbedingt zu den Grundvoraussetzungen wohl implementierter Methoden. Dennoch gibt es für das sogenannte Fuzz Testing eine ganz klare Entstehungsgeschichte.

Ende der 1980er benutzte Barton Miller, Professor der Computerwissenschaften in Madison, Wisconsin, eine Festnetzverbindung, um von zuhause aus an seinem Unix-Terminal an der Universität zu arbeiten. Während eines Gewitters kamen die Signale nicht wie erwartet durch die Leitung und die Software erhielt zwischen Blitz und Donner quasi zufällige Eingaben. Selbst robuste Programme brachen ob der zufälligen Inputs zusammen, zu Millers größter Überraschung.

Diese Erfahrung destillierten Miller und seine Studierenden zu einem Testverfahren, dem sogenannten Fuzzing oder Fuzz Testing. Über zufällige, unstrukturierte Dateneingaben wurde und wird die Stabilität eines Programms getestet, wenn die User-Eingaben bestimmte Schemata verlassen. Noch heute erfreut der Prozess sich in der Softwareentwicklung einiger Beliebtheit, ist jedoch nicht frei von Schwierigkeiten.

Die Vorteile von Fuzz Testing

Wenn Programme nur entlang ihrer Grenzen getestet werden, können Sicherheitslücken weiterhin bestehen. Ein Fehler, der durch eine unerwartete Eingabe entsteht, ist eine potentielle Sicherheitslücke, die jederzeit ausgenutzt werden könnte.

Tatsächlich nutzen Hacker und Cyberkriminelle Fuzz Testing und ähnliche Methoden häufiger, um Schwachstellen in Systemen ausfindig zu machen. Entsprechend sollten auch Softwareentwickler*innen Fuzzing in ihren Testkreislauf integrieren, um auch unter Belastungen Schwachstellen in ihren Programmen ausfindig zu machen.

Fuzz Testing hat sich in der Praxis als besonders geeignet erwiesen, um schwerere Sicherheitslücken ausfindig zu machen. Die besten Ergebnisse liefert die Fuzzing-Methode im Zusammenspiel mit Black Box Testing oder im Rahmen eines Beta-Tests. Gerade weil Cyberkriminelle in der Praxis häufig ähnliche Methoden anwenden, sollten Programmierer*innen diesen durch intensives Fuzz Testing zuvorkommen. Allerdings liegt ein großer Nachteil des Fuzzing in den Kosten.

Zwar ist Fuzz Testing prinzipiell – wie bei Millers Gewitter – auch durch die Verwendung komplett zufallsgenerierter Eingaben möglich. Allerdings lassen sich dadurch kaum die wahrscheinlichsten Schwächen eines Systems ausmachen. Tendenziell gibt es eine unendliche Zahl zufälliger Eingaben, doch um diese auf einen begrenzten Testzeitraum zu kondensieren, erfordert Fuzz Testing etwas mehr manuelles Geschick auf Seite der Developer.

So funktioniert Fuzz Testing in der Praxis

Die praktische Anwendung von Fuzzing erfolgt entlang von vier, leicht zu wiederholenden Schritten.

• 1. Zunächst wird eine korrekte Input-Datei vorbereitet und geöffnet.

• 2. Im zweiten Schritt wird ein beliebiger Teil der Datei durch zufällige Daten ausgetauscht und …

• 3. … anschließend durch das Programm geöffnet.

• 4. Schließlich müssen Developer festhalten, welcher Teil des Systems nachgegeben hat.

Dieser letzte Teil kann recht arbeitsaufwendig sein, in vielen Fällen ist der einfachste Weg, um Passes und Fails zu verzeichnen. Teile des Fuzz Tests können beispielsweise händisch in Perl oder AppleScript geschrieben werden.

Unterschiedliche Varianten von Fuzzern

Programme, die automatisches Fuzzing ermöglichen, werden Fuzzer genannt. Diese basieren typischerweise auf drei unterschiedlichen Methodiken:

• Mutation-based Fuzzers: Hierbei werden korrekte Datensätze verändert, um neue Testdaten zu generieren. Einzelne Dateien oder Bits werden hierbei angepasst und verändert und automatisiert Protokolle von zufällig erzeugten Fehlern angelegt.

• Generation-based Fuzzers: Dieses Modell greift nicht auf korrekte Datensätze zurück, sondern legt stattdessen anhand der Inputvorgaben generierte Inputs an. Jede Eingabe wird vom Fuzzer komplett neu geschrieben.

• Protocol-based Fuzzers: Die effizientesten Fuzzer finden sich in protokollbasierten Fuzzern. Die Voraussetzung für Funktionalität ist in diesem Falle, dass Programmierer*innen Syntax-, Grammatik- oder Robustheitstests als Grundlage für eine modellbasierte Testgenerierung nutzen können. Protokollbasierte Fuzzer benötigen tiefere Kenntnisse des zu testenden Protokollformates und erfordern ausgereifte Spezifikationen.

Für Programmierer*innen stehen unterschiedliche Fuzzer Tools zur Verfügung wie beispielsweise Peach Fuzzer, das in Java geschriebene Webscarab, Spike Proxy oder OWASP WSFuzzer oder das Open-Source-Projekt American Fuzzy Loop.

Fuzz Testing als Teil des Testzyklus

Fuzz Testing hat sich als besonders effiziente Ergänzung in Sicherheitstests erwiesen, um Memory Leaks und Assertion Failures ausfindig zu machen oder auf falsche Eingaben zu prüfen. Vor allem in C und C++ ist das Speichermanagement aufgrund der manuellen Kontrolle über Speicher eine systemkritische Stelle und verdient in Sicherheitstests eine entsprechende Beachtung.

Trotz der benötigten Expertise, des zeitlichen und finanziellen Aufwands ist eine Beschäftigung mit Fuzz Testing also durchaus angeraten, sollte jedoch immer nur als Teil einer umfassenden Sicherheitsprüfung begriffen werden. Der Name übrigens leitet sich vom englischen Begriff „fuzzy“ her, der übersetzt so viel wie „unklar, verschwommen“ bedeutet und bereits ein klares Indiz für die Methodik des Fuzz Testing gibt.

(ID:47142578)