Verbundprojekt: Effektives Testen von cyber-physischen Systemen (CPSec); Teilvorhaben: Skalierbares und effizientes Fuzzing von zustandsbehafteter Software für eingebettete Systeme

Abstract

Im Rahmen des Teilprojekts „Skalierbares und effizientes Fuzzing von zustandsbehafteter Software für eingebettete Systeme“ hat CISPA verschiedene Testmethoden für cyber-physische Systeme entwickelt. Dazu wurden einerseits verschiedene Fallstudien durchgeführt, um die spezifischen Anforderungen von solchen Systemen zu verstehen. Anderseits wurden verschiedene Fuzzing-Techniken entwickelt, um cyber-physische Systeme effektiver zu testen. Neben der Weiterentwicklung eines Frameworks zum effektiven Testen von Firmware-Images wurden auch algorithmische Verbesserungen für ein effizientes Testen entwickelt. Bei den Ergebnissen handelt es sich um praxisorientierte, disziplinübergreifende Grundlagenforschung, deren Ergebnis das Potenzial zur zügigen Umsetzung in marktfähige Produkte aufweist. Letztlich können die Projektergebnisse einen wesentlichen Beitrag zur Verbesserung der Sicherheit von cyber-physischen Systemen leisten: Es wurden verschiedene neue Testmethoden erforscht und Methoden zum effizienten und effektiven Auffinden von Software-Schwachstellen implementiert. Die dabei gefundenen Schwachstellen wurden an die Hersteller gemeldet. Insgesamt hat das CPSec-Projekt wichtige Fortschritte im Bereich der automatisierten Sicherheitsanalyse von Firmware und eingebetteten Systemen erzielt. Die entwickelten Techniken tragen dazu bei, die Sicherheit cyber-physischer Systeme zu verbessern, indem sie tiefere Codeabschnitte zugänglich machen und neue Schwachstellen aufdecken. As part of the subproject “Scalable and Efficient Fuzzing of Stateful Software for Embedded Systems,” CISPA developed various testing methods for cyber-physical systems. To this end, various case studies were conducted to understand the specific requirements of such systems. In addition, various fuzzing techniques were developed to test cyber-physical systems more effectively. In addition to further developing a framework for the effective testing of firmware images, algorithmic improvements for efficient testing were also developed. The results are practice-oriented, interdisciplinary basic research with the potential for rapid implementation in marketable products. Ultimately, the project results can make a significant contribution to improving the security of cyber-physical systems: Various new testing methods were researched and methods for efficiently and effectively finding software vulnerabilities were implemented. The vulnerabilities found were reported to the manufacturers. Overall, the CPSec project has made important progress in the field of automated security analysis of firmware and embedded systems. The techniques developed contribute to improving the security of cyber-physical systems by making deeper code sections accessible and uncovering new vulnerabilities.