Modellierung von Angriffen für quantitative Sicherheitsanalysen

Die vorliegende Masterarbeit beschäftigt sich mit der Modellierung von Angreifern und Angriffen auf ein komponentenbasiertes Softwaresystem, das zuvor bereits mittels eines bestehenden Ansatzes zur Quantifizierung von Architektur und Code modelliert und formal verifiziert wurde. Während die vorausgehende formale Verifikation einen wohlwollenden, ehrlichen Nutzer voraussetzt, erweitert diese Masterarbeit das Modell um einen Angreifer, der gezielt Randfälle und Implementierungsfehler ausnutzt. Der Unterschied zu bisherigen Arbeiten, die sich mit Angriffen auf Softwaresysteme beschäftigen, besteht darin, dass Modellierung und Analyse nicht auf der Architekturebene, sondern auf der Quellcode-Ebene erfolgen. Konkret wird ein Metamodell für Schwachstellen, Angriffsbäume und Angreifer vorgestellt und ein Analysetool implementiert, um eine quantitative Aussage über die Angriffssicherheit des Softwaresystems treffen zu können. Zur Evaluation wird eine Fallstudie mit zehn verschiedenen Angriffsbäumen durchgeführt, die alle verschiedenen, denkbaren Baumkonstruktionen repräsentieren. Zur Skalierbarkeitsuntersuchung wird für einen Angriffsbaum die Anzahl an parallelen Knoten sowie die Anzahl von Angreifern variiert. ... mehrIn der Auswertung ergeben sich eine Präzision und Sensitivität von 100 % sowie eine rein auf den neuen Beitrag dieser Arbeit bezogene sehr gute Skalierbarkeit der Analyse.