Software Supply Chain Angriffe

Abstract

Moderne Softwareentwicklung profitiert in vielen Hinsichten von der ausgiebigen Wiederverwendung externer Softwaremodule. Die Abhängigkeit von externen und somit schwer zu kontrollierenden Softwaremodulen – welche in ihrer Gesamtheit als Software Supply Chain bezeichnet werden – birgt allerdings bisher kaum beachtete Gefahren. So kann ein Angreifer Schadcode in eine unscheinbare verwendete Drittanbieterbibliothek einschleusen, welcher sodann bis ins Endprodukt durchgereicht wird. Dort angelangt kann der Schadcode beispielsweise dazu genutzt werden, sensible Daten zu stehlen oder arbiträre Schadfunktionalität auszuführen. <br /> Diese Dissertation beleuchtet das Phänomen Software Supply Chain Angriffe – also das vorsätzliche Einschleusen von Schadcode in eine Software durch Manipulation (Trojanisierung) einer Abhängigkeit – indem solche Angriffe systematisch erfasst und charakterisiert werden. Dazu wird mithilfe tatsächlich beobachteter Vorfälle eine Datengrundlage geschaffen und diese anschließend analysiert. Gewonnene Erkenntnisse werden dazu genutzt, ein signaturbasiertes sowie ein anomaliebasiertes Angriffserkennungssystem zu entwickeln. Ersteres arbeitet auf Basis wiederkehrender Charakteristika aus der statischen Quellcodeanalyse und Letzteres auf forensischen Artefakten aus der dynamischen Softwareanalyse. <br /> Ergebnisse dieser Dissertation umfassen somit einerseits Erkenntnisse zu einer neuen beziehungsweise aufkommenden Angriffsklasse und andererseits geeignete Angriffserkennungssysteme. Diese eignen sich zum Betrieb als Früherkennungssystem (ACME) oder zur Integration in den Prozess der Softwareentwicklung (Buildwatch). Beide erzielten bereits erste praktische Erfolge wie das Auffinden bisher unentdeckter trojanisierter Softwarepakete. Darüber hinaus bildet die in dieser Dissertation geschaffene Systematisierung des Phänomenbereichs Software Supply Chain Angriffe das Fundament für weitere Forschung und Entwicklung.