Diesen Artikel bewerten: 

HPI Vulnerability Data-Base

Den Sicherheitslücken auf der Spur

Christoph Meinel (Univ.-Prof., Dr. sc. nat., Dr. rer. nat., *1954) ist CEO und Wissenschaftlicher Direktor des Hasso-Plattner-Instituts für Softwaresystemtechnik GmbH (HPI). Außerdem ist er ordentlicher Professor (C4) für Informatik am HPI und an der Universität Potsdam und hat einen Lehrstuhl für „Internet-Technologien und -Systeme“ inne. Seine Forschungsschwerpunkte liegen in den Bereichen Security Engineering, Knowledge Engineering und Web 3.0 sowie Semantic, Social, Servcie-Web und Design Thinking. Christoph Meinel ist Mitglied der Deutschen Akademie der Technikwissenschaften acatech, Gastprofessor an der TU Peking und in zahlreichen wissenschaftlichen Gremien und Aufsichtsräten tätig.
Die VDB ist eine vom HPI entwickelte Datenbank, die Informationen über bekannte Sicherheitslücken von Software bereitstellt. Die Schwachstellen werden im Internet gesammelt, ausgewertet und gespeichert.

Das HPI-VDB-Portal (https://hpi-vdb.de/) ist das Ergebnis von Forschungsarbeiten unter der Leitung des IT-Security Engineering Teams an meinem Lehrstuhl "Internet-Technologien und -Systeme"' am Hasso-Plattner-Institut. Es ist eine umfassende und selbst aktualisierende Datenbank, die eine große Anzahl bekannter Sicherheitslücken von Software enthält. Die Software-Sicherheitsanfälligkeiten werden im Internet gesammelt, ausgewertet, normalisiert und in einer hoch-performanten Datenbank zentralisiert. Zurzeit beinhaltet die Datenbank über 66.000 Schwachstellen aus über 170.000 verschiedenen Softwareversionen von fast 15.000 verschiedenen Herstellern.

Die textbasierten Fehlerbeschreibungen über jede Softwareverwundbarkeit werden aus öffentlichen Portalen anderer Datenbanken, von Softwareherstellern und aus anderen Quellen erzeugt oder gesammelt. Ein strukturiertes Datenmodell verwaltet diese Einträge und macht sie maschinenlesbar der Öffentlichkeit zugänglich. Dieses Modell enthält zusätzlich Informationen, die eine Bewertung der Schwachstelle ermöglichen. Dieser Schweregrad ergibt sich unter anderem aus möglichen Verletzungen der Verfügbarkeit, der Vertraulichkeit oder der Integrität des betreffenden Programms oder des betreffenden Systems. Letztendlich ist es möglich mehrere interessante Zugriffmöglichkeiten und Funktionen anzubieten, wie beispielsweise:

  • Browsing

  • Suche

  • Selbst-Diagnose

  • Angriffs-Graphen

  • Überwachen einer Programmliste

Die Suche und das Browsing von Schwachstellen wird durch das strukturierte Datenmodell stark beschleunigt und ermöglicht es, verschiedene Filtermechanismen zu verwenden, die ein schnelles Auffinden der entsprechenden Schwachstellen vorantreiben.

Die bereits erwähnte Maschinenlesbarkeit findet insbesondere für automatische Analysen Anwendung, die beim Erstellen von Selbst-Diagnosen und Angriffs-Graphen verwendet werden.

Schwachstellen werden ermittelt

Bei der Selbst-Diagnose unterscheiden wir zwischen einer rein browserbasierten Diagnose und einer vollständigen Diagnose. Die Browserdiagnose kann ohne weiteres ausgeführt werden, da hierzu nur Informationen verwendet werden, die vom Browser sowieso versendet werden. Im Laufe der Diagnose werden der jeweilige Browser (Firefox, Internet Explorer, Chrome, Opera…), die entsprechende Versionsnummer und installierte Plugins identifiziert. Mit diesen Informationen werden dann bekannte Schwachstellen für diese Konfiguration gesucht und nach Schweregrad sortiert ausgegeben.

Die umfassende Diagnose erfordert eine genaue Untersuchung des gesamten Systems. Hierfür können sich Nutzer ein Systemdiagnose-Programm herunterladen, das alle installierten Programme und die genaue Versionsnummer erfasst und nach Bestätigung des Nutzers schließlich an die Datenbank zurücksendet. Auch hier werden im Folgenden betreffende Schwachstellen ermittelt und dem Nutzer mitgeteilt. Diese Funktionalität befindet sich in der abschließenden Testphase und wird bald zur Verfügung stehen.

Ein weiteres Feature ist das Überwachen von bestimmten Programmen. Hier kann ein Nutzer verschiedene Programme mit einer genauen Versionsnummer auswählen, für die er regelmäßig Updates erhalten möchte, falls neue Schwachstellen in diesen Programmen gefunden wurden.

Das tägliche Updaten unserer Informationen über bekannte Schwachstellen und die Integration neuer Schwachstellen ermöglicht es der VDB, frühzeitige Benachrichtigungen an interessierte Nutzer zu versenden. Darüber hinaus bieten wir verschiedene APIs für Softwareentwickler an, um unsere Datenbank an ihre Systeme an- und einzubinden.