UGent’ers maken mobiele software veiliger

Mobiele software kan nu beter beschermd worden tegen aanvallen van hackers dankzij een doeltreffende toepassing ontworpen door ingenieurs van de vakgroep ELIS (Elektronica en Informatiesystemen) van UGent. De kracht van deze toepassing ligt in de combinatie van de verschillende nieuwe beschermingstechnieken. Een ander aspect van dit project is de ontwikkeling van een nieuwe methodologie die de sterkte van de gebruikte beschermingstechnieken kwantitatief kan evalueren.

Het project was erg succesvol en kreeg een excellente beoordeling van de Europese Commissie.

Nieuwe en verbeterde technieken

Het team van het ASPIRE-project (Advanced Software Protection: Integration, Research, and Exploitation), onder leiding van professor Bjorn De Sutter, ontwikkelde en verbeterde beveiligingstechnieken voor mobiele software. Als deze verschillende technieken samenwerken, kost het hackers veel meer tijd en moeite, en dus ook geld om de software aan te vallen. Dat zorgt ervoor dat het aanvallen van software en data vaak niet meer loont. Misschien zou het de NSA of de Russische staatshackers niet tegenhouden, maar toch wel een heel groot deel van de economisch gedreven criminelen, zoals maffiosi en andere cybercriminelen.

De investering van een hacker (oranje vlak) brengt pas op zodra ze hun aanval kunnen exploiteren (blauwe vlak). Als de beveiliging de investering doet toenemen in tijd en/of geld (fig. 2&3) loont het niet meer voor de hacker.                                                                                                                

Valorisatie

Het onderzoek creëert een belangrijke meerwaarde voor ontwikkelaars en bedrijven, daarom worden de meeste van de ontwikkelde technieken beschikbaar gemaakt als open source. Andere technieken worden door de industriële partners gecommercialiseerd. Ook 2ASPIRE (www.2aspire.eu), een spin-off in Italië, is ontstaan uit dit project. De spin-off investeert in het ontwikkelen van een prototype beveiligingstoepassing voor Android Apps.

 Deze initiatieven bewijzen dat de impact van het onderzoek verder gaat dan enkel het technische vlak. Het heeft een duidelijke impact op de markt en het toekomstig onderzoek naar software beschermingstechnieken.

De kracht van deze toepassing ligt net in de combinatie van deze beveiligingstechnieken.”

 

Hoe veilig is mijn softwarebescherming?

ASPIRE ontwikkelde ook een nieuwe methodologie om de sterkte van toegepaste beschermingstechnieken kwantitatief te evalueren. Aangezien het beschermen van software een complexe aangelegenheid is, waarbij ontwikkelaars heel veel keuzes moet maken, is het belangrijk te weten of deze ook effectief zijn. Zo moeten ze bijvoorbeeld voor elk onderdeel kiezen welke technieken er de beste bescherming bieden. Daarbij moet er ook mee rekening gehouden worden dat deze technieken de software min of meer vertragen en zwaarder maken, dat sommige technieken alleen werken als een app verbonden is met het internet, dat sommige technieken wel kunnen gecombineerd worden maar andere niet, enz.

Bovendien moet de ontwikkelaar alle mogelijke aanvalspaden proberen te blokkeren. Mocht de ontwikkelaar er slechts één afdekken, dan zouden aanvallers al gauw alternatieve manieren vinden om toch nog een aanval op te zetten.

Automatische beslissingshulp

Met de nieuwe kwantitatieve evaluatietechnieken, die wel nog verder verfijnd en uitgewerkt moet worden voor ze commercieel toepasbaar worden, staat de deur open voor het ontwikkelen van een automatische beslissingshulp. Dat zijn tools die op aangeven van criteria en randvoorwaarden van de ontwikkelaar helemaal autonoom de beste combinaties van bescherming kunnen kiezen. Hierbij zal het beschermen van software een pak goedkoper en sneller kunnen, en zullen programma’s ook beter beschermd kunnen worden.

Prototype beslissingssysteem

Het project heeft met een eerste prototype van zo'n beslissingssysteem aangetoond dat dit veel interessante mogelijkheden biedt. Bovendien kan de nieuwe methodologie ook gebruikt worden om bestaande beschermingstechnieken en beschermingssoftwarepakketten met elkaar te vergelijken. De ultieme uitkomst zou zijn dat de methode aan de basis ligt van toekomstige standaarden. Die zijn dringend nodig als we bijvoorbeeld zien hoe makkelijk vandaag vele toestellen van het Internet of Things (smart Tv’s, Wifi lampen, geconnecteerde auto’s, …) aangevallen kunnen worden, en hoe lek de beveiliging daarvan is.

 

Meer info