Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
10<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
9<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
E<strong>in</strong> Systemteil ist e<strong>in</strong> Trojanisches Pferd, wenn er unter Ausnutzung der ihm anvertrauten Daten<br />
<strong>und</strong> Rechte mehr als das von ihm Erwartete9 oder von ihm Erwartetes falsch oder nicht tut10 , vgl.<br />
Bild 1-5. Etwa könnte e<strong>in</strong> Editor die ihm e<strong>in</strong>gegebenen Daten nicht nur <strong>in</strong> e<strong>in</strong>er Datei se<strong>in</strong>es Benutzers<br />
abspeichern, sondern noch an den Programmierer des Editors weitergeben. Hierzu benötigt das<br />
Trojanische Pferd e<strong>in</strong>en verborgenen Kanal11 (covert channel) [Cove_90, Denn_82, Lamp_73,<br />
Pfit_89 Seite 7, 18]. Kann <strong>in</strong> unserem Beispiel der Editor als verborgenen Kanal ke<strong>in</strong>e zweite Datei<br />
benutzen (<strong>in</strong> vielen Rechnern könnte er das), so kann er etwa se<strong>in</strong>en Verbrauch an Betriebsmitteln<br />
(Speicherbelegung, CPU-Zeit) modulieren, was von anderen Prozessen wahrgenommen werden<br />
kann.<br />
Leider s<strong>in</strong>d ke<strong>in</strong>e brauchbaren Verfahren bekannt, alle Trojanischen Pferde zu f<strong>in</strong>den oder deren<br />
Existenz im untersuchten Systemteil auszuschließen. Im wesentlichen ist man hier auf das „H<strong>in</strong>schauen<br />
mit bloßem Auge“ angewiesen (was bei der heutigen Komplexität von Rechnern fast genausogut<br />
mit geschlossenen Augen geschehen kann).<br />
Die Bandbreite selbst mancher bekannter verborgener Kanäle läßt sich ohne drastischen Mehraufwand<br />
nicht beliebig verkle<strong>in</strong>ern. Die höchste Qualitätsanforderung der IT-<strong>Sicherheit</strong>skriterien läßt<br />
ohne Begrenzung der Anzahl der bekannten verborgenen Kanäle e<strong>in</strong>e Bandbreite pro verborgenen<br />
Kanal von 1 bit/s zu [ZSI_89 Seite 96]. Nehmen wir an, e<strong>in</strong> Angreifer kann sich von e<strong>in</strong>em Trojanischen<br />
Pferd „nur“ 1 bit/s übertragen lassen: Dann erhält er <strong>in</strong>nerhalb e<strong>in</strong>es Jahres ca. 4 MByte Daten.<br />
Glücklicherweise kann durch den E<strong>in</strong>satz von Diversität, d.h. der Entwurf wird durch mehrere<br />
unabhängige Entwerfer mit unabhängigen Hilfsmitteln mehrfach durchgeführt, unter plausiblen<br />
Annahmen die Bandbreite auf exakt 0 bit/s verkle<strong>in</strong>ert werden [Cles_88]. Allerd<strong>in</strong>gs ist der Aufwand<br />
hierfür beträchtlich.<br />
<strong>Sicherheit</strong>slücke. Denn nicht nur unbewußte Fehler, auch bewußte Angriffe können sich entlang der<br />
Entwurfs- <strong>und</strong> Produktionsl<strong>in</strong>ie fortpflanzen. In Bild 1-4 muß beispielsweise mitnichten der Mensch<br />
oben schuld se<strong>in</strong>, wenn der rechnerunterstützt entworfene Rechner fehlerhaft ist. Wie <strong>in</strong> Bild 1-4<br />
e<strong>in</strong>gezeichnet, könnten es auch der Mensch ganz unten oder der Rechner unten rechts se<strong>in</strong>. Natürlich<br />
kämen auch die anderen beiden Menschen <strong>und</strong> der Rechner <strong>in</strong> der zweiten Ebene <strong>in</strong> Betracht.<br />
Symbolerklärungen<br />
Rechner<br />
Programm<br />
A benutzt B, um<br />
C zu entwerfen.<br />
C<br />
A<br />
B<br />
Masch<strong>in</strong>e X führt<br />
Programm Y aus<br />
Y<br />
X<br />
Fehler- / Angriffsausbreitung<br />
✍<br />
9<br />
In der Literatur wird e<strong>in</strong> Trojanisches Pferd oft als e<strong>in</strong> Programm def<strong>in</strong>iert, das „neben se<strong>in</strong>er vorgeblichen eigentlichen<br />
Funktion e<strong>in</strong>e weitere, nicht dokumentierte Zusatzfunktion ausführt“. Neben der unnötigen Beschränkung auf<br />
Programme sowie Zusatzfunktion ist diese Def<strong>in</strong>ition unglücklich: Zu jeder Programmfunktion gibt es m<strong>in</strong>destens<br />
e<strong>in</strong>e Dokumentation, <strong>in</strong> der jede E<strong>in</strong>zelheit enthalten ist: den Programmcode selbst [Dier3_91].<br />
10 Diese Def<strong>in</strong>ition mag auf den ersten Blick zu allgeme<strong>in</strong> ersche<strong>in</strong>en, da <strong>in</strong> ihr Absicht oder böser Wille e<strong>in</strong>es<br />
Urhebers des Trojanischen Pferdes nicht gefordert wird, während die Griechen laut Homer bei der Konstruktion <strong>und</strong><br />
Nutzung des hölzernen Trojanischen Pferdes vor den Toren Trojas durchaus bewußt planvoll gehandelt haben. Für<br />
das hier e<strong>in</strong>geführte, erweiterte Verständnis Trojanischer Pferde spricht Zweierlei:<br />
1. Das Kriterium, ob h<strong>in</strong>ter e<strong>in</strong>er vorhandenen Funktionalität e<strong>in</strong>es Systemteils Absicht oder gar böser Wille<br />
steckt, wäre nicht zu entscheiden – e<strong>in</strong>e auf diese Eigenschaften abstellende Def<strong>in</strong>ition also <strong>in</strong>formatisch nicht<br />
handhabbar. (Hiervon unberührt bleibt, daß für die moralische <strong>und</strong> ggf. auch strafrechtliche Verwerflichkeit e<strong>in</strong>er<br />
Handlung Absicht <strong>und</strong> böser Wille durchaus relevant <strong>und</strong> daher auch Gegenstand der Urteilsbildung s<strong>in</strong>d.)<br />
2. Für die Auswirkungen e<strong>in</strong>er unerwarteten Funktionalität e<strong>in</strong>es Systemteils ist es unerheblich, ob sie absichtlich<br />
oder gar <strong>in</strong> böser Absicht geschaffen wurde. Allenfalls, ob sie absichtlich <strong>und</strong> <strong>in</strong> böser Absicht nutzbar sowie<br />
potentiellen Tätern mit Motiv bekannt ist, ist für die Auswirkungen relevant.<br />
11 In der Literatur sowie hier werden die Namen verborgener Kanal <strong>und</strong> verdeckter Kanal bedeutungsgleich verwendet.<br />
Bild 1-4: Transitive Ausbreitung von Fehlern <strong>und</strong> Angriffen<br />
Die besonders hohe Komplexität heutiger IT-Systeme verh<strong>in</strong>dert e<strong>in</strong>e genügend rigorose Kontrolle<br />
der Systeme selbst. Deshalb müssen auch ihre Produzenten <strong>und</strong> Entwerfer, seien es Menschen oder<br />
wiederum (irgendwann auch von Menschen geschaffene) IT-Systeme, als mögliche Angreifer, d.h.<br />
unbefugt Handelnde, betrachtet werden. Beispielsweise könnten sie <strong>in</strong> den von ihnen entworfenen<br />
oder produzierten Systemteilen Trojanische Pferde [Home_??] verstecken: