Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

12 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 11 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Der Personenkreis, dessen Mitglieder als potentielle Angreifer betrachtet werden müssen, wird durch die Transitivität Trojanischer Pferde immer größer, die der obigen rekursiven Charakterisierung der Menge der Entwerfer und Produzenten entspricht. Dieses Größerwerden ist aus vielen Gründen mißlich, die sich in zwei Gruppen einteilen lassen: • Erstens sinkt die Wahrscheinlichkeit, daß alle keine Angreifer sind, einfach durch die Zunahme der Zahl der Menschen. Zusätzlich sinkt mit der Größe und Heterogenität der Gruppe bei jedem Einzelnen das Gefühl der Zusammengehörigkeit und des Füreinander-verantwortlich- Seins. Außerdem nimmt die implizite soziale Kontrolle innerhalb der Gruppe ab. • Zweitens wird die Durchführung von Kontrollen der Menschen immer aufwendiger, unakzeptabler (Schlagwort: Überwachungsstaat) und durch die Grenzen der Kooperation von Staaten begrenzt (welcher Staat erlaubt einem anderen die Überprüfung eines Teils der eigenen Bevölkerung; andererseits: welcher Staat verbietet den Import von Software?). unbefugter Informationsgewinn (verdeckter) Ausgabe-Kanal Handlungsanweisung (verdeckter) Eingabe-Kanal unbefugte Modifikation von Informationen Schreibzugriff universelles Trojanisches Pferd 1.2.3 Wie und wodurch kann Sicherheit erreicht werden? unbefugte Beeinträchtigung der Funktionalität Schreibzugriff, Nichtterminieren, Betriebsmittelverbrauch Zunächst muß vereinbart werden, was „unbefugt“ bedeutet. Dies kann beispielsweise durch internationale Konventionen, Verfassung, Gesetze, Betriebsvereinbarungen oder berufsständische Ethik geschehen. „Unbefugtes“ Handeln wird mit Strafe bedroht. Organisationsstrukturen sollten so gewählt werden, daß Unbefugtes möglichst erschwert, am besten verhindert wird. Bild 1-5: Universelles Trojanisches Pferd Reichen Ge- und Verbote sowie organisatorische Maßnahmen? Ein Verbot ist nur dann wirkungsvoll, wenn seine Einhaltung mit angemessenem Aufwand überprüft und durch Strafverfolgung gesichert und der ursprüngliche Zustand durch Schadensersatz wiederhergestellt werden kann. Beides ist bei IT-Systemen leider nicht gegeben. „Datendiebstahl“ allgemein, speziell das direkte Abhören von Leitungen oder Kopieren von Daten aus Rechnern, ist kaum feststellbar, da sich an den Originaldaten nichts ändert. Ebenso ist, wie oben erwähnt, das Installieren Trojanischer Pferde kaum festzustellen und erst recht nicht die unerlaubte Weiterverarbeitung von Daten, die man legal (oder auch illegal) erhalten hat. Die Wiederherstellung des ursprünglichen Zustands müßte vor allem darin bestehen, alle entstandenen Daten zu löschen. Man ist aber nie sicher, ob nicht noch weitere Kopien existieren. Außerdem können sich Daten im Gedächtnis von Menschen festsetzen, wo das Löschen besser nicht angestrebt werden sollte. Es sind also zusätzliche wirkungsvollere Maßnahmen nötig. Vorbeugende technische Schutzmaßnahmen sind die einzigen bekannten. Diese sehr weite Definition Trojanischer Pferde läßt viele Spielarten zu, die teilweise mit eigenen martialischen Namen versehen sind, z.B. logische Bomben etc. Für eine grundsätzliche Betrachtung sind jedoch nur die beiden folgenden Eigenschaften universell und/oder transitiv wichtig. Üblicherweise stellt man sich vor, daß der von einem Trojanischen Pferd anzurichtende Schaden (genauer: seine Schadensfunktion) beim Entwurf des Trojanischen Pferdes festgelegt wird. Damit wäre das Trojanische Pferd ein relativ unflexibler und ungerichteter Angreifer, bei Entdeckung wäre die Schädigungsabsicht seines Urhebers (sofern dieser identifizierbar ist) nachweisbar. Es ist aber auch möglich, zum Entwurfszeitpunkt nur einen Handlungsrahmen zu schaffen, der durch Eingaben während des Betriebs mit Leben gefüllt wird. Die Eingaben an das Trojanische Pferd werden in zulässigen – und harmlos scheinenden – Eingaben an den das Trojanische Pferd enthaltenden Systemteil verdeckt codiert (Bild 1-5). Die Codierung wird zweckmäßigerweise so redundant gewählt, daß die Wahrscheinlichkeit, daß ein Uneingeweihter durch seine Eingaben an den Systemteil auch Eingaben für das Trojanische Pferd übermittelt, verschwindend gering ist. Im allgemeinsten Fall kann man während des Betriebs das Trojanische Pferd beliebig programmieren. Dorothy Denning hat diese Trojanischen Pferde universell (universal) genannt [Denn_85]. Die gezielte Verwendung universeller Trojanischer Pferde ist natürlich nur solchen Personen möglich, die während des Betriebes Zugriff auf das System haben. Dies ist insbesondere bei offenen Systemen aber fast jedem möglich. Mit Hilfe universeller Trojanischer Pferde sind sehr flexible und gerichtete Angriffe möglich. Der Benutzer des Trojanischen Pferdes braucht z.B. nicht zu warten, bis ein ihn seit kurzem interessierender Datensatz nach vielen Jahren endlich übertragen wird, sondern er kann das universelle Trojanische Pferd diesen Datensatz sofort übertragen lassen. Üblicherweise stellt man sich auch vor, daß ein Trojanisches Pferd vom Täter direkt dort untergebracht werden muß, wo es subversiv wirken soll. Auch diese Vorstellung ist falsch: Werden beim Entwurf Hilfsmittel verwendet (z.B. Compiler), so kann sowohl der Entwerfer als auch das Entwurfshilfsmittel ein Trojanisches Pferd im Entwurf unterbringen. Da mit Entwurfshilfsmitteln weitere Entwurfshilfsmittel entworfen werden, gilt dies rekursiv, so daß sich ein Trojanisches Pferd in der transitiven Hülle aller Entwürfe ausbreiten kann, an denen sein Gastgebersystem direkt oder indirekt beteiligt war [Thom_84, Pfit_89]. Ich spreche deshalb von transitiven Trojanischen Pferden. 1.2.4 Vorausschau auf Schutzmechanismen Bild 1-6 gibt eine Vorausschau auf Maßnahmen, die in den folgenden Kapiteln erläutert werden. Die Spalte „Unerwünschtes verhindern“ (lies: Unerwünschte Aktionen des Systems sollen verhindert werden) entspricht im wesentlichen dem Schutzziel Vertraulichkeit, die Spalte „Erwünschtes leisten“ (lies: Erwünschte Aktionen des Systems sollen stattfinden) im wesentlichen den Schutzzielen Integrität und Verfügbarkeit. 12 12 Unbeobachtbarkeit, Anonymität und Unverkettbarkeit können auf folgende subtile Weise zur Verfügbarkeit beitragen: Ist ein Angreifer nicht bereit, alle (oder zumindest sehr viele) Teilnehmer zu beeinträchtigen – sei es, weil er nicht garzusehr auffallen will oder beispielsweise politisch motivierte Terroristen nicht auch die Schwachen einer Gesellschaft angreifen wollen –, so verhindern Unbeobachtbarkeit, Anonymität und Unverkettbarkeit ein selektives Beeinträchtigen der Verfügbarkeit für spezielle Teilnehmergruppen oder gar spezielle individuelle Teilnehmer. In solch einer Situation ist von so motivierten Tätern mit keiner Beeinträchtigung der Verfügbarkeit zu rechnen.
14 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 13 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Um zu beschreiben, wie weit verbreitet der Angreifer ist, sollten die möglichen Rollen des Angreifers jeweils quantifiziert werden: Welche physischen oder kryptographischen Abschottungen kann er überwinden? Welche Subsysteme kann er benutzen und dadurch in welcher Hinsicht kontrollieren? Welche Subsysteme kann er als Betreiber, welche als Wartungsdienst in welcher Hinsicht kontrollieren? Wo konnte er als Entwerfer oder Produzent Trojanische Pferde unterbringen? usw. Sind alle Subsysteme bezüglich einer Rolle des Angreifers gleich, so genügt es, ihr jeweils eine nichtnegative ganze Zahl zuzuordnen. Sie gibt dann an, wie viele dieser Subsysteme vom Angreifer kontrolliert werden können. Unterscheidet man in einem Rechnernetz als kleinste Subsysteme Leitungen und Stationen (z.B. Vermittlungszentrale, Netzabschluß, Teilnehmerendgerät, etc.), so wäre anzugeben, wie viele und welche Leitungen und/oder Stationen der Angreifer maximal beobachten und/oder gar aktiv verändernd kontrollieren kann. Erwünschtes leisten Unerwünschtes verhindern Schutz bzgl. Schutz vor verständliche Zwischensprachen und (Zwischen-)Ergebnisse, die mit unabhängigen Werkzeugen analysiert werden Entwerfer und Produzent der Entwurfs- und Produktionshilfsmittel ... wie oben und Entwurf durch mehrere unabhängige Entwerfer mit unabhängigen Hilfsmitteln Entwerfer des Systems Produkte mit unabhängigen Werkzeugen analysieren Produzenten des Systems Kontrolle wie bei neuem Produkt, s. o. physischen Zugriff durch unmanipulierbare Gehäuse beschränken, logischen in ihnen beschränken u. protokollieren Wartungsdienst Verhält sich der Angreifer nach außen (genauer: innerhalb des betrachteten IT-Gesamtsystems, aber außerhalb seiner Systemteile13, vgl. Bild 1-7) nur so, wie es ihm erlaubt ist, d.h. führt er seinen Angriff nur beobachtend durch? Dies kann er beispielsweise tun, indem er Leitungen oder Funkstrecken abhört, lokal Daten anders auswertet oder länger speichert als er es darf. Oder riskiert der Angreifer mehr, indem er nach außen ihm Verbotenes tut, d.h. seinen Angriff auch verändernd durchführt? 14 Beobachtende Angriffe sind im IT-System prinzipiell nicht erkennbar – ihr Erfolg kann aber, wie wir sehen werden, bezüglich des Erfassens und damit auch Verarbeitens und Speicherns von Daten, die der Angreifer regulär nicht erhält, prinzipiell vollständig verhindert werden. Verändernde Angriffe können zwar prinzipiell erkannt werden, dafür kann ihr Erfolg aber nicht vollständig verhindert werden. Außerhalb des IT-Systems können beobachtende Angriffe möglicherweise erkannt und sollten die Auswirkungen von verändernden Angriffen möglichst begrenzt werden. Zur genaueren Beschreibung kann es sinnvoll sein, das Attribut beobachtend/verändernd nicht dem Angreifer als Ganzem, sondern einzelnen seiner Rollen im IT-System zuzuordnen. Betreiber des Systems physischen und logischen Zugriff beschränken Benutzer des Systems physisch vom System, kryptographisch von den Daten fernhalten Außenstehende Realisierung von Unbeobachtbarkeit, Anonymität und Unverkettbarkeit physische Verteilung und Redundanz Bild 1-6: Welche Schutzmaßnahmen schützen gegen welche Angreifer 1.2.5 Angreifermodell Schutz vor einem allmächtigen Angreifer ist natürlich nicht möglich: Ein allmächtiger Angreifer könnte 1. alle Daten, die ihn interessieren, an der Stelle ihrer Entstehung unbefugt erfassen (oder, falls nötig, auch Daten an mehreren Stellen erfassen und sie zu den ihn interessierenden kombinieren, vgl. §5), und so Vertraulichkeit vor ihm verhindern. 2. Daten unbemerkt unbefugt ändern, denn wenn ihr Benutzer ganz genau wüßte, welchen Wert sie haben müssen, könnte er gleich auf sie verzichten. 3. durch physische Zerstörung des gesamten IT-Systems seine Funktionalität unbefugt beeinträchtigen. 13 Hierbei wird unter den Systemteilen des Angreifers der Bereich verstanden, der von ihm exklusiv kontrolliert wird, wo andere also nicht ohne weiteres hineinschauen können. Der Einflußbereich und damit der Verbreitungsbereich des Angreifers ist üblicherweise größer. Er umfaßt üblicherweise weitere Teile des betrachteten IT-Gesamtsystems. 14 So ganz glücklich bin ich mit den Begriffen beobachtender vs. verändernder Angreifer nicht, kenne aber bisher keine besseren. Verwendet man stattdessen die Begriffe protokolltreuer vs. protokollverletzender Angreifer, dann muß man unterstellen, daß alles im Protokoll Vorgesehene auch erlaubt ist. Dies ist bei den heute üblichen Protokollen jedoch nicht der Fall. Deshalb sind alle folgenden Maßnahmen nur Annäherungen an den perfekten Schutz der Teilnehmer vor jedem möglichen Angreifer. Die Annäherung wird im allgemeinen durch Angabe der maximal berücksichtigten Stärke eines Angreifers in der Form eines sogenannten Angreifermodells bestimmt. Auch um einzelne Schutzmechanismen zu charakterisieren, sollte der Angreifer maximaler Stärke, gegen den sie schützen, genau beschrieben werden. Das Angreifermodell umfaßt neben den möglichen Rollen des Angreifers (Außenstehender, Benutzer, Betreiber, Wartungsdienst, Produzent, Entwerfer ...), die natürlich auch kombiniert auftreten können, auch folgende Attribute:
Seite 1 und 2: A. Pfitzmann: Datensicherheit und K
Seite 3 und 4: VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6: X A. Pfitzmann: Datensicherheit und
Seite 7 und 8: 2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10: 6 A. Pfitzmann: Datensicherheit und
Seite 11: 10 A. Pfitzmann: Datensicherheit un
Seite 15 und 16: 18 A. Pfitzmann: Datensicherheit un
Seite 57 und 58: 102 A. Pfitzmann: Datensicherheit u
Seite 63 und 64:
114 A. Pfitzmann: Datensicherheit u
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?