Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
26<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
25<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
Computer-Virus<br />
unnötiges<br />
Schreibzugriffsrecht,<br />
z.B. für Spielprogramm<br />
Programm 1<br />
Infektion<br />
Programm 2<br />
Der Zugriffsmonitor kontrolliert den Zugriff von Rechenprozessen, die Menschen oder IT-<br />
Systeme vertreten können, auf Daten <strong>und</strong> Programme (<strong>in</strong>kl. Ausgabe), <strong>und</strong> nicht den unmittelbaren<br />
Zugriff von Menschen auf sie oder Geräte.<br />
Benutzer-Prozesse tun auch auf e<strong>in</strong>er korrekten Betriebssystemmasch<strong>in</strong>e nicht unbed<strong>in</strong>gt das, was<br />
der Benutzer will oder von ihnen vorgespiegelt bekommt – denn sie können Trojanische Pferde<br />
enthalten. Aus diesem Gr<strong>und</strong> sitzt der Zugriffsmonitor an der richtigen Stelle, nämlich zwischen<br />
Benutzer <strong>und</strong> Benutzer-Prozeß e<strong>in</strong>erseits <strong>und</strong> den Daten <strong>und</strong> Programmen, die anderen gehören<br />
können, andererseits. Dies wird im folgenden Abschnitt am Beispiel der „Computer-Viren“ noch<br />
etwas deutlicher.<br />
transitives Trojanisches Pferd<br />
notwendiges<br />
Schreibzugriffsrecht,<br />
z.B. für Compiler oder Editor<br />
Programm 1<br />
Soll Zugriffskontrolle nicht nur bei der Realisierung von Vertraulichkeit <strong>und</strong> Integrität helfen, sondern<br />
auch bei der Realisierung von Verfügbarkeit, dann muß der Zugriffsmonitor nicht nur das Vorhandense<strong>in</strong><br />
von Rechten prüfen, sondern auch, wie häufig sie ausgeübt wurden <strong>und</strong> werden dürfen.<br />
Etwas allgeme<strong>in</strong>er gesagt: Für Verfügbarkeit ist nicht nur Zugriffskontrolle im engeren S<strong>in</strong>ne nötig,<br />
sondern auch e<strong>in</strong>e Kontrolle des Ressourcenverbrauchs – wozu selbstverständlich auch die<br />
Benutzung der der Zugriffskontrolle unterliegenden Objekte gehört.<br />
Programm 2<br />
2.2.4 Beschränkung der Bedrohung „Computer-Viren“ auf die durch<br />
„transitive Trojanische Pferde“<br />
Beschränkung der Angriffsausbreitung durch<br />
ger<strong>in</strong>gstmögliche Privilegierung:<br />
Ke<strong>in</strong>e unnötigen Zugriffsrechte gewähren!<br />
--> Ke<strong>in</strong>e Computer-Viren,<br />
--> nur noch transitive Troj. Pferde<br />
Die <strong>in</strong> aller M<strong>und</strong>e <strong>und</strong> Zeitschriften bef<strong>in</strong>dlichen „Computer-Viren“ s<strong>in</strong>d spezielle, durch ihren<br />
Ausbreitungsmechanismus def<strong>in</strong>ierte Trojanische Pferde:<br />
Hat e<strong>in</strong> ausgeführtes Programm, <strong>in</strong> dem sich e<strong>in</strong> Computer-Virus bef<strong>in</strong>det, Schreibzugriff auf<br />
e<strong>in</strong> beliebiges anderes Programm, so kann er dieses Programm so ändern, daß bei dessen<br />
Ausführung e<strong>in</strong>e (optional veränderte) Kopie des Virus mit ausgeführt wird.<br />
Computer-Viren können sich <strong>in</strong> der transitiven Hülle der (meist üppig gewährten) Schreibzugriffsrechte<br />
ausbreiten.<br />
Bild 2-6: Computer-Virus, transitives Trojanisches Pferd <strong>und</strong> Beschränkung der Bedrohung durch<br />
ersteres auf die durch letzteres<br />
Gr<strong>und</strong>sätzliche Schutzmechanismen zur Verh<strong>in</strong>derung der Ausbreitung von Computer-Viren waren<br />
bereits vor deren Erf<strong>in</strong>dung bekannt [Denn_82 Seite 317f]:<br />
Jedem Programm wird bei se<strong>in</strong>er Ausführung nur das ermöglicht, was es können muß<br />
(Pr<strong>in</strong>zip der ger<strong>in</strong>gstmöglichen Privilegierung, pr<strong>in</strong>ciple of least privilege).<br />
Um Programme vor unbemerkter Veränderung auch außerhalb physischer Schutzbereiche<br />
zu schützen, werden alle Programme vom Generierer digital signiert, vgl. §3 <strong>und</strong> [ClPf_91,<br />
Cles_88]. Vor der Ausführung jedes Programms wird geprüft, daß es nicht unautorisiert<br />
verändert wurde.<br />
Da diese Schutzmechanismen die Bedrohung durch Computer-Viren genau auf die durch transitive<br />
Trojanische Pferde verm<strong>in</strong>dern [Pfit_89 Seite 7, 17], s<strong>in</strong>d Computer-Viren ke<strong>in</strong> zusätzliches<br />
Forschungsproblem der Informatik. Leider wurden diese gr<strong>und</strong>sätzlichen Schutzmechanismen jedoch<br />
aus Denkfaulheit <strong>und</strong> zu e<strong>in</strong>em ger<strong>in</strong>geren Teil auch Aufwands- <strong>und</strong> damit Kostengründen bisher<br />
nicht e<strong>in</strong>gesetzt. Daraus resultiert e<strong>in</strong> schwerwiegendes Problem, da gegen Computer-Viren<br />
weitgehend ungeschützte Rechner weit verbreitet s<strong>in</strong>d.<br />
Anmerkung mit Begründungen: Es ist absehbar, daß alle Maßnahmen, gegen Computer-Viren<br />
vorzugehen, ohne das Pr<strong>in</strong>zip der ger<strong>in</strong>gstmöglichen Privilegierung durchzusetzen, versagen werden: