Information Security

Einschränkungen sind Invarianten oder Voraussetzungen für Rechtevergabe und Rollenvergabe z.b.

• Kassier darf nich Kassenprüfer sein
  • Seperatioin of Duty
  • Dynamischer Ausschluss: Die gleiche PErson kann niemals beide Rollen in der gleichen Session aktivieren
• Es gibt genau einen Filialleiter
  • Statischer Ausschluss: Die gleiche PErson kann niemals beide Rollen besitzen

Vorteil: Globale Elemente einer Sicherheitspolitik festschreiben und davei lokale Änderungen zulassen -> grössere Sicherheit bei der Sicherheitsverwaltung

Standards: ANSI/INCITS 359-2004 RBAC

Produkte

• Datenbanken: Oracle, MS SQL Server
• Betriebsssteme: Windows 2003
• Application Server: Oracle Application Server
• Enterprise Security Management: Oracle Identity Analytics & Role Manager

• Muss die Benutzer ermöglichen ihre Aufgaben zu erfüllen
•  Muss mit den Sicherheitsrichtlinien der Unternehmung entsprechen; dh. unautorisierten zugriff verhindern
• Muss so einfach wie möglich zu verwalten sein
• Zuviele/zuwenige zugewiesene Rechte
• Genehmigungskosten. z.b. Jährliche Kontrolle durch IT-MA ob vom Arbeiter diese Rolle wirklich gebraucht wird. 

Zugriffskontrolle (engl. access control) ist die Überwachung und Steuerung des Zugriffs auf bestimmte Ressourcen. Das Ziel der Zugriffskontrolle ist die Sicherstellung der Integrität, Vertraulichkeit und Verfügbarkeit von Informationen.

• Speicherschutz
• Objektschutz
  • Zugriffskontrollliste 
  • Zugriffsausweis
• Sprachbasierter Schutz (zb Java & Co)
• Verschlüsselnde Dateisysteme

-> Referenzmonitor: kleine Komponente erlauben als Einzige den Zugriff auf das Objekt

Eine logische Einheit, die für jeden Zugriff eines Subjektes auf ein Objekt anhand von Regeln entscheide, ob der Zugriff erlaubt wird.

• Subjekte können nicht direkt, sondern nur durch den Referenzmonitor auf Objekte zugreifen
• Referenzmonitor selbst ist vor Manipulation geschützt. Dies schliess die Sekundärdaten (Definition der Regelns) ein.
• Referenmonitor besitzt eine wohldefinierte Schnittstelle
• Verhalten des Referenmonitors ist eindeutig spezifieziert und setzt die Regeln korrekt um. Die Impelentierung ist korrekt.

(der Referenzmonitor entscheidet für jeden Zugriff eines Subjektes (also eines Akteurs wie Benutzers oder Prozesses) auf ein Objekt (Daten beliebiger Art) anhand von Regeln, ob der Zugriff erlaubt wird.)

Ein ACL ist mit einem Objekt verbunden (die zu schützende Ressource)

• Eine Access Control List (ACL), zu Deutsch Zugriffskontrollliste, ist eine Tabelle. Sie teilt einem Computer-Betriebssystem mit, welche Zugriffsrechte jeder Anwender auf bestimmte Systemobjekte hat.
• besteht aus 0 oder mehr Einträgen
• Ein Eintrag benennt ein Subjekt (Benutzer oder Benutzergruppe) und eine Menge von Rechten. 
• Rechte, die nicht aufgeführt sind, verbieten diese Art des Zugriffs
• Bsp. (gkarjoth, rwx)
• Das ACL für script.doc ist [(gkarjoth, rwx) (hslu, rx)] ->r=read, w=write, X= execute)
•  

In Unix gibt es drei Klassen von Subjekten: owner, group, world

• Nur der Owner und Benutzer mit Root-Rechten können das ACL verändern (Weitergabe/Löschen vonr Rechten)
• Der Dateityp bestimmt die Interpretation der Rechte
• Sonderrechte
  • sticky-Bits: nur noch der Eigentümer einer Datei darf diese löschen oder umbenennen, obwohl alle Rechte da sind
  • Suid-Bits und Guid-Bits (s anstelle von x): Programm wird mit den Rechten des Programmbesitzers, z.b. root, ausgeführt. 
• Entscheidungsverfahren
• Kommandos
  • chmod -> Change Mode
  • chgrp -> Change Group

Hier nicht nur einen Owner sondern mehrere. 

• Berechtigungen, die nicht in der Maske vorhanden sind, können nicht erlangt werden
• neue Daeien und Verzeichnisse erben ACL Informationen vom übergeordneten Verzeichnis, falls dieses Standard-Einträge hat. -> kann überschrieben werden

• Jedem Betiebsstystemobjekt (Datei, Prozess,..) ist ein Zugriffskontrolldeskriptor zugeordnet, der eine ACL enthalten kann.
• Eine ACL besteht aus einem Header und maximal 1820 Access Contoll Entries (ACE)
• Ein ACE enthält jeweils die Information, ob einem Benutzer oder einer Benutzergruppe eine bestimmte Zugriffsart erlaubt oder verweigert werden soll
• statische oder dynamische Vererbung

Capability= Objektverweis + Rechte -> wobei der Objektverweis fälschungssicher ist. Jedem Subjekt ist Berechtigungsliste (capability list) zugeordnet.

Vorteil:

• restriktive Rechtevergabe: Subjekt hat nur die Rechte, die ihm bei seiner Erzeugung übergeben werden bzw. die er später von anderen Subjekten erhält
• einfache, natürliche Weitergabe von Rechten
• kontrollierete Rechte-Modifikation
• -> Sicherheitsprinzipien: need-to-know,attenuation of privilege, controlled amplification

Nachteil: Entzug von Berechtigungen ist nicht möglich - oder schwierig zu realisieren

Proliferation von Berechtigungen schwer zu kontrollieren

ist ein XML-Schema, das die Darstellung und Verarbeitung von Autorisierungs-Policies standardisiert.

Er definiert:

• eine feingranulare, attribut-basierte Zugriffskontrollsprache
• eine Architektur
• ein Prozessmodell, welches beschreibt, wie die Regeln auf einer Zugriffsanfrage ausgewertet werden sollen.

Schutzkonzepte werden auf Ebene der Programmiersprachen, Übersetzer und Bilder eingesetzt und Kontrollen durchgeführt. 

• Programmiersicherheit (Typisierung, Ausnahmebehandlung, Verhinderung von direkten Speicherzugriffen und expliziten Speicherverwaltungsoperationen)
• Konstuktionskonzepte ( Modularisierung, abstrakte Datentypen, Beschränkung von Sichtbarkeitsbereichen (pubic private,...))
• -> Kapselung von Daten innerhalb von Komponenten

Perimeter Defense: (8(Your Perimeter, zb. Mein Rechner )Mobility z.b Mein Iphone)External Sharing)

Microsoft Azure Information Protection: Verwalten und schützen Sie die E-Mails, Dokumente und vertraulichen Daten, die Sie für Personen ausserhalb des Unternehmens freigeben.

• Klassifizieren Sie Daten je nach Vertraulichkeit, und fügen Sie Kennzeichen hinzu – manuell oder automatisch.
• Verschlüsseln Sie Ihre vertraulichen Daten, und legen Sie bei Bedarf Nutzungsrechte fest
• Wenden Sie den Schutz einfach an, ohne die normalen Arbeitsabläufe Ihrer Mitarbeiter zu unterbrechen.
• Sehen Sie, was mit Ihren freigegebenen Daten geschieht, um mehr Kontrolle über sie zu haben.

• Die Benutzung einer Ressource ist bestimmt durch
  • die Wünsche des Besitzers -> Discretionary Acces Control (DAC)
  • die Charakteristiken der Ressource und des Subjekts (zentral vergeben) -> Mandatory Access Controla (MAC)
• Die Einhaltung von Sicherheitsrichtlinien, ihre Revision und Kontrolle (sensible Benutzerkonten, Rechtekonflikte,...) stellt grosse Anforderungen 
• Organisationen sind dynamisch - die Rechteverwaltung darf aber weder die Kontrolle verlieren noch den Betrieb unnötig einschränken.

Vorteile:

• Bündelung von IT-Zugriffsrechten
  • Basis für plattformübergreifende Administrationsmechanismen
• Reduzierung von Kosten und Komplexität der Sicherheitsadministration
  • Schnelles PRovisioning
• Rollenkomposition &- konsolidierung
• Einhaltung von Gesetzten und Standards

Nachteile:

• Aufwendiges Erstellen der (initialen) Rollenstruktur
• Inflexible bei dynamisch veränderten Umgebungen
• Attribute-base Access Control (ABAC), Relationship-Based Acces Control (RelBAC)

Ist meist ein Stück Software, ein Stück Daten oder eine Schritt-für Schritt Anweisung, welches eine Schwachstelle ausnützt um Schadcode auf dem betroffenen System auszuführen.

• Computerviren, Würmer, Trojanische Pferde
• manipulierte Datenströme (PW abfangen und wiederverwenden und als andere Person ausgeben.)
• Denial of Service (Bot-Netze)

  • Denial of Service (DoS; engl. für „Verweigerung des Dienstes“) bezeichnet in der Informationstechnik die Nichtverfügbarkeit eines Internetdienstes, der eigentlich verfügbar sein sollte.

    Obwohl es verschiedene Gründe für die Nichtverfügbarkeit geben kann, ist die häufigste Art die Folge einer Überlastung des Datennetzes. Dies kann durch unbeabsichtigte Überlastungen verursacht werden oder durch einen konzentrierten Angriff auf die Server oder sonstige Komponenten des Datennetzes

• Phising

Eine Bedrohung ist eine mögliche Gefar, die eine Verwundbarkeit ausnützen könnte und damit einen Schaden verursacht.

• absichtlich: Hacken
• zufällig: Feuer, Erdbeben

Schwachstelle + Bedrohung =  Gefährdung

Eine Schwachstelle ist eine Schwäche eines System, an dem das System verwundbar werden kann. Eine Verwundbarkeit ist eine Schwachstelle, über die die Sicherheitsdienste des Systems umgangen, getäuscht oder unautorisiert modifiziert werden können.

Typische Schwachstellen:

• Programmierfehler
• Konfigurationsfehler
• Konzeptionsfehler in Programmiersprachen (selten)
• menschliches Fehlverhalten

• Authentisierung
• Zugriffskontrolle
• Geheimhaltung
• Integrität
• Nichtabstreitbarkeit

Verbreitete Massnahmen

• Security Recovery
• Security Audit
• Referenzmonitor (Schütz irgendetwas, wie Tor bei einer Burg)
• MMU (Memorymanagementunit; stellt sicher, dass nur der Owner Zugriff hat.

• Authentizität
• Integrität
  • Daten dürfen von allen gelesen werden, jedoch nicht verändert
  • Sind die Daten, die mir übergeben werden noch im Originalzustand und nicht manipuliert?)
  • Korrekter Inhalt, Unmodifizierter Zustand, Temporale Korrektheit ( z.b. Wer hat zuerst das Patent angegeben?)
• Vertraulichkeit
  • neet to know-Prinzip
  • Zugriffskontrolmechanismen: Kryptographier und Systemabhängige Mechanismen z.b. Moodle
• Verfügbarkeit (Kann ich auf die Daten zugreifen? Ist der Dienst verwendbar?)
• Verbindlichkeit
• Anonymisierung

Es gibt keinen absoluten Schutz. Soll für die Bedürfnisse angepasst werden.

Ein IT-System ist ein geschlossenes oder offenes, dynamisches, technisches System mit der Fähigkeit zur Speicherung und Verarbeitung von Informationen.

Entwickler und Betreiber programmieren, um ein gewünschtes Verhalten zu erreichen. Sicherheit will ungewünschtes Verhalten verhindern

• Massiver Anstieg von Schwachstellen
  • Steigende Perfektion von Angriffen und Automatisierung der Malware
• Schlecht entwickelte Software, veraltete Software
• Unzureichende Gegenmassnahmen
  • Bekannte Schwachstellen werden nicht behoben
• Wachsende Komplexität der Sicherheits- Management
• OS, routers, application monocultures
  • Write once, attack everywhere

Common Vulnerabilities and Exposures

• Industriestandard für eine einheitliche Namenskonvention für Sicherheitslücken und andere Schwachstellen in Computersystemen
• für reibungsloser Informationsaustausch zwischen den verschiedenen Datenbanken einzelner Hersteller
•  

Common Vulnerability Scorin System

• Zeigen auf, wie einfach bzw. aufwändig ein Angriff auf eine bestimmte Sicherheitslücke ist und geben den möglichen, potenziellen Schaden des Opfers bei einem Angriff an. 

• AV= Access Vector (local, adjacent, network) -> Wo muss der Angreifer sein, um einen Angrif auszuüben
• AC= Access Complexity (high, medium, low) -> Wieviele Kenntnisse
• AU= Authentication (multiple, single, none) -> ie oft Authentifizieren?
• C= Confidentiality Impact (none, partial, complete) -> C: There is total information disclosure, providing access to any / all data on the system.
• I= Integrity Impact (none, partial, complete) -> C= There is total loss of integrity; the attacker can modify any files or information on the target system.
• A= Availibility Impact (none, partial, complete) ->  impact on the availability of the target system

Bsp: Vektor AV: N/AC:LAu:N/C:P/I:P/A:C 

Angriff:

• Ein nicht autorisierter Zugriff bzw. Zugriffsversuch auf das System.
  • passiv: Abhören von Datenleitungen -> Sniffer/Spion
  • aktiv: Verändern oder Entfernen oder Hinzufügen von Daten
    • Spoofing, für etwas anderes angeben
    • Denial-of- Service

Angreifer:

• Cyper-Kriminelle
• Nachrichtendienste
• Hacktivismus und Cyper-Aktivisten
• Innentäter 

• Trojanisches Pferd:
  • Programm mit verdeckten Zusatzfunktionen. Das Programm ist als nützliche Anwendung getarnt, im Hintergrund aber ohne Wissen des Anwenders eine andere Funktion erfüllt.
• Virus:
  • Eine Befehlsfolge, die ein Wirtsprogramm zur Ausführung benötigt. Kann eine Kopie von sich selbst enthalten. Ist mutierend. Kann nicht auf einen anderen Rechner.
• Wurm:
  • Ein Programm, welches sich selber ausführen kann. Es konsumiert Ressourcen seines Hosts, um sich zu erhalten. Kann auf andere Rechner gelangen, welche am selben Netzwerk angeschlossen sind.
• Phishing= Passwort + Fishing
• 0-Day-Exploit
• Wasserstellen-Angriff (z.B. einem Ort sein wo viele User sind -> 20min.ch)
• Advanced Persisten Threat (APT) -> Begriff für einen komplexen, zielgerichteten und effektiven Angriff auf kritische IT-Infrastrukturen und vertrauliche Daten von Behörden

• Verschlüsselung
• minimale Rechte
• Überwachung (Monitoring)
  • Honey Port: Rechner den es gar nicht gibt. Möglichkeit nach Angriffen zu suchen. Eine Einrichtung bezeichnet, die einen Angreifer oder Feind vom eigentlichen Ziel ablenken soll oder in einen Bereich hineinziehen soll, der ihn sonst nicht interessiert hätte.

• Programmierfehler, die es z. B. erlauben Puffer-Überläufe (Buffer Overflows) auszunutzen.

• Konfigurationsfehler. Passwörter werden im Klartext übertragen, obwohl sie eigentlich

  verschlüsselt sein sollten.

• Konzeptionsfehler in Programmiersprachen. die Programmen Zugriff auf Systemressourcen erlauben, die sie nicht benötigen.

• Menschliches Fehlverhalten. Ein IT-Anwender gibt aufgrund einer Phishing-Mail seine PIN und TAN in falsche Hände.