Information Security

Datenstruktur, die eine schnelle probalistische Suche nach einem Element des Urbilds eines gegebenen Hashwerts ermöglicht.

Reduktion: eine Operation finden, die ein verschlüsseltes Passwort in ein falsches entschlüsselt.

• Time-Memory-Tradeoff: findet fast alle Klartexte eines bestimmten Zeichenraums viel schneller und ohne alle für diesen Zeichenraum möchlichen Hashwerte speichern zu müssen.
• funktioniert bei Hashfunktionen ohne Salt, wie es z.b. bei den Passwörtern für die Windows-Familie oder ielen Routern der Fall ist
• Tabellen für LM Hashes und MD5

Verfahren: PW werden einweg-verschüsselt abgespeichert (modifiziertes DES)

Nachteil: Anfällig gegen Probeverschlüsselung ( Wörterbuchattacken und Fischzüge)

Verbesserung durch Zusatzmassnahmen:

• Salt: Abgespeichert wird (c,x) c = Passwort mit zufälligem x (12Bit Wert)
• Pepper: geheimer Zusatz
• Key-Stretching: gewollte Hash-Wiederholungen

• Password Safes/ Password Managers
• Einmal-Passwörter (sicher gegen passive Angriffe und Replay Attacken), grafische Passwörter
• Sicherheitstokens (z.b RSA SecureID, Yubikey)

shell: Login Programm

Unix

• telnet: Benutzername und Passwort im Klartext
• rlogin: Netz von sich vertrauenden Rechnern
• ssh
  • Server-Authentifikation mit Public-Key-Verfahren
  • Client-Authentifikation mit Public Key Verfahren oder Passwort
  • verschlüsselte Datenübertragung
  • Integritätsschutz aller übermittelten Daten
• Kerberos
  • Eine truste Third-Party übernimmt die Authentifikation

Freshness: Challenge-Response Protokolle

Zero Knowledge: Beweiser überzeugt Verifizierer mit einer gewissen Wahrscheinlichkeit, dass er ein Geheimnis kennt, ohne dabei Informationen über das Geheimnis selbst bekannt zu geben.

Identifizierungsdaten nur einmal benutzen: TAN-System (Eine Transaktionsnummer (TAN) ist ein Einmalkennwort, das üblicherweise aus sechs Dezimalziffern besteht und vorwiegend im Online-Banking verwendet wird.), One time passwords

• kann nicht an andere Personen weitergegeben werden
• Verteilung der erfassten Daten zum Ableich an Kontrollpunkten notwendig
• kann, nicht sicher, sondern nur mit einer Wahrscheinlichket erfolgreich mit einem Referenzmuster verglichen werden -> fehlerhafte Erkennung oder Zurückweisung
• Lebenserkennung nicht sichergestellt, z.b was wenn künstlicher Fingerabdruck oder abgeschnittener Finger
• verändert sich im Lauf der Zeit (z.b  Unfälle)
• kann nicht ersetzt werden
• ist eine öffentliche Information -> Datenschutz?

Körper- und Verhaltenscharakteristika zu finden und zur Erkennung zu  nutzen, die:

• Universalität -> möglichst vielen Personen vorkommen
• Eindeutigkeit -> eindeutige biometrische Merkmale
• Messbarkeit -> einfache technische Mitteln erfassbar
• Konstanz -> biometrische Merkmale die sich zeitlich möglichst wenig verändern
• Anwenderfreundlichkeit

Vererbung, Zufallsprozesse in Frühphase der embryonalen Entwicklung und Training. Bsp

Fingerprint, Irismuster -> embryonale Entwicklung

Unterschrift -> Training

Passiv: Fingerabdruck, Gesicht, Retina, Iris

Aktiv: Unterschrift, Schreibverhalten, Stimme/Sprechverhalten

Fingerabdruck: Sicherheit relative gering, da ein Fingerabdruck leicht nachzumachen ist. Integration von Temperatur- und Pulssensoren in die Erkennungsgeräte " Lebenderkennung)

optisch, akkustisch, kapazitiv, drucksensitiv

System muss die Person kennen lernen

• vom Körpermerkmal wird ein Referenzdatensatz erzeugt
• Grad der erforderten Übereinstimmung

Identifikation:

• Feststellung der Identität: Bei der Identifikation wird das biometrische Merkmal mit allen im biometrischen System gespeicheten Referenzmerkmalen verglichen (1:n Vergleich)

Verifikation:

• Bestätigung der Identität (Ist die Person die. die sie zu sein vorgibt?): Bei der Verifikation gibt der Anwender dem biometrischen System seine Identität vorab bekannt (z.b User-ID) und das System muss das biometrische Merkmal dann nur noch mit dem einen zur User-ID passenden Referenzmerkmal verglichen (1:1 Vergleich)

Unterscheidung von Login-Versuchen ob normal oder verdächtig. Dabei wird die Source IP, Geo-Lokation, Browser-Konfiguration und Tageszeit überprüft. Falls verdächtig wird zusätzliche Information angefordert

Benutzer muss nachweisen, dass er noch ein weiteres Crendentials besitzt, welches mit ihrem Konto verbunden ist. z.b. Security Token (Hardware) Mobiletelefon. Email

Universal Second Factor (U2F): Ist ein Industriestandard für eine allgemeine anwendbare Zwei faktor Authentifizierung, basierend auf einer aadaptierten Challenge-Response Authentifizierung.

Der zielgerichtete und bewusste Umgang mit Identität, Anonymität und Pseudoanonymität

Identitätsmanagement umfasst:

• den Identifikationsprozess einer Einheit
• die Information, die mit der Identifikation einer Einheit innerhalb eines bestimmten Kontexts verbunden ist
• die sichere Verwaltung von Identitäten

In vernetzten Systemen geht es auch um die Verwaltung von (Teil-)Identitäten

• Geltungsbereich 
• Lebenszyklus der Identität von der Einrichtung, Modifikation, Suspendierung bis zur Terminierung oder Archivierung
• Medien, welche die Daten enthalten (Token, Karten)
• Systeme, in denen die Daten gespeichert werden
• Verwaltung und Schutz der Informationen (Attribute) der Identität, die sich über die Zeit ändern
• Verknüpfung der Rollen mit Pflichten, Verntwortung, Privilegien und Rechten für den Zugriff auf Ressourcen
• Zuweisung und Verwaltung der verschiedenen Rollen von Identitäten

personenbezogene Daten konsisten, ständig verfügbar und verlässlich bereitzuhalten

• Viele Dienste haben ihre eigenen Datenstammsätze der Personen
• Verzeichnisdienste
  • X.500, LDAP
  • Active Directory in Microsoft Windows Server
• Provisioning - Verteilung der Benutzerdaten auf angeschlossene Systeme

Schnittstellen zu Access Management, Singel Sign-on (SSO), Security Policies -> Identity and Access Management

• Identität - eine Sammlung von personenbezogenen Attributen
• Passwörter - immer noch die einfachste und gebräuchlichste Authentifikationsmethode
• Alternativen zu Passwörtern - ihre Funktionsweise sowie Vor- und Nachteile
• Identitätsmanagement - der zielgerichtete und bewusste Umgang mit Identität, Anonymität und Pseudoanonymität

Viele sehr detaillierte Implementierungssprachen (RACF, TAM, Windows NT, SAP) basierend auf verschiedenen Sicherheitsmodellen (Discretionary Access Control - DAC, Mandatory Access Control - MAC, Role-based Access control - RBAC)

Zugriff: Die Fähigkeit etwas (z.b. lesen, schreiben, modifizieren oder löschen) mit einer Ressource zu tun.

Autorisierung: Das Recht zuweisen, eine Ressource verwenden zu dürfen

Authentifikation: Nachweis, dass die Nutzer die sind, für die sie sich ausweisen

• Subjekte: Träger der Rechte (und Verbote)
• Objekte: Ziele der Rechte und Verbote -> wo angebracht, fasse Objekte in Klassen zur einheitlichen Behandlung zusammen
• Zugriffsarten: vom generischen Lesen und Schreiben bisw zu anwendungspezifischen Methoden
• setze least privilege und need to know Prinzipien durch

-> Für jede Anfrage eines Subjekts s auf ein Objekt o im Modus m zuzugreifen, enthalten die deklarierten Rechte und Verbote (Ausschlüsse) eine eindeutige und endgültige Zugriffsentscheidung.

Under need-to-know restrictions, even if one has all the necessary official approvals (such as a security clearance) to access certain information, one would not be given access to such information, or read into a clandestine operation, unless one has a specific need to know;

• Zugriffsmatrix und das Harrison-Ruzzo-Ullman Modell
• Informationsfluss und das BellLaPadula Modell
• Interessenkonflikte und das Chinese Wall Modell
• Kommerzielle Systeme und das Clakr-Wilson Modell
• Rollen-basierte Zugriffskontrolle (RBAC)

Menge von Subjekten S, Objekten O, Rechten R

Menge von Operationen P

Menge von Kommandos C

Im HRU-Modell kann der Schutzzustand des Systems (d.h. die Zugriffsschutzmatrix) durch die Ausführung von Kommandos zur Erzeugung und zum Löschen von Subjekten bzw. Objekten oder zur Weitergabe und Rücknahme von Zugriffsrechten verändert werden. 

Gruppen-basierte Zugriffskontrolle

Eine Gruppe ist eine Sammlung von Subjekten - Benutzer wie auch andere Gruppen.

Diese werden seperat ein Verzeichnissen wie LDAP, Active Directory verwaltet. 

Mandatory Access Controll: Oberbegriff für Konzepte zur Kontrolle und Steuerung von Zugriffsrechten, v.a. aut IT-Systemen

Entspricht der MAC

Klassische Militärpolitik

• Subjekte und Objekte haben definierte feste Ebenen
• Information darf nur nach oben fliessen
  • s darf lesen o falls level(s)>=level(0) 
  • s darf schreiben o falls level(s)<= level(o)
• ->schützt die Vertraulichkeit aber nicht die Integrität 
• MLS für Integrität (Biba-> Biba Modell sorgt für die Integrität („Verhinderung unautorisierter Modifikation von Information“))
• Gegenstand des Modells ist die Integrität der Daten. Das Biba-Modell ist eine Umkehrung des Bell-LaPadula-Sicherheitsmodelles, welches vor allem die Vertraulichkeit von Datenzugriffen anspricht.
• MLS mit "Verband" ( Bell-LaPadula)
  • Die Ebenen sind nur partiell geordnet, z.b. eine Sicherheitsmarke zusammen mit Menge von Sicherheitskategorien

• universelle Rechte (read only, append, execute, read-write, control)
• geordnete Menge von Sicherheitsklassen
• Es schützt die Vertraulichkeit von Informationen mittels eines Systems durchgesetzter Regeln. Es setzt somit das Konzept Mandatory Access Control der IT-Systemsicherheit um. Es soll nicht möglich sein, Informationen einer höheren Schutzstufe zu lesen oder Informationen einer höheren Schutzstufe in eine tiefere Schutzstufe zu überführen. Systeme, die auf dem Bell-LaPadula-Prinzip basieren, wurden vor allem dann verwendet, wenn Daten einer gewissen Geheimhaltung unterstehen.

Stärken:

•  einfach zu implementieren (Anpassung des Referenzmonitors)

•  formales Modell (man kann Sätze über Eigenschaften beweisen)

•  gut geeignet zum Nachbilden hierarchischer Informationsflüsse:

  z.B. beim Militär, Geheimdienst Schwächen:

•  beschränkte Ausdrucksfähigkeit: keine Integrität (blindes Schreiben)

•  Keine Modellierung von verdeckten Kanälen (covert channels), über die Informationen dann doch unberechtigt fließen können 

          Bank | Autofirma   (Interessenkonfliktklassen)

CS |  UBS       BMW| Daimler| Porsche  (Unternehmen)

O|O|O     O|O|O  O|O|O  (Objekte)

Objekte (Dateien etc) beinhalten Information nur über ein Unternehmen. Unternehmen beinhalten alle Objete über  Unternehmen. Unternehmen, die in Konkurrenz zueinander sind, werden in Interessenonfliktklassen zusammengefasst.

Simple Security Rule: Ein Subjekt kann auf ein Objekt o zugreifen nur wenn das Objekt

• im Datensatz des gleichen Unternehmens ist, auf das s bereits zugegriffen hat; d.h. es ist hinter der gleichen Mauer oder
• es gehört einer vollständig anderen Interessenkonfliktklasse an

ChineseWall*-property: Schreibzugriff ist nur erlaubt wenn:

• der Zugriff durch die simple security rule erlaubt ist und kein Objekt gelesen werden kann, welches
  • in einem Datensatz eines anderen Unternehmens ist als jenes für welches Schreibzugriff angefordert wird und
  • unsanitized Information enthält

MAC (systembestimmter Zugriffschutz)

• Systembestimmt zb durch Sicherheitsbeauftragter. sehr sicher, aber viel zu strikt
• Ein Administrator

DAC (Discretionary Access Control, benutzerbestimmbarer Zugriffschutz)

• Benutzerbestimmt z.b. durch Eigner der Ressource. Owner bestimmt wer wieviel Zugriff erhälte.
• Viele Administratoren
• Änderungen der Zugriffsrechte ist mit grossem Aufwand verbunden & fehleranfällig
• Hier keine Rollen verteilung: Role-based Access Control (RBAC) wäre besser. Wenige Administratoren.

Rechteverteilung

• andwendungsspezifisch, selten geändert
• vorzugsweise durch Systementwickler und/oder zentralem Sicherheitsverwalter

Rollenverteilung

• gemäss Personalverwaltung, öfter geändert
• vorzugsweise von Siherheitsverwalter und/oder Personalchef
• Users <--> Roles <-->(Permissions (Operations(Leseon, schreiben,..)+ Objects))

Einschränkungen sind Invarianten oder Voraussetzungen für Rechtevergabe und Rollenvergabe z.b.

• Kassier darf nich Kassenprüfer sein
  • Seperatioin of Duty
  • Dynamischer Ausschluss: Die gleiche PErson kann niemals beide Rollen in der gleichen Session aktivieren
• Es gibt genau einen Filialleiter
  • Statischer Ausschluss: Die gleiche PErson kann niemals beide Rollen besitzen

Vorteil: Globale Elemente einer Sicherheitspolitik festschreiben und davei lokale Änderungen zulassen -> grössere Sicherheit bei der Sicherheitsverwaltung

Standards: ANSI/INCITS 359-2004 RBAC

Produkte

• Datenbanken: Oracle, MS SQL Server
• Betriebsssteme: Windows 2003
• Application Server: Oracle Application Server
• Enterprise Security Management: Oracle Identity Analytics & Role Manager

• Muss die Benutzer ermöglichen ihre Aufgaben zu erfüllen
•  Muss mit den Sicherheitsrichtlinien der Unternehmung entsprechen; dh. unautorisierten zugriff verhindern
• Muss so einfach wie möglich zu verwalten sein
• Zuviele/zuwenige zugewiesene Rechte
• Genehmigungskosten. z.b. Jährliche Kontrolle durch IT-MA ob vom Arbeiter diese Rolle wirklich gebraucht wird. 

Zugriffskontrolle (engl. access control) ist die Überwachung und Steuerung des Zugriffs auf bestimmte Ressourcen. Das Ziel der Zugriffskontrolle ist die Sicherstellung der Integrität, Vertraulichkeit und Verfügbarkeit von Informationen.

• Speicherschutz
• Objektschutz
  • Zugriffskontrollliste 
  • Zugriffsausweis
• Sprachbasierter Schutz (zb Java & Co)
• Verschlüsselnde Dateisysteme

-> Referenzmonitor: kleine Komponente erlauben als Einzige den Zugriff auf das Objekt