1. Grundprobleme von Datenschutz und Datensicherheit
Sicherheitsprobleme in Standard-Software
(COTS = Commercial Off-the-Shelf)
Beispiele
- Datenmüll in der Textverarbeitung
- Ausführbare Inhalte in Dokumenten:
- Makros und Makroviren,
- ASCII- und Postscript-Bomben
- auch PDF ist gefährdet,
- Aktive Inhalte im WWW.
Versand von gelöschten Passagen, Müll und Macro-Viren per Diskette,
ftp oder Multimedia-Mail (MIME), Verbreitung über das WWW.
Siehe auch Makro-Viren,
die neue Bedrohung (BSI-Faltblatt).
- Immer wieder schwacher Passwortschutz ...
- ... oder vermeintlicher Passwortschutz, siehe
»Cut and
paste defeats Excel's password protection«.
- Schwache Verschlüsselungsverfahren,
z. B. Lotus Notes mit Hinterlegung von Schlüsselbits (CliNet).
- Netmeeting erzwingt Öffnung des Firewalls.
- Sicherheitslücken und ungenügende Voreinstellung in
Betriebssystemen (Windows 95/98, NT, Unix).
Die meisten Computernutzer und viele Administratoren sind Laien.
Sie ändern niemals die Voreinstellungen.
- Die UPnP-Schnittstelle (Universal Plug and Play)
in Windows XP, die auch einen Netzdienst anbietet
und ein Riesensicherheitsloch aufmachte
[Heise,
21.12.2001]
[CERT Advisory
CA-2001-37]. Die als erste Notmaßnahme empfohlene Deaktivierung
des Dienstes setzte den Sound-Chip außer Gefecht. Was hat ein
Internetdienst mit lokalen Geräten zu tun?
- Sicherheitsprobleme mit World-Wide-Web-Software
(ausführbare Inhalte, Browser, Server).
- Datenschutzmängel bei SAP
[siehe 14.
Tätigkeitsbericht
des Hamburgischen Datenschutzbeauftragten].
Beware of mechanisms that offer automatic upgrades, no matter
how convenient they may seem.
[P. G. Neumann, Risks-21.83]
Verschlüsselung in Standardsoftware?
Zitat aus dem Handbuch des Verschlüsselungsprogramms PGP:
»Es gibt eine Firma namens AccessData, die für $185 ein Programmpaket
vertreibt, das die eingebauten Verschlüsselungsverfahren von WordPerfect,
Lotus 1-2-3, MS Excel, Symphony, Quattro Pro, Paradox und MS Word knackt.
- Der Autor sagte, man brauche nur den Bruchteil einer Sekunde zum Knacken,
aber er habe einige Verzögerungsschleifen eingebaut, damit es für
den Kunden nicht zu leicht aussieht.«
Das Zitat ist zwar schon etwas älter, die Situation aber unverändert.
Siehe auch http://www.crak.com.
Gründe für die Mängel
- Konzeptionelle Schwächen.
- Offenheit der Systeme und der Netze,
- nicht vorhandene oder naive Sicherheitsmodelle, fehlende Risikoanalyse,
- naives Missverständnis des grundlegenden Unterschieds
zwischen einer funktionalen Spezifikation und einer
Sicherheitsspezifikation,
- Funktion: »Programming a computer« - es läuft.
- Zuverlässigkeit: »Programming Murphy's computer« (Schneier) -
es läuft auch bei Fehlersituationen.
- Verlässlichkeit: »Programming Satan's computer« (Anderson) -
es läuft auch in feindlicher Umgebung.
- - statt dessen »penetrate and patch« (Entfernung von Nadeln
aus dem Heuhaufen statt Vermeidung),
- unzureichende Abgrenzung von Sicherheitsbereichen,
z. B. Manipulation des Betriebssystem-Kerns bei Treiber-Updates
in MS-Windows,
- unzureichende Unterscheidung zwischen Lese- und Ausführungsrechten,
- unzureichende Unterscheidung zwischen Daten und Funktionen,
- keine sichere Rückfallposition -
Sicherheit muss redundant sein! -
- kryptographischer Analphabetismus,
- keine (oder nur eine karikaturenhafte) Authentisierung von Software.
- Trügerische Sicherheit durch Vernebelungstaktik (`Security by Obscurity') -
- Verschweigen von Sicherheitsproblemen
- ... und Erschießen des Überbringers der schlechten Nachricht,
- typisches Beispiel: Empfehlung, die Administratorkennung umzubenennen,
- ungenügender Schutz für Passwörter.
- Ungeeignetes Benutzermodell (oder gar keins?) -
- Aushebeln der Benutzerkontrolle,
Entmündigung des Benutzers an Stellen, wo er leicht selbst
entscheiden könnte,
[Smart Tags, Groß- und Kleinschreibung von Dateinamen, Autokorrektur,
...]
- Überforderung des Benutzers mit Entscheidungen, deren Tragweite
er mit den angebotenen Informationen er nicht beherrschen kann
[Beispiel],
- kein Gefahrenbewusstsein für unkontrollierte Programmausführung,
- verdeckte Informationspreisgabe.
- Mangelhafte Softwareentwicklung -
- fehlende kommerzielle Motivation, Unlust, z. T. auch Verunsicherung,
der Softwarefirmen,
- schlampige Programmierung,
- ... und immer wieder Programmierfehler,
- unsaubere Speicherverwaltung (z. B. kein Löschen bei
Speicherfreigabe),
- Blähware (`bloatware') - aufgeblähte Programme mit megabyteweise
totem Code, Dokumente mit umfangreichem Datenmüll,
[siehe auch
Risks-20.35,
36,
37,
38]
- Bei fast allen gegenwärtigen UNIX-Varianten: Betriebssystem-Kern
aufgebläht - im Gegensatz zur Philosophie des »kleinen,
verlässlichen Kerns«.
- Bei Windows-NT/2000/XP noch viel aufgeblähter: Sogar Druckertreiber
im Kern - Neu heruntergeladener Treiber kann Trojanisches Pferd
im Kern installieren!
- Mangelhafte Qualitätssicherung,
- Missbrauch der Benutzer als Beta-Tester, Reifen der Software beim Kunden
(»Bananenprinzip«);
typisch: Windows XP sendet nach einem Absturz einen Speicherdump
an Microsoft.
- Marktdruck, Erster zu sein (`Software Engineering meets Internet Time'),
- Marktdruck, die meisten Funktionen anzubieten (»Featuritis«).
»Testing and verification is a very time consuming process and from a
marketing standpoint it is far better to get people using your product than
to spend time testing it.« [Bill Stackpole, Firewalls-List, 22 Jun 1999]
- Lizenzvereinbarungen, die die volle Verantwortung für Produktfehler dem
Kunden aufbürden.
- Hybris (Größenwahn).
Siehe auch die Artikel von Peter Gutmann:
Die Grundthese dieser Vorlesung
Verlässlichkeit, insbesondere informationstechnische Sicherheit,
lässt sich erreichen, wenn man
- manche Risiken und Gefährdungen ausschließen kann,
(also relativ zu einem Bedrohungsmodell - nicht absolut)
- nicht auf Großtechnik (wie .NET) setzt, sondern auf dezentrale
Verantwortung und Machtverteilung
durch
- sorgfältiges Design
- und Verwendung starker Mechanismen
auf allen Ebenen.
Vorlesung Datenschutz und Datensicherheit,
Johannes-Gutenberg-Universität Mainz
Autor: Klaus Pommerening, 31. März 1999;
letzte Änderung: 6. Januar 2002
E-Mail an
Pommerening@imsd.uni-mainz.de.