Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Wesentliche Designmerkmale Sicherer Software

Veröffentlicht von:Wolf Zierke Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Wesentliche Designmerkmale Sicherer Software"—  Präsentation transkript:

1 Wesentliche Designmerkmale Sicherer Software
EUROSEC GmbH Chiffriertechnik & Sicherheit Autor: Dr. Thilo Zieschang, EUROSEC Tel: / 60850, © EUROSEC GmbH Chiffriertechnik & Sicherheit, 2005

2 (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit
Vortragsübersicht Sicherheitsziele und Anforderungsanalyse Was versteht man unter Security Design? Welche Designkriterien sind unverzichtbar für die Produktsicherheit? (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

3 Sicherheitsziele und Anforderungsanalyse
(c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

4 Sicherheitsziele für Softwareprodukte
zunächst die klassischen, generischen Sicherheitsziele bzw. –eigenschaften: (Wahrung der) Vertraulichkeit (Wahrung der) Authentizität und Integrität (Wahrung der) Verfügbarkeit zusätzlich jedoch, quasi auf Metaebene: Nachweisbarkeit des Erreichens o.g. Ziele durch die Entwickler Unterstützung der Erreichbarkeit o.g. Ziele durch den späteren Betreiber Angemessenheit hinsichtlich potentieller Einsatzzwecke (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

5 (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit
Anforderungsanalyse Anforderungen identifizierter Einsatzszenarien analysieren individ. Risikobewertung und/oder Baseline Security? Anforderungen externer Rahmenwerke? (z.B. COBIT, ITIL, ISO17799, BSI Grundschutz, Sarbanes Oxley, FDA, Bankenaufsicht, Datenschutzgesetz, NIST, sonstige Industriestandards oder Rahmenwerke?) spezifische Wünsche von Kunde bzw. Auftraggeber? (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

6 Anforderungsspezifikation
alle identifizierten Anforderungen müssen präzise formuliert und dokumentiert werden mehrere Iterationen zweckmäßig, erst allgemein, dann zunehmend detailliert zu große Interpretationsspielräume vermeiden für jede Anforderung muss später klar entscheidbar sein, ob diese erfüllt wurde oder nicht vorgegebene Gliederung und Syntax empfohlen, im Einzelfall auch Verwendung spezieller Tools (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

7 Identifizierung verbleibender Restrisiken
aus wirtschaftlichen und/oder technischen Gründen können nie alle wünschenswerten Sicherheitsanforderungen erzwungen werden daher sind verbleibende Restrisiken bewusst zu identifizieren und zu dokumentieren Für alle Restrisiken sollte entschieden werden: Entschärfung durch externe technische Lösung? Entschärfung durch organisatorische Maßnahmen? keine Gegenmaßnahme, ABER: Quantifizierung und Worst Case Betrachtung und bewusste Inkaufnahme der möglichen Schadensauswirkungen? andere Lösung, beispielsweise Versicherung o.ä.? (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

8 Was versteht man unter Security Design?
(c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

9 (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit
Abgrenzungsversuche in der Theorie differenziert man Funktionale Anforderungen Architekturanforderungen Designanforderungen Implementierungsanforderungen Prozessanforderungen Prüfanforderungen etc. etc. in der Praxis findet sich keine allgemein gültige Abgrenzung, mache Aspekte sind schwer einzuordnen (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

10 Funktionale Anforderungen
Welche konkrete Funktionalität soll die Software bieten? Beispielanforderung: „Administrierbarkeit muss in vollem Funktionsumfang auch ohne grafische Benutzeroberfläche mittels Kommandozeile möglich sein. Parameter sollen in Konfigurationsdateien ein- und auslesbar sein.“ aber: dies könnte auch in eine Designanforderung übersetzt werden (müssen) (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

11 Architekturanforderungen
oder Bezeichnung als : „High Level Designkriterien“ z.B. Positionierung im Netzwerk, Aufteilbarkeit auf verschiedene Maschinen und Segmente, Trennung elementarer funktionaler Schichten (horizontal und vertikal), etc. Beispielanforderung: „Benutzerdaten werden in einer gesonderten Datenbank außerhalb der Applikation gehalten“ Aber auch Überschneidungen, die ebenso Designmerkmale wären, beispielsweise: „Verteilbarkeit der Applikation auf mehrere Maschinen nebst Hot Swap Fähigkeit bei Ausfall einer Maschine.“ (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

12 (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit
Designanforderungen Wesentliche Gestaltungsmerkmale, häufig nicht funktionaler Natur, und großteils unabhängig von Implementierungsdetails Beispielanforderung: „Anwendung soll im Fehlerfall möglichst in einen „sicheren“ Zustand übergehen.“ (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

13 Implementierungsanforderungen
Während der Implementierung zu berücksichtigen, in der Regel abhängig von Programmiersprache, Plattform, Entwicklungsumgebung etc. Beispielanforderung: „Schutz gegen Buffer Overflows.“ Aber auch Überschneidungen, die ebenso Designmerkmale wären, beispielsweise: „Keine Passworte im Klartext abspeichern.“, „Keine Passworte auf dem Bildschirm anzeigen.“ (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

14 Prozessanforderungen
Anforderungen zur Unterstützung bzw. Umsetzbarkeit technisch/organisatorischer Begleitprozesse der Produktsicherheit Beispielanforderung: „Einrichtung eines Security Bug Tracking und Reporting Tools.“ Aber auch Überschneidungen, die ebenso Designmerkmale wären, beispielsweise: „Bereitstellung geeigneter Patch- und Updatemechanismen.“ (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

15 (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit
Prüfanforderungen Überprüfbarkeitskriterien hinsichtlich Einhaltung formulierter Sicherheitsvorgaben Beispielanforderung: “Es ist ein Source Code Checker bereitzustellen und anzuwenden, der auf Verwendung verbotener Sprachkonstrukte prüft.“ Aber auch Überschneidungen, die ebenso Designmerkmale wären, beispielsweise: „Nichtautorisierte Änderungen der installierten Code Basis müssen festgestellt werden können.“ (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

16 „Designziele“ oder „Sicherheitsziele“?
Die folgenden Begriffe sind eigentlich keine Designziele, sondern Sicherheitsziele: Identifizierung und Authentisierung Zugriffskontrolle und Autorisierung Beweissicherung und Nachvollziehbarkeit Übertragungssicherung Datenablagesicherung Robustheit Verfügbarkeit (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

17 Welche Designkriterien sind unverzichtbar für die Produktsicherheit?
(c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

18 Einfachheit anstreben
höhere Komplexität bedeutet höhere Fehleranfälligkeit überflüssige Funktionalität (auch hinsichtlich Security) vermeiden meist existieren unterschiedlich aufwändige Alternativen zur Erreichung einer gegebenen Funktionalität auch Folgekosten (Wartung, Bug Fixing) berücksichtigen... (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

19 Anwendbarkeit / Usability
„Keep it simple“ gilt nicht nur für Innenleben, sondern auch für Außensicht Intuitive Bedienbarkeit anstreben keine sicherheitsrelevanten Einstellungen in Unter-Untermenüs verstecken Praxistests mit Testanwendern hinsichtlich Praktikabilität wo immer möglich, sollte sich Konfiguration auch ohne Handbuch erschließen (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

20 Höchstmögliche Akzeptanz anstreben
selbsterklärende und fehlerfrei bedienbare Sicherheitsfunktionen implizieren nicht notwendig Anwenderakzeptanz jeder erzwungene Mehraufwand reduziert die Akzeptanz bei gleichwertiger Funktionalität stets der weniger umständlichen Lösungsvariante den Vorzug geben Akzeptanztests durchführen und Feedback berücksichtigen (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

21 Wirtschaftlichsten Mechanismus anwenden
Akzeptanz von Sicherheitsmaßnahmen muss auch nach Innen vorhanden sein (z.B. Entwicklungsleiter, Produktmanager o.ä.) eine Lösung, die geringfügig weniger sicher ist aber nur einen Bruchteil Kosten verursacht, ist oftmals zu bevorzugen verfügbares Gesamtbudget für Security sollte mit Bedacht aufgeteilt werden, auch hinsichtlich Sicherheitsfunktionalität (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

22 Vollständige Offenlegung der Funktionsweise voraussetzen
Verfahrenssicherheit sollte nie darauf angewiesen sein, dass Funktionsdetails geheimgehalten werden unter dieser Prämisse sollte die Software dennoch sicher sein impliziert nicht notwendig, dass Details und/oder Source Code tatsächlich offengelegt werden Bewertung der Sicherheit setzt jedoch hypothetisch voraus, dass alle Details bekannt sind, einschließlich Source Code (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

23 Sparsam mit Vertrauensbeziehungen agieren
möglichst wenige Vertrauensbeziehungen einräumen, zum Beispiel bei: Rechtedelegation an andere Programme, Benutzer oder Maschinen Einräumung von Zugriffsrechten für authentisierte Benutzer auf fremden Maschinen Verzicht nochmaliger Berechtigungsprüfung bei sicherheitskritischen Aktionen Zugriffsrechte administrativer Benutzer auf Ressourcen Dritter Einrichtung von Zugangsberechtigungen über Netzsegment-Grenzen hinweg (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

24 Protokollierung ermöglichen
ausreichende Informationen protokollieren, um Tatverlauf ggf. zu rekonstruieren nicht nur Applikations-Schicht betrachten, sondern auch Betriebssystem und angrenzende Datenbanken u.ä. berücksichtigen (schlüssiges Gesamtbild anstreben) Schutz gegen Manipulation ggf. auch Schutz vor Lesezugriff durch beliebige Administratoren (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

25 Fehlererkennung und –behebbarkeit anstreben
Hilfestellungen vorsehen, die im Fehlerfall die Ursachenfindung und Behebung erleichtern hierbei darauf achten, dass mögliche Angreifer keine Angriffs-unterstützenden Details erfahren (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

26 Sicheren Zustand im Fehlerfall gewährleisten
Fehler können nie vollständig verhindert werden im Fehlerfall sollte jedoch stets ein möglichst sicherer Zustand erreicht werden Beispiel: abgestürzte Firewall schaltet nicht auf „Durchzug“, sondern auf Blockade zweckmäßiges Fehlerverhalten bei einem Röntgengerät ist voraussichtlich anders als bei einem Beatmungsgerät… (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

27 Datenintegrität sicherstellen
leichter gesagt als getan... Ziel: Unverfälschtheit abgespeicherter oder übertragener Daten und Programme Für Fehlererkennung und –korrektur sind zahlreiche Verfahren dokumentiert bei absichtlicher Manipulation muss jedoch auch mit manipuliertem Erkennungsmechanismus gerechnet werden; Schutz nur begrenzt praktikabel (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

28 Standardmäßige Abweisung praktizieren
alle Aktionen, die nicht explizit erlaubt wurden, sollen standardmäßig verboten sein (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

29 Patch- bzw. Updatefähigkeit unterstützen
Mechanismen müssen möglichst komfortabel sein, automatisierbar, und für große Anzahl Systeme skalierbar individuell vorgenommene Sicherheitseinstellungen dürfen durch Patch nicht verloren gehen oder heruntergesetzt werden (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

30 Geringst mögliche Privilegien zugestehen
jedem Benutzer und jedem Programm sollten nur jene Rechte eingeräumt werden, die diese für die Ausführung ihrer Aufgaben wirklich brauchen (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

31 Komplette Rechteprüfung durchführen
Jeder Zugriff auf ein Objekt sollte individuell geprüft werden nicht nur beim ersten Zugriff mit anschließendem Caching der Berechtigungsprüfung kein „Verstecken“ von Rechten, Funktionen oder Daten keine „Visibility Control“ (z.B. URLs, die nicht als Link angeboten werden, aber bei manueller Eingabe ungeprüft die zugehörige Seite ausgeben (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

32 Geringstmögliche gemeinsame Mechanismen und Ressourcen anstreben
Separierung gemeinsamer Speicherbereiche anstreben alle gemeinsam genutzten Ressourcen stellen potentielle Problemstellen dar (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

33 Verfügbarkeitsanforderungen im Design berücksichtigen
Verfügbarkeitsanforderungen müssen im Design berücksichtigt und technisch unterstützt werden Beispiele: Patches sollten bei Problemen zurückgerollt werden können Verteilbarkeit auf mehrere Maschinen unterstützen Mechanismus zum Klonen der Anwendung bereitstellen effizientes Backup und Recovery unterstützen automatisches Wiederhochfahren abgestürzter Prozesse Bedienfehler mit kritischen Auswirkungen bestmöglich unterbinden (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

34 Zugangsdaten und Verschlüsselungs-schlüssel möglichst sicher ablegen
keine sensiblen Schlüssel oder Passworte im Klartext ablegen im System abgelegte Schlüssel bestmöglich verstecken und verschleiern Betriebssystem-spezifische Schutzmechanismen hierfür nutzen (insbes. in Windows) (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

35 Anbindung von Datenbanken und Backendsystemen sicher gestalten
Vermeidung eines einzelnen, hochprivilegierten technischen Benutzers keine unsichere Ablage des Datenbankpasswortes auf dem Applikationsserver differenzierte Verwaltung von Zugriffsrechten und –berechtigten (auch) auf Datenbankseite Vermeidung doppelter Benutzerverwaltung auf Applikation einerseits und Datenbank andererseits Ablage von Benutzerberechtigungsprofilen bevorzugt in der Datenbankstatt in der Applikation (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

36 Hinreichend starke Sicherheits-funktionen und –mechanismen wählen
Auswahl der „richtigen“ Sicherheitsfunktionen und –mechanismen sollte nicht im Belieben der Entwickler liegen, sondern in der Designphase entschieden werden, ggf. gemeinsam mit Entwicklern ansonsten Gefahr schwacher, ungeeigneter oder schwer implementierbarer Mechanismen Standardbeispiel: schwache Verschlüsselung von Benutzerdaten, löchrige Datenfilter, schwache Lizenzschutzmechanismen, etc. etc. (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

37 Warum dieser Vortrag von uns? - Unsere Erfahrung:
mehrere Personenjahre in Forschungsprojekten zur sicheren Softwareentwicklung; derzeit gemeinsam mit Partnern wie SAP, Commerzbank, Universitäten, ... zahlreiche Schwachstellenanalysen für Softwarehersteller, nebst intensiver Feedbackzyklen mit den Entwicklern Erstellung von Anforderungs- und Designspezifikationen in mehreren großen Entwicklungsprojekten Erstellung von Guidelines zur sicheren Softwareentwicklung, mit Schwerpunkten Banking & Finance, sowie Webapplikationen Reverse Engineering und Gutachten von Sicherheitsfunktionen und Kryptomechanismen Implementierung von Sicherheitsfunktionen im Auftrag (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

38 (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit
Abschlussbemerkung die vorliegende Dokumentation wurde von EUROSEC erstellt im Rahmen des secologic Forschungsprojekts, Laufzeit 2005 und 2006, nähere Informationen unter wir bedanken uns beim Bundesministerium für Wirtschaft für die Förderung dieses Projektes Anregungen und Feedback sind jederzeit willkommen, ebenso Anfragen zu Sicherheitsaspekten, die hier nicht behandelt werden konnten. (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

39 (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit
Copyright Hinweis Diese Folien wurden von EUROSEC erstellt und dienen der Durchführung von Schulungen oder Seminaren zum Thema Sichere Anwendungsentwicklung, mit Fokus Webapplikationen. Wir haben diese Folien veröffentlicht, um die Entwicklung besserer Softwareprodukte zu unterstützen. Die Folien dürfen gerne von Ihnen für eigene Zwecke im eigenen Unternehmen verwendet werden, unter Beibehaltung eines Herkunfts-Hinweises auf EUROSEC. Eine kommerzielle Verwertung, insbesondere durch Schulungs- oder Beratungsunternehmen, wie beispielsweise Verkauf an Dritte oder ähnliches ist jedoch nicht gestattet. (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit

Herunterladen ppt "Wesentliche Designmerkmale Sicherer Software"

Ähnliche Präsentationen

SQL Injection – Funktionsweise und Gegenmaßnahmen

SQL Injection – Funktionsweise und Gegenmaßnahmen
Identifizierung und Ausbildung von Führungskräften

Identifizierung und Ausbildung von Führungskräften
Einstellungen im umantis Bewerbermanagement

Einstellungen im umantis Bewerbermanagement
g²HANDEL Auftragsverwaltung für Handelsvertretungen

g²HANDEL Auftragsverwaltung für Handelsvertretungen
Benutzerorientierte Designprinzipien für die Microsoft-Guidelines

Benutzerorientierte Designprinzipien für die Microsoft-Guidelines
Programmieren im Großen von Markus Schmidt und Benno Kröger.

Programmieren im Großen von Markus Schmidt und Benno Kröger.
PC-Senioren Ludwigsburg

PC-Senioren Ludwigsburg
Rekursion: Rekurrenz: Algorithmen rufen sich selbst (rekursiv) auf.

Rekursion: Rekurrenz: Algorithmen rufen sich selbst (rekursiv) auf.
Falls Algorithmen sich selbst rekursiv aufrufen, so kann ihr Laufzeitverhalten bzw. ihr Speicherplatzbedarf in der Regel durch eine Rekursionsformel (recurrence,

Falls Algorithmen sich selbst rekursiv aufrufen, so kann ihr Laufzeitverhalten bzw. ihr Speicherplatzbedarf in der Regel durch eine Rekursionsformel (recurrence,
Das „Vorgehensmodell“

Das „Vorgehensmodell“
Stud.ip - Was ist das?! Kleiner Leitfaden für die ersten Schritte im System.

Stud.ip - Was ist das?! Kleiner Leitfaden für die ersten Schritte im System.
1 06.02.2003 21:33 Architektur Moderner Internet Applikationen – Prolog Copyright ©2003 Christian Donner. Alle Rechte vorbehalten. Architektur Moderner.

:33 Architektur Moderner Internet Applikationen – Prolog Copyright ©2003 Christian Donner. Alle Rechte vorbehalten. Architektur Moderner.
1 06.02.2003 21:33 Internet Applikationen – Hard und Softwareplattform Copyright ©2003, 2004 Christian Donner. Alle Rechte vorbehalten. Architektur Moderner.

:33 Internet Applikationen – Hard und Softwareplattform Copyright ©2003, 2004 Christian Donner. Alle Rechte vorbehalten. Architektur Moderner.
Die 20 beliebtesten Versäumnisse hinsichtlich Sicherheit in der Softwareentwicklung EUROSEC GmbH Chiffriertechnik & Sicherheit Tel: 06173 / 60850, www.eurosec.com.

Die 20 beliebtesten Versäumnisse hinsichtlich Sicherheit in der Softwareentwicklung EUROSEC GmbH Chiffriertechnik & Sicherheit Tel: / 60850,
Grundschutzbaustein Sichere System-Entwicklung

Grundschutzbaustein Sichere System-Entwicklung
Das secologic Projekt im Kurzüberblick - Stand Sept

Das secologic Projekt im Kurzüberblick - Stand Sept
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.

1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Konzeption und Realisierung eines Software Configuration Management Systems Autor: Alex Rempel Referent: Prof. Dr. Elke Hergenröther Korreferent: Prof.

Konzeption und Realisierung eines Software Configuration Management Systems Autor: Alex Rempel Referent: Prof. Dr. Elke Hergenröther Korreferent: Prof.
Passwörter.

Passwörter.
Universität Stuttgart Institut für Kernenergetik und Energiesysteme Aufgaben des Testens Vergleich des Verhaltens einer Software mit den an sie gestellten.

Universität Stuttgart Institut für Kernenergetik und Energiesysteme Aufgaben des Testens Vergleich des Verhaltens einer Software mit den an sie gestellten.

Ähnliche Präsentationen

Google-Anzeigen