JINI Security & Scalability JINI Security Hans-Peter Rötheli & Christian Gloor.

Präsentation zum Thema: "JINI Security & Scalability JINI Security Hans-Peter Rötheli & Christian Gloor."—  Präsentation transkript:

1 JINI Security & Scalability JINI Security Hans-Peter Rötheli & Christian Gloor

2 Inhalt zJINI-Beispielumgebung zKommunikation zWas darf fremder Code? Exploits Folgerungen

3 Seminarraum mit Printer z Printer sucht Lookupservice, discovery (1) z Lookup Service sendet Referenz auf http-Server (2) z Printer lädt lookup.jar (3,4) und registriert sich damit, join (5)

4 PDA kommt hinzu z Pda: discovey, join z Pda fragt nach Printer (1) z Lookup Service gibt Referenz (2) z Pda lädt Code aus Printer (3,4) z Kommunikation direkt (5)

5 RMI z PDA ruft remote procedure auf Parameter gehen übers Netz z Service verarbeitet Resultat geht übers Netz

6 Serialization, Code Base z Objekt wird serialisiert und übertragen z Parentobjekte werden aus Code Base geladen

7 Überblick Discovery mittels Broadcast Parameter gehen ungeschützt übers Netz Resultat geht ungeschützt übers Netz Auf Codebase wird via ungeschütztem http zugegriffen Verschlüsselung einsetzen

8 Was darf fremder Code? zAuf das Netz zugreiffen? Portscans Interne Angriffe Daten weitersenden z Auf die HD zugreiffen? User-Rechte Daten manipulieren Daten weitersenden

9 Security Manager zjava -Djava.security.policy=policy grant { permission java.security.AllPermission, ; }

10 Nur bestimmte Aktivitäten zgrant { permission java.net.SocketPermission 129.132.200.35, connect,accept; }

11 Von bestimmter Herkunft zgrant codebase http://www.ethz.ch/ { permission java.security.AllPermission,; }

12 Basierend auf Signatur grant signedBy chgloor { permission java.security.AllPermission,; }

13 Überblick zGeladener Code kann Böses anrichten Aktionen einschränken Herkunftabhängige Erlaubnis Signaturabhängige Erlaubnis

14 Denial of Service Device kann sich mehrmals anmelden y1000 Printer im Büro? Client kann nichtexistente Devices anmelden yWelches ist das richtige? SYN-Flood yLookup Service überlastet

15 Falscher http-Server z http-Server ist gefälscht yDNS yRouter ySwitch beliebiger Code wird geladen und ausgeführt Server-Zertifikat

16 Fake Service z Neuer Service mit identischer ID z Loadbalancing z Codebase identisch und signiert Serialisiertes Objekt verschieden Signatur der Serialisierten Objekte

17 Fremder Lookup-Service z Zusätzlicher Lookup- Service im Netz z Loadbalancing z Neue, eigene Services werden angeboten Neuer Printer sendet Daten über Internet Nur bekannte Lookup Services benutzen

18 Netzwerkzugriff zDevice hat keine Permissions, Daten zu senden. zDevice generiert Objekt, gibt in Codebase gefälschten URL an: http://fremdedomain.ch/chgloor/s!ch3r3$Pw RMI Class Loader versucht Code zu laden und sendet somit Daten an Server

19 Probleme mit Signatur zClient ist in fremdem Netz und kennt keine Signaturen yPrinter im Hotel, Seminarraum etc. zCAs belegen nur Herkunft, nicht Inhalt der Codestücke yJeder kann ein Zertifikat lösen bei Verisign zLange Vertrauensketten funktionieren nicht

20 Überblick zDenial of Service möglich zCode Base nicht authentiziert zLookup Service nicht authentiziert zProbleme mit Signaturen zGrundlegende Designfehler

21 Folgerungen URL-Basierende Permissions unsicher, daher nur signierten Code ausführen http durch https (SSL) ersetzen Serialisierte Objekte müssen signiert und verschlüsselt werden Aktuelle Implementation von JINI nicht geeignet für Real World Anwendungen

22 Referenzen zScott Oaks & Henry Wong, JINI in an nutshell, OREILLY 2000 zCrichton, Davis, Woodcock, When to trust mobile objects, Oxford University 1999 zHasselmeyer, Kehr, Voss, Trade-offs in an Secure JINI Service Architecture, TU Darmstadt 2000