Markus Schumacher

Collaborative attack modeling

Avoidance and discovery of security vulnerabilities in information systems requires awareness of typical risks and a good understanding of vulnerabilities and their exploitations. In this paper we compare common methods of sharing security related knowledge with regard to their ability to support avoidance and discovery of vulnerabilities. We suggest a new method of collaborative attack modeling that is especially suitable for this purpose. This method combines a graph-based attack modeling technique with ideas of a Web-based collaboration tool.

The Challenges of CORBA Security

Large, distributed applications play an increasingly central role in today’s IT environment. The diversity and openness of these systems have given rise to questions of trust and security. It is the aim of the project Secure TINA to examine exactly these questions and try to find possible solutions. The focus lies on OMG’s Common Object Request Broker Architecture (CORBA) as a basis technology for developing distributed systems and on the Security Service specified for it, since this seems to be the most promising technology in the field. The followed approach is thereby twofold. At first, a thorough analysis of the specification itself and known implementations thereof is performed, based also on experiences in the broader area of distributed systems security. At a second, more practical stage, the attempt to develop an own, prototypical implementation of CORBA Security is undertaken, with the main objective of gaining as much practical experience as possible and experimenting with possible alternatives to find a solution to the problems encountered.

Vulnerabilities and Security Limitations of current IP Telephony Systems

Within the traditional telephone system a certain level of quality and security has been established over the years. If we try to use IP Telephony systems as a core part of our future communication infrastructure (e.g. as classical PBX enhancement or replacement) continuous high availability, stable and error-free operation and the protection of the privacy of the spoken word are challenges, that definitely have to be met. Since manufacturers start deploying new end systems and infrastructure components rather fast now - a critical inspection of their security features and vulnerabilities is mandatory. The critical presentation of the theoretical background of certain vulnerabilities, testing and attacking tools and the evaluation results reveals, that well-known security flaws become part of implementations in the new application area again and the security level of a number of examined solutions is rather insufficient.

Angewandte Informationssicherheit Ein Hacker-Praktikum an Universitäten

Zusammenfassung Immer mehr Geschaftsprozesse werden in der Industrie uber IT Systeme abgewickelt. Neben der generellen Verfugbarkeit und Funktionstuchtigkeit dieser Systeme, wird ihre Absicherung gegen Angreifer immer wichtiger. Dem dadurch entstehenden Bedarf an qualifiziertem Sicherheitspersonal sollten sich auch die Universitaten mit ihrem Ausbildungsangebot anpassen. Zwar werden zunehmend Lehrveranstaltungen zum Thema „IT-Sicherheit“ angeboten, diese betrachten jedoch typischerweise nur einen Ausschnitt aus dem Gebiet der IT-Sicherheit und sind oft eher theoretisch ausgerichtet, wie z.B. Kryptographie oder sichere Betriebssysteme. Im folgenden wird das Konzept einer erfolgreich durchgefuhrten, praxisorientierten Lehrveranstaltung beschrieben, die den Teilnehmern das Zusammenwirken aller Sicherheitsmechanismen anschaulich verdeutlicht.

Sicherheit in Mediendaten

In immer mehr Bereichen des offentlichen und privaten Lebens werden die neuen Moglichkeiten, die sich durch die weltweite Vernetzung eroffnen, genutzt. Immer mehr Menschen nehmen aktiv an der neuen, digitalen Welt Teil, das Sammeln, Verarbeiten und Verteilen von Informationen ruckt immer starker in den Mittelpunkt.

Basisfunktionen und Sicherheitsprinzipien

Zunachst befassen sich die Security Patterns im ersten Teil dieses Kapitels mit den grundlegenden Sicherheitsfunktionen, die in diesem Buch verwendet werden: Identifikation und Authentisierung, Verschlu§elung, Zugriffskontrolle, Integritat und Audit. Sie stellen die Grundbausteine fur die technische Umsetzung von Sicherheitszielen dar. Im zweiten Abschnitt dieses Kapitels beschaftigen wir uns mit Security Patterns, die Sicherheitsprinzipien reprasentieren, die beim Entwurf von IT-Anwendungen, Systemen und Netzwerken auf allen Ebenen zum Tragen kommen sollten. Sie stellen somit eine Art von Patterns auf der „Metaebene“ dar, die bei grundsatzlichen Entwurfsentscheidungen helfen konnen (siehe Abschnitt 2.3.5). Viele dieser Prinzipien wurden bereits 1975 in dem klassischen Artikel „The Protection of Information in Computersystems“ von Jerome Saltzer und Michael Schroeder beschrieben [96]. Sie finden sich auch in der aktuellen Literatur zum Thema Sicherheit wieder, wie beispielsweise in Buchern zum Thema Firewalls [28,140] oder allgemeinere Werke im Bereich der IT-Sicherheit (siehe z.B. [5], [101] oder [90]). Im Internet sind ebenfalls Dokumente zu finden, die dem Leser auf Basis der klassischen Quelle „Best Security Practices“ naherbringen (siehe [88] und [93]).

Arbeiten mit Security Patterns

In diesem Kapitel zeigen wir, wie Wissen und Fertigkeiten von Sicherheitsexperten in Form von Security Patterns festgehalten werden konnen. Dazu ist es notwendig zu wissen, wie Patterns im Allgemeinen und Security Patterns im Speziellen uberhaupt gefunden werden konnen. Dies beinhaltet auch eine Art von Qualitat§icherung mithilfe etablierter Vorgehensweisen innerhalb der Pattern Community: Shepherding und Writer’s Workshops. Schlieslich weisen wir noch auf Quellen hin, die sich besonders gut als „Rohmaterial“ fur Security Patterns eignen. In den folgenden Abschnitten des Kapitels zeigen wir anhand von zwei Beispielen, wie Security Patterns uber die blose Vermittlung von Expertenwissen hinaus genutzt werden konnen.

Hacker und Cracker

Eine vollstandige Abhandlung uber Hacker und Cracker wurde den Rahmen dieses Buches sprengen. Da es jedoch fur das Verstandnis der Sicherheit von IT-Ressourcen relevant ist, wollen wir Grundlegendes uber Hacker und Cracker nicht vorenthalten.