Benutzer:Felix/SWT
Inhaltsverzeichnis
Grundlagen
http://swt.cs.tu-berlin.de/lehre/saswt/index.html/vortraege/041021.pdf
- Vertrauenswürdigkeit (Dependability) nach Laprie:
- Eigenschaften:
- Availability: Verfügbarkeit zu einem bestimmten Zeitpunkt
- Reliability: Zuverlässigkeit über ein bestimmtes Zeitintervall
- Safety: Sicherheit in Bezug auf Leib und Leben
- Confidentiality (Vertraulichkeit)
- Integrity (Integrität)
- Maintainability (Wartbarkeit)
- Mittel (means):
- Fault Prevention, Vermeidung
- Fault Removal, Behebung
- Fault Tolerance, Toleranz
- Fault Forecasting, Vorhersage
- Beeinträchtigung (Impairment)
- Faults: konzeptuelle Fehler
- Errors: durch Systemteil verursachter Fehler
- Failures: manifestierter Fehler
- Eigenschaften:
- Safety vs Security
- Security: Vor wem soll das System geschützt werden?
- Trojanisches Pferd
- Verdeckte Kanäle
- Angreifermodelle
Sicherheit in Einzelplatzrechnern
http://swt.cs.tu-berlin.de/lehre/saswt/index.html/vortraege/041028.pdf
- phyischer Schutz
- Grundfunktionen
- Probleme
- Bsp Chipkarten
- logischer Schutz
- Schutz vor...
- Voraussetzung
- Realisierung
- Identifikation
- eines Menschen
- eines IT-Systems
- zwischen IT-Systemen
- Zugangskontrolle
- Zugriffskontrolle
- Viren
- Arten
- Schutzmaßnahmen
- principle of least privilege
- Digitale Signatur
- Virenscanner
- Viren vs Pferde
- Restprobleme
- Spezifikation
- Nachweis der Korrektheit der Implementierung
- verborgene Kanäle
Modellierungstechniken, Sicherheitsparadigmen
Beispiele
http://swt.cs.tu-berlin.de/lehre/saswt/index.html/vortraege/041102.pdf
http://swt.cs.tu-berlin.de/lehre/saswt/index.html/ausarbeitungen/041102.pdf
- DOS-Attacken
- Syn-Flooding
- Ping-Flooding
- Mailbombing
- Man-In-The-Middle-Attacken
- Sniffing
- Spoofing
- Trojanische Pferde
- Viren
- Sasser, Netsky, MyDoom, Sober.C
- Würmer
- Hoaxes
- Sicherheitslücken in Software
- ebay
- gmail
- putty
- Risiken bei elektronischen Wahlen
Misuse Cases
http://swt.cs.tu-berlin.de/lehre/saswt/index.html/vortraege/041104.pdf
http://swt.cs.tu-berlin.de/lehre/saswt/index.html/ausarbeitungen/041104.pdf
- Aufbau, basierend auf use-case-Modell, schwarz-weiß
- <<detects>>, <<prevents>>, <<includes>>, <<extends>>, <<mitigates>>, <<threatens>>, <<similar relationships>>
- trade-offs bei Schutzmaßnahmen
- Angriffsziele werden in Systemkontext eingefügt
Attack Trees
http://swt.cs.tu-berlin.de/lehre/saswt/index.html/vortraege/041104.pdf
http://swt.cs.tu-berlin.de/lehre/saswt/index.html/ausarbeitungen/041104.pdf
- Aufbau: Wurzelknoten, andere Knoten, AND, OR, Werte für Angriffsarten, gestrichelte vs durchgezogene Linien
- vorher Ziele definieren, Möglichkeiten zum Erreichen der Ziele aufzeigen
- Bewertung von Angriffen
- Aspekte von Misuse Cases können anaylisiert werden