Sitzung: Jeden Freitag in der Vorlesungszeit ab 16 Uhr c. t. im MAR 0.005. In der vorlesungsfreien Zeit unregelmäßig (Jemensch da?). Macht mit!

Benutzer:Felix/SWT

Grundlagen

http://swt.cs.tu-berlin.de/lehre/saswt/index.html/vortraege/041021.pdf

  • Vertrauenswürdigkeit (Dependability) nach Laprie:
    • Eigenschaften:
      • Availability: Verfügbarkeit zu einem bestimmten Zeitpunkt
      • Reliability: Zuverlässigkeit über ein bestimmtes Zeitintervall
      • Safety: Sicherheit in Bezug auf Leib und Leben
      • Confidentiality (Vertraulichkeit)
      • Integrity (Integrität)
      • Maintainability (Wartbarkeit)
    • Mittel (means):
      • Fault Prevention, Vermeidung
      • Fault Removal, Behebung
      • Fault Tolerance, Toleranz
      • Fault Forecasting, Vorhersage
    • Beeinträchtigung (Impairment)
      • Faults: konzeptuelle Fehler
      • Errors: durch Systemteil verursachter Fehler
      • Failures: manifestierter Fehler
  • Safety vs Security
    • Security: Vor wem soll das System geschützt werden?
    • Trojanisches Pferd
      • Verdeckte Kanäle
  • Angreifermodelle

Sicherheit in Einzelplatzrechnern

http://swt.cs.tu-berlin.de/lehre/saswt/index.html/vortraege/041028.pdf

  • phyischer Schutz
    • Grundfunktionen
    • Probleme
    • Bsp Chipkarten
  • logischer Schutz
    • Schutz vor...
    • Voraussetzung
    • Realisierung
    • Identifikation
      • eines Menschen
      • eines IT-Systems
      • zwischen IT-Systemen
    • Zugangskontrolle
    • Zugriffskontrolle
    • Viren
      • Arten
      • Schutzmaßnahmen
        • principle of least privilege
        • Digitale Signatur
        • Virenscanner
      • Viren vs Pferde
      • Restprobleme
        • Spezifikation
        • Nachweis der Korrektheit der Implementierung
        • verborgene Kanäle

Modellierungstechniken, Sicherheitsparadigmen

Beispiele

http://swt.cs.tu-berlin.de/lehre/saswt/index.html/vortraege/041102.pdf

http://swt.cs.tu-berlin.de/lehre/saswt/index.html/ausarbeitungen/041102.pdf

  • DOS-Attacken
    • Syn-Flooding
    • Ping-Flooding
    • Mailbombing
  • Man-In-The-Middle-Attacken
  • Sniffing
  • Spoofing
  • Trojanische Pferde
  • Viren
    • Sasser, Netsky, MyDoom, Sober.C
  • Würmer
  • Hoaxes
  • Sicherheitslücken in Software
    • ebay
    • gmail
    • putty
  • Risiken bei elektronischen Wahlen

Misuse Cases

http://swt.cs.tu-berlin.de/lehre/saswt/index.html/vortraege/041104.pdf

http://swt.cs.tu-berlin.de/lehre/saswt/index.html/ausarbeitungen/041104.pdf

  • Aufbau, basierend auf use-case-Modell, schwarz-weiß
  • <<detects>>, <<prevents>>, <<includes>>, <<extends>>, <<mitigates>>, <<threatens>>, <<similar relationships>>
  • trade-offs bei Schutzmaßnahmen
  • Angriffsziele werden in Systemkontext eingefügt

Attack Trees

http://swt.cs.tu-berlin.de/lehre/saswt/index.html/vortraege/041104.pdf

http://swt.cs.tu-berlin.de/lehre/saswt/index.html/ausarbeitungen/041104.pdf

  • Aufbau: Wurzelknoten, andere Knoten, AND, OR, Werte für Angriffsarten, gestrichelte vs durchgezogene Linien
  • vorher Ziele definieren, Möglichkeiten zum Erreichen der Ziele aufzeigen
  • Bewertung von Angriffen
  • Aspekte von Misuse Cases können anaylisiert werden

Multilevel Security

Mehrseitige Sicherheit

Kryptographie

Systematik zur Klassifikation der Verfahren

Primzahlenzerlegung, Komplexitätstheorie

s 2-mod-n Pseudozufallsbitfolgengenerator

GMR

RSA

DES

Block- und Stromchiffren

Quantenkryptographie

Praxis

Kommunikationsprotokolle

Needham-Schröder

BAN-Logik

FDR

Attacke auf Needham-Schröder

Kerberos

GSM

E-Commerce, Smartcards =

Werteaustausch, Zahlungssysteme

Javacard

Non-Interference

Security Engineering