Security Engineering (was: [FYI] Mehr Überwachung gewünscht
On Tuesday 23 March 2004 11:18, Gert Doering wrote:
> Also bei mir weckt es nur die kriminelle Phantasie... "wie aufwaendig
> waere es, hier ein XYZ vorbeizuschmuggeln" - und die Antwort ist
> "hinreichend trivial fuer jemand, der es ernst meint, und damit
> hinreichend sinnlos".
Ich mache gerade die Erfahrung, daß das Thema "Risikomanagement" selbst für
Leute mit dem ausreichenden technischen Verständnis irgendwie ungewohnt ist,
oder zumindest schwierig zu verstehen.
Die meisten Leute sind in der Lage, von sich aus Maßnahmen vorzuschlagen, die
irgendwas bewirken sollen ("Wie wäre es, wenn wir den Mitarbeitern die ssh
Fingerprints unserer Maschinen zur Verfügung stellen würden?").
Sie sind aber zum größten Teil schon nicht in der Lage, von der Warte einer
Gefährdung auf das Thema zuzugehen ("Kenntnis des Fingerprints soll gegen
eine Man-in-the-Middle-Attacke schützen. Das tut aber eine Kenntnis des
vollen Hostkeys auch, und wir wären auch in der Lage, den Mitarbeitern eine
vorbereitete known_hosts-Datei zur Verfügung zu stellen. Das hätte nicht nur
dieselbe Schutzwirkung, sondern würde zugleich die lästige Nachfrage mit dem
manuellen Vergleich des Fingerprints vermeiden.").
Die Kür wäre natürlich, würden diese Personen mit einem Angreifermodell
arbeiten, um Gefährdungen zu gewichten und so die Notwendigkeit von Maßnahmen
beurteilen zu können ("Unsere Maschinen im Produktionsnetz stehen hinter der
Firewall in einem Netz, das wir als sicher ansehen und dem wir in gewissem
Maße vertrauen. Ein Man-in-the-Middle in diesem Netz ist extrem
unwahrscheinlich. Wenn er dennoch aufträte, hätten wir neben dieser
Gefährdung auch noch weitere, dringendere Probleme. Es ist daher egal, ob wir
uns gegen dieses Problem verteidigen"), und die Kosten von Maßnahmen dagegen
zu rechnen ("Außerdem würde in diesem Fall jeder Auf- und Abbau einer
Maschine eine Rekonfiguration bei jedem User notwendig machen. Wir bauen
mehrmals jeden Tag Maschinen auf oder ab. Die Maßnahme ist daher in diesem
Kontext sinnlos, und eine Ressourcenverschwendung.")
Dazu kommt natürlich noch, daß das untersuchte System eine
Mindestfunktionalität haben muß, die es erbringen muß, um seine Existenz zu
rechtfertigen. Sobald Sicherheitsmaßnahmen diese Mindestfunktionalität so
weit einschränken, daß sie nicht mehr interessant ist, ist der Dienst in dem
existerenden Betriebsumfeld nicht mehr zu erbringen, weil die Betriebsrisiken
dies unmöglich machen.
Das Problem bei diesen Überlegungen sind nicht die Abwägungen selber - die
sind oft trivial und mit gesundem Menschenverstand zu machen, sondern der
mentale Kontext "Risikomanagement", also Maßnahmen im Umfeld zwischen
Gefährdung und Dienst zu sehen und zu beurteilen. Man sollte meinen, daß dies
eine naheliegende und natürliche Betrachtungsweise sei, aber bisher haben
z.B. die wenigsten neu eingestellten Sysadmins die oben angegebene
Fragestellung auf diese Weise beantworten und bewerten können.
*seufz*
Kristian
--
To unsubscribe, e-mail: debate-unsubscribe@xxxxxxxxxxxxxx
For additional commands, e-mail: debate-help@xxxxxxxxxxxxxx