Archiv der Kategorie: Security

An Exercise in Lateral Thinking

English, Forschung, Philosophie, Property Degrees, Security, , , , , , , ,

A year ago, in a slightly heated debate on secure software engineering, I used a photography analogy to make my point. The precise background of this debate does not matter; it should suffice to say that one party – “us” – opined that security engineering is difficult and complicated, while the the other party – “them” – held the view that average software developers need just a couple of tools and examples to improve the results of their work, security-wise. Both sides had a point, considering their respective backgrounds, but they spoke of requirements while we spoke of the difficulty of fulfilling these requirements. To explain my position on the issue, I tranferred the problem from security engineering into a totally unrelated field, photography. They seemed to expect they could turn average people into reasonably good photographers by handing them a highly automated point-and-shoot camera and a few examples of great photos. We ended the quarrel agreeing to disagree.

The train of thought thus started led to my latest paper Point-and-Shoot Security Design: Can We Build Better Tools for Developers? which I finished a few weeks ago, after having presented and discussed an earlier version at this year’s New Security Paradigms Workshop. In this paper I explore the photography analogy in general, interpreting (some aspects of) photography as visual engineering, and the point-and-shoot analogy of tool support in particular. The final version of the paper does not fully reflect its genesis as I moved the photography part, from which everything originates, into a separate section towards the end.

Describing in abstract terms different classes of properties that we can analyze and discuss in a photo, I develop the notion of property degrees, which I then transfer into security. Properties characterize objects, but they do so in different manners:

  • Microscopic properties characterize an object by its parts, and in terms that we can express and evaluate for each part in isolation. Taking a microscopic point of view, we describe a photo by its pixels and the security of a system by its security mechanisms and its defects.
  • Macroscopic properties characterize an object by the way it interacts with its surroundings. Macroscopic properties of a photo represent the reactions the photo evokes in the people viewing it, and the macroscopic security properties of a system characterize the reaction of a threat environment to the presence of this system.
  • In between, mesoscopic properties characterize the object in its entirety (as opposed to the microscopic view) but not its interaction with an environment (as opposed to macroscopic properties). We speak about microscopic properties if we discuss, for instance, the composition of a photo or the security of a system against a certain class of adversaries, considering motivations and capabilities.

Speaking of property degrees as of three distinct classes is a simplification; one should really think of the property degree as a continuum and of the three classes as tendencies. In a rigorous definition, which my paper doesn’t attempt, we would likely end up calling all properties mesoscopic except for those at the ends of the interval.

The ultimate objective of photography and security engineering alike, I argue, is to shape the macroscopic properties of that which one creates. Any object has properties at all three degrees; to design something means to control these properties consciously and deliberately. To do that, one needs to control lower-degree properties to support what one is trying to achieve. However, there are no simple and universal rules how macroscopic properties depend on mesoscopic and microscopic properties. To figure out these dependencies is a challenge that we leave to the artist. That’s necessary in art, but less desirable in security engineering.

Looking at some of the security engineering tools and techniques that we use today, I argue that security engineers enjoy just as much artistic freedom as photographers, although they shouldn’t. Most of our apporaches to security design have a microscopic focus. The few mesoscopic and macroscopic tools we know, such as attack trees and misuse cases, are mere notations and provide little guidance to the security engineer using them.  To do better, we have to develop ways of supporting macroscopic analysis and mesoscopic design decisions. Right now we are stuck in the microscopic world of security features and security bugs, unable to predict how well a security mechanism will protect us or how likely a bug will be exploited in the wild.

Using photography as a model for security engineering is an intermediate impossible, a term coined by Edward de Bono for one aspect of lateral thinking. An intermediate impossible does not make much sense by itself, but serves as a stepping stone to something that might. In the case of point-and-shoot security design, it’s a double impossible, a) ignoring the boundary between art and engineering and, b) ignoring for a moment the adversarial relationships that we are so focused on and, simultaneously, so ignorant of in security. Out of it we get the universal notion of property degrees, and an application of this notion to the specific problems of security.

In a way, this work is a follow-up on my 2009 NSPW paper What Is the Shape of Your Security Policy? Security as a Classification Problem (mentioned here, here, and here). I based my considerations there on the notion of security policies, and later found it difficult to apply my ideas to examples without something bothering me. Security policies tend to become arbitrary when we understand neither what we are trying to achieve nor what it takes to achieve it. If you meticulously enforce a security policy, you still don’t have the slightest idea how secure you are in practice, facing an adversary that cares about your assumptions only to violate them. Property degrees don’t solve this problem, but maybe they make it a bit more explicit.

Keeping a Secret

English, Security, ,

One of my credit cards is going to expire soon. Apparently somebody at the credit card company has read Ross Anderson’s Liability and Computer Security: Nine Principles and tries to apply it to they advantage. I just received a letter informing me that my next card would come with a chip, and that in the future I would use a PIN instead of my signature to authorize payments. The company offers me to tell them my favorite PIN in advance so they can use that one, otherwise they would pick one for me. That’s all fine.

However, after setting me up to tell them my PIN – which shouldn’t be a problem, I will later give the PIN away to strangers with every payment anyway – their letter tries to instruct me to keep my PIN secret. My PIN would be for my eyes only, and the company would never ask me for it. Wait, what did this very letter just do?

I think I’m going to send them a nice letter. With my favorite PIN, handwritten. Followed by a few unpleasant questions.

Theorie und Praxis

Begriffe, Forschung, Security

Theorie:

»In this work we propose a new security paradigm, that aims at using the network’s flexibility to move data and applications away from potential attackers.« (C.W. Probst; R.R. Hansen: Fluid Information Systems, NSPW’09)

Praxis:

»Willkommen auf der „Silk Road“, dem Portal für Abhängige, dem Amazon für Dealer. Silk Road, zu Deutsch: Seidenstraße, das klingt geschmeidig und weich. Dahinter verbirgt sich ein Onlineshop, der stündlich auf einen anderen Server wechselt, um erreichbar, aber nicht greifbar zu sein.« (Tagesspiegel, Klicken, bezahlen, nach Hause liefern lassen)

Lernung:

Gut und Böse gibt es in der Sicherheit nicht. Es gibt nur Interessen und Bedrohungen sowie Maßnahmen, die Interessen vor Bedrohungen schützen.

Angriff abgewehrt

Security, Zahlenspiele, , , ,

Im Zuge der durch die Volkspolizei seit dem 17.6.1953 zur Durchführung der Wiederherstellung der öffentlichen Ruhe und Ordnung getroffenen Maßnahmen wurden festgenommen:

Festnahmen insgesamt: 176 Personen
davon Bürger der DDR: 176 Personen
dem Militärkommandanten übergeben: 4 Personen
den Organen des MfS übergeben 142 Personen
den Gerichten übergeben: 2 Personen
bei der Volkspolizei verblieben: 10 Personen
wieder aus der Haft entlassen: 10 Personen

(Bezirksbehörde Deutsche Volkspolizei Erfurt:
Auswertung der Ereignisse seit dem 17.6.1953)

Nutzlose Fragen

Freundlich zum Nutzer, Security, Vertrauen,

Sicherheitswarnungen sind dann nützlich, wenn sie den Unterschied zwischen Problem und Nichtproblem möglichst genau modellieren und im Fall eines Problems eine hilfreiche Handlung nahelegen. Klingt einfach, ist es aber nicht. Wie man’s falsch macht, demonstriert Adobe auf dieser Seite, die Hilfe zu Sicherheitswarnungen des Adobe Readers geben soll. Das Problem liegt in diesem Fall nicht bei Adobe, sondern im Stand der Technik. Adobe-Bashing beabsichtige ich deshalb nicht, die liefern mir nur den Aufhänger.

Angenommen ich möchte mein Fahrrad vor Dieben schützen. Diese dynamischen Warnungen wären nützlich:

  • »Du hast Dein Fahrrad nicht angeschlossen und die Gegend hier ist gefährlich.«
  • »Du hast den Rahmen Deines Rades an einen Poller gekettet. Deine Maßnahme ist wirkungslos.«
  • »Unten im Hof macht sich gerade einer an Deinem Fahrrad zu schaffen. Dir bleiben 20 Sekunden; dein Gegner ist unbewaffnet, aber kräftig.«

Weniger nützlich sind solche Hinweise:

  • »Überlegen Sie, ob Sie diesen Abstellort für sicher halten.«
  • »Der da drüben sieht wie ein Fahrraddieb aus, sei vorsichtig,« bei jedem zweiten oder dritten Abstellen des Rades.
  • »Fahrrad wirklich unbeobachtet lassen? [Ja] [Nein]«

Unnütz sind sie, weil sie weder spezifisch auf relevante Risikofaktoren zielen noch eine wirksame Handlung zur Risikoreduktion nahelegen.

Unnütze Warnungen sind das Ergebnis, wenn Entwickler an ihr Produkt schnell noch ein wenig Sicherheit anflanschen. Dann nehmen sie Events und Informationen, die sie in ihrer Software gerade vorfinden, und machen daraus Fragen an die Benutzer. Adobes Erläuterungen illustieren dies:

»This warning does not necessarily mean that the page or website is harmful. (…) They cannot tell you if the page or website actually contains unsafe content.« – Der Reader warnt nicht für gefährlichen Aktionen oder Inhalten, sondern beim Aufruf jeder Website. Websites aufrufen ist Alltag im Internet und führt fast nie in eine Falle. Die Warnung ist fast immer falsch.

»What is the right action to take? 1) If you know and trust the sender … 2) If you don’t know or trust the sender …« –Im Internet weiß ich fast nie, wer der Absender eines Inhalts ist. Und fast immer vertraue ich Unbekanntenz erst einmal, dass sie mich nicht erfolgreich angreifen, denn das ist die Erfahrung, die ich täglich mache. Die Vertrauensfrage ist zudem ohne Interaktionshistorie bedeutungslos, korrekt müste sie lauten: »Vertrauen sie ihrem Gegenüber noch, oder haben sie schon einmal schlechte Erfahrungen gemacht?«

Mit solchen Dialogen kann man als Hersteller das Blame Game spielen und den Nutzern eines Produkts einreden, sie müssten nur besser aufpassen. Das ist aber auch alles, mehr Sicherheit kommt dabei nicht heraus.

Risiken aushalten

Angst, Bedrohung, Forschung, Risiko, Security, Verschwörung,

Wissenschaftler haben ein Vogelgrippevirus gebaut, mit dem man Leute umbringen könnte. Jetzt gibt es Forderungen, die gewonnenen Erkenntnisse zurückzuhalten, um sie nicht in falsche Hände gelangen zu lassen, sowie den unvermeidlichen Protest dagegen. Wir Security-Heinis können angesichts der Debatte nur gepflegt mit den Schultern zucken: Natürlich soll man’s veröffentlichen wie jede andere Wissenschaft auch. Dass wir das so sehen, hat zwei Gründe. Zum einen haben wir ähnliche Diskussionen schon oft geführt, wenn es um den Umgang mit Wissen über Sicherheitslücken ging. Zum anderen haben wir realistische Vorstellungen davon, welch geringen Sicherheitsgewinn die Nichtveröffentlichung verspricht.

Steven Bellovin zieht Parallelen zur Atombombenforschung in den 40er Jahren und vermutet, dass die erkennbare Geheimhaltung der Amerikaner den Sowjets signalisiert hat, dass was im Busch ist. Als weiteres Beispiel  führt er Versuche der NSA an, die öffentliche Kryptographie-Forschung zu behindern und argumentiert, dass die nationale Sicherheit Amerikas letzlich von der breiten Verfügbarkeit starker Kryptographie profitiert. Bellovin argumentiert außerdem, dass so eine Genmanipulationsgeschichte im Vergleich zu anderen verfügbaren Terrorwaffen viel zu kompliziert und aufwändig sei.

Dan Geer bringt den begrenzten Nutzen einer Nichtveröffentlichung auf den Punkt:

»Does anyone in this room think that the computers of, in this case, the University of Wisconsin at Madison or the Erasmus Medical Centre in Rotterdam have not already been plundered for the research we are now trying to suppress? Even if they had not been plundered before, as soon as the „do not publish“
directive hit the press those whose job it is to aim cyberattacks at high value targets hit the ground running.«

Wer Informationen vor interessierten Staaten oder fähigen Terroristen schützen möchte, muss sich richtig anstrengen, zumal wenn es so interessant ist, dass darum eine Debatte entbrennt. Etwas nicht zu veröffentlichen ist nur ein passiver Schutz, dann bekommt niemand die Information frei Haus geliefert. Wer etwas wirklich geheimhalten will, muss das Geheimnis aber aktiv schützen. Und selbst dann bestünde der maximale Gewinn der Verteidiger in einer Zeitverzögerung beim Gegner. Was zwei Labors aufbauend auf dem Stand der Forschung geschafft haben, kriegt früher oder später auch ein drittes hin. Gleichzeitig würde das Zurückhalten der Ergebnisse Arbeiten behindern, die zu wirksamen Gegenmaßnahmen gegen eine hypothetisch daraus entwickelte Biowaffe führen könnten. Das wäre ein Eigentor.

Ob das Virus überhaupt zur Biowaffe taugt, ist auch noch offen. Waffen zeichnen sich nicht dadurch aus, dass sie beliebig gefährlich sind, sondern dadurch, dass man ihre Gewalt kontrolliert anwenden kann. Sogar Selbstmordattentäter suchen sich Ziele, statt wild in der Gegend herumzuexplodieren. Damit etwas zur Waffe wird, muss es deshalb die Möglichkeit bieten, zwischen Freund und Feind zu unterscheiden. Neue Waffen müssen ferner in irgendeiner Hinsicht besser sein als die alten, damit sie sich durchsetzen, da funktionieren Terror und Krieg ganz marktwirtschaftlich.

Betreutes Denken

Geschäft, Security, Testlabor, , , , , , , , , ,

Mein Kollege Jörn Eichler sucht Studenten, die unter seiner Betreuung ihre Abschlussarbeit zu einem der folgenden Themen schreiben möchten:

  • Modellgetriebene, sichere Konfiguration von Laufzeitumgebungen für elektronischer Prozesse
  • Entwicklung eines Werkzeugs für die Sicherheitsmodellierung elektronischer Prozesse
  • Modellgetriebenes Testen elektronischer Geschäftsprozesse

Rezeptdatenhandel

Bedrohung, Datenschutz, Geschäft, Risiko, Security, Wahrnehmung, , ,

Wer Gesundheitsdaten missbraucht, will bestimmt Patientenprofile anlegen und damit irgend etwas böses tun. Das scheint plausibel, wenngleich irgend etwas böses selten klar definiert wird, und spielt im Bedrohungsmodell der mühsam im Inkubator am Leben gehaltenen Gesundheitskarte eine zentrale Rolle. Nur halten sich Angreifer nicht an Angreifermodelle:

»Mit den Rezeptdateien, die nicht anonymisiert worden waren, konnten die Unternehmen eventuell nachvollziehen, welche Medikamente von bestimmten Arztpraxen verschrieben wurden. Derartige Informationen würden es ermöglichen, die Arbeit von Außendienstmitarbeitern zu kontrollieren. So könnte man demnach überprüfen, ob Ärzte nach den Besuchen von Vertretern der Pharmaindustrie häufiger bestimmte Medikamente verschreiben.«

(Heise Online: Bericht: Illegaler Handel mit Rezeptdaten)

Warum das verboten ist, spielt keine so große Rolle. Interessanter finde ich die Frage, ob man solche Angriffe im Entwurf unserer Gesundheits-IT berücksichtigt hat. Mehrseitige Sicherheit ist ja kein völlig neues Konzept.

Zwei Euro fuffzich

Risiko, Security, Unterwegs, Zahlenspiele

In Hessen werden jedes Jahr gut 14-15.000 Fahrräder geklaut, davon 4000 in Frankfurt. Der geschätzte Gesamtschaden liegt bei 6,5 Millionen Euro, die Aufklärungsquote unter zehn Prozent. Bundesweit sind es  300.000 bis 350.000 im Jahr. Dramatische Zahlen? Nö. Bei 70 Millionen Fahrrädern im Land entspricht das gerade mal einem halben Prozent. Der hessische Gesamtschaden ergibt bei 14.000 Fahrrädern einen Schaden von weniger als 500 Euro pro Rad. Auf 350.000 Räder hochgerechnet macht das 175 Millionen Euro – oder zwei Euro fuffzich pro Rad.

Cyber-Krieg, nüchtern betrachtet

Begriffe, Forschung, IT, Security, Vulnerability, Wahrnehmung, ,

Die Süddeutsche hat James A. Lewis (vermutlich den hier) zum Thema Cyberwar interviewt. Herausgekommen ist eine Reihe vernünftiger Ansichten wie diese:

»Ein Staat würde für den Einsatz von Cyberwaffen die gleiche Art militärischer Entscheidungen vornehmen wie für jede andere Art von Waffen. Welchen Vorteil bringt es, die Stromversorgung zu kappen? Und was sind die Risiken dabei? Wenn die USA und China im südchinesischen Meer kämpfen, ist das ein begrenzter Konflikt. Wenn China zivile Ziele auf dem Gebiet der USA attackiert, ist das eine ungeheure Eskalation, die das Risiko birgt, dass die USA auf chinesischem Boden zurückschlagen. Streitkräfte werden gründlich darüber nachdenken, bevor sie einen solchen Angriff wagen. Dazu kommt, dass solche Attacken schwierig sind, und wir dazu neigen, den Schaden zu überschätzen, den sie anrichten. Ich kann mir nicht vorstellen, warum jemand sich die Mühe machen sollte, die Wasserversorgung anzugreifen.«

(sueddeutsche.de: „Wir müssen unsere Verteidigung stärken“)

Lewis betrachtet das Thema nicht im Hollywood- oder Scriptkiddie-Modus, sondern konsequent aus einer militärischen Perspektive. Militärs handeln rational, sie verfolgen taktische und strategische Ziele mit verfügbaren Mitteln und gegen die Handlungen eines Gegeners. Daraus ergibt sich auch das Angreifermodell, das der Verteidigung zugrunde liegt, wie oben im Zitat illustriert. Cyber-Krieg, so Lewis‘ Paradigma, ist keine neue Form des Krieges, die andere verdrängt, sondern eine neue Waffengattung, die den Krieg nicht grundlegend reformiert.