Weitere Betrachtungen
Bei der Einrichtung einer TCB sind auch andere Aspekte zu berücksichtigen, so zum Beispiel die Handhabung und Sicherung der Speicher. Diese fällt unter die NIST-Forderung nach Umsetzungsgarantien. Vor einigen Jahren schrieb ich zur Fehlerbehebung in einem ADA-Programm eine Routine um meinen Anteil am Systemspeicher direkt löschen zu können. Zu meiner Überraschung gelang es mir jedoch auf den gesamten Systemspeicher zuzugreifen, so dass ich User-IDs und Passwörter sowie Informationen zu laufenden Prozessen und den Parametern zu deren Aufruf einsehen konnte.
Viele, wenn nicht sogar alle gegenwärtig bestehenden Pufferüberlauf-Probleme lassen sich auf die Handhabung der Speicher zurückführen. Ein Pufferüberlauf kann dann missbräuchlich genutzt werden, wenn der außerhalb des Puffers befindliche Teil dazu verwendet wird, eine Reihe von Anweisungen oder Vorgängen zur Verarbeitung des Pufferinhalts zu speichern. Zum Beispiel könnte eine Log-in-Schwachstelle vorliegen, wenn die User-ID über eine bestimmte Anzahl von Zeichen hinausgeht und dabei der Rest des Strings als Befehl interpretiert wird.
Der Aufruf von Prozessen ist ein weiterer Aspekt beim Aufbau einer TCB. So entdeckten wir damals in unserem Entwicklungslabor, dass wir in der Shell des Betriebssystems einen Befehl ausführen konnten, der in einem Root-Kontext lief, so als ob er von einem Administrator eingegeben worden wäre. Da der Compiler als Root installiert worden war, wurden alle vom Compiler ausgehenden Prozesse als Root ausgeführt. Man kann sich die potenziellen Risiken für das System leicht ausmalen. Dieses stellte definitiv keine Trusted Computing Base dar.
Sicherheit im Mittelpunkt
Es ist sehr wichtig, dass neu entwickelte Anwendungen den Anforderungen der NIST entsprechen. Wenn nachweisbar ist, dass ein System gemäß dem TCB-Konzept erstellt wurde, sind nicht nur die NIST-Bedingungen erfüllt, sondern es besteht auch eine gute Grundlage zur Abwehr von Haftungsklagen aus dem Missbrauch von Schwachstellen.
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…