Aktuelles

Aktuelles zur Verlässlichkeit
offener Computersysteme
Tobias Damisch (Folien 2-13)
Peter Fleissner (Folien 14-22)
24. November 2004
Bürgerkarte
Sinn und Zweck der Bürgerkarte ist es, alle
Amtswege künftig komplett online abwickeln zu
können. So können Dokumente rechtsgültig
unterzeichnet werden.
Es werden jetzt im großen Stil bürgerkartenfähige
Bankomatkarten ausgegeben, das heißt, es
wird "ernst" mit der elektronischen Signatur und
E-Government Anwendungen, die an sich
schon seit 1999 gesetzlich möglich sind.
Bürgerkarte (2)
Bis jetzt sind die Anwendungen noch äußerst
spärlich, man kann unter anderem
"Meldebestätigung online" und
"Kinderbetreuungsgeld-Anmeldung" nutzen.
Das Konzept ist, alle möglichen Karten mittels
a.trust a.sign-Chip bürgerkartentauglich zu
machen, der User entscheidet selbst welchen
er aktiviert.
Um mit einer solchen Karte z.B. Netbanking zu
betreiben, wird ein Kartenleser und (Windows?) Software benötigt.
Quelle:
http://www.monitor.co.at/index.cfm?storyid=6430
Microsoft Smartcards
Microsoft führt .NET Smartcards ein, die für den
physischen und virtuellen Zutritt der
Angestellten zu Microsoft verwendet werden.
2005 wird die „Axalto Cryptoflex .Net powered
smart card“ standardmäßig für den sicheren
Remotezugriff der Angestellten zu Microsoft
verwendet werden.
Die Karten funktionieren auch berührungslos, der
Überwachung sind also kaum Grenzen gesetzt.
Quelle:
http://www.infowars.com/articles/ps/gates_id_cards.htm
Biometrie
Was ist denn an Biometrie schon
implementiert?
• Fingerprints
• Handgeometrie
• Retina
• Iris
• Gesicht
• Unterschrift
• Stimme
Biometrie: Fingerprints
Die am häufigsten verwendete BiometrieMethode, da relativ einfach und billig zu
implementieren, leicht zu integrieren und
benutzerfreundlich.
Probleme: Kann eventuell überlistet werden
(anhauchen, künstlicher Daumen), gilt
trotzdem als ziemlich sicher.
Biometrie: Handgeometrie
Kann sehr gut an spezielle Erfordernisse
angepasst werden was Performance und
Genauigkeit betrifft.
Biometrie: Retina
Analysiert die Aderstruktur an der Rückwand
des Auges.
Technologie bereits gut entwickelt und auch
sicher.
Nicht benutzerfreundlich, da man ohne Brille
sehr nahe am Rezeptor einen Punkt
fixieren muss.
Biometrie: Iris
Hohes Entwicklungspotential, die
praktikabelste Augen-Biometriemethode.
Kein naher Kontakt nötig, normale Kameras,
ziemlich schnelles matching möglich.
Funktioniert auch mit Brille.
So wie auch Retina äußerst sicher und
konstant in der Anwendung.
Biometrie: Gesicht
Nischenmarkt in der Biometrie.
Die Casinoindustrie hat sich darauf
spezialisiert, um eine schnelle Erkennung
von Betrügern zu gewährleisten.
Theoretisch hohes Potential, schwierig zu
implementieren.
Biometrie: Unterschriftenerkennung
• Schreibdruck und Geschwindigkeit
genauso wichtig wie die fertige
Unterschrift
• Hohe Benutzerakzeptanz
• Ziemlich genau
• Trotzdem selten in der Anwendung zu
finden.
• Problem: Veränderungen und dadurch
Nichterkennung der Unterschrift
Biometrie: Stimmerkennung
Höchstes Wachstumspotential, da keine
zusätzliche Hardware nötig.
Anlegen eines Eintrags relativ kompliziert,
gilt daher als nicht Benutzerfreundlich.
Könnte in Zukunft mit Fingerprint kombiniert
werden.
Umgebungsbedingungen und
Veränderungen der Stimme sind
Hauptprobleme.
Fingerprint (Conclusio)
Biometrie wird im Moment hauptsächlich zur
physischen Zutrittskontrolle verwendet.
Zukunft haben sicher Hybridtechnologien,
z.b. Fingerprint auf Smartcard.
(Datenschutz-)Problem: Wo Templates
speichern?
Standardisierung nötig, Microsoft koppelt
sich wiedermal ab.
Quelle:
http://www.computer.org/itpro/homepage/Jan_Feb/
security3.htm
Sober.I
Neuer Wurm verseucht 15.000 PCs
• Seit Freitag, 20. Nov., 7 Uhr, im Umlauf
• Mit Sober.I verbreitet sich nach einer längeren
Ruhephase abermals eine Sober-Variante sehr
schnell im Internet und überflutete die E-MailPostfächer zahlreicher Nutzer.
• Der Wurm versendet sich unter anderem in einer als
angebliche Mail-Server-Fehlermeldung getarnten EMail mit deutschsprachigem Betreff und
Nachrichtentext.
• Wie bei aktuellen Würmern üblich, fälscht auch
dieser die Absenderadresse und verschleiert somit
seine Herkunft.
Sober.I
• Der Wurm-Code befindet sich wie üblich in dem
mit der E-Mail versendeten Anhang, dessen
Name aus einem Fundus an Bausteinen
zusammengesetzt wird und die Endung .bat,
.com, .exe, .pif, .scr oder .zip trägt.
• Durch entsprechend aufgemachte Betreffzeilen
samt passender Nachrichtentexte vermittelt
Sober.I unter anderem den Eindruck, dass es
sich bei der E-Mail um eine Fehlermeldung
eines Mail-Servers handele, um so potenzielle
Opfer zum Öffnen der Anhänge zu bringen
Sober.I
Die Betreffzeile kann etwa aus folgenden Teilen
bestehen:
Ungültige Zeichen in Ihrer E-Mail
SMTP Mailzustellung fehlgeschlagen
Damon FwD: Mail_Delivery_failure
Mailer Error FwD: Mailer Error
Damon invalid mail
Mail- Verbindung wurde abgebrochen
Code Re: Lieferungs-Bescheid
Re: Auftragsbestätigung
Registration confirmation
Sober.I
• Wird der E-Mail-Anhang manuell geöffnet,
aktiviert dies den Wurm, der sich dann so
in die Registry einträgt, sodass er bei
jedem Windows-Neustart automatisch
geladen wird.
• Außerdem durchsucht der Wurm eine
Vielzahl lokaler Dateien nach E-MailAdressen und versendet sich über eine
eigene SMTP-Engine, um sich zu
verbreiten.
Sober.I
Software zur Entfernung des Wurms
Z.B. von Symantec:
http://www.symantec.com/avcenter/venc/data
/w32.sober.removal.tool.html
Entwurf zu einem
Bundesgesetz
betreffend Übertragungssicherheit beim
elektronischen Austausch von
Gesundheitsdaten
und Einrichtung eines
Informationsmanagement
(Gesundheitstelematikgesetz)
http://www.marc.co.at/Gesundheitstelematikgesetz.pdf
Gesundheitstelematikgesetz: Kritikpunkte I
SPÖ-Klubobmann Josef Cap am 20. November 04 in einer
Pressekonferenz:
"Ganz hinten unter dem unscheinbaren Titel
Gesundheitstelematikgesetz ist eigentlich ein
demokratiepolitischer Skandal unglaublichen Ausmaßes
verborgen, denn mit diesem Gesetz, das die elektronische
Erfassung und Weitergabe von Gesundheitsdaten regelt,
werden die Voraussetzungen für eine Kompletterfassung aller
Lebensumstände und Lebensgewohnheiten jeder einzelnen
Österreicherin und jedes einzelnen Österreichers geschaffen",
so gf. SPÖ-Klubobmann Josef Cap am Freitag in einer
Pressekonferenz. "Es kann darunter also verstanden werden,
was im weitesten Sinne Einfluss auf die Gesundheit hat. Von
Lebensgewohnheiten, Hobbys, Sexualpraktiken, Ernährung,
Alkoholkonsum, in Anspruchnahme von Psychotherapie bis hin
zur Erbgut- und zur DNA-Analyse. All das kann, geht es nach
Ministerin Rauch-Kallat, in Zukunft erfasst, gespeichert und
natürlich auch abgerufen werden. Das Entscheidende ist: Wer
genau den Zugriff erhalten soll, ist noch nicht geklärt."
Gesundheitstelematikgesetz: Kritikpunkte II
An wen können Gesundheitsdaten weitergegeben werden?
(Aus dem Anhang des Entwurfes zum Gesundheitstelematikgesetz)
Ärzte für Allgemeinmedizin, Fachärzte, Zahnärzte, Dentisten, Apotheken,
Psychotherapeuten, Klinische Psychologen, Gesundheitspsychologen,
Hebammen, Diplomierte Gesundheits- und Krankenschwestern/
Gesundheits- und Krankenpfleger, Diplomierte Kinderkrankenschwestern/
Kinderkrankenpfleger, Diplomierte psychiatrische Gesundheits- und
Krankenschwestern/Gesundheits- und Krankenpfleger, Diplomierte
Physiotherapeuten, Diplomierte Diätassistenten und
ernährungsmedizinische Berater, Diplomierte Ergotherapeuten, Diplomierte
Logopäden, Krankenanstalten, Krankenanstalten-Betriebsgesellschaften,
Organisationen für Rettungs- und Krankentransporte,
Gebietskörperschaften, Gemeindeverbände, Sozialversicherungsträger,
Strukturfonds, Landesfonds, Privatkrankenanstaltenfinanzierungsfonds,
Pharmazeutische Gehaltskasse, Private Krankenversicherungen,
Patientenanwaltschaften, Patientenvertretungen, Interessenvertretungen
(Kammern, Verbände), Pflegeeinrichtungen (Hauskrankenpflege, Hospize),
Einrichtungen des Organ-, Gewebe- oder Stammzellspendewesens,
Wohlfahrtsorganisationen, Selbsthilfegruppen, Einrichtungen zur
medizinischen oder sozialen Beratung, Kureinrichtungen, Einrichtungen der
Arbeitsmedizinischen Betreuung, Einrichtungen der Gesundheitsforschung
und der medizinischen Hochschulen, Gesundheitsstatistik-Einrichtungen,
Betreiber von Gesundheits-Informationsverbundsystemen.
Vorlesung:
Verlässlichkeit von offenen
Computersystemen
Weblog:
http://cartoon.iguw.tuwien.ac.at/zope/lvas/offcom/
Nächste Vorlesung:
Mittwoch,1. Dezember 2004, ab 13:00 Uhr