Aktuelles
Transcrição
Aktuelles
Aktuelles zur Verlässlichkeit offener Computersysteme Tobias Damisch (Folien 2-13) Peter Fleissner (Folien 14-22) 24. November 2004 Bürgerkarte Sinn und Zweck der Bürgerkarte ist es, alle Amtswege künftig komplett online abwickeln zu können. So können Dokumente rechtsgültig unterzeichnet werden. Es werden jetzt im großen Stil bürgerkartenfähige Bankomatkarten ausgegeben, das heißt, es wird "ernst" mit der elektronischen Signatur und E-Government Anwendungen, die an sich schon seit 1999 gesetzlich möglich sind. Bürgerkarte (2) Bis jetzt sind die Anwendungen noch äußerst spärlich, man kann unter anderem "Meldebestätigung online" und "Kinderbetreuungsgeld-Anmeldung" nutzen. Das Konzept ist, alle möglichen Karten mittels a.trust a.sign-Chip bürgerkartentauglich zu machen, der User entscheidet selbst welchen er aktiviert. Um mit einer solchen Karte z.B. Netbanking zu betreiben, wird ein Kartenleser und (Windows?) Software benötigt. Quelle: http://www.monitor.co.at/index.cfm?storyid=6430 Microsoft Smartcards Microsoft führt .NET Smartcards ein, die für den physischen und virtuellen Zutritt der Angestellten zu Microsoft verwendet werden. 2005 wird die „Axalto Cryptoflex .Net powered smart card“ standardmäßig für den sicheren Remotezugriff der Angestellten zu Microsoft verwendet werden. Die Karten funktionieren auch berührungslos, der Überwachung sind also kaum Grenzen gesetzt. Quelle: http://www.infowars.com/articles/ps/gates_id_cards.htm Biometrie Was ist denn an Biometrie schon implementiert? • Fingerprints • Handgeometrie • Retina • Iris • Gesicht • Unterschrift • Stimme Biometrie: Fingerprints Die am häufigsten verwendete BiometrieMethode, da relativ einfach und billig zu implementieren, leicht zu integrieren und benutzerfreundlich. Probleme: Kann eventuell überlistet werden (anhauchen, künstlicher Daumen), gilt trotzdem als ziemlich sicher. Biometrie: Handgeometrie Kann sehr gut an spezielle Erfordernisse angepasst werden was Performance und Genauigkeit betrifft. Biometrie: Retina Analysiert die Aderstruktur an der Rückwand des Auges. Technologie bereits gut entwickelt und auch sicher. Nicht benutzerfreundlich, da man ohne Brille sehr nahe am Rezeptor einen Punkt fixieren muss. Biometrie: Iris Hohes Entwicklungspotential, die praktikabelste Augen-Biometriemethode. Kein naher Kontakt nötig, normale Kameras, ziemlich schnelles matching möglich. Funktioniert auch mit Brille. So wie auch Retina äußerst sicher und konstant in der Anwendung. Biometrie: Gesicht Nischenmarkt in der Biometrie. Die Casinoindustrie hat sich darauf spezialisiert, um eine schnelle Erkennung von Betrügern zu gewährleisten. Theoretisch hohes Potential, schwierig zu implementieren. Biometrie: Unterschriftenerkennung • Schreibdruck und Geschwindigkeit genauso wichtig wie die fertige Unterschrift • Hohe Benutzerakzeptanz • Ziemlich genau • Trotzdem selten in der Anwendung zu finden. • Problem: Veränderungen und dadurch Nichterkennung der Unterschrift Biometrie: Stimmerkennung Höchstes Wachstumspotential, da keine zusätzliche Hardware nötig. Anlegen eines Eintrags relativ kompliziert, gilt daher als nicht Benutzerfreundlich. Könnte in Zukunft mit Fingerprint kombiniert werden. Umgebungsbedingungen und Veränderungen der Stimme sind Hauptprobleme. Fingerprint (Conclusio) Biometrie wird im Moment hauptsächlich zur physischen Zutrittskontrolle verwendet. Zukunft haben sicher Hybridtechnologien, z.b. Fingerprint auf Smartcard. (Datenschutz-)Problem: Wo Templates speichern? Standardisierung nötig, Microsoft koppelt sich wiedermal ab. Quelle: http://www.computer.org/itpro/homepage/Jan_Feb/ security3.htm Sober.I Neuer Wurm verseucht 15.000 PCs • Seit Freitag, 20. Nov., 7 Uhr, im Umlauf • Mit Sober.I verbreitet sich nach einer längeren Ruhephase abermals eine Sober-Variante sehr schnell im Internet und überflutete die E-MailPostfächer zahlreicher Nutzer. • Der Wurm versendet sich unter anderem in einer als angebliche Mail-Server-Fehlermeldung getarnten EMail mit deutschsprachigem Betreff und Nachrichtentext. • Wie bei aktuellen Würmern üblich, fälscht auch dieser die Absenderadresse und verschleiert somit seine Herkunft. Sober.I • Der Wurm-Code befindet sich wie üblich in dem mit der E-Mail versendeten Anhang, dessen Name aus einem Fundus an Bausteinen zusammengesetzt wird und die Endung .bat, .com, .exe, .pif, .scr oder .zip trägt. • Durch entsprechend aufgemachte Betreffzeilen samt passender Nachrichtentexte vermittelt Sober.I unter anderem den Eindruck, dass es sich bei der E-Mail um eine Fehlermeldung eines Mail-Servers handele, um so potenzielle Opfer zum Öffnen der Anhänge zu bringen Sober.I Die Betreffzeile kann etwa aus folgenden Teilen bestehen: Ungültige Zeichen in Ihrer E-Mail SMTP Mailzustellung fehlgeschlagen Damon FwD: Mail_Delivery_failure Mailer Error FwD: Mailer Error Damon invalid mail Mail- Verbindung wurde abgebrochen Code Re: Lieferungs-Bescheid Re: Auftragsbestätigung Registration confirmation Sober.I • Wird der E-Mail-Anhang manuell geöffnet, aktiviert dies den Wurm, der sich dann so in die Registry einträgt, sodass er bei jedem Windows-Neustart automatisch geladen wird. • Außerdem durchsucht der Wurm eine Vielzahl lokaler Dateien nach E-MailAdressen und versendet sich über eine eigene SMTP-Engine, um sich zu verbreiten. Sober.I Software zur Entfernung des Wurms Z.B. von Symantec: http://www.symantec.com/avcenter/venc/data /w32.sober.removal.tool.html Entwurf zu einem Bundesgesetz betreffend Übertragungssicherheit beim elektronischen Austausch von Gesundheitsdaten und Einrichtung eines Informationsmanagement (Gesundheitstelematikgesetz) http://www.marc.co.at/Gesundheitstelematikgesetz.pdf Gesundheitstelematikgesetz: Kritikpunkte I SPÖ-Klubobmann Josef Cap am 20. November 04 in einer Pressekonferenz: "Ganz hinten unter dem unscheinbaren Titel Gesundheitstelematikgesetz ist eigentlich ein demokratiepolitischer Skandal unglaublichen Ausmaßes verborgen, denn mit diesem Gesetz, das die elektronische Erfassung und Weitergabe von Gesundheitsdaten regelt, werden die Voraussetzungen für eine Kompletterfassung aller Lebensumstände und Lebensgewohnheiten jeder einzelnen Österreicherin und jedes einzelnen Österreichers geschaffen", so gf. SPÖ-Klubobmann Josef Cap am Freitag in einer Pressekonferenz. "Es kann darunter also verstanden werden, was im weitesten Sinne Einfluss auf die Gesundheit hat. Von Lebensgewohnheiten, Hobbys, Sexualpraktiken, Ernährung, Alkoholkonsum, in Anspruchnahme von Psychotherapie bis hin zur Erbgut- und zur DNA-Analyse. All das kann, geht es nach Ministerin Rauch-Kallat, in Zukunft erfasst, gespeichert und natürlich auch abgerufen werden. Das Entscheidende ist: Wer genau den Zugriff erhalten soll, ist noch nicht geklärt." Gesundheitstelematikgesetz: Kritikpunkte II An wen können Gesundheitsdaten weitergegeben werden? (Aus dem Anhang des Entwurfes zum Gesundheitstelematikgesetz) Ärzte für Allgemeinmedizin, Fachärzte, Zahnärzte, Dentisten, Apotheken, Psychotherapeuten, Klinische Psychologen, Gesundheitspsychologen, Hebammen, Diplomierte Gesundheits- und Krankenschwestern/ Gesundheits- und Krankenpfleger, Diplomierte Kinderkrankenschwestern/ Kinderkrankenpfleger, Diplomierte psychiatrische Gesundheits- und Krankenschwestern/Gesundheits- und Krankenpfleger, Diplomierte Physiotherapeuten, Diplomierte Diätassistenten und ernährungsmedizinische Berater, Diplomierte Ergotherapeuten, Diplomierte Logopäden, Krankenanstalten, Krankenanstalten-Betriebsgesellschaften, Organisationen für Rettungs- und Krankentransporte, Gebietskörperschaften, Gemeindeverbände, Sozialversicherungsträger, Strukturfonds, Landesfonds, Privatkrankenanstaltenfinanzierungsfonds, Pharmazeutische Gehaltskasse, Private Krankenversicherungen, Patientenanwaltschaften, Patientenvertretungen, Interessenvertretungen (Kammern, Verbände), Pflegeeinrichtungen (Hauskrankenpflege, Hospize), Einrichtungen des Organ-, Gewebe- oder Stammzellspendewesens, Wohlfahrtsorganisationen, Selbsthilfegruppen, Einrichtungen zur medizinischen oder sozialen Beratung, Kureinrichtungen, Einrichtungen der Arbeitsmedizinischen Betreuung, Einrichtungen der Gesundheitsforschung und der medizinischen Hochschulen, Gesundheitsstatistik-Einrichtungen, Betreiber von Gesundheits-Informationsverbundsystemen. Vorlesung: Verlässlichkeit von offenen Computersystemen Weblog: http://cartoon.iguw.tuwien.ac.at/zope/lvas/offcom/ Nächste Vorlesung: Mittwoch,1. Dezember 2004, ab 13:00 Uhr