Model-based Security Engineering

Transkript

1 Model-based Security Engineering Jan Jürjens Computing Department The Open University Herausforderung: Security Security: ganzheitliche Eigenschaft: Sicherheits-Mechanismen umgehen statt brechen. Sichere Systems aus unsicheren Komponenten? Those who think that their problem can be solved by simply applying cryptography don`t understand cryptography and don`t understand their problem (B. Lampson / R. Needham). Jan Jürjens, Open University: Model-based Security Engineering 2 Modellbasiertes Security Engineering Anforderungen (UML) Modelle Code-/ Testgen. Programm Einfügen Analysieren Reverse Engin. Gener. Verif. Konfigurationsdaten Konfigur. Idee: Modelle aus Artefakten in Entwicklung und Gebrauch von Software. Automatisch unterstützte und theoretisch fundierte Security Design & Analyse. Jan Jürjens, Open University: Model-based Security Engineering 3 MBSE vs. Entwicklungsphasen Abuse cases Security requirements Risk analysis Requirements Design and use cases External review Risk-based Security tests Test plans Static analysis (tools) Risk analysis Code Test results Model-based Security Engineering Penetration testing Design: Security Engineering Lösungen als Pattern. Analyse: Automatisch, formal fundierte Werkzeuge. Anm.: Schwerpunkt auf abstrakten Anforderungen Security breaks Field feedback [McGraw 2003] Jan Jürjens, Open University: Model-based Security Engineering 4 UMLsec [FASE01,UML02, FOSAD05,ICSE05] Beispiel: Kryptobasiertes Verteiltes System Häufige Sicherheits-Anforderungen und Mechanismen und Angreiferszenarien als vordefinierte Markierungen einfügen. Damit verbundene logische Bedingungen verifizieren mit Modell-Checkern und Automatischen Theorembeweisern auf Basis einer formalen Semantik. Stellt sicher, dass UML- Modell die Sicherheits- Anforderungen erfüllt. Jan Jürjens, Open University: Model-based Security Engineering 5 A m(x) return({y::x} z ) Angreifer- Wissen: (vgl. [Dolev, Yao 1982]) Angreifer k -1, y, x {z} k, z m(x) return({z} k ) Jan Jürjens, Open University: Model-based Security Engineering 6 B [arg b,1,1 = x] Angreifer kann Systemteile kontrollieren, Vorwissen haben, Nachrichten lesen, löschen, einfügen. 1

2 Sicherheitsanalyse Angreiferwissen von oben approximieren: Prädikat knows(e) bedeutet: Angreifer kann E ggf. während Ausführung des Systems lernen. Z.B. für Vertraulichkeit: Für vertrauliche Daten s: überprüfen, ob knows(s) von den vom Modell erzeugten Formeln abgeleitet werden kann. [ICSE05] Jan Jürjens, Open University: Model-based Security Engineering 7 Logische Axiome Definiere knows(e) für jedes E im Vorwissen des Angreifers. Definiere Kryptosystem. Z.B.: Dec K -1({E} K )=E Für evolvierendes Angreiferwissen: E 1,E 2.(knows(E 1 ) knows(e 2 ) knows({e 1 } E2 ) knows(dec E2 (E 1 )) ) Jan Jürjens, Open University: Model-based Security Engineering 8 Interaktionen des Angreifers Protokoll-Interaktion TR1=(in(msg_in),cond(msg_in),out(msg_out)) gefolgt von TR2 gibt Prädikat PRED(TR1)= msg_in. [knows(msg_in) cond(msg_in) knows(msg_out) PRED(TR2)] Abstraktion (z.b. von Sender, Empfänger) zwecks Effizienz: findet alle hier betrachteten Angreifer, es gibt aber auch false positives. Forall-Quantifizierung über Iterationszähler. Beispiel: TLS Variante Siehe IEEE Infocom Ziel: geheime Daten übertragen, mit Sitzungsschlüssel verschlüsselt. Jan Jürjens, Open University: Model-based Security Engineering 9 Jan Jürjens, Open University: Model-based Security Engineering 10 Logische Formeln knows(n) knows(k C ) knows(sign KC -1(C::K C )) init 1,init 2,init 3.[knows(init 1 ) knows(init 2 ) knows(init 3 ) snd(ext init2 (init 3 )) = init 2 knows({sign KS -1( )} ) [knows(sign )] Analyse Überprüfen, ob knows(s) ableitbar (z.b. mit e-setheo). Überraschung: Ja! Vertraulichkeit von s nicht bewahrt. Warum? Prolog-basierter Angriffsgenerator. resp 1,resp 2. [...]] Jan Jürjens, Open University: Model-based Security Engineering 12 Jan Jürjens, Open University: Model-based Security Engineering 11 2

3 Man-in-the-Middle Angriff Korrektur Jan Jürjens, Open University: Model-based Security Engineering 13 e-setheo: Beweis: knows(s) nicht ableitbar. Logik 1. Stufe vollständig (aber auch unentscheidbar). Jan Jürjens, Open University: Model-based Security Engineering 14 Verfeinerung und Modularität Verfeinerungsparadox : Sicherheitseigenschaften durch manche Verfeinerungsbegriffe nicht bewahrt. Problem: muss jeweils neu verifizieren. Theorem: Unser Begriff der Verfeinerung (vgl. Broy: Focus) bewahrt unsere Sicherheitsanforderunge. [FME01] Analog: Sicherheitseigenschaften bewahrt durch Komposition von Komponenten (unter gegebenen Voraussetzungen). [Concur01] Jan Jürjens, Open University: Model-based Security Engineering 15 Sicherheits-Schichten Systemebene oben benutzt Sicherheit von unten. client authenticity confidentiality, integrity, server authenticity =? confidentiality, + client authenticity Sicherheitseigenschaften additiv? Theorem: Ja, unter gegebenen Voraussetzungen. [Safecomp03] Jan Jürjens, Open University: Model-based Security Engineering 16 Analyse: Modell vs. Programm Modell: + früher (weniger Kosten bei Korrektur) + abstrakter effizienter - abstrakter Fokus auf bestimmte Angriffe - Programmierer können Schwachstellen einfügen - Codegeneratoren auch (wenn nicht verifiziert) Programm: + the real thing (das ausgeführt wird) Beides verifizieren (wenn möglich). Jan Jürjens, Open University: Model-based Security Engineering 17 Erfahrungen Kann Verhaltensmodelle vom Programm generieren (z.b. CFGs). Problem: zu wenig Abstraktion Verständnis und Verifikation schwierig. Annahme: Textuelle Spezifikation gegeben. Dann: Schnittstellenspezifikation erstellen Sicherheitsanalyse (s.o.) Verifizieren, dass Software Schnittstellenspezifikation erfüllt. Jan Jürjens, Open University: Model-based Security Engineering 18 3

4 Modell vs. Implementierung meaning Backtrace assignments Sent and received data Find compare meaning! meaning Defined during model creation Elements of connections Has Schnittstellen Spec: SSL g p q r Abstract model Jan Jürjens, Open University: Model-based Security Engineering 19 I) Programmpunkte identifizieren: value (r), receive (p), guard (g), send (q) II) Überprüfen dass Bedingungen umgesetzt. Jan Jürjens, Open University: Model-based Security Engineering 20 Bedingungen Prüfen p msg = Handshake.read(din, certtype); Bedingung g umgesetzt? g a) Runtime Check für g bei q from Diagramm generieren: einfach + effectiv (aber Performanz). b) Testen gegen Checks (aber Verwendung von Krypto). c) Automatische formale lokale Verifikation: Bedingungen zwischen p und q implizieren g (mit automatischem Beweiser). [ICFEM02] [ASE05,ASE06] Jan Jürjens, Open University: Model-based Security Engineering 21 q p try only possible way without throwing exception q catch g session.trustmanager.checkservertrusted (peercerts,suite.getauthtype()); msg = new Handshake(Handshake.Type.CLIENT_KEY_EXCHANGE, ckex); msg.write (dout, version); Jan Jürjens, Open University: Model-based Security Engineering 22 Anwendungen von MBSE [ICSE07] Implementation Equal?.java Werkzeuge Designs / Implementierung / Konfiguration für Biometrie-, smart-card basierte Identifizierung Authentisierung Authorisierung (Benutzerberechtigungen, z.b. in SAP Systemen) Analyse von Security Policies. [UML04, FASE05,ICSE06] Jan Jürjens, Open University: Model-based Security Engineering 23 Jan Jürjens, Open University: Model-based Security Engineering 24 4

5 Common Electronic Purse Specifications Globaler Standard für egeldbörsen (Visa et al.). Smart card enthält Kontostand, sichert Transaktionen mithilfe Krypto. Formale Analyse von Load und Purchase Protokollen: signifikante Schwachstellen: Kauf- Umleitung, Betrug Ladegerätbetreiber vs. Bank. [ASE01] Jan Jürjens, Open University: Model-based Security Engineering 25 Jan Jürjens, Open University: Model-based Security Engineering 26 Schwachstelle I ml n : Beweis für Bank dass Ladegerät Geld erhielt. Aber: r n geteilt zwischen Bank und Ladegerät. Schwachstelle II rc nt : Beweis für LSAM dass Ladegerät nur m n erhalten. Aber: LSAM kann Validität nicht prüfen. Jan Jürjens, Open University: Model-based Security Engineering 27 Jan Jürjens, Open University: Model-based Security Engineering 28 Biometrische Authentisierung Smart card basiertes System. Analysiert parallel zur Entwicklung. Entdeckten drei signifikante Schwachstellen in verschiedenen Versionen (Fehlbedienungszähler umgangen durch löschen / wiederholen von Nachrichten; Smart-card unzureichend authentisiert durch Mischen von Sitzungen). Bankanwendung Sicherheitsanalyse von webbasierter Bankanwendung ( digitaler Formularschrank ). Geschichtete Architektur (SSL Protokoll, darauf Client Authentisierungs-Protokoll) Anforderungen: Vertraulichkeit Authentisierung Jan Jürjens, Open University: Model-based Security Engineering 29 Jan Jürjens, Open University: Model-based Security Engineering 30 5

6 Einige Verwandte Ansätze Überblick UML & Security, z.b.: D. Basin, R. Breu, R.B. France, K. Stoelen, S. Houmb, E.B. Fernandez, E. Fernandez, F. Parisi- Presicce, M. Koch, D. Haneberg, (et al. ) Formale Verifikation von Spezifikationen Formale Verifikation von Programmen (T. Nipkow, G. Snelting, ) Kryptoprotokollverifikation auf Programmebene? Secure Software Engineering im Allgemeinen (z.b. B. Nuseibeh, M. Jackson, K.-P. Löhr, M. Heisel, ) IT Security Jan Jürjens, Open University: Model-based Security Engineering 31 Jan Jürjens, Open University: Model-based Security Engineering 32 Zusammenfassung Model-based Security Engineering: Formal basierte Sicherheitsanalyse auf Design Modellen und Quellcode. Verwendung von Artifakten, die während des Software Lebenszyklus entstehen. UML Modelle Java Programme Konfigurationsdaten (Benutzerberechtigungen) Erfolgreiche Anwendungen in Industrie. Acknowledgements Security Open University: Bashar Nuseibeh, Michael Jackson, Charles Haley, T. Thun, A. Bandara, IT Software & Systems Engineering, TUM: Guido Wimmel, Gerhard Popp, Johannes Grünbauer, Jorge Fox, Bo Zhang, Thomas Kuhn, Daniel Ratiu. Alumni: Sebastian Höhn (U Freiburg), Pasha Shabalin (TUM), Gianna Ioshpe (TUM/BMW), Bastian Best (TUM/BMW), Ali Sunyaev (TUM), Peter Bartmann (U Augsburg), Collaborators: Martin Abadi (UCSC), Ruth Breu (U Innsbruck), Robert France et al. (CSU), Siv Houmb (NTNU), Volkmar Lotz (SAP Research), Bran Selic (IBM-Rational), Jan Jürjens, Open University: Model-based Security Engineering 33 Jan Jürjens, Open University: Model-based Security Engineering 34 Questions? More information (papers, slides, tool etc.): Jan Jürjens, Open University: Model-based Security Engineering 35 6