Modellbasierte Softwareentwicklung mit Sicherheitseigenschaften und UMLsec

Transkript

1 1/ 22 Modellbasierte Softwareentwicklung mit Sicherheitseigenschaften und UMLsec Patrik Elfert Fakultät für Informatik TU Dortmund 5. Februar 2014

2 Inhalt 2/ 22 1 Einleitung 2 Unified Modeling Language 3 Das UMLsec-Profil Die Erweiterung Wohldefinierte Regeln Anforderungen an die Erweiterung Anwendungsmöglichkeiten von UMLsec 4 Vergleich mit alternativen Ansätzen 5 Fazit

3 Einleitung 3/ 22 Einleitung Fehlerquellen bei der Entwicklung sicherer Systeme Entwickler mit geringen Kenntnissen in Computer-Sicherheit Anpassung vorhandener Sicherheitsmechanismen an Anforderungen des Systems Traditionelle Strategie: penetrate and patch Versuch in System einzudringen Aufdecken von Schwachstellen Beheben der Schwachstellen Aber: Für sicherheitskritische Systeme unbrauchbar

4 Unified Modeling Language Unified Modeling Language 4/ 22 Prinzip: Modellbasierte Softwareentwicklung Informationen über Softwareprojekt in (graphischem) Modell erfassen Direkte Verwendung oder Generierung von Artefakten UML Allgemein Spezifikation objektorientierter / komponentenorientierter Software-Systeme Verschiedene Diagrammtypen: unterscheiden sich in Anwendungsbereich und Abstraktionsgrad

5 Unified Modeling Language: Erweiterung Unified Modeling Language 5/ 22 UML-Profile Erweiterungsmöglichkeit seit UML 2.0 Leichtgewichtige Änderungen an Modellen Regeln: Semantik des Profils darf Semantik des Referenzmodells nicht widersprechen Austauschbarkeit zwischen UML-Werkzeugen Auflistung bestehender, relevanter Elemente Möglichkeit zur Kombination mehrerer Profile

6 Unified Modeling Language: Erweiterung Unified Modeling Language 6/ 22 UML-Profile: Struktur Stereotype definieren neue Typen von Modellelementen erweitern die Semantik bestehender Typen Notation: «stereotyp» Attribute (Tagged Values) Schlüssel-Wert-Paare weisen Modellelementen Eigenschaften zu Notation: {tag = value} Beschränkungen (Constraints) Einschränkungen für Stereotype Informelle Sprache: z.b. Pseudocode

7 Das UMLsec-Profil Das UMLsec-Profil Die Erweiterung 7/ 22 UMLsec-Profil Profil kann auf gesamte UML angewendet werden Profil setzt keine weiteren Profile voraus

8 UMLsec-Stereotype (Auszug) Das UMLsec-Profil Die Erweiterung 8/ 22 Stereotype Base Class Tags Constraints Description Internet link Internet connection encrypted link encrypted connection LAN link, node LAN connection wire link wire fair exchange subsystem start, after start eventually enforce fair ex- stop, reach change adversary stop secrecy dependency assumes secrecy integrity dependency assumes integrity high dependency high sensitivity secure links subsystem adversary dependency security matched by links enforces secure communication links

9 UMLsec-Attribute (Auszug) Das UMLsec-Profil Die Erweiterung 9/ 22 Tag Stereotype Type Multip. Description start fair exchange state * start states stop fair exchange state * stop states adversary fair exchange adversary model 1 adversary type

10 Das UMLsec-Profil Wohldefinierte Regeln 10/ 22 Wohldefinierte Regeln Stereotype «Internet», «encrypted», «LAN» und «wire» Nutzung in Deployment-Diagrammen Definieren Art der Kommunikationsverbindung Mindestens ein Stereotyp für jede Verbindung Verschiedene Angreifertypen verschiedene Angriffsszenarios Für jeden Angreifer-Typ A und jedes Stereotyp s { «encrypted», «LAN», «Internet», «wire» } Threats A (s) {delete, read, insert} Dient der Analyse von Gefahren, die von verschiedenen Angreifern ausgehen

11 Wohldefinierte Regeln Das UMLsec-Profil Wohldefinierte Regeln 11/ 22 Beispiel default-angreifer: Außenstehender Angreifer mit moderaten Fähigkeiten Stereotype Threats default () Internet {delete, read, insert} encrypted {delete} LAN wire

12 Das UMLsec-Profil Wohldefinierte Regeln 12/ 22 Wohldefinierte Regeln Stereotyp «fair exchange» in Anwendungsfalldiagrammen Art und Weise der Durchführung einer Transaktion muss verhindern, dass eine der beiden Parteien betrügen kann. Veränderung eines Subsystems mit «fair exchange» nur durch Subsystem mit «fair exchange» Stereotyp «fair exchange» in Aktivitätsdiagrammen Zusätzliche Attribute: {start}, {stop}, {adversary} {start} und {stop}: Nehmen Wertepaare mit {good, state} an {adversary}: Spezifiziert den Angreifer-Typ

13 Das UMLsec-Profil Wohldefinierte Regeln 13/ 22 Wohldefinierte Regeln Beispiel für «fair exchange»...in einem Aktivitätsdiagramm:

14 Das UMLsec-Profil Wohldefinierte Regeln 14/ 22 Wohldefinierte Regeln Stereotype «secrecy», «integrity», «high» In Bedingung für Stereotyp «secure links» Angegebene Sicherheitsanforderung muss eingehalten werden Stereotyp «secure links» Einhalten der Sicherheitsanforderungen durch physikalische Schicht Für jede Abhängigkeit mit Stereotyp s { «secrecy», «integrity», «high»} gilt für die Kommunikationsverbindung l zwischen zwei Objekten: Wenn s = «high», dann gilt: threats S A (l) = Wenn s = «secrecy», dann gilt: read / threats S A (l) Wenn s = «integrity», dann gilt: insert / threats S A (l)

15 Das UMLsec-Profil Wohldefinierte Regeln 15/ 22 Wohldefinierte Regeln Beispiel für «secure links»...mit Stereotyp «secrecy» an Kommunikationsverbindung

16 Das UMLsec-Profil Anforderungen an die Erweiterung 16/ 22 Anforderungen an die Erweiterung Notwendige Anforderungen Möglichkeit zur......präzisen Formulierung grundlegender Sicherheitsanforderungen...Berücksichtigung verschiedener Gefährdungsszenarien...Nutzung wichtiger Sicherheitskonzepte...Einbeziehung von Sicherheitsmechanismen...Betrachtung von Sicherheitsprimitiven...Einbeziehung der Sicherheit der zugrundeliegenden physikalischen Schicht...Nutzung des Sicherheits-Managements

17 Das UMLsec-Profil Anforderungen an die Erweiterung 17/ 22 Anforderungen an die Erweiterung Optionale Anforderungen Domainspezifische Sicherheitskenntnisse, z.b.: Java Smartcards CORBA...

18 Das UMLsec-Profil Anwendungsmöglichkeiten von UMLsec 18/ 22 Anwendungsmöglichkeiten von UMLsec Webbasierte Bank-Applikation Ausfüllen und Signieren von Bestellformularen Sicherheitsanforderungen: Vertrauliche Behandlung persönlicher Daten Durchführung von Bestellungen nicht im Namen anderer Lösung: Authentifikationsprotokoll beim Login Verschlüsselte Verbindung Nutzung von UMLsec zur Formulierung der Sicherheitsanforderungen

19 Das UMLsec-Profil Anwendungsmöglichkeiten von UMLsec 19/ 22 Anwendungsmöglichkeiten von UMLsec Smartcard-basiertes biometrisches Authentifizierungssystem Problem: Kommunikationsverbindungen zwischen Sensoren, Hostsystem und Smartcard sind angreifbar Einsatz von UMLsec zur Spezifizierung des Systems zur automatischen Sicherheitsanalyse Weitere Anwendungen Automatisches Notrufsystem eines Automobilherstellers Deutsche Gesundheitskarte Elektronische Geldbörse für das Oktoberfest...

20 Vergleich mit alternativen Ansätzen 20/ 22 Vergleich mit alternativen Ansätzen Vergleich mit SecureUML Gemeinsamkeiten: Basis: Modellbasierte Softwareentwicklung Erweiterung der UML Unterschiede: Grundlage: Erweitertes Modell für rollenbasierte Zugriffskontrolle (RBAC) Deutlich strikter gefasst Anwendungsgebiete Formulierung von Bedingungen (Constraints) Ziele der Modellierung

21 Vergleich mit alternativen Ansätzen Vergleich mit alternativen Ansätzen 21/ 22 Weitere Ansätze Mit UML als Basis: Konzentrieren sich häufig auf bestimmte Anwendungsgebiete Nicht modellbasierte Ansätze: penetrate and patch-strategie Framework zur Anpassung von Sicherheitsrichtlinien an die Anforderungen eines Software-Systems

22 Fazit Fazit 22/ 22 Vorteile von UMLsec UML sehr bekannt unter Software-Entwicklern Leichter Einstieg für Software-Entwickler mit wenig Erfahrung Spart Zeit und Kosten Auch für erfahrene Entwickler interessant: Vermeidet nachträgliche, langwierige Fehlersuche Kann bei komplexen Systemen angewendet werden Tool-Support Nachteile von UMLsec Lediglich grobe Sicherheitsanforderungen Ergänzung um spezifischere Ansätze möglich (z.b. SecureUML)