Berühmt berüchtigte Softwarefehler: USS Yorktown. Referent: René Lotz Seminarleiter: Bernhard Beckert SS 2003 Universität Koblenz-Landau

Ähnliche Dokumente
Seminar. USS Yorktown. Matrikel-Nummer: Seminarleiter: Bernhard Beckert. Sommersemester 2003

Datenbank auf neuen Server kopieren

16. Ausnahmebehandlung Programmieren / Algorithmen und Datenstrukturen 2

15. Ausnahmebehandlung Programmieren / Algorithmen und Datenstrukturen 2

Erster Bug: eine Motte

Sicherheitstage SS 2007

smart home smart sauna.

SCHATTENKOPIE OHNE SCHATTEN

Inhaltsverzeichnis: Fehlertypen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Kompatibilitätsmodus und UAC

Sicherheitsdienste. Schutz von Rechnern und Speichermedien vor

Prozessor mit mind. 300 Mhz mind. 256 MB Arbeitsspeicher Microsoft Windows XP (ab Service Pack 2, 32 Bit) / Windows Vista / Windows 7

Kapitel. Platzhalter. Was sind Platzhalter?

Berühmt berüchtigte Softwarefehler. Der Pentium Division-Bug. vorgetragen von: Sebastian Knieschewski

Fujitsu Storage Days 2017

Einrichtung von WSUS auf Computern mit Windows- Betriebssystem an der Universität Hamburg

Persona-SVS e-sync GUI/Client Installation

Systeme I: Betriebssysteme Kapitel 2 Überblick Betriebssysteme. Maren Bennewitz

Inhaltsverzeichnis. BüroWARE Systemanforderungen ab Version Generelle Anforderungen SoftENGINE BüroWARE SQL / Pervasive. 2

Hinweise zur Inbetriebnahme der FMH-HPC auf Windows 7. Version 4,

Modes And Effect Analysis)

Installationshinweise für CTI-Applikationen an Telefonen Integral T3 IP

Preise und Details zum Angebot

SJ OFFICE - Update 3.0

Soziale Software eine kurze Einführung

Systemanforderungen ab Version 5.31

ABDECKPLANE MOD. CABRIOLE - ELEKTROSTEUERUNG FÜR ELEKTRISCHEN ANTRIEB BENUTZERHANDBUCH EINSATZ-WARTUNG-SICHERHEIT

Die Wartung und Betreuung folgender Software-Applikationen ist bei der Variante Managed inkludiert:

Thin versus Fat Clients

COMPUTER BEREINIGEN MIT CCLEANER, TUNEUP UTILITIES O.Ä.

Wertermittlung von Aufwuchs, Gartenlauben und sonstigen Einrichtungen in Kleingärten

IT- und Medientechnik

Administering Microsoft SQL Server Databases

, dadurch wird der andere Modus eingestellt, also es sieht dann so aus

Feature Sheet essendi xc

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Preise und Details zum Angebot

COSA. Portal Client Installation JAVA J2SE / JRE Version 1.4.2_09, Stand Copyright

Copyrights. Rev O&O Software GmbH Am Borsigturm Berlin Germany.

Synchronisation mit PIA Sync

Quip Trade Business Manager GUI/Client Installation

Which Thin Client fits. Michael Hoting

I. Travel Master CRM Installieren

Teil I. Allgemeine System-Administration. Windows Server 2016 Neues, Lizenzierung und Download... 23

WSHowTo Utilman-Hack Windows Server und Windows Clients

Systeme I: Betriebssysteme Kapitel 2 Überblick Betriebssysteme. Wolfram Burgard

Vorschläge der UNO nach der Staaten-Prüfung

neservesall Katalog 2012

Systemempfehlungen Sage HWP

Blue Screen. Blaues Bild mit sehr vielen Informationen Tobias C. Sutor-EDV.de

Anlegen eines virtuellen http Server unter Exchange 2003 mittels HOSTNAME

Erste Hilfe bei VSS Backup Fehlern

Virtualisierung in der Automatisierungstechnik

Info-Veranstaltung Sicherheit im Netz

Klimagriff Manager Pro

Installation LehrerConsole (Version 7.2)

Für Windows! Version

Begriffserklärungen und Beispiele für Sicherheitskritische Systeme

Enterprise Portal - Abbildung von Prozessen, SAP-Datenintegration und mobile Apps

Mindestanforderungen an Systemumgebung Für die Nutzung von excellenttango

Der vorliegende Konverter unterstützt Sie bei der Konvertierung der Datensätze zu IBAN und BIC.

Einleitung Architektur Sicherheit Zusammenfassung. Autonomic Computing. Wie sich Computer selbst konfigurieren, warten und verteidigen.

Erfahrungsbericht, Konsolidierung und Administration Real Application Cluster

Version Handbuch RAMSyncDrive V 1.0

Warum ist Ariane 5 beim Erstflug explodiert?

LabelMaster. Software für die Bewehrungstechnik

Readme.txt. WICHTIG!!! Bitte lesen Sie erst nachfolgende Hinweise bevor Sie die Installation starten.

ACT! 11 Premium Inklusive Microsoft SQL-Server 2005 Standard

Windows 10 Upgrade ja oder nein?

McAfee epolicy Orchestrator Pre-Installation Auditor 2.0.0

SharePoint Continuous Integration mit TFS Online & Azure VMs Torsten Mandelkow Christian Pappert Microsoft

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface.

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte.

Bedienungshandbuch Software SystemDiagnostics

Installationsanleitung WSCAD Elektrohandwerk

5 Schritte zur IT-Sicherheit. Johannes Nöbauer Leiter Enterprise Services

Hinweise zur Installation von Einzelbatterieleuchten Bus und Kurzanleitung für den Verbindungsaufbau zwischen PC und DCP

lyondellbasell.com Sicherheit im Internet

Lieber Benutzer, liebe Benutzerin,

Daten löschen, aber richtig Über die Besonderheiten von SSDs

Softwaresicherheit. Eine Präsentation von Benedikt Streitwieser und Max Göttl. Einführung Kryptographie und IT-Sicherheit

1. Umfrage zum Einsatz von Open Source Software in österreichischen Unternehmen

Übung - Freigabe eines Ordners und Zuordnung eines Netzwerlaufwerks in Windows XP

Entwurfsmuster und Softwarearchitekturen für sicherheitskritische Systeme

Allgemeine Anforderungen zum Einsatz von

Software. Die Erste. C o m p u t e r G r u n d w i s s e n Te i l I I. S o f t w a r e. H a r d w a r e. C D / D V D B r e n n e n.

SQLcl Quo vadis SQL*Plus? Das neue SQL*Plus in der Praxis. Gunther Pippèrr GPI Consult München

Zuverlässige Systeme Fehlertoleranz

Herzlich Willkommen zur IT - Messe

Therac-25. Seminar Berühmt berüchtigte Softwarefehler. Bernhard Beckert. Referent: Martin Pfeifer

WebCompanion Lavasoft

Anforderungen und Technische Möglichkeiten zu TheraPlus

Programmieren in Haskell Debugging

1 Installation QTrans V2.0 unter Windows NT4

"Make or buy" bei der Entscheidung für eine neue Steuer- und Regelungsplattform

Systemvoraussetzungen GS-Programme 2012

Spybot Search & Destroy 1.6. Kurzanleitung

LAN Schutzkonzepte - Firewalls

Transkript:

Berühmt berüchtigte Softwarefehler: USS Yorktown Referent: René Lotz Seminarleiter: Bernhard Beckert SS 2003 Universität Koblenz-Landau

Übersicht Einleitung Allgemeine Informationen über die USS Yorktown Der Software-Fehler Schuldfrage Fehlervermeidung Wieso wurde der Fehler nicht vermieden? Smart Ship Concept

Einleitung (Smart Ship Concept) Prinzip: Kriegsschiffe werden mit Computertechnik ausgerüstet, um die Matrosen zu unterstützen. Vorteile: kleinere Crew (Computer statt Matrosen) Kampfvorteile durch bessere/präzisere Technik geringere laufende Kosten

Übersicht Einleitung Allgemeine Informationen über die USS Yorktown Der Software-Fehler Schuldfrage Fehlervermeidung Wieso wurde der Fehler nicht vermieden? Smart Ship Concept

Allgemeine Informationen über die USS Yorktown Typ: Guided Missile Cruiser Breite: Länge: Tiefgang: 16,8 m 173 m 10,2 m Baujahr: 17.01.1983 Besatzung: 24 Offiziere, 340 Matrosen Wasserverdrängung: ca. 9600 Tonnen bei voller Ladung Einsatzgebiet: Unterstützung und Schutz von Flugzeugträgern

Computer-Technik 27 Terminals (dual Pentium Pro 200 MHz) Glasfasernetzwerk Schiff kann von jedem Terminal aus gesteuert werden ein Hauptspeicher Betriebssystem: Windows NT 4.0

Aufgabenbereiche der Computertechnik Brückenfunktionen Überwachung Steuerung Schadenskontrolle Sensorabfragen Wartung Unter anderem ist das System auch für die Antriebssteuerung verantwortlich.

Vorteile der Computer-Technik weniger Bedarf an Matrosen ca. 10% der Arbeitsplätze eingespart erhebliche Vereinfachung der Überwachungsfunktionen auf der Brücke (nur 3 Personen statt 13) geringere Kosten Einsparung hauptsächlich bei den laufenden Kosten ca. 2,8 Millionen $ pro Jahr Einsparung

Übersicht Einleitung Allgemeine Informationen über die USS Yorktown Der Software-Fehler Schuldfrage Fehlervermeidung Wieso wurde der Fehler nicht vermieden? Smart Ship Concept

21.09.1997: Was ist passiert? USS Yorktown fährt ein Routine-Übungs-Manöver aufgrund eines Software-Problems fällt das Antriebssystem aus USS Yorktown schwimmt 2 Stunden und 45 Minuten ohne Antrieb hilflos auf offener See danach erreicht sie angeblich aus eigener Kraft die Naval Base in Norfolk, Va. und muss dort 2 Tage repariert werden Folgen wären enorm gewesen, wenn dies bei einem echten Einsatz geschehen wäre

Wie ist es passiert? (Szenario des Fehlers) ein Überwachungsprogramm zeigt ein Ventil als geöffnet an, obwohl dieses geschlossen ist ein Offizier versucht den Fehler zu beheben ändern von Daten direkt in der Datenbank dies ist nicht vorgesehen, aber durchaus üblich Änderungen werden schriftlich festgehalten Eingabe einer 0 an einer bestimmten Stelle Software verwendet diesen Eintrag als Divisor

Wie ist es passiert? (Szenario des Fehlers) (II) angeblich mehrfache divide by zero -Error Buffer Overflow des temporären Speichers Daten im Hauptspeicher des Antriebssystems werden überschrieben das Netzwerk bricht zusammen Antriebssystem fällt komplett aus

Übersicht Einleitung Allgemeine Informationen über die USS Yorktown Der Software-Fehler Schuldfrage Fehlervermeidung Wieso wurde der Fehler nicht vermieden? Smart Ship Concept

verschiedene Sichten der Schuldfrage Wer ist Schuld? NAVY (offiziell): menschliches Versagen Windows NT 4.0 Applikation

Meinung der NAVY: menschliches Versagen Offizielle Vertreter der NAVY bezeichnen die Ursache des Vorfalls als menschliches Versagen. Fehlerbehebung durch direkte Änderung der Werte in der Datenbank ändern der Werte von der Software nicht vorgesehen Fehlerbehebung an Bord durch trial and error -Prinzip

Meinung der NAVY: menschliches Versagen (II) dagegen spricht allerdings: beliebige Eingaben sollten bei der Entwicklung der Software beachtet werden gewisse menschliche Fehlleistungen müssen berücksichtigt werden anscheinend keine andere Möglichkeit Fehler zu beheben, ausser der Änderung der Werte direkt in der Datenbank

Meinung der NAVY: menschliches Versagen (III) dagegen spricht auch: besonders auf Kriegsschiffen muss mit Streßsituationen gerechnet werden Computersysteme müssen gegen jegliche Bedienfehler, die unter Stress entstehen können abgesichert sein

Windows NT 4.0 Einige Kritiker sind der Meinung, dass Windows NT den Fehler hätte vermeiden müssen. Zitat: "Egal welches Betriebssystem, welchen Computer, welche Anwendung ich benutze - ich sollte eine Null eingeben können, ohne dass der Computer abstürzt." GilYoung, Netzwerkingenieur

Windows NT 4.0 (II) Zitat: "Unix ist das bessere System für die Kontrolle von Ausrüstung und Maschinen, NT hingegen für Datentransfer. NT ist nicht ganz ausgereift, es gab einige Ausfälle wegen des Systems." Ron Redman, stellvertretender technischer Leiter bei der US Marine

Windows NT 4.0 (III) Microsoft: übernimmt keine Verantwortung Systemadministratoren und Programmierer der Yorktown seien Schuld Software sollte Werte prüfen und Fehler behandeln Betriebssystem kann nur Fehlercodes weitergeben, nicht behandeln Ein Fehler sollte sich nicht im gesamten Netzwerk ausbreiten

Applikation Eingabewerte sollten auf Korrektheit geprüft werden Einträge, welche nicht vom User verändert werden sollen, sollten vor Zugriffen geschützt werden Überlauf des temporären Speichers in den Speicherbereich anderer Systeme sind zu verhindern Trennung der Systemkomponenten nicht ausreichend Versäumnisse bei der Wartung der Software Die Haupt-Schuld liegt bei der Software

Applikation Schuldfrage Wichtige Faktoren für die Fehler in der Software: zu wenig Software-Entwickler für Planung Implementierung und vor allem Testen bzw. Verifizieren Warten der Software Die Schuld liegt eindeutig beim Management, welches die Entwicklung unterschätzt hat.

Übersicht Einleitung Allgemeine Informationen über die USS Yorktown Der Software-Fehler Schuldfrage Fehlervermeidung Wieso wurde der Fehler nicht vermieden? Smart Ship Concept

Wie könnten solche Fehler vermieden werden? Planung: vollständige Trennung der Systeme Überlauf von einem Speicher in Speicher eines anderen Systems verhindern Implementierung: Überprüfen der Einträge auf Korrektheit ggf. Fehlerbehandlung

Wie könnten solche Fehler vermieden werden? gründliches Testen sehr (zeit-) aufwendig alle möglichen Eingabewerte durchtesten dadurch werden solche möglichen Fehler sofort erkannt Zusätzliche Fehlerbehandlung kann integriert werden

Wie könnten solche Fehler vermieden werden? verifizieren von Programmteilen extrem aufwendig benötigt viele hochqualifizierte Personen die sicherste Methode jegliches Fehlverhalten der Software zu vermeiden für kritische System-Teile auf Kriegsschiffen unbedingt notwendig

Wie könnten solche Fehler vermieden werden? warten der Software ständig ablaufender Prozess erhöht laufende Kosten Fehlerbehebung durch direktes schreiben in die Datenbank verhindern Alternativen zur Fehlerbehandlung zur Verfügung stellen Test der Eingabewerte (akzeptieren des direkten Schreibens in der Datenbank)

Wie wird versucht solche Fehler zu vermeiden? NAVY: Personal wird angewiesen an bekannten Stellen keine 0 einzugeben Aufzeichnungen über die Änderungen Schiff kann bei einem Fehler schnell wieder funktionsbereit gemacht werden Bewertung: Besonders bei einem Kriegsschiff ist dies keine Lösung!

Übersicht Einleitung Allgemeine Informationen über die USS Yorktown Der Software-Fehler Schuldfrage Fehlervermeidung Wieso wurde der Fehler nicht vermieden? Smart Ship Concept

Wieso wurde der Fehler nicht vermieden? Schuld liegt beim Management. Ursachen: Unterschätzung des Aufwands der Systementwicklung Fehleinschätzung der Risiken Termindruck Kostendruck durch Regierung Folgen: Personalmangel bei der Entwicklung erhöhtes Risiko von Fehlfunktionen

Übersicht Einleitung Allgemeine Informationen über die USS Yorktown Der Software-Fehler Schuldfrage Fehlervermeidung Wieso wurde der Fehler nicht vermieden? Smart Ship Concept

Smart Ship Concept Vorteile des Konzepts sind offensichtlich: weniger Crew nötig geringere laufende Kosten für Personal Wartung normalerweise geringeres Risiko von Fehlern durch menschliches Versagen

Smart Ship Concept (Beispiel) US Zerstörer USS McFaul Besatzung: 350 Soldaten für 2008 ist ein Nachfolger angekündigt: Smart Ship USS Zumwalt Besatzung: 90 Soldaten! auf Windows 2000 basierendes Betriebssystem

Smart Ship Concept (Ausblick) Die NAVY will auch in Zukunft viele Schiffe nach diesem Konzept bauen. nur höchstens ein Drittel der bisherigen Besatzung laufende Kosten für Personal, Wartung,... reduzieren Einsatz von Windows 2000 als Betriebssystem Beschaffungskosten reduzieren Allerdings erhöhen sich die laufenden Kosten aufgrund der nötigen Software-Wartung.

Smart Ship Concept (kritisch) Kritiker bemängeln, dass weiterhin standardisierte Software (wie Windows NT / 2000) in Kriegsschiffen verwendet werden soll. Gründe dafür sind: zu wenig verifiziert zu wenig getestet Windows NT/2000 nicht uneingeschränkt echtzeitfähig zu hohes Risiko von Fehlfunktionen evtl. gefährliche Folgen von Fehlfunktionen

Smart Ship Concept (mögliche Risiken) Auf einem Kriegsschiff könnten beliebige Fehlfunktionen verheerende Folgen haben. z.b. in einem Kampfeinsatz nicht manöverierfähig Unkontrollierte Steuerung der Ventile,... Beeinflussung taktischer Systeme z.b. durch Überschreiben von Daten in deren Speicherbereich könnte zu ungewollten Raketenabschüssen,... führen

Vorteile: Smart Ship Concept (Fazit) Einsparung von Besatzung Einsparung von Kosten Nachteile: großes Risiko bei leichtfertiger Entwicklung Verwendung von Standard-Software

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback