Sicherheit für das
Internet der Dinge
Es gestaltet sich immer schwieriger, Unternehmens-IT-Netzwerke und Endpunkte wie Firmencomputer auf herkömmliche Weise zu schützen. Die prognostizierten Milliarden von Netzwerk-Knotenpunkten, die das Rückgrat des Internet der Dinge bilden, verschärfen das Problem weiter dramatisch.
(Bild: TVL Media Embedded Computing)
Der Vorteil der Embedded-Industrie im Gegensatz zur traditionellen Computerwelt ist, dass die Funktionsobjekte im Regelfall für einen bestimmten Zweck gebaut werden. So ließe sich Sicherheit und Schutz bereits bei den Überlegungen zum Systemdesign bevorzugt berücksichtigen. Allerdings ist es so gut wie unmöglich, einem ressourcenbegrenzten Funktionsobjekt, das nicht schon von sich aus sicher ist, Sicherheit in irgendwelcher Form hinzuzufügen. Diese Voraussetzung können am Besten die Anbieter der traditionellen Embedded-Softwareplattform erfüllen, dem Echtzeitbetriebssystem (RTOS). Und zwar dadurch, dass sie die Sicherheitsfunktionen bieten, die Entwickler zum Schutz von vernetzten Embedded-Geräten benötigen und mit denen sie diese bereits mit Blick auf die Sicherheit entwickeln können. Das Protection Profile for Single-level Operating Systems in Environments Requiring Medium Robustness (SLOSPP) der NSA spezifiziert die Sicherheitsanforderungen für handelsübliche (COTS) Allzweckbetriebssysteme in vernetzten Umgebungen, die sensible Informationen enthalten. LynxOS 7.0 von LynuxWorks gehört zu den ersten RTOS, die diese Standards umsetzen und es Entwicklern dadurch ermöglichen, Sicherheit auf militärischem Niveau direkt in ihre Geräte einzubetten. Zu den Sicherheitsfunktionen gehören Benutzerbestimmbare Zugriffskontrolle (DAC), Audits, Rollen und Kompetenzen, Identifikation und Authentifizierung, Kryptographie, Quoten, Selbsttest, Residual Information Protection (RIP) und Local Trusted Path.
Zugriffskontrolle über Zugangskontrolllisten
Diese Funktionen tragen dazu bei, vernetzte Embedded-Geräte vor Angriffen zu schützen. Die benutzerbestimmbare Zugriffskontrolle oder Discretionary Access Control (DAC) ist ein Mittel zur Einschränkung des Zugangs zu Objekten – wie Dateien, Anwendungen, Verzeichnisse und Geräte – basierend auf der Identität von Subjekten und/oder Gruppen, zu denen sie gehören. LynxOS 7.0 implementiert DAC mithilfe von Zugangskontrolllisten oder Access Control Lists (ACL) nach Standard Posix.1e. Verglichen mit herkömmlichen Sicherheitsvorkehrungen wie die Dateirechte Benutzer/Gruppe/Andere in UNIX-Systemen sorgen ACL-Listen für eine viel präzisere Steuerung des Objektzugangs. Sie erlauben autorisierten Nutzern zu spezifizieren, exakt welche Nutzer und Nutzergruppen auf welche Ressourcen zugreifen dürfen. Im Grunde befähigt DAC das vernetzte Funktions-Objekt sorgfältig zu kontrollieren, wer auf die Dateien und Daten dieses Funktions-Objekts zugreifen und diese ausführen kann. Mit der Audit-Funktion kann ein eingebettetes Objekt wichtige System-Ereignisse erfassen und eine Sicherheitsüberwachung dieser Ereignisse ausführen. LynxOS 7.0 unterstützt eine detaillierte Event-Auditierung von Ereignissen wie Login, Logout, Objektzugriffe und Verwaltungsaufgaben, die alle in einem Prüfpfad-Protokoll festgehalten werden. Dieses enthält unschätzbare Informationen um sicherheitskritische Ereignisse zu überprüfen, Versuche aufzudecken, die Sicherheitsvorkehrungen zu umgehen, die Nutzung von Privilegien nachzuverfolgen und von versuchte Angriffen abzuschrecken, da Audit Logging Eingriffe erfasst, sowie forensische Analysen auszuführen.
Aufspaltung der Root-Privilegien in feiner abgestufte Kompetenzen
Bei LynxOS 7.0 informieren die Auditaufzeichnungen über die Natur, den Verursacher und den Erfolg bzw. Misserfolg des auditierten Ereignisses. Das Betriebssystem stellt Werkzeuge bereit, um das Audit-Ereignis live zu überwachen während es passiert und die Aufzeichnungen im Prüfpfad zu analysieren um die vernetzten Objekte noch sicherer zu machen. Rollenspiele und Leistungsvermögen sorgen für feinere Privilegierungsstufen für Nutzerzugangsrechte als das UNIX-Modell. In UNIX- und ähnlichen Systemen ist die Ausführung von Verwaltungshandlungen dem Root User vorbehalten. Dieser ist vollständig bevorrechtigt, das gesamte System zu sehen und modifizieren, ob diese Privilegien durch die ursprünglich vorliegende Aufgabe nun erforderlich waren oder nicht. Normale Nutzer hingegen hatten gar keine Administratorrechte. Ein gewöhnlicher Benutzer könnte nur das tun was ihm die User-ID oder Gruppen-ID erlaubten. Die allumfassenden Vorrechte des Root-Status machen diesen anfälliger für Missbrauch, ob unbeabsichtigt oder böswillig. In POSIX.1e ist dieses Problem durch die Aufspaltung der Root-Privilegien in mehrere feiner abgestufte Privilegien bzw. Kompetenzen behoben. Dadurch treten an die Stelle eines übermächtigen Root Users mehrere administrative Rollen mit einer je nach Aufgabe eigenen Teilmenge an Privilegien oder Kompetenzen. Z.B. weisen Administratoren der netadm-Rolle nur Kompetenzen zum Eingriff in das Netzwerk zu (CAP_NET_ADMIN). Eine zweite Rolle auditadm erhalten die Kompetenz Audit-Logs (CAP_AUDIT_CONTROL) zur steuern und Datensätze in diese zu schreiben (CAP_AUDIT_ WRITE). Embedded-Objekte, die unterschiedliche Rollen mit jeweils begrenzten Kapazitäten umsetzen, sind sicherer vor Angriffen, die auf ein bestimmtes Nutzer-Konto im System zielen. Identifikation und Authentifizierung beziehen sich auf den Prozess, durch den ein Netzwerkobjekt eine gültige Nutzeridentität erkennt und diese angebliche Identität verifizieren (authentifizieren) kann. LynxOS 7.0 identifiziert Nutzer über das herkömmliche POSIX.1 User-ID-/ Gruppen-ID-Modell. Hierbei hat jeder Nutzer eine eigene User-ID und gehört einer oder mehrerer Gruppen an.
