VirtL Logo SourceForge.net Logo

VirtL

Howtos

Tutorials

Manuals

Bedienungsanleitungen

Admin Bedienungsanleitung

Bedienungsanleitung

Sicherheitskonzept

Systemadministration

Deployment

Architektur

Anwendungsfälle Stammdatenverwaltung

Sonstige Anwendungsfälle

Tests

Projektmanagement

Sicherheitskonzept Einleitung

Bei diesem System handelt es sich um eine weitgehend öffentlich zugängliche Applikation. Es muss mit diversen Angriffen von Hackern, Fehleingaben von Benutzern und sonstigen Problemen die ein internetbasiertes System mit sich bringt, gerechnet werden. Um die Stabilität und Integrität des Systems zu gewährleisten werden hier alle notwendigen Aspekte zur Sicherheit beschrieben.

Angriffe von Robotern

Mit Robotern kann versucht werden die Passwörter der User zu knacken und so an die Benutzerdaten zu kommen.

Problembeschreibung

Roboter sind Programme mit denen eine Webseite mit unterschiedlichen Parametern gelesen wird. Je nachdem wie die Webseite auf eine Anfrage reagiert, können hiermit die Zugangsdaten eines Users ausgelesen und für eigene Zwecke verwendet werden. Assholes erstellen diese Roboter und attackieren damit das System.

Maßnahmen

Die Anmeldung an das System wird durch User- Passwort Eingaben durchgeführt. Wenn ein User, oder ein Roboter, sein Passwort falsch eingibt, wird der Account für z.B. drei Sekunden gesperrt. Der User muss somit drei Sekunden auf den nächsten Versuch warten. Gibt der User sein Passwort wieder falsch ein, wird die Zeit quadriert und der User muss somit neun Sekunden auf eine neue Eingabe warten. Diese Wartezeit wächst quadratisch an und ein Roboter wird durch diese Funktion so ausgebremst das der Angriff nur mit sehr wenig Aussicht auf Erfolg durchgeführt werden kann kann.

Website Welcomepage fälschen

Bei diesem Angriff schaltet ein Asshole seine eigene Webseite mit der gleichen Eingabemaske wie die des Systems auf.

Problembeschreibung

Der Asshole verwendet eine sehr ähnliche Webseitenadresse wie die des System.

Beispiel:

Der User vertippt sich und kommt auf die Webseite von Asshole.

Der User gibt seine Zugangsdaten ein und will sich am System anmelden. Die Zugangsdaten werden jedoch zum Asshole weitergeleitet und von diesem für seine Zwecke verwendet.

Maßnahmen

Der User gibt zuerst nur seine UserID dem System bekannt. Das System stellt ihm eine zweite Seite bereit und informiert ihn über seinen letzten Login mit Datum und Zeitstempel, sowie über seine letzten Navigationsschritte im System.

Die letzten Navigationsschritte sind dabei die Angaben bei welchen Medien sich der User aufgehalten hat und was er damit gemacht hat. Falls diese Informationen nicht mit denen des Users übereinstimmen, wird er aufgefordert sich mit dem Systemadministrator in Verbindung zu setzten. Dieser kann sich die Seite von Asshole anschauen und die notwendigen Schritte einleiten und den Vorfall der Polizei übergeben.