# Informationssicherheit, 1. Übung #### G19 Antonia Busse (bussea@uni-bremen.de), Jasper Höötmann (htmann@uni-bremen.de), Kilian Vesshoff (vesshoff@uni-bremen.de) ### Aufgabe 1 - *Telefonfunktion* Wenn ein Problem vor Ort besteht kann der Telefonische Dienst keine schnelle Hilfe leisten und ist somit nicht sehr sinnvoll. Wenn der Kunde sein Parkticket bezahlt hat und ein Problem mit dem verlassen des Parkplatzes hat würde der Telefonische Dienst dies nicht innerhalb der 15 Minuten lösen können. - *Wer könnte der die Angreifende sein? Wie würde er/sie vorgehen?* Jeder Nutzer des Parkplatzes, in diesem Fall Studenten, Wissenschaftliche Mitarbeiter an der Universität aber auch Gäste die die Universität besuchen, im Prinzip jeder. - *Welche Gegenstände bzw. Abläufe müssen geschützt werden?* Die Einfahrt in den Parkplatz sollte nur durch die Schranke möglich sein und auch nur dann wenn ein Parkticket gezogen wird. Außerdem sollte das Verlassen des Parkplatzes nur über die Schranke möglich sein und auch nur dann wenn das Ticket an der Ticketmaschine bezahlt wurde. - *Welche Sicherheitsziele sind inwieweit betroffen?* - *Accountability* Dass nur ein Auto pro Schrankenöffnung durch die Schranke hindurch kommt - *Third-party verifiability* Die Gültigkeit des Parktickets zur Öffnung der Parkschranke hat nur eine fünfzehnminütige Wirkungszeit, falls es zu Stau auf dem Parkplatz kommt und somit einE bereits ZahlendeR erst nach Ablauf der fünfzehn Minuten zur Einlesung des Tickets kommt, bekommt sie/ er trotz Zahlung nicht die vorgesehene Leistung und muss erneut zahlen, selbes bei Unfall. - *Availability* Stromausfall/EMP Zerkratzte oder nasse Codes der Parktickets Schrankenöffnung funktioniert nicht Niemals den Parkplatz verlassen Ausgang komplett blockieren Parkscheinautomat verfügt nicht über Wechselgeld - *Integrity* Ticket aus einem anderen Auto klauen Bewertung der Vorgehensweise Was würdet ihr als Parkplatzbetreiber anders machen? - Den Parkplatz mittels eines Zauns sichern, so dass ein Auto nicht an der Schranke vorbeifahren kann und somit nicht bezahlen muss. - *Wünsche als Parkplatznutzer* Parkscheinautomat nimmt alle Zahlungsmittel an. Parkscheinautomat verfügt über ausreichend Wechselgeld bei Barzahlung. ### Aufgabe 2 Beschreibt für zumindest sechs der Prinzipien in jeweils einigen Sätzen, inwieweit Gegenstände/Abläufe, denen Ihr täglich begegnet, diese umsetzen: #### Principle of Economy of Mechanism The protection mechanism should have a simple and small design. - Schlüsselloch und Schlüssel, wenn das Schloss rechts an der Tür befestigt ist, wird der Schlüssel zum aufschließen nach links gedreht und wenn das Schlüsselloch sich links befindet, wird der Schlüssel zum Öffnen der Tür nach rechts gedreht. (vorrangig in Deutschland) - Feuermelder sind klein und kompakt erfüllen dennoch ihren Sinn. - Ampel, farbiges Licht als Mechanismus. #### Principle of Fail-safe Defaults The protection mechanism should deny access by default, and grant access only when explicit permission exists. - Eine Tür mit Schloss ist geschlossen, bis der richtige Schlüssel genutzt wird. - Ein abgeschlossenes Auto ist abgeschlossen bis es aufgeschlossen wird. - Ein Kindersicherungsgatter fällt aufgrund der Schwere automatisch zu, wenn es geöffnet ist. Sobald das Gatter geschlossen ist, muss ein Knopf gedrückt werden, damit es wieder geöffnet werden kann. #### Principle of Complete Mediation The protection mechanism should check every access to every object. - Einlass im Weserstadion: Bevor man eine initiale Kontrolle durchlaufen hat, hat man keinen Zugang zum Stadion. #### Principle of Open Design The protection mechanism should not depend on attackers being ignorant of its design to succeed (no security by obscurity). It may however be based on the attacker's ignorance of specific information such as passwords or cipher keys. - Bei einem Bügelschloss ist der Öffnungsmechanismus bekannt, jeder Schlüssel verfügt jedoch über Individualität. Verschiedene Umsetzungen des Öffnungsmechanismus geben zusätzliche Individualität. #### Principle of Separation of Privilege The protection mechanism should grant access based on more than one piece of information. - Überprüfung der Identität bei Klausuren mittels Personalausweis und Studentenausweis. #### Principle of Least Privilege The protection mechanism should force every process to operate with the minimum privileges needed to perform its task. - Ein Druck des Knopfes an einer einfachen Kaffemaschine sorgt gleichzeitig dafür, dass das Wasser erhitzt wird und der heiße Kaffee hinauskommt. Die/ der NutzerIn kann keinen Einfluss auf die Menge der Wasserzufuhr, dessen Temperatur etc. #### Principle of Least Common Mechanism The protection mechanism should be shared as little as possible among users. #### Principle of Psychological Acceptability The protection mechanism should be easy to use (at least as easy as not using it) - Fahrradschloss - Zentralverriegelung, schließt direkt die anderen Türen mit. - Feuertür, die automatisch zufällt