Tolerierung von Angreifern in sicherheitsrelevanten Systemen

Ich habe im Rahmen der Konferenz Sicherheit 2014 ein Paper vorgestellt, welches einen Ansatz skizziert in wie weit die für einige Systeme bereits vorhandene Fehlertoleranz mit geringen zusätzlichen Aufwand genutzt werden kann um auch gegen Angreifer Schutz zu bieten.

Abstract: Malicious attackers can cause severe damage (financially or to the environment) if they gain control of safety-relevant systems. This paper shows why the traditional disjoint treatment of security and fault tolerance has weaknesses if the attacker gains access to the fault tolerant system and how an integrated approach that utilize existing fault tolerance techniques could be an effective security mechanism. An efficient integrated safety and security approach is presented for fault tolerant systems, which achieves protection against attacks via the network by forming a logically isolated (sub-) network which is resilient against a bug in the codebase. Isolation is obtained by diverse design of a general reusable (software and/or hardware) compo- nent that prevents any unauthorized message transfer towards the secured application program. Messages from other compromised nodes are tolerated utilizing existing majority voting mechanism.

Das Paper ist in den Proceedings der Konferenz veröffentlicht worden und auch separate hier zu lesen.

Mini-”Cluster” für Test von verteilten Anwendungen

Um verteilte Anwendungen oder Virtualisierungsplattformen zu evaluieren fehlte mir bisher eine entsprechende Testumgebung.
Da in letzter Zeit verschiedene Projekte Interesse von mir geweckt haben (u. A. ceph, ansible, openstack, ganeti, KVM) habe ich mich nach einer preiswerten und platzsparenden Lösung umgesehen.

Ich habe mich am Ende für vier ID18 Boxen von Zotac entschieden, jeweils mit 4 GB RAM und einer 250GB Festplatte.

Das Setup und alle Experimente werde ich im englischen Teil des Blogs dokumentieren.

Radkarte: Update 31.12.2013

Seit dem letzten Update gibt es ein paar Änderungen:

  • Die Erstellung der notwendigen Programm-Binaries ist nun von der Kartenerstellung getrennt worden, so dass die nicht immer neu gebaut werden müssen.
  • Das Verzeichnis wurde deutlich besser strukturiert, so dass sich andere Entwickler/Kartenbauer leichter zurecht finden sollten.
  • Die Kartennamen wurden auf englisch umgestellt. Für ein einheitliches Namensschema noch etwas zu tun.
  • Es wurden die Kompatibilitätsfiles eingebunden, die für die neuste mkgmap-Version benötigt werden.
  • Die Adresssuche wurde auch in der “SingleMap” aktiviert.

Hilfe für bessere Dokumentation oder Patches für die Karte sind jederzeit willkommen.

Wartungsarbeiten

In den nächsten Stunden/Tagen werde ich einige Wartungsarbeiten an der Infrastruktur vornehmen. Es kann zu einzelnen unterschiedlich langen Ausfällen kommen.

Update: Arbeiten beendet. Größter merkbarer Unterschied sollte sein, dass die Downloads nun auf Port 80 erfolgen.

Radkarte: Update 05.10.2013

Seit dem letzten Update gibt es ein paar Änderungen:

  • Höhenlinien sind nun für alle Länder verfügbar basierend auf den Daten von viewfinderpanoramas.org. Ich bedanke mich für das bereitstellen der Daten und die Erlaubnis die Daten zu nutzen.
  • Die Anforderungen zum selber erstellen von Karten ist nun im ReadMe beschrieben.
  • Die Adresssuche wurde Testweise in der Basiskarte aktiviert.

Hilfe für bessere Dokumentation oder Patches für die Karte sind jederzeit willkommen.

Radkarte: Update 15.09.203

Nachdem die Karten nun auch für andere Länder angeboten werden, habe ich versucht die wesentlichen Seiten für die Radkarte auch (teilautomatisch) auf Englisch anzubieten. Dadurch wurden auch noch einige Posts erneut nach Vorne geholt.

Verbesserungshinweise nehme ich gerne entgegen.