SlideShare ist ein Scribd-Unternehmen logo

Sicherheitsprüfung für HP NonStop Systeme

Peter Haase
Peter Haase

Vertraulichkeit, Integrität und Verfügbarkeit optimieren!

Leadership & Management
1 von 14
Sicherheitsprüfung für HP NonStop Systeme Vertraulichkeit, Integrität und Verfügbarkeit optimieren!
Summary  Lessons learned einer Sicherheitsprüfung im vergangenen Jahr kombiniert mit einigen neuen Ideen, um HP NonStop Anwendungen gegen Malware und Spyware zu schützen
“Sicherheitsprüfung eines NonStop Rechenzentrums”  „NonStop Rechenzentrum“  „Prüfung“  „Sicherheit“  Prüfungsverfahren  Checklisten für die Prüfung  Audit Trail Analyse  Risiko: Denial of Service  Risiko: Malware  Risiko: Spyware  Referenzen
NonStop Rechenzentrum  Zentrum mit mehreren NonStop Systemen  Guardian, Pathway, TMF, Enscribe, SQL/MP  Externer infrastructue-as-a-service Provider
Prüfung  Teil eines Audit einer Bank Anwendung  Kontrolle der outsourced Datenverarbeitung  Gem. BDSG sind 8 Bereiche zu kontrollieren:  Zutritt zu Gebäude und Räumen  Zugriff auf Hardware und Betriebssystem  Zugriffsrechte  Daten-Übertragung und -Transport  Daten Eingabe  Provider / Dienstleister  Verfügbarkeit  Daten-Trennung
Sicherheit  Verfügbarkeit  NonStop und RDF  Replication Tools für non-audited files  Notfall-Planung  The Denial-of-Service problem  Integrität  TMF und audited files  Audit Trail Analyse  Verfügbarkeit  Guardian Security und SAFEGUARD  SECOM ID Mapping und command level security  Schutz gegen Malware und Spyware
Prüfungsverfahren  Projekt-Management  Vor dem Start der Prüfung  Richtlinien für die Dokumentation  Tools für Prüfungen  Checklisten und Standards  Start der Prüfung  Aufbauorganisation der beteiligten Unternehmen  Bisherige Dokumentation  Ergebnisse aus früheren Prüfungen  Besondere Risken  Prüfung  Design und Betrieb
Checklisten für die Prüfung Verfügbarkeit Integrität Vertraulichkeit Notfallplanung Inventar HW, SW, Subsysteme, Dateien SW Version, Data Dictionary PROGID, LICENSE, System Interfaces Planung Monitoring HW, SW, kritische Ereignisse Audited DB, Audit Trail Analysis, Runtime Lib, ENSCRIBE data Session Log, 4-Augen-prinzip, SAFEGUARD audit, SECOM log Tests und Training Control Performanz und Tuning, DoS Risk System und subsystem Konfiguration, Malware Risk Deleted data files, Backup data, Users: super.* and *.super, Spyware Risk Vertrauliche Daten
Audit Trail Analyse  Lang laufende Transaktionen  Fehlerhafte Transactionen  Spezifische Datenfeld/column Änderungen  Fehler in Anwendungen  Nicht-autorisierte Transactionen
Risiko: Denial of Service  Compiler, Binder, Debugger auf Produktionssystem  TAL Beispiele:  corrupting a cpu  ?Source $system.system.extdecs0 (alter_priority_) Proc Test Main; Begin While 1 do begin alter_priority_(199); End;  corrupting a volume  ?Source $system.system.extdecs0 (file_create_) Proc Test Main; Begin String .system[0:35] := „$system“; Int Len := 7; While 1 do begin file_Create_(SYSTEM:36,Len); End  Aber, die gleichen Effekte lassen sich auch mittels TACL-Programmierung erreichen.
Risiko: Malware  Security der Dateien, die einem „functional user“ gehören  Daten- und Programn-Dateien  Insbesondere: *CSTM und *LOCL und *CTL files  Default „no echo“ von FUP  Kommando „Password“ in TACLCSTM löscht aktuelles Passwort.  Nutzer und security Einstellungen für PATHWAY Management  SET PATHWAY OWNER <group>, <user>  SET PATHWAY SECURITY “<O or U>"
Risiko: Spyware  LINKMON auf „server class“ - Zugriffssicherheit SET SERVER OWNER <group>, <user> SET SERVER SECURITY “<O or U>"  Aber, der Zugriff auf Sever-Prozesse ist noch möglich. Default: Jeder Prozess kann einen anderen Prozess öffnen und eine Nachricht senden.  Mögliche Lösungen:  Logik im Server Program, um Requestoren zu prüfen  SAFEGUARD ACLs auf den Prozessnamen  SAFEGUARD und Tool PS-Shell
Referenzen  Produkt CS-TP-SPY (Audit Trail Analysis) CS-Software Gmbh Dr. Werner Alexi Schiersteiner Straße 31, 65187 Wiesbaden, Germany E-Mail: info@cs-software-gmbh.de  Einige Ideen und Tools GreenHouse Software & Consulting Ingenieurbuero Karl-Heinz Weber Heinrichstrasse 12, 45711 Datteln-Horneburg, Germany E-Mail: info@greenhouse.de  Gegen Visitenkarte: Liste der 117 Greenhouse Tools per E-Mail als Geschenk
Peter Haase  Programmierer, Trainer, Berater für HP NonStop seit 1981  D-56820 Mesenich/Mosel , Kirchstr. 12  +49-2673-98600  +49-171-8442242  info@peterhaase.de  www.peterhaase.de

Empfohlen

Mod06 new development tools
Mod06 new development toolsMod06 new development tools
Mod06 new development toolsPeter Haase
 
Mod05 application migration
Mod05 application migrationMod05 application migration
Mod05 application migrationPeter Haase
 
Mod04 debuggers
Mod04 debuggersMod04 debuggers
Mod04 debuggersPeter Haase
 
La pericultora
La pericultoraLa pericultora
La pericultoraFilomena Arias
 
Blog arq
Blog arqBlog arq
Blog arqDIEGO GARZON
 
Stone crushing plant
Stone crushing plantStone crushing plant
Stone crushing plantHenan Hongxing Mining Machinery Co., Ltd.
 
Engage product overview pfd
Engage product overview pfdEngage product overview pfd
Engage product overview pfdpporrini444
 
Gestão da Identidade
Gestão da IdentidadeGestão da Identidade
Gestão da Identidadeguestb6868d
 

Empfohlen

Mod06 new development tools
Mod06 new development toolsMod06 new development tools
Mod06 new development toolsPeter Haase
 
Mod05 application migration
Mod05 application migrationMod05 application migration
Mod05 application migrationPeter Haase
 
Mod04 debuggers
Mod04 debuggersMod04 debuggers
Mod04 debuggersPeter Haase
 
La pericultora
La pericultoraLa pericultora
La pericultoraFilomena Arias
 
Blog arq
Blog arqBlog arq
Blog arqDIEGO GARZON
 
Stone crushing plant
Stone crushing plantStone crushing plant
Stone crushing plantHenan Hongxing Mining Machinery Co., Ltd.
 
Engage product overview pfd
Engage product overview pfdEngage product overview pfd
Engage product overview pfdpporrini444
 
Gestão da Identidade
Gestão da IdentidadeGestão da Identidade
Gestão da Identidadeguestb6868d
 
Af21 axis 360 fit ficha tecnica
Af21 axis 360 fit ficha tecnicaAf21 axis 360 fit ficha tecnica
Af21 axis 360 fit ficha tecnicaOrtus Fitness
 
Ficha 1 de motores corriente continua
Ficha 1 de motores corriente continua Ficha 1 de motores corriente continua
Ficha 1 de motores corriente continua Maxwell Cruz
 
Gallicchio enrique el dllo local en al
Gallicchio enrique el dllo local en alGallicchio enrique el dllo local en al
Gallicchio enrique el dllo local en alIsabel Ramirez Garces
 
Eread and report white paper
Eread and report white paperEread and report white paper
Eread and report white paperWKM3rd
 
Haustiere genders
Haustiere gendersHaustiere genders
Haustiere gendersJudy Adams
 
la moto e le curve stradali
la moto e le curve stradalila moto e le curve stradali
la moto e le curve stradaliPaolo Pasquinelli
 
Guia cuarta sesion (1)
Guia cuarta sesion (1)Guia cuarta sesion (1)
Guia cuarta sesion (1)oscar Lascuray
 
FERIA GANADERA BENAOCAZ 2012
FERIA GANADERA BENAOCAZ 2012FERIA GANADERA BENAOCAZ 2012
FERIA GANADERA BENAOCAZ 2012Benaocaz GanaderayNatural
 
Itfma 2009 charleston_cost_cutting_tool
Itfma 2009 charleston_cost_cutting_toolItfma 2009 charleston_cost_cutting_tool
Itfma 2009 charleston_cost_cutting_toolKarthik Arumugham
 
SYNERGYO2 DALE OXIGENO A TU VIDA
SYNERGYO2 DALE OXIGENO A TU VIDASYNERGYO2 DALE OXIGENO A TU VIDA
SYNERGYO2 DALE OXIGENO A TU VIDACarlos Felix
 
Ficha TéCnica Paneles El
Ficha TéCnica Paneles ElFicha TéCnica Paneles El
Ficha TéCnica Paneles ElPLAZALED S.L.
 
Eficiencia publicitaria mobile Curso Mobile Marketing Sesión 2 IAB University
Eficiencia publicitaria mobile Curso Mobile Marketing Sesión 2 IAB UniversityEficiencia publicitaria mobile Curso Mobile Marketing Sesión 2 IAB University
Eficiencia publicitaria mobile Curso Mobile Marketing Sesión 2 IAB UniversityQustodian España
 
Software-Engineering in der Luft- und Raumfahrt mit Open-Source-Tools
Software-Engineering in der Luft- und Raumfahrt mit Open-Source-ToolsSoftware-Engineering in der Luft- und Raumfahrt mit Open-Source-Tools
Software-Engineering in der Luft- und Raumfahrt mit Open-Source-ToolsAndreas Schreiber
 
Provenance-Aufzeichnung und -Analyse für Grid-Workflows
Provenance-Aufzeichnung und -Analyse für Grid-WorkflowsProvenance-Aufzeichnung und -Analyse für Grid-Workflows
Provenance-Aufzeichnung und -Analyse für Grid-WorkflowsAndreas Schreiber
 
CheckAud® for SAP® Systems
CheckAud® for SAP® SystemsCheckAud® for SAP® Systems
CheckAud® for SAP® SystemsIBS Schreiber GmbH
 
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?Marc Müller
 
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkSicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkUdo Ornik
 
Einsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher Software
Einsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher SoftwareEinsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher Software
Einsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher SoftwareAndreas Schreiber
 
SplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaSplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaGeorg Knon
 
SplunkLive! Frankfurt 2016 - Helvetia Use Case
SplunkLive! Frankfurt 2016 - Helvetia Use CaseSplunkLive! Frankfurt 2016 - Helvetia Use Case
SplunkLive! Frankfurt 2016 - Helvetia Use CaseSplunk
 
SplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaSplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaSplunk
 
High Security PHP Applications
High Security PHP ApplicationsHigh Security PHP Applications
High Security PHP Applicationsguest0e6d5e
 

Weitere ähnliche Inhalte

Andere mochten auch

Af21 axis 360 fit ficha tecnica
Af21 axis 360 fit ficha tecnicaAf21 axis 360 fit ficha tecnica
Af21 axis 360 fit ficha tecnicaOrtus Fitness
 
Ficha 1 de motores corriente continua
Ficha 1 de motores corriente continua Ficha 1 de motores corriente continua
Ficha 1 de motores corriente continua Maxwell Cruz
 
Gallicchio enrique el dllo local en al
Gallicchio enrique el dllo local en alGallicchio enrique el dllo local en al
Gallicchio enrique el dllo local en alIsabel Ramirez Garces
 
Eread and report white paper
Eread and report white paperEread and report white paper
Eread and report white paperWKM3rd
 
Haustiere genders
Haustiere gendersHaustiere genders
Haustiere gendersJudy Adams
 
Guia cuarta sesion (1)
Guia cuarta sesion (1)Guia cuarta sesion (1)
Guia cuarta sesion (1)oscar Lascuray
 
Itfma 2009 charleston_cost_cutting_tool
Itfma 2009 charleston_cost_cutting_toolItfma 2009 charleston_cost_cutting_tool
Itfma 2009 charleston_cost_cutting_toolKarthik Arumugham
 
SYNERGYO2 DALE OXIGENO A TU VIDA
SYNERGYO2 DALE OXIGENO A TU VIDASYNERGYO2 DALE OXIGENO A TU VIDA
SYNERGYO2 DALE OXIGENO A TU VIDACarlos Felix
 
Ficha TéCnica Paneles El
Ficha TéCnica Paneles ElFicha TéCnica Paneles El
Ficha TéCnica Paneles ElPLAZALED S.L.
 
Eficiencia publicitaria mobile Curso Mobile Marketing Sesión 2 IAB University
Eficiencia publicitaria mobile Curso Mobile Marketing Sesión 2 IAB UniversityEficiencia publicitaria mobile Curso Mobile Marketing Sesión 2 IAB University
Eficiencia publicitaria mobile Curso Mobile Marketing Sesión 2 IAB UniversityQustodian España
 

Andere mochten auch (12)

Af21 axis 360 fit ficha tecnica
Af21 axis 360 fit ficha tecnicaAf21 axis 360 fit ficha tecnica
Af21 axis 360 fit ficha tecnica
 
Ficha 1 de motores corriente continua
Ficha 1 de motores corriente continua Ficha 1 de motores corriente continua
Ficha 1 de motores corriente continua
 
Gallicchio enrique el dllo local en al
Gallicchio enrique el dllo local en alGallicchio enrique el dllo local en al
Gallicchio enrique el dllo local en al
 
Eread and report white paper
Eread and report white paperEread and report white paper
Eread and report white paper
 
Haustiere genders
Haustiere gendersHaustiere genders
Haustiere genders
 
la moto e le curve stradali
la moto e le curve stradalila moto e le curve stradali
la moto e le curve stradali
 
Guia cuarta sesion (1)
Guia cuarta sesion (1)Guia cuarta sesion (1)
Guia cuarta sesion (1)
 
FERIA GANADERA BENAOCAZ 2012
FERIA GANADERA BENAOCAZ 2012FERIA GANADERA BENAOCAZ 2012
FERIA GANADERA BENAOCAZ 2012
 
Itfma 2009 charleston_cost_cutting_tool
Itfma 2009 charleston_cost_cutting_toolItfma 2009 charleston_cost_cutting_tool
Itfma 2009 charleston_cost_cutting_tool
 
SYNERGYO2 DALE OXIGENO A TU VIDA
SYNERGYO2 DALE OXIGENO A TU VIDASYNERGYO2 DALE OXIGENO A TU VIDA
SYNERGYO2 DALE OXIGENO A TU VIDA
 
Ficha TéCnica Paneles El
Ficha TéCnica Paneles ElFicha TéCnica Paneles El
Ficha TéCnica Paneles El
 
Eficiencia publicitaria mobile Curso Mobile Marketing Sesión 2 IAB University
Eficiencia publicitaria mobile Curso Mobile Marketing Sesión 2 IAB UniversityEficiencia publicitaria mobile Curso Mobile Marketing Sesión 2 IAB University
Eficiencia publicitaria mobile Curso Mobile Marketing Sesión 2 IAB University
 

Ähnlich wie Sicherheitsprüfung für HP NonStop Systeme

Software-Engineering in der Luft- und Raumfahrt mit Open-Source-Tools
Software-Engineering in der Luft- und Raumfahrt mit Open-Source-ToolsSoftware-Engineering in der Luft- und Raumfahrt mit Open-Source-Tools
Software-Engineering in der Luft- und Raumfahrt mit Open-Source-ToolsAndreas Schreiber
 
Provenance-Aufzeichnung und -Analyse für Grid-Workflows
Provenance-Aufzeichnung und -Analyse für Grid-WorkflowsProvenance-Aufzeichnung und -Analyse für Grid-Workflows
Provenance-Aufzeichnung und -Analyse für Grid-WorkflowsAndreas Schreiber
 
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?Marc Müller
 
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkSicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkUdo Ornik
 
Einsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher Software
Einsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher SoftwareEinsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher Software
Einsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher SoftwareAndreas Schreiber
 
SplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaSplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaGeorg Knon
 
SplunkLive! Frankfurt 2016 - Helvetia Use Case
SplunkLive! Frankfurt 2016 - Helvetia Use CaseSplunkLive! Frankfurt 2016 - Helvetia Use Case
SplunkLive! Frankfurt 2016 - Helvetia Use CaseSplunk
 
SplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaSplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaSplunk
 
High Security PHP Applications
High Security PHP ApplicationsHigh Security PHP Applications
High Security PHP Applicationsguest0e6d5e
 
Basta 2016 - Test- und Releaseumgebungen in der Cloud
Basta 2016 - Test- und Releaseumgebungen in der CloudBasta 2016 - Test- und Releaseumgebungen in der Cloud
Basta 2016 - Test- und Releaseumgebungen in der CloudMarc Müller
 
Sicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-AnwendungenSicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-AnwendungenPhilipp Burgmer
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Securitykuehlhaus AG
 
07 06 Xpertivy (Office 2003)
07 06 Xpertivy (Office 2003)07 06 Xpertivy (Office 2003)
07 06 Xpertivy (Office 2003)soreco
 
Software Entwicklung im Team
Software Entwicklung im TeamSoftware Entwicklung im Team
Software Entwicklung im Teambrandts
 
Security Scanner Design am Beispiel von httprecon
Security Scanner Design am Beispiel von httpreconSecurity Scanner Design am Beispiel von httprecon
Security Scanner Design am Beispiel von httpreconMarc Ruef
 
Python in der Luft- und Raumfahrt
Python in der Luft- und RaumfahrtPython in der Luft- und Raumfahrt
Python in der Luft- und RaumfahrtAndreas Schreiber
 
SaaS Web 2.0 Dokumentenmanagement
SaaS Web 2.0 Dokumentenmanagement SaaS Web 2.0 Dokumentenmanagement
SaaS Web 2.0 Dokumentenmanagement Bjoern Reinhold
 
Proaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat ModelingProaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat ModelingPhilippe A. R. Schaeffer
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecMario-Leander Reimer
 

Ähnlich wie Sicherheitsprüfung für HP NonStop Systeme (20)

Software-Engineering in der Luft- und Raumfahrt mit Open-Source-Tools
Software-Engineering in der Luft- und Raumfahrt mit Open-Source-ToolsSoftware-Engineering in der Luft- und Raumfahrt mit Open-Source-Tools
Software-Engineering in der Luft- und Raumfahrt mit Open-Source-Tools
 
Provenance-Aufzeichnung und -Analyse für Grid-Workflows
Provenance-Aufzeichnung und -Analyse für Grid-WorkflowsProvenance-Aufzeichnung und -Analyse für Grid-Workflows
Provenance-Aufzeichnung und -Analyse für Grid-Workflows
 
CheckAud® for SAP® Systems
CheckAud® for SAP® SystemsCheckAud® for SAP® Systems
CheckAud® for SAP® Systems
 
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
 
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkSicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
 
Einsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher Software
Einsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher SoftwareEinsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher Software
Einsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher Software
 
SplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaSplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case Helvetia
 
SplunkLive! Frankfurt 2016 - Helvetia Use Case
SplunkLive! Frankfurt 2016 - Helvetia Use CaseSplunkLive! Frankfurt 2016 - Helvetia Use Case
SplunkLive! Frankfurt 2016 - Helvetia Use Case
 
SplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaSplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case Helvetia
 
High Security PHP Applications
High Security PHP ApplicationsHigh Security PHP Applications
High Security PHP Applications
 
Basta 2016 - Test- und Releaseumgebungen in der Cloud
Basta 2016 - Test- und Releaseumgebungen in der CloudBasta 2016 - Test- und Releaseumgebungen in der Cloud
Basta 2016 - Test- und Releaseumgebungen in der Cloud
 
Sicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-AnwendungenSicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-Anwendungen
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
 
07 06 Xpertivy (Office 2003)
07 06 Xpertivy (Office 2003)07 06 Xpertivy (Office 2003)
07 06 Xpertivy (Office 2003)
 
Software Entwicklung im Team
Software Entwicklung im TeamSoftware Entwicklung im Team
Software Entwicklung im Team
 
Security Scanner Design am Beispiel von httprecon
Security Scanner Design am Beispiel von httpreconSecurity Scanner Design am Beispiel von httprecon
Security Scanner Design am Beispiel von httprecon
 
Python in der Luft- und Raumfahrt
Python in der Luft- und RaumfahrtPython in der Luft- und Raumfahrt
Python in der Luft- und Raumfahrt
 
SaaS Web 2.0 Dokumentenmanagement
SaaS Web 2.0 Dokumentenmanagement SaaS Web 2.0 Dokumentenmanagement
SaaS Web 2.0 Dokumentenmanagement
 
Proaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat ModelingProaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat Modeling
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSec
 

Mehr von Peter Haase

Digitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-SicherheitDigitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-SicherheitPeter Haase
 
EU General Data Protection Regulation
EU General Data Protection RegulationEU General Data Protection Regulation
EU General Data Protection RegulationPeter Haase
 
Mod03 linking and accelerating
Mod03 linking and acceleratingMod03 linking and accelerating
Mod03 linking and acceleratingPeter Haase
 
Mod01 tns e overview
Mod01 tns e overviewMod01 tns e overview
Mod01 tns e overviewPeter Haase
 
Mod00 introduction
Mod00 introductionMod00 introduction
Mod00 introductionPeter Haase
 

Mehr von Peter Haase (6)

Digitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-SicherheitDigitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-Sicherheit
 
EU General Data Protection Regulation
EU General Data Protection RegulationEU General Data Protection Regulation
EU General Data Protection Regulation
 
Mod03 linking and accelerating
Mod03 linking and acceleratingMod03 linking and accelerating
Mod03 linking and accelerating
 
Mod02 compilers
Mod02 compilersMod02 compilers
Mod02 compilers
 
Mod01 tns e overview
Mod01 tns e overviewMod01 tns e overview
Mod01 tns e overview
 
Mod00 introduction
Mod00 introductionMod00 introduction
Mod00 introduction
 

Sicherheitsprüfung für HP NonStop Systeme

  • 1. Sicherheitsprüfung für HP NonStop Systeme Vertraulichkeit, Integrität und Verfügbarkeit optimieren!
  • 2. Summary  Lessons learned einer Sicherheitsprüfung im vergangenen Jahr kombiniert mit einigen neuen Ideen, um HP NonStop Anwendungen gegen Malware und Spyware zu schützen
  • 3. “Sicherheitsprüfung eines NonStop Rechenzentrums”  „NonStop Rechenzentrum“  „Prüfung“  „Sicherheit“  Prüfungsverfahren  Checklisten für die Prüfung  Audit Trail Analyse  Risiko: Denial of Service  Risiko: Malware  Risiko: Spyware  Referenzen
  • 4. NonStop Rechenzentrum  Zentrum mit mehreren NonStop Systemen  Guardian, Pathway, TMF, Enscribe, SQL/MP  Externer infrastructue-as-a-service Provider
  • 5. Prüfung  Teil eines Audit einer Bank Anwendung  Kontrolle der outsourced Datenverarbeitung  Gem. BDSG sind 8 Bereiche zu kontrollieren:  Zutritt zu Gebäude und Räumen  Zugriff auf Hardware und Betriebssystem  Zugriffsrechte  Daten-Übertragung und -Transport  Daten Eingabe  Provider / Dienstleister  Verfügbarkeit  Daten-Trennung
  • 6. Sicherheit  Verfügbarkeit  NonStop und RDF  Replication Tools für non-audited files  Notfall-Planung  The Denial-of-Service problem  Integrität  TMF und audited files  Audit Trail Analyse  Verfügbarkeit  Guardian Security und SAFEGUARD  SECOM ID Mapping und command level security  Schutz gegen Malware und Spyware
  • 7. Prüfungsverfahren  Projekt-Management  Vor dem Start der Prüfung  Richtlinien für die Dokumentation  Tools für Prüfungen  Checklisten und Standards  Start der Prüfung  Aufbauorganisation der beteiligten Unternehmen  Bisherige Dokumentation  Ergebnisse aus früheren Prüfungen  Besondere Risken  Prüfung  Design und Betrieb
  • 8. Checklisten für die Prüfung Verfügbarkeit Integrität Vertraulichkeit Notfallplanung Inventar HW, SW, Subsysteme, Dateien SW Version, Data Dictionary PROGID, LICENSE, System Interfaces Planung Monitoring HW, SW, kritische Ereignisse Audited DB, Audit Trail Analysis, Runtime Lib, ENSCRIBE data Session Log, 4-Augen-prinzip, SAFEGUARD audit, SECOM log Tests und Training Control Performanz und Tuning, DoS Risk System und subsystem Konfiguration, Malware Risk Deleted data files, Backup data, Users: super.* and *.super, Spyware Risk Vertrauliche Daten
  • 9. Audit Trail Analyse  Lang laufende Transaktionen  Fehlerhafte Transactionen  Spezifische Datenfeld/column Änderungen  Fehler in Anwendungen  Nicht-autorisierte Transactionen
  • 10. Risiko: Denial of Service  Compiler, Binder, Debugger auf Produktionssystem  TAL Beispiele:  corrupting a cpu  ?Source $system.system.extdecs0 (alter_priority_) Proc Test Main; Begin While 1 do begin alter_priority_(199); End;  corrupting a volume  ?Source $system.system.extdecs0 (file_create_) Proc Test Main; Begin String .system[0:35] := „$system“; Int Len := 7; While 1 do begin file_Create_(SYSTEM:36,Len); End  Aber, die gleichen Effekte lassen sich auch mittels TACL-Programmierung erreichen.
  • 11. Risiko: Malware  Security der Dateien, die einem „functional user“ gehören  Daten- und Programn-Dateien  Insbesondere: *CSTM und *LOCL und *CTL files  Default „no echo“ von FUP  Kommando „Password“ in TACLCSTM löscht aktuelles Passwort.  Nutzer und security Einstellungen für PATHWAY Management  SET PATHWAY OWNER <group>, <user>  SET PATHWAY SECURITY “<O or U>"
  • 12. Risiko: Spyware  LINKMON auf „server class“ - Zugriffssicherheit SET SERVER OWNER <group>, <user> SET SERVER SECURITY “<O or U>"  Aber, der Zugriff auf Sever-Prozesse ist noch möglich. Default: Jeder Prozess kann einen anderen Prozess öffnen und eine Nachricht senden.  Mögliche Lösungen:  Logik im Server Program, um Requestoren zu prüfen  SAFEGUARD ACLs auf den Prozessnamen  SAFEGUARD und Tool PS-Shell
  • 13. Referenzen  Produkt CS-TP-SPY (Audit Trail Analysis) CS-Software Gmbh Dr. Werner Alexi Schiersteiner Straße 31, 65187 Wiesbaden, Germany E-Mail: info@cs-software-gmbh.de  Einige Ideen und Tools GreenHouse Software & Consulting Ingenieurbuero Karl-Heinz Weber Heinrichstrasse 12, 45711 Datteln-Horneburg, Germany E-Mail: info@greenhouse.de  Gegen Visitenkarte: Liste der 117 Greenhouse Tools per E-Mail als Geschenk
  • 14. Peter Haase  Programmierer, Trainer, Berater für HP NonStop seit 1981  D-56820 Mesenich/Mosel , Kirchstr. 12  +49-2673-98600  +49-171-8442242  info@peterhaase.de  www.peterhaase.de