SlideShare ist ein Scribd-Unternehmen logo
1 von 14
Sicherheitsprüfung 
für HP NonStop Systeme 
Vertraulichkeit, Integrität 
und Verfügbarkeit 
optimieren!
Summary 
 Lessons learned einer Sicherheitsprüfung im 
vergangenen Jahr kombiniert mit einigen 
neuen Ideen, um HP NonStop Anwendungen 
gegen Malware und Spyware zu schützen
“Sicherheitsprüfung eines NonStop Rechenzentrums” 
 „NonStop Rechenzentrum“ 
 „Prüfung“ 
 „Sicherheit“ 
 Prüfungsverfahren 
 Checklisten für die Prüfung 
 Audit Trail Analyse 
 Risiko: Denial of Service 
 Risiko: Malware 
 Risiko: Spyware 
 Referenzen
NonStop Rechenzentrum 
 Zentrum mit mehreren NonStop Systemen 
 Guardian, Pathway, TMF, Enscribe, SQL/MP 
 Externer infrastructue-as-a-service Provider
Prüfung 
 Teil eines Audit einer Bank Anwendung 
 Kontrolle der outsourced Datenverarbeitung 
 Gem. BDSG sind 8 Bereiche zu kontrollieren: 
 Zutritt zu Gebäude und Räumen 
 Zugriff auf Hardware und Betriebssystem 
 Zugriffsrechte 
 Daten-Übertragung und -Transport 
 Daten Eingabe 
 Provider / Dienstleister 
 Verfügbarkeit 
 Daten-Trennung
Sicherheit 
 Verfügbarkeit 
 NonStop und RDF 
 Replication Tools für non-audited files 
 Notfall-Planung 
 The Denial-of-Service problem 
 Integrität 
 TMF und audited files 
 Audit Trail Analyse 
 Verfügbarkeit 
 Guardian Security und SAFEGUARD 
 SECOM 
ID Mapping und command level security 
 Schutz gegen Malware und Spyware
Prüfungsverfahren 
 Projekt-Management 
 Vor dem Start der Prüfung 
 Richtlinien für die Dokumentation 
 Tools für Prüfungen 
 Checklisten und Standards 
 Start der Prüfung 
 Aufbauorganisation der beteiligten Unternehmen 
 Bisherige Dokumentation 
 Ergebnisse aus früheren Prüfungen 
 Besondere Risken 
 Prüfung 
 Design und Betrieb
Checklisten für die Prüfung 
Verfügbarkeit Integrität Vertraulichkeit Notfallplanung 
Inventar HW, SW, 
Subsysteme, 
Dateien 
SW Version, 
Data Dictionary 
PROGID, LICENSE, 
System Interfaces 
Planung 
Monitoring HW, SW, 
kritische 
Ereignisse 
Audited DB, 
Audit Trail Analysis, 
Runtime Lib, 
ENSCRIBE data 
Session Log, 
4-Augen-prinzip, 
SAFEGUARD audit, 
SECOM log 
Tests und 
Training 
Control Performanz 
und Tuning, 
DoS Risk 
System und 
subsystem 
Konfiguration, 
Malware Risk 
Deleted data files, 
Backup data, 
Users: super.* and *.super, 
Spyware Risk 
Vertrauliche 
Daten
Audit Trail Analyse 
 Lang laufende Transaktionen 
 Fehlerhafte Transactionen 
 Spezifische Datenfeld/column Änderungen 
 Fehler in Anwendungen 
 Nicht-autorisierte Transactionen
Risiko: Denial of Service 
 Compiler, Binder, Debugger auf Produktionssystem 
 TAL Beispiele: 
 corrupting a cpu 
 ?Source $system.system.extdecs0 (alter_priority_) 
Proc Test Main; 
Begin While 1 do begin alter_priority_(199); End; 
 corrupting a volume 
 ?Source $system.system.extdecs0 (file_create_) 
Proc Test Main; 
Begin String .system[0:35] := „$system“; Int Len := 7; 
While 1 do begin file_Create_(SYSTEM:36,Len); End 
 Aber, die gleichen Effekte lassen sich auch mittels 
TACL-Programmierung erreichen.
Risiko: Malware 
 Security der Dateien, 
die einem „functional user“ gehören 
 Daten- und Programn-Dateien 
 Insbesondere: *CSTM und *LOCL und *CTL files 
 Default „no echo“ von FUP 
 Kommando „Password“ in TACLCSTM löscht aktuelles Passwort. 
 Nutzer und security Einstellungen 
für PATHWAY Management 
 SET PATHWAY OWNER <group>, <user> 
 SET PATHWAY SECURITY “<O or U>"
Risiko: Spyware 
 LINKMON auf „server class“ - Zugriffssicherheit 
SET SERVER OWNER <group>, <user> 
SET SERVER SECURITY “<O or U>" 
 Aber, der Zugriff auf Sever-Prozesse ist noch möglich. 
Default: 
Jeder Prozess kann einen anderen Prozess öffnen 
und eine Nachricht senden. 
 Mögliche Lösungen: 
 Logik im Server Program, um Requestoren zu prüfen 
 SAFEGUARD ACLs auf den Prozessnamen 
 SAFEGUARD und Tool PS-Shell
Referenzen 
 Produkt CS-TP-SPY (Audit Trail Analysis) 
CS-Software Gmbh 
Dr. Werner Alexi 
Schiersteiner Straße 31, 65187 Wiesbaden, Germany 
E-Mail: info@cs-software-gmbh.de 
 Einige Ideen und Tools 
GreenHouse Software & Consulting 
Ingenieurbuero Karl-Heinz Weber 
Heinrichstrasse 12, 45711 Datteln-Horneburg, Germany 
E-Mail: info@greenhouse.de 
 Gegen Visitenkarte: 
Liste der 117 Greenhouse Tools per E-Mail als Geschenk
Peter Haase 
 Programmierer, Trainer, Berater für HP NonStop seit 1981 
 D-56820 Mesenich/Mosel , Kirchstr. 12 
 +49-2673-98600 
 +49-171-8442242 
 info@peterhaase.de 
 www.peterhaase.de

Weitere ähnliche Inhalte

Andere mochten auch

Af21 axis 360 fit ficha tecnica
Af21 axis 360 fit ficha tecnicaAf21 axis 360 fit ficha tecnica
Af21 axis 360 fit ficha tecnica
Ortus Fitness
 
Ficha 1 de motores corriente continua
Ficha 1 de motores corriente continua Ficha 1 de motores corriente continua
Ficha 1 de motores corriente continua
Maxwell Cruz
 
Gallicchio enrique el dllo local en al
Gallicchio enrique el dllo local en alGallicchio enrique el dllo local en al
Gallicchio enrique el dllo local en al
Isabel Ramirez Garces
 
Guia cuarta sesion (1)
Guia cuarta sesion (1)Guia cuarta sesion (1)
Guia cuarta sesion (1)
oscar Lascuray
 
Itfma 2009 charleston_cost_cutting_tool
Itfma 2009 charleston_cost_cutting_toolItfma 2009 charleston_cost_cutting_tool
Itfma 2009 charleston_cost_cutting_tool
Karthik Arumugham
 

Andere mochten auch (12)

Af21 axis 360 fit ficha tecnica
Af21 axis 360 fit ficha tecnicaAf21 axis 360 fit ficha tecnica
Af21 axis 360 fit ficha tecnica
 
Ficha 1 de motores corriente continua
Ficha 1 de motores corriente continua Ficha 1 de motores corriente continua
Ficha 1 de motores corriente continua
 
Gallicchio enrique el dllo local en al
Gallicchio enrique el dllo local en alGallicchio enrique el dllo local en al
Gallicchio enrique el dllo local en al
 
Eread and report white paper
Eread and report white paperEread and report white paper
Eread and report white paper
 
Haustiere genders
Haustiere gendersHaustiere genders
Haustiere genders
 
la moto e le curve stradali
la moto e le curve stradalila moto e le curve stradali
la moto e le curve stradali
 
Guia cuarta sesion (1)
Guia cuarta sesion (1)Guia cuarta sesion (1)
Guia cuarta sesion (1)
 
FERIA GANADERA BENAOCAZ 2012
FERIA GANADERA BENAOCAZ 2012FERIA GANADERA BENAOCAZ 2012
FERIA GANADERA BENAOCAZ 2012
 
Itfma 2009 charleston_cost_cutting_tool
Itfma 2009 charleston_cost_cutting_toolItfma 2009 charleston_cost_cutting_tool
Itfma 2009 charleston_cost_cutting_tool
 
SYNERGYO2 DALE OXIGENO A TU VIDA
SYNERGYO2 DALE OXIGENO A TU VIDASYNERGYO2 DALE OXIGENO A TU VIDA
SYNERGYO2 DALE OXIGENO A TU VIDA
 
Ficha TéCnica Paneles El
Ficha TéCnica Paneles ElFicha TéCnica Paneles El
Ficha TéCnica Paneles El
 
Eficiencia publicitaria mobile Curso Mobile Marketing Sesión 2 IAB University
Eficiencia publicitaria mobile Curso Mobile Marketing Sesión 2 IAB UniversityEficiencia publicitaria mobile Curso Mobile Marketing Sesión 2 IAB University
Eficiencia publicitaria mobile Curso Mobile Marketing Sesión 2 IAB University
 

Ähnlich wie Sicherheitsprüfung für HP NonStop Systeme

Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkSicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Udo Ornik
 
Einsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher Software
Einsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher SoftwareEinsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher Software
Einsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher Software
Andreas Schreiber
 
SplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaSplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case Helvetia
Splunk
 
High Security PHP Applications
High Security PHP ApplicationsHigh Security PHP Applications
High Security PHP Applications
guest0e6d5e
 
07 06 Xpertivy (Office 2003)
07 06 Xpertivy (Office 2003)07 06 Xpertivy (Office 2003)
07 06 Xpertivy (Office 2003)
soreco
 

Ähnlich wie Sicherheitsprüfung für HP NonStop Systeme (20)

Software-Engineering in der Luft- und Raumfahrt mit Open-Source-Tools
Software-Engineering in der Luft- und Raumfahrt mit Open-Source-ToolsSoftware-Engineering in der Luft- und Raumfahrt mit Open-Source-Tools
Software-Engineering in der Luft- und Raumfahrt mit Open-Source-Tools
 
Provenance-Aufzeichnung und -Analyse für Grid-Workflows
Provenance-Aufzeichnung und -Analyse für Grid-WorkflowsProvenance-Aufzeichnung und -Analyse für Grid-Workflows
Provenance-Aufzeichnung und -Analyse für Grid-Workflows
 
CheckAud® for SAP® Systems
CheckAud® for SAP® SystemsCheckAud® for SAP® Systems
CheckAud® for SAP® Systems
 
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
 
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkSicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
 
Einsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher Software
Einsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher SoftwareEinsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher Software
Einsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher Software
 
SplunkLive! Frankfurt 2016 - Helvetia Use Case
SplunkLive! Frankfurt 2016 - Helvetia Use CaseSplunkLive! Frankfurt 2016 - Helvetia Use Case
SplunkLive! Frankfurt 2016 - Helvetia Use Case
 
SplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaSplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case Helvetia
 
SplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaSplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case Helvetia
 
High Security PHP Applications
High Security PHP ApplicationsHigh Security PHP Applications
High Security PHP Applications
 
Basta 2016 - Test- und Releaseumgebungen in der Cloud
Basta 2016 - Test- und Releaseumgebungen in der CloudBasta 2016 - Test- und Releaseumgebungen in der Cloud
Basta 2016 - Test- und Releaseumgebungen in der Cloud
 
Sicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-AnwendungenSicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-Anwendungen
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
 
07 06 Xpertivy (Office 2003)
07 06 Xpertivy (Office 2003)07 06 Xpertivy (Office 2003)
07 06 Xpertivy (Office 2003)
 
Software Entwicklung im Team
Software Entwicklung im TeamSoftware Entwicklung im Team
Software Entwicklung im Team
 
Security Scanner Design am Beispiel von httprecon
Security Scanner Design am Beispiel von httpreconSecurity Scanner Design am Beispiel von httprecon
Security Scanner Design am Beispiel von httprecon
 
Python in der Luft- und Raumfahrt
Python in der Luft- und RaumfahrtPython in der Luft- und Raumfahrt
Python in der Luft- und Raumfahrt
 
SaaS Web 2.0 Dokumentenmanagement
SaaS Web 2.0 Dokumentenmanagement SaaS Web 2.0 Dokumentenmanagement
SaaS Web 2.0 Dokumentenmanagement
 
Proaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat ModelingProaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat Modeling
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSec
 

Mehr von Peter Haase (6)

Digitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-SicherheitDigitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-Sicherheit
 
EU General Data Protection Regulation
EU General Data Protection RegulationEU General Data Protection Regulation
EU General Data Protection Regulation
 
Mod03 linking and accelerating
Mod03 linking and acceleratingMod03 linking and accelerating
Mod03 linking and accelerating
 
Mod02 compilers
Mod02 compilersMod02 compilers
Mod02 compilers
 
Mod01 tns e overview
Mod01 tns e overviewMod01 tns e overview
Mod01 tns e overview
 
Mod00 introduction
Mod00 introductionMod00 introduction
Mod00 introduction
 

Sicherheitsprüfung für HP NonStop Systeme

  • 1. Sicherheitsprüfung für HP NonStop Systeme Vertraulichkeit, Integrität und Verfügbarkeit optimieren!
  • 2. Summary  Lessons learned einer Sicherheitsprüfung im vergangenen Jahr kombiniert mit einigen neuen Ideen, um HP NonStop Anwendungen gegen Malware und Spyware zu schützen
  • 3. “Sicherheitsprüfung eines NonStop Rechenzentrums”  „NonStop Rechenzentrum“  „Prüfung“  „Sicherheit“  Prüfungsverfahren  Checklisten für die Prüfung  Audit Trail Analyse  Risiko: Denial of Service  Risiko: Malware  Risiko: Spyware  Referenzen
  • 4. NonStop Rechenzentrum  Zentrum mit mehreren NonStop Systemen  Guardian, Pathway, TMF, Enscribe, SQL/MP  Externer infrastructue-as-a-service Provider
  • 5. Prüfung  Teil eines Audit einer Bank Anwendung  Kontrolle der outsourced Datenverarbeitung  Gem. BDSG sind 8 Bereiche zu kontrollieren:  Zutritt zu Gebäude und Räumen  Zugriff auf Hardware und Betriebssystem  Zugriffsrechte  Daten-Übertragung und -Transport  Daten Eingabe  Provider / Dienstleister  Verfügbarkeit  Daten-Trennung
  • 6. Sicherheit  Verfügbarkeit  NonStop und RDF  Replication Tools für non-audited files  Notfall-Planung  The Denial-of-Service problem  Integrität  TMF und audited files  Audit Trail Analyse  Verfügbarkeit  Guardian Security und SAFEGUARD  SECOM ID Mapping und command level security  Schutz gegen Malware und Spyware
  • 7. Prüfungsverfahren  Projekt-Management  Vor dem Start der Prüfung  Richtlinien für die Dokumentation  Tools für Prüfungen  Checklisten und Standards  Start der Prüfung  Aufbauorganisation der beteiligten Unternehmen  Bisherige Dokumentation  Ergebnisse aus früheren Prüfungen  Besondere Risken  Prüfung  Design und Betrieb
  • 8. Checklisten für die Prüfung Verfügbarkeit Integrität Vertraulichkeit Notfallplanung Inventar HW, SW, Subsysteme, Dateien SW Version, Data Dictionary PROGID, LICENSE, System Interfaces Planung Monitoring HW, SW, kritische Ereignisse Audited DB, Audit Trail Analysis, Runtime Lib, ENSCRIBE data Session Log, 4-Augen-prinzip, SAFEGUARD audit, SECOM log Tests und Training Control Performanz und Tuning, DoS Risk System und subsystem Konfiguration, Malware Risk Deleted data files, Backup data, Users: super.* and *.super, Spyware Risk Vertrauliche Daten
  • 9. Audit Trail Analyse  Lang laufende Transaktionen  Fehlerhafte Transactionen  Spezifische Datenfeld/column Änderungen  Fehler in Anwendungen  Nicht-autorisierte Transactionen
  • 10. Risiko: Denial of Service  Compiler, Binder, Debugger auf Produktionssystem  TAL Beispiele:  corrupting a cpu  ?Source $system.system.extdecs0 (alter_priority_) Proc Test Main; Begin While 1 do begin alter_priority_(199); End;  corrupting a volume  ?Source $system.system.extdecs0 (file_create_) Proc Test Main; Begin String .system[0:35] := „$system“; Int Len := 7; While 1 do begin file_Create_(SYSTEM:36,Len); End  Aber, die gleichen Effekte lassen sich auch mittels TACL-Programmierung erreichen.
  • 11. Risiko: Malware  Security der Dateien, die einem „functional user“ gehören  Daten- und Programn-Dateien  Insbesondere: *CSTM und *LOCL und *CTL files  Default „no echo“ von FUP  Kommando „Password“ in TACLCSTM löscht aktuelles Passwort.  Nutzer und security Einstellungen für PATHWAY Management  SET PATHWAY OWNER <group>, <user>  SET PATHWAY SECURITY “<O or U>"
  • 12. Risiko: Spyware  LINKMON auf „server class“ - Zugriffssicherheit SET SERVER OWNER <group>, <user> SET SERVER SECURITY “<O or U>"  Aber, der Zugriff auf Sever-Prozesse ist noch möglich. Default: Jeder Prozess kann einen anderen Prozess öffnen und eine Nachricht senden.  Mögliche Lösungen:  Logik im Server Program, um Requestoren zu prüfen  SAFEGUARD ACLs auf den Prozessnamen  SAFEGUARD und Tool PS-Shell
  • 13. Referenzen  Produkt CS-TP-SPY (Audit Trail Analysis) CS-Software Gmbh Dr. Werner Alexi Schiersteiner Straße 31, 65187 Wiesbaden, Germany E-Mail: info@cs-software-gmbh.de  Einige Ideen und Tools GreenHouse Software & Consulting Ingenieurbuero Karl-Heinz Weber Heinrichstrasse 12, 45711 Datteln-Horneburg, Germany E-Mail: info@greenhouse.de  Gegen Visitenkarte: Liste der 117 Greenhouse Tools per E-Mail als Geschenk
  • 14. Peter Haase  Programmierer, Trainer, Berater für HP NonStop seit 1981  D-56820 Mesenich/Mosel , Kirchstr. 12  +49-2673-98600  +49-171-8442242  info@peterhaase.de  www.peterhaase.de