Weitere Betrachtungen
Bei der Einrichtung einer TCB sind auch andere Aspekte zu berücksichtigen, so zum Beispiel die Handhabung und Sicherung der Speicher. Diese fällt unter die NIST-Forderung nach Umsetzungsgarantien. Vor einigen Jahren schrieb ich zur Fehlerbehebung in einem ADA-Programm eine Routine um meinen Anteil am Systemspeicher direkt löschen zu können. Zu meiner Überraschung gelang es mir jedoch auf den gesamten Systemspeicher zuzugreifen, so dass ich User-IDs und Passwörter sowie Informationen zu laufenden Prozessen und den Parametern zu deren Aufruf einsehen konnte.
Viele, wenn nicht sogar alle gegenwärtig bestehenden Pufferüberlauf-Probleme lassen sich auf die Handhabung der Speicher zurückführen. Ein Pufferüberlauf kann dann missbräuchlich genutzt werden, wenn der außerhalb des Puffers befindliche Teil dazu verwendet wird, eine Reihe von Anweisungen oder Vorgängen zur Verarbeitung des Pufferinhalts zu speichern. Zum Beispiel könnte eine Log-in-Schwachstelle vorliegen, wenn die User-ID über eine bestimmte Anzahl von Zeichen hinausgeht und dabei der Rest des Strings als Befehl interpretiert wird.
Der Aufruf von Prozessen ist ein weiterer Aspekt beim Aufbau einer TCB. So entdeckten wir damals in unserem Entwicklungslabor, dass wir in der Shell des Betriebssystems einen Befehl ausführen konnten, der in einem Root-Kontext lief, so als ob er von einem Administrator eingegeben worden wäre. Da der Compiler als Root installiert worden war, wurden alle vom Compiler ausgehenden Prozesse als Root ausgeführt. Man kann sich die potenziellen Risiken für das System leicht ausmalen. Dieses stellte definitiv keine Trusted Computing Base dar.
Sicherheit im Mittelpunkt
Es ist sehr wichtig, dass neu entwickelte Anwendungen den Anforderungen der NIST entsprechen. Wenn nachweisbar ist, dass ein System gemäß dem TCB-Konzept erstellt wurde, sind nicht nur die NIST-Bedingungen erfüllt, sondern es besteht auch eine gute Grundlage zur Abwehr von Haftungsklagen aus dem Missbrauch von Schwachstellen.
Telekom bietet als erstes Unternehmen kommerzielles Angebot mit Teuken-7B von OpenGPT-X.
Zur Arbeitserleichterung umgehen Mitarbeiter unter anderem Cybersicherheitsrichtlinien. Dazu gehört wie Wiederverwendung von Kennwörtern für geschäftliche…
Optiktechnologie könnte elektrische Verbindungen in Rechenzentren ersetzen und so Geschwindigkeit und Energieeffizienz für KI erheblich…
Es entsteht im US-Bundesstaat Louisiana. Meta sichert damit den Rechenbedarf für seine KI-Dienste.
Weniger Lärm und ein besserer Verkehrsfluss sind die einzigen Vorteile, der die Mehrheit der Bevölkerung…
Laut EY haben innerhalb eines Jahres 22 Prozent der Haushalte ihren Provider gewechselt – nirgendwo…