next up previous contents
Nächste Seite: 3.6 Ansätze für Sicherungsmaßnahmen Aufwärts: 3. Risikoanalyse für MASA Vorherige Seite: 3.4 Schnittstellen-Sicht   Inhalt

Unterabschnitte


3.5 Zusätzliche Dienste

Neben dem Agentensystem selbst, sind noch zwei CORBA-Dienste für den Betrieb von MASA notwendig. Deren Sicherheitseigenschaften sollten deshalb ebenfalls betrachtet werden.

Beiden Diensten ist gemein, daß jeder in einer eigenen JVM ausgeführt wird. Sicherheitsrelevante Probleme, die aus einem Angriff über den Java-Kanal erfolgen könnten, sind somit ausgeschlossen.

3.5.1 Naming Service

Der CORBA Naming Service wird in MASA durch die CORBA-Laufzeitumgebung Visibroker for Java Version 3.0 bereitgestellt. Ebenso wie für den ORB selbst sind darin für den Naming Service keinerlei Sicherungsmaßnahmen vorgesehen.

Da durch den Naming Service aber der globale Verzeichnisdienst des SmA realisiert ist ([Kemp 98], Kap. 4.5.1) stellt dies eine empfindliche Sicherheitslücke für das gesamte SmA dar. So kann ein beliebiges CORBA-Objekt (und damit jeder Agent) neue Eintragungen im Naming Service vornehmen, bestehende Einträge verändern oder diese entfernen.

Mittels der Veränderung eines Eintrags im Naming Service läßt sich beispielsweise sehr einfach ein Spoofing-Angriff realisieren, indem ein Agent X die Objektreferenz eines anderen Agenten A durch die eigene ersetzt. Erfragt nun eine beliebige Entität im SmA die Objektreferenz von A und kommuniziert dann mit dem hierdurch referenziertem Objekt, im Glauben es handle sich um A. Tatsächlich ist die Entität aber mit X verbunden, womit der Angriff gelungen ist.

Durch Entfernen eines Eintrags aus dem Naming Service können sehr einfach DoS-Attacken durchgeführt werden, indem Agentensysteme und Agenten nach Entfernung ihres Eintrags für andere Entitäten als nicht existent erscheinen, obwohl diese weiterhin ausgeführt werden.

Dem Naming Service selbst ist durch MASA noch ein sehr einfacher HTTP-Server für die Vereinfachung des Bootstrapping-Prozesses zur Seite gestellt, mit dessen Hilfe Agentensysteme initial die Objektreferenz des Naming Service erhalten. Für ihn sind keine Sicherungsmaßnahmen implementiert oder vorgesehen. Alle in Abschnitt 3.3.2 gemachten Aussagen zum HTTP-Kanal gelten hier somit äquivalent.

3.5.2 Event Channel Service

Ebenfalls mittels einer Implementierung durch Visibroker for Java Version 3.0 wird ein CORBA Event Channel Service bereitgestellt, der ungeschützt implementiert ist.

Der Event Channel Service wird in MASA beispielsweise genutzt, um Broadcast-Nachrichten über den Start oder die Terminierung von Agenten und Agentensystemen an andere Entitäten zu versenden.

Vor diesem Hintergrund läßt sich der ungeschützte Event Channel Service für DoS-Attacken nutzen. Man könnte beispielsweise einen Agenten glaubend machen, daß ein anderer Agent, mit dem dieser kooperiert, terminiert wurde, indem eine gefälschte Nachricht über die Terminierungen versandt wird.


next up previous contents
Nächste Seite: 3.6 Ansätze für Sicherungsmaßnahmen Aufwärts: 3. Risikoanalyse für MASA Vorherige Seite: 3.4 Schnittstellen-Sicht   Inhalt
harald@roelle.com