|
|
We need to add more precise definitions of the terms used.
Here are the German definitions recommended (Google translate required)
9.1.3 Prüfung der Definitionen der Bedrohungstypen
Im Folgenden wurden die Definitionen der Bedrohungstypen aus Part 2 bei Bedarf eingeschränkt oder verschärft, so dass die daraus resultierenden Bedrohungstypen disjunkte Mengen bilden.
Message flooding:
'message flooding' wird durch den Bedrohungstyp 'denial of service' ersetzt, der nicht nur Angriffe auf die Kommunikation direkt umfasst, sondern allgemein Angriffe bezeichnet, die zum Ziel haben, die Verfügbarkeit eines IT Systems, einer Anwendung etc. zu stören oder ganz auszuschalten.
Message spoofing:
Der Bedrohungstyp message spoofing entspricht nicht der Definition von spoofing, wie sie in der IT Sicherheit üblicherweise verstanden wird. Spoofing beinhaltet immer das Vorgaukeln von Identitäten (Person, Applikation, Prozess, usw.) und diese Interpretation von message spoofing wurde für die weitere Analyse zugrunde gelegt. Um message spoofing von session hijacking zu unterscheiden, wurde davon ausgegangen, dass beim message spoofing ausschließlich ein neuer Kommunikationskanal aufgebaut wird. Das Eingreifen in eine bestehende Kommunikation fällt unter session hijacking.
Malformed messages:
Für die weitere Analyse wurde folgende Annahme getroffen: Bei der Bedrohung malformed messages erzeugt oder modifiziert ein Angreifer eine Nachricht so, dass sie vom Format her fehlerhaft ist. Eine Nachricht mit falscher Signatur würde nach dieser Definition unter message spoofing fallen (der Angreifer gaukelt eine Identität vor), eine Nachricht mit falschen Längenangaben von Feldgrößen unter malformed messages.
Rogue server:
Die in Part 2 enthaltene Definition von rogue server kann eng oder sehr weit interpretiert werden. Wenn ein beliebiger OPC UA Server als rogue server in die OPC UA Kommunikationsinfrastruktur eingeschleust werden kann, dann sind prinzipiell alle Schutzziele bedroht. Wenn der rogue server sich zudem als ein anderer, autorisierter OPC UA Server ausgeben kann, sind die Schutzziele deutlich stärker bedroht. Wie ein rogue server zu verstehen ist, wird in der Spezifikation aber nicht weiter beschrieben. In der weiteren Analyse wird die Bedrohung rogue server so interpretiert, dass der Angreifer einen OPC UA Server einschleusen kann, dieser aber nicht einen anderen, autorisierten OPC UA Server vorgaukeln kann.
Compromising user credentials:
Die Bedrohung compromising user credentials wurde so interpretiert, dass es nicht nur um eine Kompromittierung der bei der Benutzerauthentifizierung benötigten Daten geht, sondern auch um die Kompromittierung der bei der Applikationsauthentifizierung benötigten Daten. |
|
|
The following are the definitions of the types of threats from Part 2 were restricted when necessary or tightened so that the resulting threat types form disjoint sets.
Message flooding:
'Message flooding' is replaced by the type of threat 'denial of service', which includes not only attacks on the communications directly, but generally referred to attacks, which aim to disrupt the availability of an IT system, an application, etc. or eliminate ,
Message spoofing:
The threat type message spoofing not meet the definition of spoofing, as it is in the IT security commonly understood. Spoofing involves getting the delusion of identities (person, application, process, etc.) and this interpretation of message spoofing has been used for further analysis. To message spoofing indistinguishable from session hijacking, it was assumed that only a new communication channel is set up at the message spoofing. The intervention in an existing communication falls below session hijacking.
Malformed messages:
For further analysis, the following assumption has been made: In the generated threat malformed messages or modified an attacker a message so that it is its format error. A message with a false signature would fall under this definition message spoofing (the attacker pretends an identity before), a message with incorrect length information field sizes on malformed messages.
Rogue server:
The definition contained in Part 2 of rogue server can be narrow or very wide interpretation. If any OPC UA server as rogue server can be introduced into the OPC UA communication infrastructure, all protection targets are at risk in principle. If the rogue server can also issue than another, authorized OPC UA server, the protection targets are significantly more at risk. As a rogue server is to be understood, but will not be further described in the specification. In the further analysis, the threat rogue server is interpreted, the attacker can inject an OPC UA server, but this can not another, authorized OPC UA Server pretend.
Compromising user credentials:
The threat compromising user credentials was interpreted to mean that it is not just a compromise of the required user authentication information, but also to the compromise of the required in the application authentication data. - Add Note
grade |
