\documentclass[a4paper,10pt]{article}

\usepackage[utf8x]{inputenc}

\usepackage{a4wide}

\usepackage{graphicx}

\usepackage{eurosym}

\usepackage{latexsym}

\usepackage{textcomp}

\usepackage{fancybox}

\usepackage{microtype}

\usepackage{listings}

\usepackage{setspace}

\usepackage{color}

\usepackage{comment}

\graphicspath{{Snapshots/}}

\linespread{1.1}

\parskip=4pt

\begin{document}

\title{OpenSecurity Benutzerhandbuch zu Version 0.2.7}

\author{ Mihai Bartha\\

AIT Austrian Institute of Technology

}

\maketitle

\section{Vorwort}

Jede Organisation muss ihre IT-Infrastruktur vor internen und externen Gefahren schützen. Besonders davon betroffen sind auch öffentliche Institutionen, welche private Bürgerdaten wie Strafregister, Krankengeschichte und Meldedaten oder für die Staatssicherheit relevante Informationen verwalten. 

Wie Einzelfälle und Statistiken belegen, kommt es aber immer wieder und zunehmend häufiger zu Vorfällen, bei denen private Daten in falsche Hände geraten. Solche Daten können in kürzester Zeit weltweit über das Internet verteilt werden, was schnell zu Worst-Case-Szenarien führen kann. So können beispielsweise private Adressen von Polizeibeamten ihren Weg zu kriminellen Organisationen finden oder private Gesundheitsdaten in die Hände potenzieller zukünftiger Arbeitgeber.

Das von der FFG\footnote{Österreichische Forschungsförderungsgesellschaft} geförderte Open Security\footnote{http://www.opensecurity.at} Projekt bietet eine Lösung, die Angestellten davor schützt, kritische oder sensible Daten ungewollt preiszugeben. Dieser Schutz beläuft sich auf den Verlust oder den Diebstahl von Datenträgern (z.B. USB-Sticks) und den Befall des Rechners oder Notebooks von Viren, Trojanern und dergleichen.

Die Open Security Aplikation bietet eine Lösung, die sicherstellt, dass alle auf tragbare Geräten gespeicherten Daten automatisch verschlüsselt werden. Persönliche Daten von BürgerInnen können ausschließlich verschlüsselt auf USB-Speichermedien gespeichert werden. Das Einbringen oder das Mitnehmen von elektronischen Daten durch die Benutzer soll, im Sinne des Institution und des Benutzers selbst so erfolgen, dass es zu keinem Schaden oder Missbrauch kommen kann.

Im Fall, dass Hardware (z.B. ein Notebook) oder Speichermedien (z.B. ein USB-Stick) verloren gehen oder gestohlen werden, sind keine sensiblen unverschlüsselten Daten gefährdet. Wurden dennoch sensible Daten preisgegeben, was aufgrund von Richtlinien genehmigt werden kann, dann rekonstruiert die Kontrollkette aus den aufgezeichneten Datenströmen den Ereignispfad. Anhand der Informationen aus einem zentralisierten Logging kann nachvollzogen werden, welche Daten die Organisation verlassen haben und auf welchem Weg (z.B. durch welchen Benutzer, Medium).

Das Internet, als dicht vernetztes Gefüge untereinander verbundener Geräte, bietet eine ideale Angriffsfläche für sich selbst replizierenden Schadcode. Aus diesem Grund ist Anti-Virensoftware ein zentraler Bestandteil dieser Sicherheitslösung.

\clearpage

\newpage

\section{Sicheres Surfen}

Der OpenSecurity Manager (OSM) ist ein lokal installierter Dienst, welcher die Interaktion mit Internet Ressourcen moderiert und sicheres Browsing ermöglicht. Beim Start einer Browsersitzung kümmert sich der OSM um den Aufbau einer Umgebung, welche speziell nur für diese Sitzung verantwortlich ist. Beim Beenden der Browsersitzung wird diese Umgebung entsorgt bzw. vernichtet und jegliche temporäre Daten und nicht gesicherte heruntergeladene Dateien gelöscht.

Zum Starten einer durch OpenSecurity gesicherten Browsersitzung dient ein Doppelklick auf das nach der Installation verfügbare Desktop Icon (Figure~\ref{fig:securebrowsingicon}).

\begin{center}

\begin{figure}[ht!]

\centering

\includegraphics[width=20mm]{16.PNG}

\caption{OpenSecurity Secure Browsing Desktop Icon}

\label{fig:securebrowsingicon}

\end{figure}

\end{center}

Eine Alternative dazu ist der Start einer neuen Browsersitzung mittels des in der Taskleiste befindlichen OpenSecurity TrayIcons (blaues Schlüsselloch Symbol). Durch einen Klick mit der rechten Maustaste auf das TrayIcon erscheint das OpenSecurity Menü (Figure~\ref{fig:trayicon}). Nach Auswahl des ersten Menüeintrags (``Secure Browsing'') wird die Browser Sitzung gestartet und der eingebauten Browser angezeigt (Figure~\ref{fig:browser}).

\begin{center}

\begin{figure}[ht!]

\centering

\includegraphics[width=40mm]{1.PNG}

\caption{OpenSecurity TrayIcon}

\label{fig:trayicon}

\end{figure}

\end{center}

Während einer bestehender Browsersitzung kann der Benutzer Dateien von Internet herunterladen. Diese Dateien sind unter einem automatisch angelegtem Netzlaufwerk ``\emph{Download}'' zugreifbar (Figure~\ref{fig:download}). Zu beachten ist, dass die Inhalte des Download Verzeichnisses nach dem Beenden der Sitzung unwiderruflich gelöscht sind. Sind über die Browsersitzung hinaus darin befindliche Dateien von Belang, so empfehlen wir diese aus diesem Verzeichnis lokal zu speichern. 

\begin{center}

\begin{figure}[ht!]

\centering

\includegraphics[width=100mm]{8.PNG}

\caption{OpenSecurity Download Verzeichniss}

\label{fig:download}

\end{figure}

\end{center}

Browser Einstellungen und gespeicherte Lesezeichen werden allerdings automatisch gesichert und gehen nicht verloren.

\begin{center}

\begin{figure}[ht!]

\centering

\includegraphics[width=140mm]{5.PNG}

\caption{OpenSecurity Browser}

\label{fig:browser}

\end{figure}

\end{center}

\clearpage

\newpage

\section{Sichere Datenverwaltung auf externen Trägern}

Der Umgang mit Daten auf externen Trägern wie USB Sticks hat neben dem Ziel, den Anwender und damit das Host System von Malware zu schützen auch die Intention, sensible Daten nur verschlüsselt auf diese Medien abzulegen. 

Analog zum Download Bereich aus dem vorigen Kapitel über das Sichere Surfen wird auch hier der Dateninhalt als ein Netzlaufwerk namens ``\emph{USB}'' eingebunden (Figure~\ref{fig:download}). Ein in OpenSecurity eingebautes Anti Viren System System prüft hier die betroffenen Dateien. Wird eine Datei als kompromittiert erkannt, schlägt eine Öffnen dieser Datei mit einer entsprechenden Fehlermeldung fehl.

\begin{center}

\begin{figure}[ht!]

\centering

\includegraphics[width=80mm]{11.PNG}

\caption{Schlüssel Anforderung}

\label{fig:keyrequest}

\end{figure}

\end{center}

Das Exportieren von Daten ist nur auf verschlüsselte, für diesen Zweck vorbereitete, USB Speicher Medien möglich. Beim Verbinden eines solche Mediums wird der Benutzer aufgefordert ein Sicherheitsschlüssel bzw. Passwort einzugeben (Figure~\ref{fig:keyrequest}).

Sobald der richtige Schlüssel angegeben wurde, ist das betroffene Medium entsperrt und die Daten können gelesen bzw. geschrieben werden. Die Inhalte befinden sich in dem ``\emph{encrypted}'' Unterverzeichnisses des ``\emph{USB}'' Netzlaufwerk  (Figure~\ref{fig:encrypted}).

\begin{center}

\begin{figure}[ht!]

\centering

\includegraphics[width=100mm]{12.PNG}

\caption{Verschlüsselte Verzeichniss (encrypted)}

\label{fig:encrypted}

\end{figure}

\end{center}

Das Ablegen und Speichern von Dateien auf dem Medium erzwingt das Verschlüsseln dieser Dateien. Ein Versuch Dateien auf nicht verschlüsselte Medien zu speichern ist nicht möglich und resultiert in einer Fehlermeldung (Schreibzugriffsrechte fehlen) (Figure~\ref{fig:errorexport}).

\begin{center}

\begin{figure}[ht!]

\centering

\includegraphics[width=100mm]{10.PNG}

\caption{Fehlermeldung unverschlüsseltes Speichern}

\label{fig:errorexport}

\end{figure}

\end{center}

Datenträger können über den Menüpunkt ``\emph{Format}'' im TrayIcon formatiert werden. Der User wird anschließend nach einem Schlüssel bzw. Passwort gefragt. Optional kann zusätzlich ein Keyfile angegeben werden.

\begin{center}

\begin{figure}[ht!]

\centering

\includegraphics[width=80mm]{15.PNG}

\caption{Formatierten und Verschlüsseln eines USB Sticks}

\label{fig:format}

\end{figure}

\end{center}

Beachten Sie bitte, dass diese Aktion nicht mehr rückgängig gemacht werden kann. Daten, welche sich auf den USB Stick an der angeschlossenen VM befinden, werden vernichtet.

\clearpage

\newpage

\section{Ausführen von Anwendungen}

OpenSecurity verwendet im Hintergrund Linux basierte Virtuelle Maschinen. Das bestehende Windows System kann dadurch mit neuen Anwendungen erweitert werden, bsp. mit einem sicheren PDF Viewer. Die in OpenSecurity installierten Anwendungen können durch Auswahl des ``\emph{Launch Application}'' Menüeintrag aus dem TrayIcon ausgeführt werden (Figure~\ref{fig:trayicon}). Mithilfe der Auswahlmaske in (Figure~\ref{fig:launchapp}) wird die Virtuelle Maschine ausgewählt sowie die gewünschte Anwendung.

\begin{center}

\begin{figure}[ht!]

\centering

\includegraphics[width=80mm]{3.PNG}

\caption{Ausführen von Anwendungen}

\label{fig:launchapp}

\end{figure}

\end{center}

Als Ergebnis dieses Beispiels wird in einem Fenster eine X-Term Anwendung angezeigt (Figure~\ref{fig:xterm}).

\begin{center}

\begin{figure}[ht!]

\centering

\includegraphics[width=100mm]{13.PNG}

\caption{XTerm Anwendungsfenster}

\label{fig:xterm}

\end{figure}

\end{center}

\clearpage

\newpage

\section{Konfiguration, Status und Feedback}

Der ``\emph{Send feedback mail}'' Menüeintrag der TrayIcon kann dazu verwendet werden, Probleme im Umgang mit der OpenSecurity Software zu melden und Unterstützung anzufordern. Nach Anwahl wird die lokal installierte Standard E-Mail Anwendung gestartet (bsp. Outlook) und eine neue an den OpenSecurity Support adressierte E-Mail erstellt.

Auf die Konfiguration und Status Informationen des OpenSecurity Systems kann durch Auswahl der ``\emph{Configuration}'' Eintrags im TrayIcon zugegriffen werden. Das Konfigurationsfenster (Figure~\ref{fig:configuration}) liefert Informationen über den Zustand des OpenSecurity Dienstes (``\emph{Service Status}''), Version (``\emph{Version}''), lokal installierte Vorlagen für die Virtuelle Maschinen (``\emph{Initial Template}'') und laufende Virtuelle Maschinen (``\emph{Maschines}'').

\begin{center}

\begin{figure}[ht!]

\centering

\includegraphics[width=100mm]{6.PNG}

\caption{Konfigurationsfenster}

\label{fig:configuration}

\end{figure}

\end{center}

Die lokal installierte Vorlage für instantiierende Virtuelle Maschinen kann in zwei Schritten aktualisiert werden. Durch Auswahl des ``Download'' Buttons wird die neueste Vorlage heruntergeladen. Da diese Vorlagen ein vollständiges Betriebssystem beinhaltet sind diese Dateien recht groß. Durch Auswahl des ``\emph{Import}'' Buttons wird eine neue Vorlage importiert und aktualisiert. Während des Import Schrittes werden alle laufende OpenSecurity Sitzungen terminiert und der OpenSecurity Dienst angehalten. Sicheres Browsing und Datenverwaltung auf externe Datenträger ist während dieser Zeit nicht möglich. 

Die Ansicht der Konfiguration kann durch Auswahl des ``\emph{Refresh}'' Buttons aktualisiert werden.

\clearpage

\begin{center}

\begin{figure}[ht!]

\centering

\includegraphics[width=140mm]{14.PNG}

\caption{Dienst Log Ansicht}

\label{fig:servicelog}

\end{figure}

\end{center}

Im Karteireiter ``\emph{Service Log}'' ist der Log des OpenSecurity Dienstes sichtbar (Figure~\ref{fig:servicelog}). Hier können die Tätigkeiten des OpenSecurity Systems mitverfolgt werden. Ein Klick auf den ``\emph{Explorer}'' Button öffnet den Windows Explorer auf dem Pfad zur Logdatei. Somit kann im Supportfall die Logdatei an E-Mails angehängt werden um dem OpenSecurity Team mehr Analysemöglichkeiten einzuräumen.

\end{document}