Remote assessment of client trustworthiness

Abstract

NORSK: Når to parter kommuniserer over Internett har server siden liten kjennskap til klientmiljøet. Til tross for dette må serversiden ha tillit til de data den mottar for videre prosessering og at de data den sender fra seg blir behandlet på en korrekt måte. En måte som mulig reduserer denne usikkerheten er å analysere klientmiljøet før sensitive data blir kommuniserer. Klientens pålitelighet kan fastslås på forhånd og serveren kan ta dette i betraktning ved videre kommunikasjon. Hvordan kan vi utføre en slik sikkerhetsanalyse? Det finnes applikasjoner i dag som skanner systemer og gir tilbake sårbarhetsrapporter. Gyldigheten til disse rapportene er høy så lenge alle følger spillereglene. Hva skjer dersom brukeren eller en Trojans hest forsøker å endre resultatene? I denne rapporten vill vi analysere de forskjellige aspektene ved gjennomføring av en sikkerhetsanalyse av den eksterne klienten. Vår hovedfokus er hvordan beskytte data og applikasjonen som utførere sikkerhetsanalysen. Vi definerer et rammeverk som anvendes på våre foreslåtte system i en case studie. Vi mener et slikt system en gjennomførbart, men praktiske hensyn vil være den største utfordringen.

ENGELSK: When two parties communicate over the Internet the server side has little knowledge about the client environment. Despite this situation the server has to trust the data it receives for further processing and that the data it sends to the client is handled in a proper way. One way to possible reduce this insecurity is to analyze the client environment prior to communicate sensitive data. The client’s trustworthiness can be determined in advanced and the server can take his into consideration at further communications. How can we do such a security analysis? There exist applications today that scan systems and give back vulnerability reports. The validity of this report is high when everybody plays by the rules. What happens if an adversary or a Trojan tries to alter the scan results? In this report we will analyze the different aspects when doing a security analysis of the remote clients. Our main focus is how to protect the data and the application performing the security analysis. We define a framework that we apply to our proposed systems in a case study. We believe such a system is feasible, but practical issues will be the biggest challenges.