CMSI - Homepage

In den letzten Jahren haben deutsche CERTs aktiv daran gearbeitet, engere Kontakte zueinander zu knüpfen und Möglichkeiten zur verbindlichen Zusammenarbeit zu finden. Eine Konsquenz dieser Bestrebungen war die Gründung des Deutschen CERT Verbundes. Im Rahmen des CERT Verbundes werden derzeit in verschiedenen Projekten die Grundlagen für eine enge Kooperation deutscher CERTs geschaffen.

Kernstück einer Infrastruktur zur gemeinsamen Erstellung und Verarbeitung von Security Advisories ist das Deutsche Advisory Format (DAF), ein speziell auf die Belange der deutschen CERT-Landschaft zugeschnittenes Austauschformat für Security Advisories, welches von CERT-Bund, DFN-CERT, PRESECURE und Siemens-CERT entwickelt und gepflegt wird. Informationen zu DAF sind auf der DAF Homepage einsehbar.

Während der Arbeit an DAF wurde rasch klar, daß eine effektive und effiziente Zusammenarbeit zwischen CERTs in Sachen Advisories ein gemeinsames Modell zur Angabe von maschinenlesbaren Systeminformationen benötigt: ohne ein solches Modell ist z.B. die automatische Filterung von Advisories nach betroffenen Systemen unmöglich.

Als Konsequenz wurde innerhalb der DAF-Arbeitsgruppe ein Subprojekt CMSI (Common Model of System Information) ins Leben gerufen. CMSI wird bewußt nicht als Teil von DAF entwickelt, da die Anwendungsmöglichkeiten für ein standardisiertes Modell zur Angabe von Systeminformationen weit über Security-Advisories hinausreicht. So erscheint eine Verwendung von CMSI vielversprechend z.B. in anderen Standards im Bereich IT-Sicherheit wie IODEF und XCCDF oder auch beim Konfigurationsmanagement.

Auf dieser CMSI-Homepage finden Sie folgende Ressourcen:

• Beschreibung von CMSI: In einem auf der Konferenz FIRST 2005 veröffentlichten Artikel wird CMSI ausführlich beschrieben. Gegenstand des Artikels ist das CMSI zugrundeliegende Datenmodell und dessen Abbildung als XML-Standard.
• XML-Ressourcen für CMSI: Wir stellen die CMSI XML-DTD sowie ein generisches XSL-Stylesheet zur Darstellung von CMSI-XML-Dokumenten zur Verfügung. Achtung: einige Browser haben Schwierigkeiten mit der Darstellung von DTDs -- zur Betrachtung kann die DTD per Rechtsklick lokal gespeichert und mit einem Editor geöffnet werden.
• Beispiel eines Modells zur Angabe von Systeminformationen: Die beispielhafte Ausführung der Anfänge eines Modells zur Angabe von Systeminformationen auf Basis von CMSI liegt zur Einsicht vor. Die folgenden zwei XML-Files zeigen, wie machinenlesbare Informationen in ein XML-basiertes Austauschformat für Advisories wie z.B. DAF eingebracht werden kann:
  • Das erste Beispiel zeigt, wie auf maschinenlesbare Weise ausgedrückt werden kann, daß Apache auf einigen Windows und Unix Plattformen verwundbar ist.
  • Das zweite Beispiel zeigt, wie in verschiedenen Detailierungsgraden ausgedrückt werden kann, dass Windows 2000 mit SP2 verwundbar ist.

CMSI ist als zentraler Bestandteil in das Vorfallsbearbeitungssystem SIRIOS, ein weiteres CERT-Verbund-Projekt, eingebunden.