Segurança em Sistemas Informáticos -...

1

2/28/2007 Sistemas Distribuídos

Departamento de Engenharia Informática

Segurança em Sistemas Informáticos



Politicas de Segurança

• Quando é que se torna necessário uma política de segurança ?– Quando existe um Bem com Valor – Se o Bem se situa permanentemente ou

temporariamente num espaço partilhado criam-se condições que facilitam a existência de ataques

• Uma politica de segurança procura garantir a protecção do Bem contra os ataques esperados dentro de determinadas condicionantes.

2



Ameaça típica

• A partilha está na base da maioria das ameaças– Espaços públicos– Espaços físicos partilhados– Utilização de infra-estruturas comuns– Partilha de recursos



Isolamento

• Como a partilha cria a maioria das oportunidades de ataque o isolamento foi desde sempre uma das formas de garantir segurança– Isolamento físico: cofres; paredes– Isolamento de pessoas: só um determinado grupo é

informado– Isolamento lógico: cifrar um documento torna

ininteligível a informação

3



Politicas de Segurança nos Sistemas Informáticos

• Os sistemas informáticos são sistemas onde a partilha de informação é um dos objectivos, o que complica seriamente a segurança.

• Sistemas Multiprogramadas– Partilha de ficheiros– Partilha de memória– Partilha de programas– Partilha de periféricos

• Redes– Partilha dos meios físicos de comunicação– Partilha dos mecanismos de comutação



Política de Segurança

• Uma política de segurança define-se respondendo às seguintes questões:– O que queremos proteger?– Quais as ameaças potenciais?– Quem as pode executar? Ou seja quem são os atacantes.– Quais os ataques? Materialização das ameaças– Quais os procedimentos e mecanismos de protecção que podem

impedir os ataques considerados?– Qual o custo de implementação da política?

• Como é evidente o custo da segurança deve ser inferior ao do Bem

4



Bens a proteger

• Nos sistemas informáticos o Bem a proteger égenericamente a Informação, tipicamente a que se encontra armazenada de forma persistente.

• Como os sistemas informáticos cada vez mais controlam sistemas reais, a segurança pode colocar-se indirectamente no acesso aos sistemas controlados. Ex.:– Dinheiro electrónico - ATM – Máquinas multibanco– Serviços Telefónico– Sistemas de segurança física no acesso a instalações– Sistemas de vigilância



A Informação como um Bem

• Integridade da Informação• Confidencialidade/Privacidade da informação

– Ex.: Pessoal, Médica, relação com o Governo

• Dinheiro electrónico – uma informação cujo valor é óbvio• Identidade – não se efectuarem acções em nome de outro• Anonimato – realizar acções que são autenticadas mas em

que não se deve conhecer a identidade (ex.: votações)• Disponibilidade dos serviços que permitem aceder a

informação

5



Ameaças

• Ataques Criminais– Fraude– Burla– Destruição– Roubo de propriedade intelectual– Roubo da identidade – Personificação– Roubo da Marca

• Violação da Privacidade– Jornalismo– Direitos individuais

• Procura de Publicidade– Acções que promovem o seu autor– Recusa de Serviço

• Ataques Legais – subterfúgio legal



Quem pode ser o atacante?

• Os mesmos do mundo físico...• Podemos classificá-los de acordo com os seguintes

características– Objectivos– Acesso ao sistemas– Recursos– Capacidade técnica– Risco que estão dispostos a correr

6



Possível Lista de Atacantes

• Hackers• Criminosos isolados• Crime Organizado• Pessoal interno • Terroristas• Espiões industriais• Organizações de Segurança Nacionais• Organizações Militares• Polícia• Jornalistas



Formas de Ataque

• Sistemas– Assumir a identidade de outro utilizador– Executar operações que indirectamente ultrapassam os

mecanismos de protecção– Infiltrar código em programas que sub-repticiamente executam

outras funções– Canais encobertos de comunicação

• Redes– Escuta de mensagens– Modificação ou inserção de mensagens– Repetição de mensagens antigas

7



Políticas de Segurança nos Sistemas Informáticos

• Isolamento dos Agentes• Isolamento da Informação• Controlo dos Direitos de Acesso

– Modificação Dinâmica dos Direitos de Acesso

• Controlo do Nível de informação – segurança multi-nível



Isolamento dos Agentes

• O sistema tem de autenticar os agentes de forma a atribuir-lhes uma identificação interna.

• O sistema garante que ao agente é atribuída uma máquina virtual em que ele executa as operações sobre os objectos em completo isolamento das máquinas virtuais atribuídas a outros agentes.

• O isolamento implica que não existe a possibilidade de ultrapassar os mecanismos de confinamento ou enviar informação através de canais encobertos

8



Isolamento de agentes:Autenticação dos agentes

• Mecanismos em sistemas centralizados:– Login (username + password) à ID interno– Estas operações são realizadas dentro do núcleo e portanto

assumidas como seguras

• Técnicas de subversão– “Buracos” nas barreiras de protecção– Personificação

• Exploração de erros operacionais• Cavalos de Tróia

– Covert channels (comunicação subliminar)



Isolamento da Informação

• Tornar ininteligível a informação para quem não conheça um segredo– Criptografia

• A informação cifrada encontra-se isolada porque quem não conhece o segredo que a permite decifrar não a consegue distinguir de ruído

• A informação – Pode ser enviada nas redes de comunicação– Armazenada nos sistemas de informação

9



Autorização



Controlo de direitos de acesso

• Modelo conceptual– Os objectos são protegidos por um monitor de controlo de

referências

– Cada agente, antes de poder efectuar um acção sobre um objecto, tem que pedir autorização ao monitor

– O monitor verifica se o agente está ou não autorizado através de uma matriz de direitos acesso

10



Controlo dos Direitos de Acesso

• Um Monitor de Controlo de Referências valida quando uma operação é efectuada se o agente tem direito de a executar.– Os objectos só podem ser acedidos através do monitor de controlo de

referências; – Os objectos têm de ser univocamente identificados e o identificador não

pode ser reutilizado sem precauções adicionais. – Num sistema multiprogramado a informação relativa à matriz é mantida

dentro do espaço de isolamento do núcleo. – Esta situação é, obviamente, diferente numa rede

• Os ataques a esta política visam essencialmente subverter o isolamento entre os agentes mais que procurar alterar a matriz ou eliminar o controlo do monitor de controlo de referências.



Matriz de direitos de acesso

• Decomposição da tabela– Listas de controlo de acesso (Access Control Lists, ACLs)

• Guardadas junto de cada objecto

– Capacidades (capabilities)• Guardadas junto de cada agente

• A autenticação dos agentes é fulcral– Para determinar a parcela da ACL que lhe é aplicável– Para distribuir as capacidades correctas

RRW---RXA2

---RXRWRA1

O4O3O2O1Agentes

Objectos

11



Limitação da capacidade de interacção: Domínios de protecção

• Associação de direitos a classes de utilizadores– Administrador– Operador de backups– Serviços

– Em sistemas Windows NT/2000 existem grupos e privilégios– Em UNIX existem grupos (com senha)– papéis (roles)

• Enquadramento de utilizadores em classes– Estático– Dinâmico

• Mecanismos de alteração do enquadramento



Controlo do Nível de Segurança da Informação

• Política oriunda da visão militar da segurança• As políticas habituais consideram que o agente tem um

controlo discricionário sobre os objectos.• Esta política considera um controlo mandatório sobre a

segurança dos objectos, não permitindo aos agentes que a modifiquem.

• Um agente só tem acesso a informação se realmente tiver necessidade de conhecer (need to know), aplicando o sistema regras estritas para determinar quem tem acesso a quê.

12



Controlo do Nível de Segurança da Informação

• Os objectos são classificados de acordo como o seu nível de confidencialidade. – Ex.: Muito Secreto, Secreto, Restrito, Não Classificado.

• A informação é também classificada em compartimentos de acordo com o assunto a que diz respeito – Ex.: Nato, Comunicações, etc.,

• Os agentes têm autorizações (clearances) que definem os compartimentos e o nível de segurança a que podem aceder – Clearance level

• Controlo de acesso dos agentes– Não podem ler informação classificada acima do seu nível– Não podem escrever informação classificada abaixo do seu nível



Segurança no Sistema Operativo

Máquinas sem ligação em rede

13



Base Computacional de Confiança

• Normalmente o sistema operativo é uma plataforma que oferece uma:

Base Computacional de Confiança — TCB (TrustedComputing Base).

• Faz parte da TCB tudo o que no sistema operativo é necessário para garantir a política de segurança.




• Nos Sistemas Multiprogramados a TCB inclui:– Isolamento dos espaços de endereçamento garantido pelo hardware da

gestão de memória. – Restrição à execução em modo utilizador de instruções privilegiadas que

possam ultrapassar o isolamento dos espaços de endereçamento, (ex.: interrupções, operações de E/S);

– Utilização do núcleo exclusivamente através de funções do sistema que validam a correcta utilização dos mecanismos do sistema a que dão acesso;

– Algoritmos de criptografia que permitem manter a confidencialidade de informação sensível que esteja acessível aos utilizadores.

– Autenticação sob controlo dos sistemas– Controlo de acessos validado por um ou vários monitores de controlo de

referência

14




• Quanto “maior”, menos fiável– Mais funcionalidades / código ⇒ maior

probabilidade de erros / vulnerabilidades• Propostas recentes: dois núcleos

– Um “trusted”: funcionalidades básicas, serviços críticos

– Outro não é “trusted”, contém maioria do código (ex: GUI)

– Ex.: Microsoft Palladium (agora chamado NGSCB)



Orange Book

• No Orange Book são definidas quatro classes de segurança que por sua vez se subdividem em vários níveis:– D - protecção mínima; – C - política baseada no controlo de acessos, vulgar nos sistema

operativos comerciais; – B - políticas baseadas em controlo mandatório do nível de

segurança da informação. Nos subníveis mais elevados implica critérios de segurança na estrutura interna do sistema operativo;

– A - a classificação mais elevada que implica não só a existência dos mecanismos, mas a sua verificação formal.

15





Segurança nos Sistemas Distribuídos

16



Ataques a sistemas distribuídos

• Para além dos ataques aos sistemas que vimos anteriormente

• Ataques à comunicação– Passivos

• Escuta de mensagens– Activos

• Interferência com o fluxo de mensagens– Modificação de mensagens– Inserção de mensagens– Remoção de mensagens– Troca da ordem de mensagens

• Repetição de diálogos passados• Falsificação de identidades



Características dos sistemas informáticos que facilitam os ataques

• Automação – facilidade de reproduzir uma acção milhões de vezes

rapidamente.

• Acção à distância – com a Internet a distância entre o atacante e o Bem não

é um limitador ao ataque

• Propagação rápida das técnicas.

17



Base Computacional de Confiança nos Sistemas Distribuídos

• Existem 3 combinações possíveis– Rede e sistemas operativos seguros

• Limitativo• Difícil de garantir uma administração globalmente segura• Custo muito elevado da rede

– Rede insegura, sistemas operativos seguros• Importa garantir a segurança das comunicações e a correcção das

interacções remotas• A gestão dos sistemas é complexa e normalmente onerosa

– Rede e sistemas operativos inseguros• Muito vulnerável• É difícil assegurar um nível aceitável de segurança



Base Computacional de Confiança Sistemas Distribuídos

• As duas primeiras soluções têm custos ou complexidades de gestão que são na maioria dos casos incomportáveis, mesmo para grandes organizações

• Na Internet ou redes abertas é manifestamente impossível confiar nos sistemas ou na rede

A politica mais adequada é considerar que a segurança não se baseia na segurança da rede ou dos sistemas e admitir um princípio de suspeição mútua em relação a todas as entidades

18



Sistemas distribuídos:Políticas de segurança

• Técnicas fundamentais para garantir a segurança num ambiente distribuído:– Canais de comunicação seguros– Autenticação fidedigna dos agentes– Controlo de acesso (Autorização) no acesso aos

objectos com base na identidade do agente remoto e nos direitos de acesso

– Autenticação de informação transmitida– Garantia de integridade da informação transmitida



Canais de segurança

Data Layer PresentationLayer

BusinessLayer

Canais Seguros de comunicações Redes de natureza diferente

Autenticação dos agentes

Controlo de Acesso

19



Cifra no Canal de Comunicação

• A base dos canais de comunicação seguros é a cifra da informação

• Se as mensagens forem cifradas – evita a escuta de mensagens– evita a falsificação da informação contida nas

mensagens– Mas não evita a reutilização das mensagens

Segurança em Sistemas Informáticos -...

Documents

Transcript of Segurança em Sistemas Informáticos -...