Segurança em Sistemas Informáticos · Politicas de Segurança nos Sistemas Informáticos •...
Transcript of Segurança em Sistemas Informáticos · Politicas de Segurança nos Sistemas Informáticos •...
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Segurança em Sistemas Informáticos
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Politicas de Segurança
• Quando é que se torna necessário uma política de segurança ?– Quando existe um Bem com Valor
– Se o Bem se situa permanentemente ou temporariamente num espaço partilhado criam-se condições que facilitam a existência de ataques
• Uma politica de segurança procura garantir a protecção do Bem contra os ataques esperados dentro de determinadas condicionantes.
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Ameaça típica
• A partilha está na base da maioria das ameaças– Espaços públicos
– Espaços físicos partilhados
– Utilização de infra-estruturas comuns
– Partilha de recursos
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Politicas de Segurança nos Sistemas Informáticos
• Os sistemas informáticos são sistemas onde a partilha de informação é um dos objectivos, o que complica seriamente a segurança.
• Sistemas Multiprogramadas– Partilha de ficheiros– Partilha de memória– Partilha de programas– Partilha de Periféricos
• Redes– Partilha dos meios físicos de comunicação– Partilha dos mecanismos de comutação
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Política de Segurança
• Uma política de segurança define-se respondendo às seguintes questões:– O que queremos proteger?– Quais as ameaças potenciais?– Quem as pode executar? Ou seja quem são os atacantes.– Quais os ataques? Materialização das ameaças– Quais os procedimentos e mecanismos de protecção que podem
impedir os ataques considerados?– Qual o custo de implementação da política?
• Como é evidente o custo da segurança deve ser inferior ao do Bem
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Bens a proteger
• Nos sistemas informáticos o Bem a proteger é genericamente a Informação, tipicamente a que se encontra armazenada de forma persistente.
• Como os sistemas informáticos cada vez mais controlam sistemas reais, a segurança pode colocar-se indirectamente no acesso aos sistemas controlados. Ex.:– Dinheiro electrónico - ATM – Máquinas multibanco
– Serviços Telefónico
– Sistemas de segurança física no acesso a instalações
– Sistemas de vigilância
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Bens a proteger
Lista incompleta
• Integridade da Informação
• Confidencialidade da Informação
• Privacidade da informação– Ex.: Pessoal, Médica, relação com o Governo
• Dinheiro electrónico – uma informação cujo valor é óbvio
• Identidade – não se efectuarem acções em nome de outro
• Anonimato – (debate interessante)
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Ameaças
• Ataques Criminais– Fraude– Burla– Destruição– Roubo de propriedade intelectual– Roubo da identidade – Personificação– Roubo da Marca
• Violação da Privacidade• Procura de Publicidade
– Acções que promovem o seu autor– Recusa de Serviço
• Ataques Legais – subterfúgio legal
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Quem pode ser o atacante?
• Os mesmos do mundo físico...
• Podemos classificá-los de acordo com os seguintes características– Objectivos
– Acesso ao sistemas
– Recursos
– Capacidade técnica
– Risco que estão dispostos a correr
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Possível Lista de Atacantes
• Hackers• Criminosos isolados• Crime Organizado• Pessoal interno • Terroristas• Espiões industriais• Organizações de Segurança Nacionais• Organizações Militares• Polícia• Imprensa
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Formas de Ataque
• Sistemas– Assumir a identidade de outro utilizador– Executar operações que indirectamente ultrapassam os
mecanismos de protecção– Infiltrar código em programas que sub-repticiamente executam
outras funções– Canais encobertos de comunicação
• Redes– Escuta de mensagens– Modificação ou inserção de mensagens– Repetição de mensagens antigas
• Partilha de software• Partilha de Conteúdos
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Politicas de Segurança nos Sistemas Informáticos
• Isolamento dos Agentes
• Controlo dos Direitos de Acesso– Modificação Dinâmica dos Direitos de Acesso
• Isolamento da Informação
• Controlo do Nível de informação – segurança multinível
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Isolamento dos Agentes
• O sistema tem de autenticar os agentes de forma a atribuir-lhes uma identificação interna.
• O sistema garante que ao agente é atribuída uma máquina virtual em que ele executa as operações sobre os objectos em completo isolamento das máquinas virtuais atribuídas a outros agentes.
• O isolamento implica que não existe a possibilidade de ultrapassar os mecanismos de confinamento ou enviar informação através de canais encobertos
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Isolamento de agentes:Autenticação dos agentes
• Mecanismos em sistemas centralizados:– Login (username + password) � ID interno
– Estas operações são realizadas dentro do núcleo e portanto assumidas como seguras
• Técnicas de subversão– “Buracos” nas barreiras de protecção
– Personificação• Exploração de erros operacionais
• Cavalos de Tróia
– Covert channels (comunicação subliminar)
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Isolamento da Informação
• Tornar não ininteligível a informação para quem não conheça um segredo– Criptografia
• A informação cifrada encontra-se isolada porque quem não conhece o segredo que a permite decifrar não a consegue distinguir de ruído
• A informação – Pode ser enviada nas redes de comunicação– Armazenada nos sistemas de informação
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Autorização
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Controlo de direitos de acesso
• Modelo conceptual– Os objectos são protegidos por um monitor de segurança
– Cada agente, antes de poder efectuar um acção sobre um objecto, tem que pedir autorização ao monitor
– O monitor verifica se o agente está ou não autorizado através deuma matriz de direitos acesso
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Controlo dos Direitos de Acesso
• Um Monitor de Controlo de Referência valida quando uma operação é efectuada se o agente tem direito de a executar.– Os objectos só podem ser acedidos através do monitor de controlo de
referências; – Os objectos têm de ser univocamente identificados e o identificador não
pode ser reutilizado sem precauções adicionais. – Num sistema multiprogramado a informação relativa à matriz é mantida
dentro do espaço de isolamento do núcleo. – Esta situação é, obviamente, diferente numa rede
• Os ataques a esta política visam essencialmente subverter o isolamento entre os agentes mais que procurar alterar a matriz ou eliminar o controlo do monitor de controlo de referências.
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Matriz de direitos de acesso
• Decomposição da tabela– Listas de controlo de acesso (Access Control Lists, ACLs)
• Guardadas junto de cada objecto
– Capacidades (capabilities)• Guardadas junto de cada agente
• A autenticação dos agentes é fulcral– Para determinar a parcela da ACL que lhe é aplicável
– Para distribuir as capacidades correctas
RRW---RXA2
---RXRWRA1
O4O3O2O1Agentes
Objectos
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Limitação da capacidade de interacção: Domínios de protecção
• Associação de direitos a classes de utilizadores– Administrador– Operador de backups– Serviços
– Em sistemas Windows NT/2000 existem grupos e privilégios– Em UNIX existem grupos (com senha)– papeis (roles)
• Enquadramento de utilizadores em classes– Estático– Dinâmico
• Mecanismos de alteração do enquadramento
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Controlo do Nível de Segurança da Informação
• Política oriunda da visão militar da segurança
• As políticas habituais consideram que o agente tem um controlo discricionário sobre os objectos.
• Esta política considera um controlo mandatório sobre a segurança dos objectos, não permitindo aos agentes que a modifiquem.
• Um agente só tem acesso a informação se realmente tiver necessidade de conhecer (need to know), aplicando o sistema regras estritas para determinar quem tem acesso a quê.
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Controlo do Nível de Segurança da Informação
• Os objectos são classificados de acordo como o seu nível de confidencialidade. – Ex.: Muito Secreto, Secreto, Restrito, Não Classificado.
• A informação é também classificada em compartimentos de acordo com o assunto a que diz respeito – Ex.: Nato, Comunicações, etc.,
• Os agentes têm autorizações (clearances) que definem os compartimentos e o nível de segurança a que podem aceder – Clearance level
• Controlo de acesso dos agentes– Não podem ler informação classificada acima do seu nível– Não podem escrever informação classificada abaixo do seu nível
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Segurança no Sistema Operativo
Máquinas sem ligação em rede
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Base Computacional de Confiança
• Normalmente o sistema operativo é uma plataforma que oferece uma:
Base Computacional de Confiança — TCB (Trusted
Computing Base).
• Faz parte do TCB tudo o que no sistema operativo é necessário para garantir a política de segurança.
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Base Computacional de Confiança
• Nos Sistemas Multiprogramados o TCB incluí:– Isolamento dos espaços de endereçamento garantido pelo hardware da
gestão de memória. – Restrição à execução em modo utilizador de instruções privilegiadas que
possam ultrapassar o isolamento dos espaços de endereçamento, (ex.: interrupções, operações de E/S);
– Utilização do núcleo exclusivamente através de funções do sistema que validam a correcta utilização dos mecanismos do sistema a que dão acesso;
– Algoritmos de criptografia que permitem manter a confidencialidade de informação sensível que esteja acessível aos utilizadores.
– Autenticação sob controlo do sistemas– Controlo de acessos validado por um ou vários monitores de controlo de
referência
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Orange Book
• No Orange Book são definidas quatro classes de segurança que por sua vez se subdividem em vários níveis:– D - protecção mínima;
– C - política baseada no controlo de acessos, vulgar nos sistema operativos comerciais;
– B - políticas baseadas em controlo mandatório do nível de segurança da informação. Nos subníveis mais elevados implica critérios de segurança na estrutura interna do sistema operativo;
– A - a classificação mais elevada que implica não só a existência dos mecanismos, mas a sua verificação formal.
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Segurança nos Sistemas Distribuídos
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Ataques a sistemas distribuídos
• Para além dos ataques aos sistemas que vimos anteriormente
• Ataques à comunicação– Passivos
• Escuta de mensagens– Activos
• Interferência com o fluxo de mensagens– Modificação de mensagens– Inserção de mensagens– Remoção de mensagens– Troca da ordem de mensagens
• Repetição de diálogos passados• Falsificação de identidades
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Características dos sistemas informáticos que facilitam os ataques
• Automação – facilidade de reproduzir uma acção milhões de vezes
rapidamente.
• Acção à distância – com a Internet a distância entre o atacante e o Bem não
é um limitador ao ataque
• Propagação rápida das técnicas.
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Base Computacional de Confiança nos Sistemas Distribuídos
• Existem 3 combinações possíveis– Rede e sistemas operativos seguros
• Limitativo• Difícil de garantir uma administração globalmente segura• Custo muito elevado da rede
– Rede insegura, sistemas operativos seguros• Importa garantir a segurança das comunicações e a correcção das
interacções remotas• A gestão dos sistemas é complexa e normal onerosa
– Rede e sistemas operativos inseguros• Muito vulnerável• É difícil assegurar um nível aceitável de segurança
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Base Computacional de Confiança Sistemas Distribuídos
• As duas primeiras soluções tem custos ou complexidades de gestão que são na maioria dos casos incomportáveis, mesmo para grandes organizações
• Na Internet ou redes abertas é manifestamente impossível confiar nos sistemas ou na rede
A politica mais adequada considerar que a segurança
não se baseia na segurança da rede ou dos sistemas e
admitir um princípio de suspeição mútua em relação a
todas as entidades
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Sistemas distribuídos:Políticas de segurança
• Técnicas fundamentais para garantir a segurança num ambiente distribuído:– Canais de comunicação seguros
– Autenticação fidedigna dos agentes
– Controlo de acesso (Autorização) no acesso aos objectos com base na identidade do agente remoto e nos direitos de acesso
– Autenticação de informação transmitida
– Integridade da informação transmitida
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Canais de segurança
Data Layer Presentation
LayerBusiness
Layer
Canais Seguros de comunicações Redes de natureza diferente
Autenticação dos agentes
Controlo de Acesso
8/28/2003 José Alves Marques
Departamento de Engenharia Informática
Cifra no Canal de Comunicação
• A base dos canais de comunicação seguros é a cifra da informação
• Se as mensagens forem cifradas – evita a escuta de mensagens
– evita a falsificação da informação contida nas mensagens
– Mas não evita a reutilização das mensagens