Post on 06-Dec-2018
1
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Segurança em Sistemas Informáticos
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Politicas de Segurança
• Quando é que se torna necessário uma política de segurança ?– Quando existe um Bem com Valor – Se o Bem se situa permanentemente ou
temporariamente num espaço partilhado criam-se condições que facilitam a existência de ataques
• Uma politica de segurança procura garantir a protecção do Bem contra os ataques esperados dentro de determinadas condicionantes.
2
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Ameaça típica
• A partilha está na base da maioria das ameaças– Espaços públicos– Espaços físicos partilhados– Utilização de infra-estruturas comuns– Partilha de recursos
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Isolamento
• Como a partilha cria a maioria das oportunidades de ataque o isolamento foi desde sempre uma das formas de garantir segurança– Isolamento físico: cofres; paredes– Isolamento de pessoas: só um determinado grupo é
informado– Isolamento lógico: cifrar um documento torna
ininteligível a informação
3
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Politicas de Segurança nos Sistemas Informáticos
• Os sistemas informáticos são sistemas onde a partilha de informação é um dos objectivos, o que complica seriamente a segurança.
• Sistemas Multiprogramadas– Partilha de ficheiros– Partilha de memória– Partilha de programas– Partilha de periféricos
• Redes– Partilha dos meios físicos de comunicação– Partilha dos mecanismos de comutação
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Política de Segurança
• Uma política de segurança define-se respondendo às seguintes questões:– O que queremos proteger?– Quais as ameaças potenciais?– Quem as pode executar? Ou seja quem são os atacantes.– Quais os ataques? Materialização das ameaças– Quais os procedimentos e mecanismos de protecção que podem
impedir os ataques considerados?– Qual o custo de implementação da política?
• Como é evidente o custo da segurança deve ser inferior ao do Bem
4
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Bens a proteger
• Nos sistemas informáticos o Bem a proteger égenericamente a Informação, tipicamente a que se encontra armazenada de forma persistente.
• Como os sistemas informáticos cada vez mais controlam sistemas reais, a segurança pode colocar-se indirectamente no acesso aos sistemas controlados. Ex.:– Dinheiro electrónico - ATM – Máquinas multibanco– Serviços Telefónico– Sistemas de segurança física no acesso a instalações– Sistemas de vigilância
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
A Informação como um Bem
• Integridade da Informação• Confidencialidade/Privacidade da informação
– Ex.: Pessoal, Médica, relação com o Governo
• Dinheiro electrónico – uma informação cujo valor é óbvio• Identidade – não se efectuarem acções em nome de outro• Anonimato – realizar acções que são autenticadas mas em
que não se deve conhecer a identidade (ex.: votações)• Disponibilidade dos serviços que permitem aceder a
informação
5
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Ameaças
• Ataques Criminais– Fraude– Burla– Destruição– Roubo de propriedade intelectual– Roubo da identidade – Personificação– Roubo da Marca
• Violação da Privacidade– Jornalismo– Direitos individuais
• Procura de Publicidade– Acções que promovem o seu autor– Recusa de Serviço
• Ataques Legais – subterfúgio legal
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Quem pode ser o atacante?
• Os mesmos do mundo físico...• Podemos classificá-los de acordo com os seguintes
características– Objectivos– Acesso ao sistemas– Recursos– Capacidade técnica– Risco que estão dispostos a correr
6
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Possível Lista de Atacantes
• Hackers• Criminosos isolados• Crime Organizado• Pessoal interno • Terroristas• Espiões industriais• Organizações de Segurança Nacionais• Organizações Militares• Polícia• Jornalistas
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Formas de Ataque
• Sistemas– Assumir a identidade de outro utilizador– Executar operações que indirectamente ultrapassam os
mecanismos de protecção– Infiltrar código em programas que sub-repticiamente executam
outras funções– Canais encobertos de comunicação
• Redes– Escuta de mensagens– Modificação ou inserção de mensagens– Repetição de mensagens antigas
7
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Políticas de Segurança nos Sistemas Informáticos
• Isolamento dos Agentes• Isolamento da Informação• Controlo dos Direitos de Acesso
– Modificação Dinâmica dos Direitos de Acesso
• Controlo do Nível de informação – segurança multi-nível
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Isolamento dos Agentes
• O sistema tem de autenticar os agentes de forma a atribuir-lhes uma identificação interna.
• O sistema garante que ao agente é atribuída uma máquina virtual em que ele executa as operações sobre os objectos em completo isolamento das máquinas virtuais atribuídas a outros agentes.
• O isolamento implica que não existe a possibilidade de ultrapassar os mecanismos de confinamento ou enviar informação através de canais encobertos
8
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Isolamento de agentes:Autenticação dos agentes
• Mecanismos em sistemas centralizados:– Login (username + password) à ID interno– Estas operações são realizadas dentro do núcleo e portanto
assumidas como seguras
• Técnicas de subversão– “Buracos” nas barreiras de protecção– Personificação
• Exploração de erros operacionais• Cavalos de Tróia
– Covert channels (comunicação subliminar)
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Isolamento da Informação
• Tornar ininteligível a informação para quem não conheça um segredo– Criptografia
• A informação cifrada encontra-se isolada porque quem não conhece o segredo que a permite decifrar não a consegue distinguir de ruído
• A informação – Pode ser enviada nas redes de comunicação– Armazenada nos sistemas de informação
9
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Autorização
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Controlo de direitos de acesso
• Modelo conceptual– Os objectos são protegidos por um monitor de controlo de
referências
– Cada agente, antes de poder efectuar um acção sobre um objecto, tem que pedir autorização ao monitor
– O monitor verifica se o agente está ou não autorizado através de uma matriz de direitos acesso
10
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Controlo dos Direitos de Acesso
• Um Monitor de Controlo de Referências valida quando uma operação é efectuada se o agente tem direito de a executar.– Os objectos só podem ser acedidos através do monitor de controlo de
referências; – Os objectos têm de ser univocamente identificados e o identificador não
pode ser reutilizado sem precauções adicionais. – Num sistema multiprogramado a informação relativa à matriz é mantida
dentro do espaço de isolamento do núcleo. – Esta situação é, obviamente, diferente numa rede
• Os ataques a esta política visam essencialmente subverter o isolamento entre os agentes mais que procurar alterar a matriz ou eliminar o controlo do monitor de controlo de referências.
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Matriz de direitos de acesso
• Decomposição da tabela– Listas de controlo de acesso (Access Control Lists, ACLs)
• Guardadas junto de cada objecto
– Capacidades (capabilities)• Guardadas junto de cada agente
• A autenticação dos agentes é fulcral– Para determinar a parcela da ACL que lhe é aplicável– Para distribuir as capacidades correctas
RRW---RXA2
---RXRWRA1
O4O3O2O1Agentes
Objectos
11
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Limitação da capacidade de interacção: Domínios de protecção
• Associação de direitos a classes de utilizadores– Administrador– Operador de backups– Serviços
– Em sistemas Windows NT/2000 existem grupos e privilégios– Em UNIX existem grupos (com senha)– papéis (roles)
• Enquadramento de utilizadores em classes– Estático– Dinâmico
• Mecanismos de alteração do enquadramento
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Controlo do Nível de Segurança da Informação
• Política oriunda da visão militar da segurança• As políticas habituais consideram que o agente tem um
controlo discricionário sobre os objectos.• Esta política considera um controlo mandatório sobre a
segurança dos objectos, não permitindo aos agentes que a modifiquem.
• Um agente só tem acesso a informação se realmente tiver necessidade de conhecer (need to know), aplicando o sistema regras estritas para determinar quem tem acesso a quê.
12
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Controlo do Nível de Segurança da Informação
• Os objectos são classificados de acordo como o seu nível de confidencialidade. – Ex.: Muito Secreto, Secreto, Restrito, Não Classificado.
• A informação é também classificada em compartimentos de acordo com o assunto a que diz respeito – Ex.: Nato, Comunicações, etc.,
• Os agentes têm autorizações (clearances) que definem os compartimentos e o nível de segurança a que podem aceder – Clearance level
• Controlo de acesso dos agentes– Não podem ler informação classificada acima do seu nível– Não podem escrever informação classificada abaixo do seu nível
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Segurança no Sistema Operativo
Máquinas sem ligação em rede
13
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Base Computacional de Confiança
• Normalmente o sistema operativo é uma plataforma que oferece uma:
Base Computacional de Confiança — TCB (TrustedComputing Base).
• Faz parte da TCB tudo o que no sistema operativo é necessário para garantir a política de segurança.
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Base Computacional de Confiança
• Nos Sistemas Multiprogramados a TCB inclui:– Isolamento dos espaços de endereçamento garantido pelo hardware da
gestão de memória. – Restrição à execução em modo utilizador de instruções privilegiadas que
possam ultrapassar o isolamento dos espaços de endereçamento, (ex.: interrupções, operações de E/S);
– Utilização do núcleo exclusivamente através de funções do sistema que validam a correcta utilização dos mecanismos do sistema a que dão acesso;
– Algoritmos de criptografia que permitem manter a confidencialidade de informação sensível que esteja acessível aos utilizadores.
– Autenticação sob controlo dos sistemas– Controlo de acessos validado por um ou vários monitores de controlo de
referência
14
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Base Computacional de Confiança
• Quanto “maior”, menos fiável– Mais funcionalidades / código ⇒ maior
probabilidade de erros / vulnerabilidades• Propostas recentes: dois núcleos
– Um “trusted”: funcionalidades básicas, serviços críticos
– Outro não é “trusted”, contém maioria do código (ex: GUI)
– Ex.: Microsoft Palladium (agora chamado NGSCB)
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Orange Book
• No Orange Book são definidas quatro classes de segurança que por sua vez se subdividem em vários níveis:– D - protecção mínima; – C - política baseada no controlo de acessos, vulgar nos sistema
operativos comerciais; – B - políticas baseadas em controlo mandatório do nível de
segurança da informação. Nos subníveis mais elevados implica critérios de segurança na estrutura interna do sistema operativo;
– A - a classificação mais elevada que implica não só a existência dos mecanismos, mas a sua verificação formal.
15
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Segurança nos Sistemas Distribuídos
16
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Ataques a sistemas distribuídos
• Para além dos ataques aos sistemas que vimos anteriormente
• Ataques à comunicação– Passivos
• Escuta de mensagens– Activos
• Interferência com o fluxo de mensagens– Modificação de mensagens– Inserção de mensagens– Remoção de mensagens– Troca da ordem de mensagens
• Repetição de diálogos passados• Falsificação de identidades
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Características dos sistemas informáticos que facilitam os ataques
• Automação – facilidade de reproduzir uma acção milhões de vezes
rapidamente.
• Acção à distância – com a Internet a distância entre o atacante e o Bem não
é um limitador ao ataque
• Propagação rápida das técnicas.
17
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Base Computacional de Confiança nos Sistemas Distribuídos
• Existem 3 combinações possíveis– Rede e sistemas operativos seguros
• Limitativo• Difícil de garantir uma administração globalmente segura• Custo muito elevado da rede
– Rede insegura, sistemas operativos seguros• Importa garantir a segurança das comunicações e a correcção das
interacções remotas• A gestão dos sistemas é complexa e normalmente onerosa
– Rede e sistemas operativos inseguros• Muito vulnerável• É difícil assegurar um nível aceitável de segurança
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Base Computacional de Confiança Sistemas Distribuídos
• As duas primeiras soluções têm custos ou complexidades de gestão que são na maioria dos casos incomportáveis, mesmo para grandes organizações
• Na Internet ou redes abertas é manifestamente impossível confiar nos sistemas ou na rede
A politica mais adequada é considerar que a segurança não se baseia na segurança da rede ou dos sistemas e admitir um princípio de suspeição mútua em relação a todas as entidades
18
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Sistemas distribuídos:Políticas de segurança
• Técnicas fundamentais para garantir a segurança num ambiente distribuído:– Canais de comunicação seguros– Autenticação fidedigna dos agentes– Controlo de acesso (Autorização) no acesso aos
objectos com base na identidade do agente remoto e nos direitos de acesso
– Autenticação de informação transmitida– Garantia de integridade da informação transmitida
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Canais de segurança
Data Layer PresentationLayer
BusinessLayer
Canais Seguros de comunicações Redes de natureza diferente
Autenticação dos agentes
Controlo de Acesso
19
2/28/2007 Sistemas Distribuídos
Departamento de Engenharia Informática
Cifra no Canal de Comunicação
• A base dos canais de comunicação seguros é a cifra da informação
• Se as mensagens forem cifradas – evita a escuta de mensagens– evita a falsificação da informação contida nas
mensagens– Mas não evita a reutilização das mensagens