segurança em sistemas informáticos · politicas de segurança nos sistemas informáticos •...

8/28/2003 José Alves Marques

Departamento de Engenharia Informática

Segurança em Sistemas Informáticos



Politicas de Segurança

• Quando é que se torna necessário uma política de segurança ?– Quando existe um Bem com Valor

– Se o Bem se situa permanentemente ou temporariamente num espaço partilhado criam-se condições que facilitam a existência de ataques

• Uma politica de segurança procura garantir a protecção do Bem contra os ataques esperados dentro de determinadas condicionantes.



Ameaça típica

• A partilha está na base da maioria das ameaças– Espaços públicos

– Espaços físicos partilhados

– Utilização de infra-estruturas comuns

– Partilha de recursos



Politicas de Segurança nos Sistemas Informáticos

• Os sistemas informáticos são sistemas onde a partilha de informação é um dos objectivos, o que complica seriamente a segurança.

• Sistemas Multiprogramadas– Partilha de ficheiros– Partilha de memória– Partilha de programas– Partilha de Periféricos

• Redes– Partilha dos meios físicos de comunicação– Partilha dos mecanismos de comutação



Política de Segurança

• Uma política de segurança define-se respondendo às seguintes questões:– O que queremos proteger?– Quais as ameaças potenciais?– Quem as pode executar? Ou seja quem são os atacantes.– Quais os ataques? Materialização das ameaças– Quais os procedimentos e mecanismos de protecção que podem

impedir os ataques considerados?– Qual o custo de implementação da política?

• Como é evidente o custo da segurança deve ser inferior ao do Bem



Bens a proteger

• Nos sistemas informáticos o Bem a proteger é genericamente a Informação, tipicamente a que se encontra armazenada de forma persistente.

• Como os sistemas informáticos cada vez mais controlam sistemas reais, a segurança pode colocar-se indirectamente no acesso aos sistemas controlados. Ex.:– Dinheiro electrónico - ATM – Máquinas multibanco

– Serviços Telefónico

– Sistemas de segurança física no acesso a instalações

– Sistemas de vigilância



Bens a proteger

Lista incompleta

• Integridade da Informação

• Confidencialidade da Informação

• Privacidade da informação– Ex.: Pessoal, Médica, relação com o Governo

• Dinheiro electrónico – uma informação cujo valor é óbvio

• Identidade – não se efectuarem acções em nome de outro

• Anonimato – (debate interessante)



Ameaças

• Ataques Criminais– Fraude– Burla– Destruição– Roubo de propriedade intelectual– Roubo da identidade – Personificação– Roubo da Marca

• Violação da Privacidade• Procura de Publicidade

– Acções que promovem o seu autor– Recusa de Serviço

• Ataques Legais – subterfúgio legal



Quem pode ser o atacante?

• Os mesmos do mundo físico...

• Podemos classificá-los de acordo com os seguintes características– Objectivos

– Acesso ao sistemas

– Recursos

– Capacidade técnica

– Risco que estão dispostos a correr



Possível Lista de Atacantes

• Hackers• Criminosos isolados• Crime Organizado• Pessoal interno • Terroristas• Espiões industriais• Organizações de Segurança Nacionais• Organizações Militares• Polícia• Imprensa



Formas de Ataque

• Sistemas– Assumir a identidade de outro utilizador– Executar operações que indirectamente ultrapassam os

mecanismos de protecção– Infiltrar código em programas que sub-repticiamente executam

outras funções– Canais encobertos de comunicação

• Redes– Escuta de mensagens– Modificação ou inserção de mensagens– Repetição de mensagens antigas

• Partilha de software• Partilha de Conteúdos



Politicas de Segurança nos Sistemas Informáticos

• Isolamento dos Agentes

• Controlo dos Direitos de Acesso– Modificação Dinâmica dos Direitos de Acesso

• Isolamento da Informação

• Controlo do Nível de informação – segurança multinível



Isolamento dos Agentes

• O sistema tem de autenticar os agentes de forma a atribuir-lhes uma identificação interna.

• O sistema garante que ao agente é atribuída uma máquina virtual em que ele executa as operações sobre os objectos em completo isolamento das máquinas virtuais atribuídas a outros agentes.

• O isolamento implica que não existe a possibilidade de ultrapassar os mecanismos de confinamento ou enviar informação através de canais encobertos



Isolamento de agentes:Autenticação dos agentes

• Mecanismos em sistemas centralizados:– Login (username + password) � ID interno

– Estas operações são realizadas dentro do núcleo e portanto assumidas como seguras

• Técnicas de subversão– “Buracos” nas barreiras de protecção

– Personificação• Exploração de erros operacionais

• Cavalos de Tróia

– Covert channels (comunicação subliminar)



Isolamento da Informação

• Tornar não ininteligível a informação para quem não conheça um segredo– Criptografia

• A informação cifrada encontra-se isolada porque quem não conhece o segredo que a permite decifrar não a consegue distinguir de ruído

• A informação – Pode ser enviada nas redes de comunicação– Armazenada nos sistemas de informação



Autorização



Controlo de direitos de acesso

• Modelo conceptual– Os objectos são protegidos por um monitor de segurança

– Cada agente, antes de poder efectuar um acção sobre um objecto, tem que pedir autorização ao monitor

– O monitor verifica se o agente está ou não autorizado através deuma matriz de direitos acesso



Controlo dos Direitos de Acesso

• Um Monitor de Controlo de Referência valida quando uma operação é efectuada se o agente tem direito de a executar.– Os objectos só podem ser acedidos através do monitor de controlo de

referências; – Os objectos têm de ser univocamente identificados e o identificador não

pode ser reutilizado sem precauções adicionais. – Num sistema multiprogramado a informação relativa à matriz é mantida

dentro do espaço de isolamento do núcleo. – Esta situação é, obviamente, diferente numa rede

• Os ataques a esta política visam essencialmente subverter o isolamento entre os agentes mais que procurar alterar a matriz ou eliminar o controlo do monitor de controlo de referências.



Matriz de direitos de acesso

• Decomposição da tabela– Listas de controlo de acesso (Access Control Lists, ACLs)

• Guardadas junto de cada objecto

– Capacidades (capabilities)• Guardadas junto de cada agente

• A autenticação dos agentes é fulcral– Para determinar a parcela da ACL que lhe é aplicável

– Para distribuir as capacidades correctas

RRW---RXA2

---RXRWRA1

O4O3O2O1Agentes

Objectos



Limitação da capacidade de interacção: Domínios de protecção

• Associação de direitos a classes de utilizadores– Administrador– Operador de backups– Serviços

– Em sistemas Windows NT/2000 existem grupos e privilégios– Em UNIX existem grupos (com senha)– papeis (roles)

• Enquadramento de utilizadores em classes– Estático– Dinâmico

• Mecanismos de alteração do enquadramento



Controlo do Nível de Segurança da Informação

• Política oriunda da visão militar da segurança

• As políticas habituais consideram que o agente tem um controlo discricionário sobre os objectos.

• Esta política considera um controlo mandatório sobre a segurança dos objectos, não permitindo aos agentes que a modifiquem.

• Um agente só tem acesso a informação se realmente tiver necessidade de conhecer (need to know), aplicando o sistema regras estritas para determinar quem tem acesso a quê.



Controlo do Nível de Segurança da Informação

• Os objectos são classificados de acordo como o seu nível de confidencialidade. – Ex.: Muito Secreto, Secreto, Restrito, Não Classificado.

• A informação é também classificada em compartimentos de acordo com o assunto a que diz respeito – Ex.: Nato, Comunicações, etc.,

• Os agentes têm autorizações (clearances) que definem os compartimentos e o nível de segurança a que podem aceder – Clearance level

• Controlo de acesso dos agentes– Não podem ler informação classificada acima do seu nível– Não podem escrever informação classificada abaixo do seu nível



Segurança no Sistema Operativo

Máquinas sem ligação em rede



Base Computacional de Confiança

• Normalmente o sistema operativo é uma plataforma que oferece uma:

Base Computacional de Confiança — TCB (Trusted

Computing Base).

• Faz parte do TCB tudo o que no sistema operativo é necessário para garantir a política de segurança.



Base Computacional de Confiança

• Nos Sistemas Multiprogramados o TCB incluí:– Isolamento dos espaços de endereçamento garantido pelo hardware da

gestão de memória. – Restrição à execução em modo utilizador de instruções privilegiadas que

possam ultrapassar o isolamento dos espaços de endereçamento, (ex.: interrupções, operações de E/S);

– Utilização do núcleo exclusivamente através de funções do sistema que validam a correcta utilização dos mecanismos do sistema a que dão acesso;

– Algoritmos de criptografia que permitem manter a confidencialidade de informação sensível que esteja acessível aos utilizadores.

– Autenticação sob controlo do sistemas– Controlo de acessos validado por um ou vários monitores de controlo de

referência



Orange Book

• No Orange Book são definidas quatro classes de segurança que por sua vez se subdividem em vários níveis:– D - protecção mínima;

– C - política baseada no controlo de acessos, vulgar nos sistema operativos comerciais;

– B - políticas baseadas em controlo mandatório do nível de segurança da informação. Nos subníveis mais elevados implica critérios de segurança na estrutura interna do sistema operativo;

– A - a classificação mais elevada que implica não só a existência dos mecanismos, mas a sua verificação formal.



Segurança nos Sistemas Distribuídos



Ataques a sistemas distribuídos

• Para além dos ataques aos sistemas que vimos anteriormente

• Ataques à comunicação– Passivos

• Escuta de mensagens– Activos

• Interferência com o fluxo de mensagens– Modificação de mensagens– Inserção de mensagens– Remoção de mensagens– Troca da ordem de mensagens

• Repetição de diálogos passados• Falsificação de identidades



Características dos sistemas informáticos que facilitam os ataques

• Automação – facilidade de reproduzir uma acção milhões de vezes

rapidamente.

• Acção à distância – com a Internet a distância entre o atacante e o Bem não

é um limitador ao ataque

• Propagação rápida das técnicas.



Base Computacional de Confiança nos Sistemas Distribuídos

• Existem 3 combinações possíveis– Rede e sistemas operativos seguros

• Limitativo• Difícil de garantir uma administração globalmente segura• Custo muito elevado da rede

– Rede insegura, sistemas operativos seguros• Importa garantir a segurança das comunicações e a correcção das

interacções remotas• A gestão dos sistemas é complexa e normal onerosa

– Rede e sistemas operativos inseguros• Muito vulnerável• É difícil assegurar um nível aceitável de segurança



Base Computacional de Confiança Sistemas Distribuídos

• As duas primeiras soluções tem custos ou complexidades de gestão que são na maioria dos casos incomportáveis, mesmo para grandes organizações

• Na Internet ou redes abertas é manifestamente impossível confiar nos sistemas ou na rede

A politica mais adequada considerar que a segurança

não se baseia na segurança da rede ou dos sistemas e

admitir um princípio de suspeição mútua em relação a

todas as entidades



Sistemas distribuídos:Políticas de segurança

• Técnicas fundamentais para garantir a segurança num ambiente distribuído:– Canais de comunicação seguros

– Autenticação fidedigna dos agentes

– Controlo de acesso (Autorização) no acesso aos objectos com base na identidade do agente remoto e nos direitos de acesso

– Autenticação de informação transmitida

– Integridade da informação transmitida



Canais de segurança

Data Layer Presentation

LayerBusiness

Layer

Canais Seguros de comunicações Redes de natureza diferente

Autenticação dos agentes

Controlo de Acesso



Cifra no Canal de Comunicação

• A base dos canais de comunicação seguros é a cifra da informação

• Se as mensagens forem cifradas – evita a escuta de mensagens

– evita a falsificação da informação contida nas mensagens

– Mas não evita a reutilização das mensagens

segurança em sistemas informáticos · politicas de segurança nos sistemas informáticos •...

Documents