Prof. M.Sc. Jéferson Campos Nobre. 28 de Maio de Universidade do Vale do Rio dos Sinos - UNISINOS

Transcrição

1 Segurança em Sistemas Operacionais Prof. M.Sc. Jéferson Campos Nobre Universidade do Vale do Rio dos Sinos - UNISINOS 28 de Maio de 2014

2 Sumário 1 Segurança em Sistemas Operacionais 2

3 Apresentação Jéferson Campos Nobre Mestre em Ciência da Computação (UFRGS), Doutorando em Ciência da Computação (UFRGS) Professor da Graduação Tecnológica em Segurança da Informação da Unisinos Professor de cursos de Pós-Graduação em Segurança da Informação em outras universidades Tópicos de pesquisa: Redes de Computadores e Sistemas Distribuídos jcnobre/

4 Conceitos Iniciais Programa que age como intermediário entre o usuário e o hardware de um computador Objetivos de um sistema operacional Executar programas do usuário e tornar a solução de problemas mais fácil Tornar os sistemas computacionais convenientes ao uso Utilizar o hardware do computador de maneira eciente

5 Conceitos Iniciais Alocador de recursos Gerencia todos os recursos Decide entre requisições conitantes para uso eciente e justo dos recursos Programa de controle Controla execução

6 Serviços de Sistemas Operacionais Gerenciamento de Processos Gerenciamento de Memória Gerenciamento de Entrada e Saída Escalonamento de CPU Tratamento de Interrupções Gerenciamento de Armazenamento Gerenciamento de Inicialização Interface com o usuário

7 Segurança e Proteção em Sistemas Operacionais Segurança Proteção Defesa do sistema contra ataques internos e externos Mecanismos utilizados para controlar acesso de processos ou usuários aos recursos denidos pelo sistema operacional

8 Autenticação, Autorização, Controle de Acesso e Auditoria 4 A's Autenticação: quem o usuário é Autorização: direitos de acesso e privilégios de usuários Controle de acesso (access control): meios de acesso Auditoria: relatórios e controles

9 Mecanismos de Segurança Típicos de SOs Figure : Stallings 2003

10 Sistema de Detecção de Intrusão Intrusion Detection System - IDS O que é uma intrusão? "Evento no qual um atacante tenta ganhar acesso ou dicultar a operação normal de um sistema de informação" Exemplos Intrusões e tentativas mal-sucedidas Ataques por usuários legítimos (e.g., uso não-legítimo de privilégios de root) Acessos não-autorizados a dados e recursos Trojan horses Viruses Worms Ataques de Negação de Serviço (Denial of Service - DoS)

11 Estágios de Intrusões A maioria das intrusões envolve dos seguintes 5 passos: Reconhecimento inicial Intruso descobre a maior quantidade possível de informações sobre o alvo E.g., faixa de endereços IP, nomes das estações, etc Scanning Intruso usa técnicas mais invasivas para sondar por informação E.g., port scanning da rede do alvo para procurar por estações especícas e portas abertas Ganho de acesso Intruso realiza o que normalmente é considerado um crime através da exploração de possíveis vulnerabilidades na estação-alvo e ganha acesso ao sistema

12 Estágios de Intrusões Manutenção do acesso e encobrimento de pistas Intruso instala um conjunto de ferramentas que facilitam seu acesso e removem evidências do ataque E.g., rootkits Exploit Intruso tira proveito de sua posição para realizar algo do seu interesse E.g., roubar dados condenciais, modicar ("pichar") páginas, atacar outros sites, etc

13 Abordagens Anti-Intrusão Prevenção de intrusão Atividades que evitam intrusões ou dmininuem suas chances de sucesso E.g., empregar ferramentas de segurança, utilizar boas práticas Detecção de intrusão Atividades que detectam intrusões (diferenciam da operação normal) E.g., alertar administradores se alguém tenta acessar ou modicar arquivos de conguração de um servidor

14 Abordagens Anti-Intrusão Deexão da intrusão Atividades que procuram fazer o intruso acreditar que teve sucesso, mas na realidade ele está acessando um ambiente especialmente controlado Honeypots e honeynets Resposta à intrusão (contramedidas) Atividades que procuram limitar a perda geral de um intrusão detectada e retornar o sistema à sua operação normal ASAP Session snipping dicultam a comunicação entre o atacante e o alvot (e.g., forjando pacotes RST) Post-attack cleanup sondar os arquivos colocados no sistema durante o ataque e os apagando

15 Terminologia da Detecção de Intrusão Ataque evento malicioso que faz causa uma detecção de intrusão Ataque real ou exercício promovido pela equipe de segurança para testar mecanismos de segurança Falso Positivo falha que ocorre quando um evento normal é classicado como ataque False Negativo falha que ocorre quando um ataque é classicado como evento normal Ruído eventos que são corretos mas que não impõem grandes riscos ao sistema de informações Alerta ou alarme indicação que o sistem foi atacado

16 Sistema de Detecção de Intrusão O que deve ser detectado? Probability density function profile of intruder behavior profile of authorized user behavior overlap in observed or expected behavior average behavior of intruder average behavior of authorized user Measurable behavior parameter Figure 18.1 Profiles of Behavior of Intruders and Authorized Users

17 Alvos para IDS Baseado em Host (HIDS) Monitora atividade em um único host Vantagem: melhor visibilidade no comportamento de aplicações executadas no host Baseado em Rede (NIDS) Monitora tráfego de rede no segmento Vantagem: apenas um NIDS pode proteger muitos hosts e procurar por problemas globais

18 Nível de Monitoramento em um HIDS Quais tipos de eventos devem ser monitorados? System calls Linha de comando Dados de rede Processos Acesso a recursos

19 Nível de Monitoramento em um HIDS Exemplo Autenticação sem sucesso em aplicações que utilizam credenciais de rede IDS informa ao administrador de sistema que existe um usuário tentando utilizar uma aplicação que ele não tem permissão

20 Técnicas HIDS Detecção por assinatura Usa assinaturas do ataque Precisa de um modelo do ataque) Sequencias de system calls, padrões de tráfego de rede, etc Necessário saber com antecedência o que o atacante fará (como?) Pode detectar apenas ataques conhecidos Detecção por anomalia Usando um modelo do comportamento normal do sistema, tenta detectar desvios e anormalidades E.g., gera um alarme quando eventos estatiscamente raros acontecem Pode detectar atques desconhecidos

21 Detecção de Intrusão Baseada em Assinaturas Conjunto de regras denindo um padrão de comportamento que deve ser associado a um determinado ataque Exemplo: buer overow Argumento muito longo para uma função string Assinaturas de ataques são geralmente muito especícas e podem não reconhecer variantes dos ataques

22 Detecção de Intrusão Baseada em Assinaturas Derivando Assinaturas Usa características não-variáveis conhecidas dos ataques Corpo de virus e worms, número de porta de aplicações com exploits conhecidos Difícil de tratar mutações (virus polimórcos) Desao: extração rápida e automática de assinaturas de novos ataques Honeypots são úteis para essa extração

23 Detecção de Intrusão Baseada em Assinaturas Modelo Bag-O'Calls Determina o conjunto S de todas system calls que uma aplicação pode potencialmente fazer Não utiliza informação sobre a ordem relativa Execução verica se cada chamada pertence ao conjunto Problemas: falsos negativos - atacante pode usar qualquer chamada de S S muito grande para aplicações grandes

24 Detecção de Intrusão Baseada em Assinaturas Modelo Monitoramente em tempo de execução Abordagem executar uma cópia da aplicação Replicação é difícil, não-determinismo no código Geração de números aleatórios, agendamento de processos, interação com o ambiente Escravo é exposto aos mesmos riscos que o mestre Falhas de segurança no mestre também estão no escravo Virtualização facilita essa abordagem Simular o uxo de controle da aplicação monitorada

25 Detecção de Intrusão Baseada em Anomalia Anomalia Dene um perl - comportamento normal Melhores resultados para sistemas pequenos e bem denidos (programa simples em relação a um OS multiusuário) Pers podem ser estatísticos Criados manualmente (difícil) Usando técnicas de IA, data mining, etc Risco: atacante pode treinar o IDS para aceitar sua atividade como normal Port scan diário de baixo volume pode treinar o IDS a aceitar port scans

26 Detecção de Intrusão Baseada em Anomalia Perl Atividade de Login e sessão Frequência de login e localização, last login, falhas de senha, tempo da sessão, CPU, I/O Execução de comandos e programas Frequência de execução, vericação de exaustão, execuções negadas Atividade de acesso a arquivos Frequência de leitura/escrita/criação/destruição, registro lidos/escritos, tentativas negadas, exaustão de recursos

27 Detecção de Intrusão Baseada em Anomalia Computa estatísticas de certas atividades do sistema Gera um alerta se estatística está fora de uma faixa Exemplo: Atividades diárias de um usuário Fração de horas utilizadas para leitura de Relata anomalia se o vericado está fora da norma

28 Técnicas HIDS Coleta de Dados de Auditoria Mecanismo para coletar informação relacionada com a atividade de usuários e aplicações Para ser útil, mecanimos não podem ser tamponáveis ou bypassaveis Dados de auditoria não são desenvolvidos para detecção de intrusão Registros produzidos contem informações irrelevantes e algumas informações úteis não estão presentes Log-based IDS

29 Técnicas HIDS Baseada em especicação Modelos a priori, sem usar informações dinamicas Escritos manualmente or desenvolvidos através de análise estática do código Exemplos: Ambientes restrito (sandbox) para processos: todas as system calls são interceptadas e vericadas frente a uma especicação Software wrappers: nas system calls, wrappers são chamados para vericar se a chamada e seus argumentos são permitidos Grafo de chamada: utilizado para caracterizar a sequencia esperada de system calls Desvantagens difícil de implementar para aplicações e cenários realistas

30 Sistema de Detecção de Intrusão Distribuição Figure : Stallings 2003

31 Implementações HIDS OSSEC Verisys File Integrity Monitoring System Tripwire Samhain Osiris Advanced Intrusion Detection Environment (AIDE) IBM Proventia Desktop Endpoint Security Chec kpoint Integrity Symantec Endpoint Protection McAfee Host Intrusion Prevention (desktop/server)

32 Bibliograa Wagner and Dean (2001) "Intrusion Detection via Static Analysis". In: Proceedings of the IEEE Symposium on Security and Privacy. P Feng et al. (2004) "Formalizing Sensitivity in Static Analysis for Intrusion Detection" In: Proceedings of the IEEE Symposium on Security and Privacy. P Debar et al. (1999) "Towards a taxonomy of intrusion-detection systems. Computer Networks. V.31, N.8, P , Elsevier