Aplicações Seguras. Criação de aplicações seguras. Carlos Ribeiro Algoritmos e Aplicações de Segurança

Transcrição

1 Aplicações Seguras Criação de aplicações seguras 1

2 Ciclo de vida da segurança Ameaças Políticas Gestão e manutenção Especificação Implementação Desenho 2

3 Políticas Implementação Presunções (Assumptions) a fechadura da porta é segura a política estabelecida, define correcta de forma não ambígua um estado seguro de um não inseguro os mecanismos aplicam correctamente a política Confiança (Trust) A existir um serralheiro este é de confiança Os mecanismos funcionam de acordo com o esperado Garantia (Assurance) (substantivo) Quantificação da confiança Especificação Desenho Implementação Certificação 3

4 Criação de aplicações seguras Não existem aplicações seguras. Medida de Confiança (Trust) na segurança. Diz-se que um sistema é confiável se existirem evidências suficientes de satisfazer um conjunto de requisitos de segurança. A confiança obtém-se através de técnicas de Garantia (Assurance) (verbo) Metodologias de desenvolvimento Métodos formais A Certificação éa aceitaçãopor parte de peritos das garantias e a atribuição de um nível de confiança 4

5 Problemas e Garantias Políticas com garantias de segurança Técnicas de desenho com garantias de segurança Omissões e erros na definição de requisitos Falhas de desenho Má utilização intencional Implementação com garantias de segurança Erros de hardware Erros de software Mau funcionamento do equipamento Causas naturais e ambientais Operação com garantias de segurança Erros de operação Gestão e Actualizações defeituosos 5

6 Desenho e Implementação de Aplicações Seguras 6

7 Ciclo de desenvolvimento Modelo de queda de água Definição de requisitos Análise de vulnerabilidades Desenho Testes de penetração Implementação e teste Integração e teste Requisitos de Análise de viabilidade: Modelação de ameaças as Operação e manutenção 7

8 Queda de Água Definição de requisitos Expansão dos requisitos de alto nível. Definição de requisitos funcionais e não funcionais. + Definição de requisitos de segurança + Avaliação de viabilidade Correcção, Consistência, Completude, Verificabilidade Desenho Desenho do sistema Desenho das aplicações + Testes de adequação aos requisitos + Modelo de vulnerabilidades Implementação e teste + Boas práticas de segurança 8

9 Outros modelos de desenho Programação exploratória Não há requisitos nem desenho. Linguagem de alto nível. Prototipagem Parecido com anterior. Objectivo obter requisitos. Transformação formal Muito bom para segurança. Muito difícil. Reutilização de componentes Muitíssimo comum. Programação extrema Rápida prototipagem. Boas práticas Teste de componentes isoladamente Revisões e integração de componentes frequente. Requisitos estão aberto até ao fim 9

10 Desenho Modelação e ameaças 10

11 Modelação de ameaças DFD, UML Decomposição da aplicação Identificação das ameaças Classificação das ameaças Eliminação das vulnerabilidades STRIDE Árvore de ameaças DREAD 11

12 Modelação de ameaças: Decomposição de aplicações DFD Data Flow Diagrams Writing Secure Code, Michael Howard e David LeBlanc, Microsoft, 2 nd edition. UML Unified Modeling Language Diagramas de actividade Diagrama de arquitectura Diagramas de casos de uso Lund, M. S., Braber, F., Stolen, K. and Vraalsen, F. (2004) A UML Profile for the Identification and Analysis of Security Risks During Structured Brainstorming, SINTEF ICT Cooperative and Trusted Systems, May. 12

13 Entidades do DFD Começar com um DFD de 1º nível Identificar todos os elementos Definir correctamente as fronteiras Para cada entidade efectuar um conjunto de perguntas segundo o modelo STRIDE 13

14 Exemplo de DFD 14

15 STRIDE S Spoofing identity Utilizadores, servidores. Passwords, DNS. T Tampering with data Modificação da informação (sistema de ficheiros, em trânsito, base de dados, etc.) Autorização incorrecta R Repudiation Repudiação de acções (envio, recepção, assinatura, etc.) I Information Disclosure Acesso a informação (sistema de ficheiros, em trânsito, base de dados, etc.) Autorização incorrecta D Denial of Service Exploram assimetrias entre o atacante e o receptor E Elevation of privilege Tornar-se root Através de um trojan 15

16 Tipo de ameaça Afecta processos Afecta repositórios Afecta entradas Afecta fluxos de dados Spoofing Sim 1 Sim Tampering Sim 2 Sim Sim Repudiation Sim Sim Sim Inf. Disclosure Sim 3 Sim 4 Sim DoS Sim Sim 5 Sim Ele. Priviledge Sim 6 1 Spoofing de utilizador de processo ou de servidor. 2 Alteração da imagem do processo em disco ou memória. 3 Como funciona ou tem segredos embutidos. 4 Só faz sentido para os dados 5 Não é possível um DoS às entradas directamente: mas é possível aos fluxos de dados, processo e repositórios. 6 Só em possível elevar os privilégios de um processo, mas podem existir outras ameaças que conduzam a esta, ex. ver a password de root. 16

17 Árvore de ameaças Ameaças vulnerabilidades Quais as ameaças que resultam em vulnerabilidades. Criar uma árvore de ameaças para cada ameaça a cada entidade 17

18 Exemplo de árvore de ameaças 18

19 Classificação das vulnerabilidades: DREAD Classificam-se as vulnerabilidades de 1 a 10 em cada categoria: D Damage potential Qual a dimensão do estrago se existir. Elevação de prioridade = 10. R Reprodutibility Qual é a dificuldade de reprodução. Corridas são pouco reprodutíveis E Exploitability Qual a capacidade de ser explorada. Scrippty kids = 10; Especialista = 7; Infinitos recursos =3. A Affected users Qual a percentagem da população que é afectada % = 10; 0-10 = 1 D Discoverability Qual é a probabilidade de ser descoberto. Internet = 10; Fechado num cofre = 1!!! A relevância da vulnerabilidade é a média de todas as categorias. 19

20 Procedimento Criar o DFD Para cada elemento do DFD -> STRIDE Para cada ameaça -> Árvore de ameaças Para cada vulnerabilidade ->DREAD Eliminação ou mitigação das ameaças 20

21 Eliminação ou mitigação 21

22 Eliminação ou mitigação 22

23 Implementação 23

24 Análise de vulnerabilidades Análise por módulo Análise integrada Testes de penetração Frameworks RISOS (Research Into Secure Operating Systems) PA (Protection Analysis) Taxinomia NRL Aslam s STRIDE Mutação de entradas 24

25 RISOS Validação incompleta de entradas. E.g. Buffer overflow. Validação inconsistente dos parâmetros. E.g. Formatação inconsistente. Partilha implícita de dados confidenciais. E.g. O problema do tar Validação assíncrona. E.g. Corrida na verificação de parâmetros de uma system call Autenticação inadequada. E.g. Cavalos de Tróia. Limite violável. E.g. Valores muito grandes passam a negativos. Erro lógico explorável. E.g. Tratamento de condições de excepção incorrectas. 25

26 Protection Analysis Model Começa por subdividir o problema em módulos. Domínio de protecção Escolha inicial incorrecta. Ex. escolha errada dos privilégios de acesso à aplicação. Isolamento da aplicações ou dos módulos defeituosos. Ex. É permitida a actuação dos módulos ou das aplicações em interfaces não previstas. Alteração inesperada de informação. Ex. o nome de um ficheiro muda entre a verificação de acesso e a sua abertura. Identificação incorrecta. Ex. spoofing. Eliminação de resíduos incompleta. Ex. O core é despejado numa área pública. 26

27 Protection Analysis Model Incorrecta validação Ex. XSS, SQL Injection, Naming, buffer overflows, etc. Sincronização incorrecta Quebra de Indivisibilidade Ex. O problema do mkdir no Unix v7 Quebra de sequencialidade Ex. one-time password Incorrecta utilização de operações ou operandos Ex. números aleatórios. 27

28 Mutação de entradas I Identificação dos dados de entrada Alteração controlada dos dados Análise dos resultados 28

29 Identificação das entradas Decomposição da aplicação Identificação das interfaces Enumeração das entradas de dados Sockets Pipes Registry Files RPC (etc) Argumentos de entrada Etc. Enumeração das estruturas de dados Estruturas C/C++ Cabeçalhos HTTP Corpo HTTP Strings de procura Flags Etc. Determinar as construções válidas 29

30 Alteração controlada das entradas 30

31 Exemplo Remover dados (Lz( Lz) Lixo (Cr) OnHand.xml Aumentar a dimensão do nome (On:Ll) Link para outro ficheiro (Ol) Negar o acesso (Oa) Reservar o acesso (Oa) <?xml version="1.0" encoding= utf utf-8"?> <items> <item name="foo Foo" readonly="true"> <cost>13.50</cost> <lastpurch> </ > </lastpurch> <fullname>big Foo Thing</fullname fullname> </item>... </items> Alterar a versão (Cs & Co) Escapes (Cpe( Cpe) Retirar a versão (Lz) Lixo (Cr) 31

32 Testes de penetração Metodologia Flaw Hypothesis Colecção de informação Estabelecimento de hipóteses Teste de hipóteses Generalização da falha Eliminação da falha 32