Criptografia e Segurança das Comunicações. das Comunicações

Transcrição

1 Criptografia e Segurança das Comunicações Políticas de segurança : Integridade Políticas integridade : 1/24 Biba introdução (1) O modelo Biba, proposto em 1977 por Kenneth J. Biba, baseia-se no modelo de segurança BLP, mas dirigido à integridade. As regras NRU e NWD asseguram a confidencialidade, mas o writeup pode afectar a integridade (um sujeito de nível ínferior pode modificar-inadvertidamente ou intencionalmente-um documento classificado). Tal como no BLP, o modelo Biba é baseado na máquina de estados. No modelo Biba são definidos níveis de integridade (nota: modelo BLP define níveis de segurança, mas os objectivos são distintos). No modelo Biba são definidas políticas de integridade duais do BLP: integridade estática, integridade dinâmica, inovação. Políticas integridade : 2/24

2 Biba introdução (2) Os conjuntos básicos do Biba são: Sujeitos : elementos activos do sistema que acedem a informação (ex: processos que actuam em nome dos utilizadores que os lançam) Objectos: elementos passivos do sistema, sobre os quais é solicitado acesso (ex: ficheiros, programas) Modos de acesso: Modificar o sujeito escreve no objecto Observar o sujeito lê o objecto Invocar o sujeito comunica com outro sujeito Executar o sujeito executa o objecto Biba define 3 famílias de modelos obrigatórios de integridade. Políticas integridade : 3/24 Biba níveis de integridade (1) O modelo Biba envolve 2 conjuntos para além do {S,O,A} 1. (C,<) é uma ordem total de classificações Exemplo: H={C,VI,I} C- Crucial, que não pode ser alterado. VI- Very Important só pode ser alterado por num grupo limitado de sujeitos dentro da organização. I- Important alterações pode ser feitas, cuidadosamente. I < VI < C. C VI I 2. (SC, ) é uma ordem parcial de segurança sobre compartimentos. Políticas integridade : 4/24

3 Biba níveis de integridade (2) [Def]: O nível de integridade é um reticulado (C SC, ) em que (c 1,sc a ) (c 2,sc b ) sse c 1 < c 2 e sc a sc b. Os níveis de integridade determinam o grau de confiança sobre a integridade da informação. A definição do domínio de um elemento sobre outro no BLP mantém-se válido no Biba. As funções i:s I e i:o I devolvem o nível de integridade, respectivamente de um sujeito e de um objecto. Políticas integridade : 5/24 Biba propriedades (1) 1. Integridade estrita, imposta por 3 propriedades: Condição simples de integridade: s S pode observar o O sse i(s) i(o). A integração estrita impede a contaminação de documentos de níveis superiores. Exemplo: um sujeito de nível cruvial não deve confiar em documentos irrelevantes. Read Read Read Níveis segurança Sujeito Objecto Nota: condição simples de integridade também designada por NRD-no read down Políticas integridade : 6/24

4 Biba propriedades (2) Propriedade integridade *: s S pode modificar o O sse i(o) i(s). Esta regra impede que um cavalo de troia possa contaminar documentos de níveis superiores. Write Write Write Níveis segurança Sujeito Objecto Nota: política integridade * também designada por NWU-no write up Propriedade invocação: s 1 S pode invocar s 2 S sse i(s 2 ) i(s 1 ). Políticas integridade : 7/24 Biba propriedades (3) 2. Marca d água baixa: as políticas de integridade estrita são muito restritivas. Em alternativa existem 3 políticas de integridade mais relaxadas. Marca d água para sujeitos: 1. Propriedade integridade *, ou NWU: s S pode modificar o O sse i(o) i(s). 2. Um sujeito pode observar qualquer objecto, mas nível de segurança do objecto desce. Read (antes) (depois) 3. Propriedade invocação: s 1 S pode invocar s 2 S sse i(s 2 ) i(s 1 ). Políticas integridade : 8/24

5 Biba propriedades (4) Marca d água para objectos: 1. s S pode modificar qualquer o O, independentemente do nível de segurança. 2. Se s S modificar o O, então o nível de segurança do objecto é alterado para min(i(s),i(o)). Write (antes) (depois) Inconvenientes da política de marca d água baixa permite que um sujeito suspeito altere um objecto de confiança. não indica como restabelecer nível de integridade de um objecto. Políticas integridade : 9/24 Biba propriedades (5) Marca d água para auditoria de integridade: 1. s S pode modificar qualquer o O, independentemente do nível de integridade. 2. Se um sujeito modificar um objecto que possui um nível superior de integridade, a transacção é registada num registo de actividade (log file). Esta política é semelhante à marca d água para objectos, exceptuando o efeito da modificação de um objecto ser o registo da transacção e não baixar o nível de integridade. O inconveniente da política de marca d água baixa para auditoria de integridade é não impedir modificações impróprias de objectos. Políticas integridade : 10/24

6 Biba propriedades (6) 3. Integridade em anel, semelhante à integridade estrita, imposta por 3 propriedades: s S pode observar qualquer o O, independentemente do nível de segurança. Propriedade integridade *, ou NWU: s S pode modificar o O sse i(o) i(s). Propriedade invocação: s 1 S pode invocar s 2 S sse i(s 2 ) i(s 1 ). Inconveniente da política de integridade em anel: não impede modificações impróprias terem lugar de forma indirecta (sujeito de nível elevado de integridade lê objecto de baixo nível e escreve essa informação num objecto de alto nível) Políticas integridade : 11/24 CW introdução Proposto em 1987 por David Clark e David Wilson centra-se na noção de transação comercial. O modelo Clark-Wilson foca na integridade das transacções. [Def]: Uma transacção bem-formada é uma série de operações que transiciona um sistema de um estado consistente para outro estado consistente. O utilizador não acede directamente à informação O acesso é realizado através de procedimentos que garantem a integridade. Políticas integridade : 12/24

7 CW níveis integridade São definidos 2 níveis de integridade de dados: CDI ( Constrained Data Items ) sujeitos a controlo de integridade UDI ( Unconstrained Data Items ) livres de controlo. Tipicamente são dados de entrada, que têm de ser convertidos em CDIs. São definidos 2 tipos de processos: IVP ( Integrity Verification Procedures ), que testam a integridade dos CDI. TP ( Transaction Procedures), que mudam o sistema entre dois estados consistentes. São os únicos processos que podem manipular os CDIs. Políticas integridade : 13/24 CW princípios Princípio de separação da função ( separation of function ): as operações são separadas em diferentes partes. Exemplo: dados criados num projecto não devem ser empregues no desenvolvimento ou em testes de um novo sistema. Princípio de separação de responsabilidade ( separation of duty ): as diferentes partes de um objecto são realizadas por diferentes utilizadores. Exemplo: o projectista de uma aplicação informática não deve ser a mesma pessoa que instala e certifica os programas. Políticas integridade : 14/24

8 CW regras (1) 1. Regras de certificação C1: todos os IVP devem ser certificados como garantindo a validade do CDI no momento em que o IVP é executado. C2: Todos os TP devem ser certificados como válidos: Dado um conjunto de CDI de entrada válidos, devem produzir um conjunto de CDI válidos. O conjunto de CDI que o TP pode aceder faz parte da certificação. 2. Regras de coacção E1: O acesso a CDI apenas pode ser realizado por TP certificados para esse CDI. E2: O sistema deve manter uma lista de tuplos (User, TP, CDIs) e garantir que apenas as execuções correspondentes a um triplo são executadas. Os tuplos definem a relação de permissão. Nota: Biba pode ser emulado por Clark-Wilson através de escolha dos tuplos. Políticas integridade : 15/24 CW regras (2) 3. Utilizadores e Regras C3: A lista de tuplos de E2 deve estar certificada como garantindo Separation Of Duty. E3: O sistema deve autenticar cada utilizador que execute um TP. 4. Registo C4: Todos os TP devem estar certificados em como escrevem toda a informação relevante da operação para um CDI append-only. 5. Tratamento de dados suspeitos C5: Todos os TP que recebem um UDI devem estar certificados em como apenas realizam transformações válidas Transformar o UDI num CDI Rejeitar o UDI Políticas integridade : 16/24

9 CW regras (3) 6. Separação de responsabilidades E4: Apenas os utilizadores que certificam entidades podem alterar a associação destas entidades. Um utilizador que certifica uma entidade não a pode utilizar (SoD). Utilizadores E4: Autorização definida por quem certifica E3: Utilizadores estão autenticados (Users, TP, CDIs) C3: Separation Of Duty CDI E2: Os utilizadores estão autorizados para o TP E1: O TP está autorizado para o CDI CDI IVP CDI TP CDI C1: IVP valida CDI UDI C2: TP preserva estado válido C4: TP escreve no log C5: TP valida UDI Políticas integridade : 17/24 Muralha chinesa introdução (1) É um modelo híbrido, proposto em 1989 por David Brewer e Michael Nash, cobrindo aspectos de integridade e de confidencialidade. Foi concebido para modelar conflitos de interesses. Um conflito de interesse ocorre quando uma pessoa a trabalhar para uma empresa pode obter informação sensível sobre outra empresa competidora. Podem surgir em empresas de consultoria, publicidade, advocacia,... Modelos tradicionais controlam fluxo de informação em estruturas verticais (BLP,Biba,...). No modelo de muralha chinesa, o controlo é exercido no eixo horizontal. Políticas integridade : 18/24

10 Muralha chinesa introdução (2) O modelo Muralha Chinesa envolve, para além dos tradicionais conjuntos {S,O,A}, o conjunto C. Sujeitos : elementos activos que acedem a informação protegida. Companhias: empresas existentes no mercado. Objectos: dados (ex: ficheiros) respeitantes a uma companhia, que são organizados em 3 níveis de integridade. Regras de acesso de leitura e escrita. [Def]: Dado um sujeito s S, PR(s) O é o conjunto de objectos acedidos pelo sujeito. Nota: de início, para todos os sujeitos se tem PR(s)=. Os direitos de acesso são dinâmicos e são re-examinados em todas as transições. Políticas integridade : 19/24 Muralha chinesa níveis segurança (1) Os dados são armazenados em 3 níveis de segurança: Nível inferior guarda os dados individuais de uma dada empresa. Nível intermédio agrupa os dados associados a uma mesma empresa (CD-Company Dataset). Nível superior colecciona os CD s de empresas que competem entre si (classe COI-Conflict of Interest). Nota: Cada objecto pertence a um único CD e cada CD pertence a única classe COI. São definidas duas funções: cd : O C - indica a que empresa o dado pertence. cic : O PC lista as empresas concorrentes, que estão interditadas a aceder ao objecto. [Def]: O nível de segurança de um objecto o é dado por (cic(o),cd(o)). Políticas integridade : 20/24

11 Muralha chinesa níveis segurança (2) Exemplo: Todos objectos Banco Distribuição Aviação COI CGD BES BCP JM Sonae TAP CD Invest. Recursos... humanos Objecto Os analistas necessitam de recolher informação não confidencial de empresas concorrentes (ex: relatórios publicados na bolsa de valores). [Def] Informação esterelizada ( sanitized ) é informação de empresa concorrente expurgado de informação sensível. Políticas integridade : 21/24 Muralha chinesa propriedades (1) Propriedade segurança simples (ss-property): Um sujeito s S pode ler um objecto o O, sse forem satisfeitas uma das seguintes condições: Já leu objectos na mesma classe de conflito de interesses. (o PR(s) o o) cd(o ) = cd(o) s apenas leu objectos de outras classes que não são conflito de interesses. (o PR(s) o o) cd(o) coi(c(o )) o é informação esterelizada ( sanitized ). Um sujeito apenas pode aceder a objectos que não entrem em conflito de interesse com outros objectos já acedidos. Quando o sujeito s lê um objecto o, PR(s) PR(s) {o}. Políticas integridade : 22/24

12 Muralha chinesa propriedades (2) Exemplo: 1. de início, qualquer objecto pode ser acedido. 2. Se um consultor aceder ao plano de investimentos da CGD, deixa de poder poder aceder a qualquer informação de outro banco (por exemplo, BCP). No entanto, o consultor pode continuar a aceder a quaisquer objectos da CGD (por exemplo, a gestão dos recursos humanos). Tem permissão para aceder a um objecto da JM,Sonae ou dos TAP. 3. Acesso a informação dos TAP não impede de aceder a quaisquer outros objectos. CGD BES BCP JM Sonae TAP Invest. Recursos... humanos Políticas integridade : 23/24 Muralha chinesa propriedades (3) Propriedade segurança *(*-property): Um sujeito s S pode escrever um objecto o O, sse forem satisfeitas ambas condições: O objecto o satisfaz a propriedade simples. Para todos os objectos expurgados de informação sensível o, se o puder ser lido então cd(o)=cd(o ) ou cd(o) cdi(o ). O fluxo de informação fica confinado ao mesmo CD. Políticas integridade : 24/24