Segurança em Sistemas Informáticos

Transcrição

1 Segurança em Sistemas Informáticos

2 Politicas de Segurança Quando é que se torna necessário uma política de segurança? Quando existe um Bem com Valor Se o Bem se situa permanentemente ou temporariamente num espaço partilhado criam-se condições que facilitam a existência de ataques Uma politica de segurança procura garantir a protecção do Bem contra os ataques esperados dentro de determinadas condicionantes.

3 Ameaça típica A partilha está na base da maioria das ameaças Espaços públicos Espaços físicos partilhados Utilização de infra-estruturas comuns Partilha de recursos

4 Politicas de Segurança nos Sistemas Informáticos Os sistemas informáticos são sistemas onde a partilha de informação é um dos objectivos, o que complica seriamente a segurança. Sistemas Multiprogramadas Partilha de ficheiros Partilha de memória Partilha de programas Partilha de Periféricos Redes Partilha dos meios físicos de comunicação Partilha dos mecanismos de comutação

5 Política de Segurança Uma política de segurança define-se respondendo às seguintes questões: O que queremos proteger? Quais as ameaças potenciais? Quem as pode executar? Ou seja quem são os atacantes. Quais os ataques? Materialização das ameaças Quais os procedimentos e mecanismos de protecção que podem impedir os ataques considerados? Qual o custo de implementação da política? Como é evidente o custo da segurança deve ser inferior ao do Bem

6 Bens a proteger Nos sistemas informáticos o Bem a proteger é genericamente a Informação, tipicamente a que se encontra armazenada de forma persistente. Como os sistemas informáticos cada vez mais controlam sistemas reais, a segurança pode colocar-se indirectamente no acesso aos sistemas controlados. Ex.: Dinheiro electrónico - ATM Máquinas multibanco Serviços Telefónico Sistemas de segurança física no acesso a instalações Sistemas de vigilância

7 Bens a proteger Lista incompleta Integridade da Informação Confidencialidade da Informação Privacidade da informação Ex.: Pessoal, Médica, relação com o Governo Dinheiro electrónico uma informação cujo valor é óbvio Identidade não se efectuarem acções em nome de outro Anonimato (debate interessante)

8 Ameaças Ataques Criminais Fraude Burla Destruição Roubo de propriedade intelectual Roubo da identidade Personificação Roubo da Marca Violação da Privacidade Procura de Publicidade Acções que promovem o seu autor Recusa de Serviço Ataques Legais subterfúgio legal

9 Quem pode ser o atacante? Os mesmos do mundo físico... Podemos classificá-los de acordo com os seguintes características Objectivos Acesso ao sistemas Recursos Capacidade técnica Risco que estão dispostos a correr

10 Possível Lista de Atacantes Hackers Criminosos isolados Crime Organizado Pessoal interno Terroristas Espiões industriais Organizações de Segurança Nacionais Organizações Militares Polícia Imprensa

11 Formas de Ataque Sistemas Assumir a identidade de outro utilizador Executar operações que indirectamente ultrapassam os mecanismos de protecção Infiltrar código em programas que sub-repticiamente executam outras funções Canais encobertos de comunicação Redes Escuta de mensagens Modificação ou inserção de mensagens Repetição de mensagens antigas Partilha de software Partilha de Conteúdos

12 Politicas de Segurança nos Sistemas Informáticos Isolamento dos Agentes Controlo dos Direitos de Acesso Modificação Dinâmica dos Direitos de Acesso Isolamento da Informação Controlo do Nível de informação segurança multinível

13 Isolamento dos Agentes O sistema tem de autenticar os agentes de forma a atribuir-lhes uma identificação interna. O sistema garante que ao agente é atribuída uma máquina virtual em que ele executa as operações sobre os objectos em completo isolamento das máquinas virtuais atribuídas a outros agentes. O isolamento implica que não existe a possibilidade de ultrapassar os mecanismos de confinamento ou enviar informação através de canais encobertos

14 Isolamento de agentes: Autenticação dos agentes Departamento de Engenharia Informática Mecanismos em sistemas centralizados: Login (username + password) ID interno Estas operações são realizadas dentro do núcleo e portanto assumidas como seguras Técnicas de subversão Buracos nas barreiras de protecção Personificação Exploração de erros operacionais Cavalos de Tróia Covert channels (comunicação subliminar)

15 Isolamento da Informação Tornar não ininteligível a informação para quem não conheça um segredo Criptografia A informação cifrada encontra-se isolada porque quem não conhece o segredo que a permite decifrar não a consegue distinguir de ruído A informação Pode ser enviada nas redes de comunicação Armazenada nos sistemas de informação

16 Autorização

17 Controlo de direitos de acesso Modelo conceptual Os objectos são protegidos por um monitor de segurança Cada agente, antes de poder efectuar um acção sobre um objecto, tem que pedir autorização ao monitor O monitor verifica se o agente está ou não autorizado através de uma matriz de direitos acesso

18 Controlo dos Direitos de Acesso Um Monitor de Controlo de Referência valida quando uma operação é efectuada se o agente tem direito de a executar. Os objectos só podem ser acedidos através do monitor de controlo de referências; Os objectos têm de ser univocamente identificados e o identificador não pode ser reutilizado sem precauções adicionais. Num sistema multiprogramado a informação relativa à matriz é mantida dentro do espaço de isolamento do núcleo. Esta situação é, obviamente, diferente numa rede Os ataques a esta política visam essencialmente subverter o isolamento entre os agentes mais que procurar alterar a matriz ou eliminar o controlo do monitor de controlo de referências.

19 Matriz de direitos de acesso Objectos Agentes O1 O2 O3 O4 A1 R RW RX --- A2 RX --- RW R Decomposição da tabela Listas de controlo de acesso (Access Control Lists, ACLs) Guardadas junto de cada objecto Capacidades (capabilities) Guardadas junto de cada agente A autenticação dos agentes é fulcral Para determinar a parcela da ACL que lhe é aplicável Para distribuir as capacidades correctas

20 Limitação da capacidade de interacção: Domínios de protecção Associação de direitos a classes de utilizadores Administrador Operador de backups Serviços Em sistemas Windows NT/2000 existem grupos e privilégios Em UNIX existem grupos (com senha) papeis (roles) Enquadramento de utilizadores em classes Estático Dinâmico Mecanismos de alteração do enquadramento

21 Controlo do Nível de Segurança da Informação Política oriunda da visão militar da segurança As políticas habituais consideram que o agente tem um controlo discricionário sobre os objectos. Esta política considera um controlo mandatório sobre a segurança dos objectos, não permitindo aos agentes que a modifiquem. Um agente só tem acesso a informação se realmente tiver necessidade de conhecer (need to know), aplicando o sistema regras estritas para determinar quem tem acesso a quê.

22 Controlo do Nível de Segurança da Informação Os objectos são classificados de acordo como o seu nível de confidencialidade. Ex.: Muito Secreto, Secreto, Restrito, Não Classificado. A informação é também classificada em compartimentos de acordo com o assunto a que diz respeito Ex.: Nato, Comunicações, etc., Os agentes têm autorizações (clearances) que definem os compartimentos e o nível de segurança a que podem aceder Clearance level Controlo de acesso dos agentes Não podem ler informação classificada acima do seu nível Não podem escrever informação classificada abaixo do seu nível

23 Segurança no Sistema Operativo Máquinas sem ligação em rede

24 Base Computacional de Confiança Normalmente o sistema operativo é uma plataforma que oferece uma: Base Computacional de Confiança TCB (Trusted Computing Base). Faz parte do TCB tudo o que no sistema operativo é necessário para garantir a política de segurança.

25 Base Computacional de Confiança Nos Sistemas Multiprogramados o TCB incluí: Isolamento dos espaços de endereçamento garantido pelo hardware da gestão de memória. Restrição à execução em modo utilizador de instruções privilegiadas que possam ultrapassar o isolamento dos espaços de endereçamento, (ex.: interrupções, operações de E/S); Utilização do núcleo exclusivamente através de funções do sistema que validam a correcta utilização dos mecanismos do sistema a que dão acesso; Algoritmos de criptografia que permitem manter a confidencialidade de informação sensível que esteja acessível aos utilizadores. Autenticação sob controlo do sistemas Controlo de acessos validado por um ou vários monitores de controlo de referência

26 Orange Book No Orange Book são definidas quatro classes de segurança que por sua vez se subdividem em vários níveis: D - protecção mínima; C - política baseada no controlo de acessos, vulgar nos sistema operativos comerciais; B - políticas baseadas em controlo mandatório do nível de segurança da informação. Nos subníveis mais elevados implica critérios de segurança na estrutura interna do sistema operativo; A - a classificação mais elevada que implica não só a existência dos mecanismos, mas a sua verificação formal.

27 Departamento de Engenharia Informática

28 Segurança nos Sistemas Distribuídos

29 Ataques a sistemas distribuídos Para além dos ataques aos sistemas que vimos anteriormente Ataques à comunicação Passivos Escuta de mensagens Activos Interferência com o fluxo de mensagens Modificação de mensagens Inserção de mensagens Remoção de mensagens Troca da ordem de mensagens Repetição de diálogos passados Falsificação de identidades

30 Características dos sistemas informáticos que facilitam os ataques Automação facilidade de reproduzir uma acção milhões de vezes rapidamente. Acção à distância com a Internet a distância entre o atacante e o Bem não é um limitador ao ataque Propagação rápida das técnicas.

31 Base Computacional de Confiança nos Sistemas Distribuídos Departamento de Engenharia Informática Existem 3 combinações possíveis Rede e sistemas operativos seguros Limitativo Difícil de garantir uma administração globalmente segura Custo muito elevado da rede Rede insegura, sistemas operativos seguros Importa garantir a segurança das comunicações e a correcção das interacções remotas A gestão dos sistemas é complexa e normal onerosa Rede e sistemas operativos inseguros Muito vulnerável É difícil assegurar um nível aceitável de segurança

32 Base Computacional de Confiança Sistemas Distribuídos As duas primeiras soluções tem custos ou complexidades de gestão que são na maioria dos casos incomportáveis, mesmo para grandes organizações Na Internet ou redes abertas é manifestamente impossível confiar nos sistemas ou na rede A politica mais adequada considerar que a segurança não se baseia na segurança da rede ou dos sistemas e admitir um princípio de suspeição mútua em relação a todas as entidades

33 Sistemas distribuídos: Políticas de segurança Departamento de Engenharia Informática Técnicas fundamentais para garantir a segurança num ambiente distribuído: Canais de comunicação seguros Autenticação fidedigna dos agentes Controlo de acesso (Autorização) no acesso aos objectos com base na identidade do agente remoto e nos direitos de acesso Autenticação de informação transmitida Integridade da informação transmitida

34 Canais de segurança Data Layer Business Layer Presentation Layer Canais Seguros de comunicações Redes de natureza diferente Autenticação dos agentes Controlo de Acesso

35 Cifra no Canal de Comunicação A base dos canais de comunicação seguros é a cifra da informação Se as mensagens forem cifradas evita a escuta de mensagens evita a falsificação da informação contida nas mensagens Mas não evita a reutilização das mensagens