perpretate da utenti autorizzati perpretate da agenti ostili

Transcript

1 1! " # 2 1

2 ! perpretate da utenti autorizzati perpretate da agenti ostili 3 a livello fisico: furti, danni a livello logico di intercettazione di deduzione di intrusione di disturbo (anche virus, worm) disastri naturali o accidentali errori o bug software/hardware errori umani 4 2

3 $ " %! % 5 & ' ( # ( ' ( ( ' 6 3

4 ' )# ) ) ) 7 *+,&-. concessione privilegi agli utenti realizzano la sicurezza multilivello mediante la classificazione dei dati e degli utenti secondo varie classi 8 4

5 ) / / 9 0 # ( ( #! ( ( 10 5

6 ) I controlli di accesso vengono realizzati nelle basi di dati secondo politiche e mediante meccanismi. Nel controllo di accesso alcune procedure di controllo stabiliscono, in base alle politiche fissate per la base di dati, se una richiesta utente può essere soddisfatta o meno. Richiesta di accesso Procedure di controllo Accesso negato Accesso permesso Modifica della richiesta Politiche di sicurezza 11 Controllo accessi: sistema chiuso richiesta di accesso esiste una regola che autorizza l accesso? Regole di Accesso sì accesso permesso no accesso negato accessi autorizzati Tutti i privilegi che non sono esplicitamente concessi sono negati 12 6

7 Controllo accessi: sistema aperto richiesta di accesso esiste una regola che nega l accesso? Regole di Accesso no accesso permesso si accesso negato accessi negati Tutti i privilegi che non sono esplicitamente negati sono autorizzati 13 & (. 1. modelli discrezionali, per sistemi con politiche di propagazione privilegi ownership (/ ) 2. modelli mandatori, per sistemi con dati sensitivi. Sono caratterizzati da: soggetti con clearence oggetti con etichettatura (label) procedure per la gestione sicura di classificazioni ed etichettature 14 7

8 ) +1) $ 2 # & 3 4 1#1567 #

9 0! 2 per righe (sistemi a capabilities) per ogni soggetto si elencano tutti gli oggetti a cui esso ha accesso per colonne (sistemi a liste di accesso ACL) ad ogni oggetto è associata una ACL che elenca i soggetti autorizzati ad accedere e il relativo privilegio 17 )# &1) ' +1)" (! +1) ) 8 Politiche basate su classificazione di dati e utenti: sistemi mandatori (MAC) 18 9

10 ) # ) ( ) - )-) 9 : ; < 19 &1) )! ( % " ) Nuclear, NATO, Intelligence Produzione, Personale, Engineering /# - )-) -) =1)1 ) -) =1) -)# =1#)# -) -)# 1 1# ) )# 20 10

11 -! ) > = = ). =- ' ' A =8- / 1. (Secret, {Nuclear, Intelligence}) TS (Secret, {Nuclear}) (Confidential, {Nuclear}) Alcune SC non sono confrontabili fra loro, ad es. (2, {Nuclear,Nato}) e (3, {Nato}) S C U 21 & % ",<!' 22 11

12 0 1. NO READ UP (Simple Security property) Un soggetto S è autorizzato ad accedere in lettura a un oggetto O solo se L(S) >= L(O) 2. NO WRITE DOWN (*-property) Un soggetto S è autorizzato ad accedere in scrittura a un oggetto O solo se L(S) <= L(O) Queste regole, combinate, impediscono flussi di dati tra soggetti high e low 23 ) B,1) Concetto di ruolo un ruolo può essere considerato come un insieme di privilegi a cui è stato assegnato un nome le autorizzazioni sono associate al ruolo gli utenti sono autorizzati a ricoprire il ruolo SQL3 GRANT lista permessi ON Tabella TO Nomeruolo GRANT Nomeruolo TO Utente GRANT Nomeruolo TO Nomeruolo REVOKE Nomeruolo FROM Utente 24 12

13 -/CB B,1) $ $!"" # # # Un permesso è definito al più alto livello di astrazione, sia riguardo all oggetto del permesso stesso (tupla, relazione, ecc), sia riguardo all azione su di esso (leggi, scrivi, cancella..) 25 / ##%)* ##%& ##%' ##%( )*+, )** *##*!#+*, )** 26 13

14 $ # (! 27 / Applicazione per la gestione di prenotazioni dei voli di una compagnia aerea. Vincolo di integrità : Posti disponibili + posti prenotati = Costante L 1 L 2 L 3 1. Decrementare di uno il numero di posti disponibili sul volo da L 1 a L 2 2. Incrementare di uno il numero di posti prenotati sul volo da L 1 a Crash L 2 3. Decrementare di uno il numero di posti disponibili sul volo da L 2 a L 3 4. Incrementare di uno il numero di posti prenotati sul volo da L 2 a L

15 + * " ( + * " ( ' " ( 29 Una transazione, per il programmatore, è un insieme di operazioni (R/W) sulla base di dati che il DBMS esegue garantendo le seguenti proprietà: Atomicità. Solo le transazioni che terminano normalmente fanno transitare la base di dati in un nuovo stato; Persistenza. Le modifiche sulla base di dati di una transazione terminata normalmente sono permanenti, cioè non sono alterabili da eventuali malfunzionamenti successivi alla terminazione; Serializzabilità. L effetto sulla base di dati dell esecuzione di più transazioni concorrenti è equivalente a una esecuzione seriale delle transazioni

16 Una transazione, per il DBMS, è un insieme di operazioni (R/W) sulla base di dati che inizia e termina con le seguenti operazioni di transazioni: begintransaction, che segnala l inizio della transazione; commit, che segnala l esecuzione con successo della transazione e quindi la richiesta di considerare permanenti i suoi effetti sulla base di dati; abort, che segnala la terminazione prematura della transazione e quindi che i suoi effetti sulla base di dati vanno annullati. 31 Una transazione è detta: attiva, se ancora in fase di esecuzione eseguita, se l esecuzione si è conclusa con successo terminata (ovvero terminata normalmente), se l esecuzione si è conclusa con successo e tutti i suoi effetti sulla base di dati sono stati resi permanenti interrotta, se si è verificato un malfunzionamento che ha causato un fallimento di transazione abortita o fallita, se è stata interrotta a causa di un fallimento di transizione annullata, se, dopo essere stata interrotta, tutte le sue modifiche alla base di dati sono disfatte o annullate 32 16

17 ' il ripristino è l operazione che riporta la base di dati a un precedente stato corretto dopo che un malfunzionamento ne ha reso incerto lo stato attuale. Alcuni accorgimenti: 1. Copia della base di dati Periodicamente viene fatta una copia della base di dati e tenuta in un luogo separato opportunamente protetto (data base dump) Giornale Nel giornale viene registrata la storia delle operazioni effettuate dal momento in cui è stata fatta l ultima copia della base di dati. Per ogni operazione della transazione T i, nel giornale si scrive il record: inizio (begin T i ) fine regolare (commit T i ) fine prematura (abort T i ) modifica pagina P j (W,T i,p j,v b,v a ) 34 17

18 operazione begintransaction r1[a] w1[a] r1[b] w1[b] Dati A=50 A=20 B=10 B=80 Informazione nel giornale (begin, 1) Nessuna scrittura nel giornale (W,1,A,50,20) Nessuna scrittura nel giornale (W,1,B,10,80) commit (commit, 1) 35 + Se la modifica viene riportata nella base di dati stabile prima del commit e la transazione fallisce, l algoritmo di ripristino deve disfare (undo) la modifica, sostituendo la pagina con la vecchia versione conservata nel giornale. Base di dati modificata DISFARE Base di dati senza modifiche Vecchi valori 36 18

19 B La modifica viene riportata nella base di dati stabile dopo il commit. Se si verifica una caduta di sistema dopo il commit ma prima che le modifiche siano state riportate nella base di dati, l algoritmo di ripristino deve rifare (redo) le modifiche, sostituendo le pagine con le nuove versioni conservate nel giornale. Base di dati senza modifiche RIFARE Base di dati modificata Nuovi valori 37 B Nel caso di fallimenti di sistema, prima di rendere operativa la base di dati si esegue il comando restart che compie le seguenti azioni (ripartenza a caldo, warm restart): - riporta la base di dati allo stato corretto esistente prima dell occorrenza del malfunzionamento; - segnala al gestore delle operazioni il fallimento di alcune transazioni; - riprende il normale funzionamento del sistema

20 0 Per riportare la base di dati allo stato corretto esistente prima dell occorrenza del malfunzionamento si procede in due fasi: Rollback Si visita il giornale all indietro per disfare, se occorre, le modifiche delle transazioni non terminate e per trovare l insieme L c degli identificatori delle transazioni terminate normalmente e quindi da rifare Roll forward Si visita il giornale in avanti per rifare tutte le operazioni delle transazioni T i, con T i L c 39 B Nel caso di disastri, cioè distruzione della base di dati ma non del giornale, è prevista una ripartenza a freddo (cold restart): - si carica la copia più recente della base di dati - si procede con la fase di rollback sul giornale fino alla marca DUMP per trovare gli identificatori delle transazioni terminate normalmente - si procede con una fase di roll forward per aggiornare la copia della base di dati, rifacendo le modifiche delle transazioni terminate normalmente da quando la copia fu creata fino al verificarsi del malfunzionamento 40 20

21 ' # 41 I problemi di sicurezza nascono dal fatto che: 1. le reti sono per loro natura mezzi insicuri: in assenza di misure specifiche la comunicazione avviene in chiaro (non cifrata) l autenticazione degli utenti si basa solo su password non vi è, in generale, autenticazione dei server i collegamenti avvengono su linee condivise oppure tramite router di terzi; 2. le applicazioni, sia di sistema sia utente, possono contenere errori (accidentali e non) e trapdoor (scappatoie, botole) oppure trojan horse (codice malizioso che apparentemente svolge una certa funzionalità, ma che nel contempo copia/trasmette dati riservati) che possono essere utilizzati per vari fini; 42 21

22 3. i dati tendono sempre più ad avere valore semantico (non sono semplicemente informazione memorizzata su supporto magnetico) ed è pertanto necessario proteggerli in base al loro significato oltre che semplicemente proteggere l accesso logico (delle applicazioni e degli utenti) e fisico ai file in cui sono memorizzati; 4. i dati sono condivisi fra vari utenti, su siti diversi, con politiche di protezione spesso contrastanti e occorrono protocolli di negoziazione fra le politiche di accesso, i quali permettano l accesso controllato alle informazioni Spoofing di indirizzi IP Falsificazione dell indirizzo di rete del mittente. Gli attacchi permettono l alterazione di dati e l accesso ad applicativi e porzioni di sistema. La difesa consiste nell applicare tecniche di autenticazione non basate sugli indirizzi. Sniffing di pacchetti Lettura non autorizzata di pacchetti destinati ad altro nodo della rete. Gli attacchi permettono di intercettare qualunque tipo di dati. La difesa consiste nell adottare tecniche crittografiche per i pacchetti, o reti più sicure 44 22

23 0 Shadow server ( server ombra ) Un elaboratore (host o macchina utente) si maschera come fornitore di servizi. Richiede lo spoofing di indirizzi IP e lo sniffing di pacchetti. Gli attacchi consistono nella fornitura di servizi erronei o nell acquisizione di dati forniti all elaboratore falso. La difesa principale consiste nell applicare tecniche di autenticazione al server. Collegamenti hijacking Questo attacco, detto anche spoofing di dati, consiste nel prendere il controllo di un canale di comunicazione e nell inserire, cancellare o alterare i pacchetti. La difesa consiste nell utilizzo di tecniche di autenticazione, di verifica, di integrità dei pacchetti e nell impiego di tecniche di serializzazione dei pacchetti Negazione di servizio ( denial of service ) Tenere impegnato un host o alcuni tratti di rete in modo che i servizi o i sistemi non siano disponibili. Allo stato attuale non esiste alcuna difesa completa ed efficace per questi attacchi, solo alcune misure basate sul monitoraggio della rete

24 ; Una tecnica di base per la protezione delle informazioni è la crittografia: si applica alla trasmissione dei dati riguarda solo parzialmente la memorizzazione a lungo termine dei dati. Perché? 1. Crittografare e decrittografare è un operazione costosa 2. Crittografare dati su memoria di massa degrada drammaticamente le prestazioni di un sistema, in modo particolare un DBMS La crittografia si applica, quindi, solo alle password di accesso ed eventualmente alla codifica di una checksum per la verifica dell integrità dei dati memorizzati su disco