Elementi di Sicurezza e Privatezza Lezione 3 - Politiche di Sicurezza

Transcript

1 Elementi di Sicurezza e Privatezza Lezione 3 - Politiche di Sicurezza Chiara Braghin chiara.braghin@unimi.it

2 Da chi proteggersi?

3 Possibili attaccanti [Defence Science Board] Errori umani grossolani non voluti Hacker in cerca di nuove sfide Impiegati o clienti scontenti in cerca di vendetta Piccoli criminali Crimine organizzato Gruppi terroristici organizzati Agenti di spionaggio Spionaggio in periodo di guerra 2

4 Hacker storici (prima del 2000) Profilo: maschio tra i 14 e i 34 anni appassionato di computer single Kevin David Mitnick Onel A. de Guzman Creatore del virus Love Bugs Gary McKinnon Senza interesse commerciale!!! Credits to J. Mitchell Source: Raimund Genes 3

5 Come proteggersi?

6 Dall ultima lezione (1) Come difendersi? Come proteggere i dati/le risorse? Prevention + detection + reaction Prevenire = controllo 1. Verificare che il sistema funzioni come previsto 2. Definire delle regole di accesso e controllare che chi vi accede soddisfi tali regole politiche e meccanismi 3. Trasmettere i dati non in chiaro crittografia e protocolli crittografici CONTROLLO DEGLI ACCESSI 5

7 Come proteggersi? (1) Per prevenire intanto si deve specificare: Da chi (o cosa) ci si vuole proteggere Quali sono gli utenti autorizzati a quali non Quali proprietà di sicurezza devono essere soddisfatte dal sistema 6

8 Come proteggersi? (2) In un qualsiasi sistema: In sicurezza: Specifica Cosa deve fare? Implementazione Come lo deve fare? Correttezza Funziona? Specifica Politica Implementazione Meccanismo Correttezza Assurance 7

9 Come proteggersi? (3) 1. Definire una politica di sicurezza 2. Scegliere un meccanismo per far rispettare la politica 3. Verificare che sia la politica che il meccanismo siano valide e coerenti. 8

10 Politiche di Sicurezza (1) Sono un insieme di proprietà di sicurezza Sono regole ad alto livello che descrivono gli accessi autorizzati al sistema Chi (= SOGGETTI) può fare cosa (= OGGETTI / RISORSE) Possono essere in conflitto Dipendono dall applicazione da proteggere E.g., banca: Autenticazione dei clienti agli sportelli, ATM e su web Non-repudiation delle transazioni Integrità dei conti correnti dei clienti Segretezza dei clienti e dei dati interni Disponibilità di un sistema di allarme Separation of duties (nessun conflitto di interessi) Doppio controllo delle transazioni sensibili 9

11 Politiche di Sicurezza (2) Le politiche possono venire descritte in: Linguaggio naturale (semplice da capire ma di solito impreciso) Matematica (precisa, ma difficile da capire) Linguaggio ad hoc, una specie di pseudo-codice che cerca di bilanciare la precisione con la facilità di comprensione Composizione di politiche Se le politiche sono in conflitto, le discrepanze possono diventare una vulnerabilità. 10

12 Meccanismi Meccanismi: Meccanismi di basso livello (HW/SW) che implementano le politiche di sicurezza Ovviamente devono essere protetti da alterazioni illecite 11

13 Politiche vs Mecanismi Livelli di astrazione diversi Gli attaccanti non rispettano i diversi livelli di astrazione Alcuni meccanismi vengono presentati come politiche Analisi dei requisiti di accesso indipendente dall implementazione Diversi meccanismi possono implementare una stessa politica Un singolo meccanismo puo implementare diverse politiche 12

14 Controllo degli Accessi Gli elementi sono: Oggetti, risorse e/o dati Richieste di operazioni (o modalità di accesso) su oggetti Soggetti, i richiedenti I soggetti possono venire classificati in: utenti -- singoli individui gruppi -- insiemi di utenti ruoli -- entità funzionali all interno dell organizzazione processi -- programmi in esecuzione 13

15 Controllo degli accessi- Modalità di accesso A seconda del tipo di oggetto, ci possono essere diverse modalità di accesso: Read/write/append: vedere/cambiare i contenuti di un oggetto execute select, insert, update, delete, Permesso (o Privilegio) = possibilità di accedere ad una risorsa secondo una certa modalità 14

16 Modalità di Accesso - Esempio Nel sistema operativo Unix: Modalità di accesso ai file read: lettura di file write: scrittura di file execute: execuzione di un (program) file Modalità di accesso alle directory read: elenca gli elementi della directory write: crea o cambia nome a un file in una directory execute: ricerca in una directory 15

17 Politiche

18 Modello Bell-La Padula Risorse e soggetti vengono classificati in livelli di sicurezza Livello del soggetto: autorizzazione/livello di fiducia associato all utente Livello dell oggetto: sensibilità dell informazione Chiamata anche politica multi-livello I livelli possono formare un reticolo Es. di livelli: Trusted/untrusted Public/Secret/Top Secret Le regole sono: No write-down No read-up Usato per garantire segretezza Previene cavalli di Troia e il downgrading dell informazione Garantisce la segretezza 17

19 Biba Model Le classi rappresentano livelli di integrità Livello del soggetto: indica quanto fidato sia il soggetto Livello dell oggetto: fiducia nella validità dell informazione Le regole sono: No write-up No read-down Usato per garantire integrità Dati integri potrebbero venire corrotti I dati potrebbero non essere validi 18

20 Meccanismi

21 Controllo degli Accessi Un sistema di controllo degli accessi regola le operazioni che possono venire eseguite sui dati e sulle risorse che devono essere protette L obiettivo è di controllare le operazioni eseguite dai soggetti per prevenire azioni che potrebbero danneggiare i dati o le risorse Il controllo in genere viene fatto dal sistema operativo o all interno del database management system (Trusted Computing Base) Un reference monitor che decide come rispondere alle richieste provenienti dai soggetti 20

22 Reference Monitor NO Soggetto Richiesta Reference Oggetto monitor OK Politica Un soggetto attivo chiede accesso ad un oggetto passivo per eseguire una specifica operazione di accesso Il monitor concede o meno l accesso B. Lampson. Protection. ACM Operating System Reviews, 8, Correttezza del controllo dell accesso implica: Corretta identificazione/autenticazione Corretta definizione (e implementazione) delle regole di controllo 21

23 Come memorizzare una politica? Matrice degli accessi A : S x O P Subjects A(s,o) Soggetto Oggetto Privilegio o Permesso s Objects o La matrice in generale è grande e sparsa: Memorizzata per colonne: access control list (ACL) Lista di soggetti che possono accedere ad un dato file Memorizzata per righe: capability list Lista di risorse a cui puo accedere un utente Memorizzate triple non-nulle: tabelle di autorizzazione DBMSs 22

24 Access Control List Implementa la matrice degli accessi per colonne Elenca i soggetti s che possono accedere all oggetto o e con quale privilegio compatta facile sommario per-oggetto difficile revocare un soggetto richiede l autenticazione degli oggetti Utile: in caso di molti oggetti in caso di pochi soggetti s o 23

25 Capability List Implementa la matrice degli accessi per righe Elenca gli oggetti o che ai quali il soggetto s può accedere e come facile delegare a qc difficile revocare una capability Utile: In caso di delegazione s o 24

26 Controllo degli accessi 3 meccanismi principali: Discretionary Access Control (DAC) Il proprietario della risorsa decide gli accessi (chi può accedere e in quale modalità) In genere i permessi possono venire modificati e delegati Mandatory Access Control (MAC) Una politica a livello di sistema stabilisce gli accessi Gli accessi sono gestiti in modo centralizzato e a priori Role-Based Access Control (RBAC) I soggetti sono raggruppati in classi che corrispondono ad un ruolo specifico 25

27 Discretionaty Access Control - DAC Gli utenti possono avere l autorita di passare i propri privilegi ad altri utenti Delegation of duty 26

28 Limiti di DAC Vulnerabile ad attacchi di tipo Trojan Horse Code malfidato acquisisce i permessi tramite: Il meccanismo di delegazione L ignoranza dell utente Il fatto che sono regolati solo gli accessi diretti Assume che codice eseguito da un utente fidato sia fidato causa di tutti i virus attack Nessun controllo sull informazione rilasciata La modalità di accesso è un attributo del soggetto 27

29 Cavallo di Troia s 1 invoca la funzione read file 1 write file 2 file 1 : file 2 : proprietario s 1 permessi: <s 1,r,file 1 > proprietario s 2 permessi: <s 2,r,file 2 > <s 1,w,file 2 > s 2 ottiene accesso ai dati di s 1 s 1 non se ne accorge Il meccanismo DAC è rispettato Computer virus downloaded from the net? Network worm that exploited vulnerability? 28

30 Mandatory Access Control -MAC La modalità di accesso è un attributo dell oggetto Assegna levelli di sicurezza a soggetti e oggetti Il sistema impone una politica multilivello gli utenti non hanno controllo sul livello di sicurezza non sono possibili attacchi di tipo Trojan horse 2 tipi: Secrecy based confidenzialità Integrity based integrità 29

31 Role-Based Access Control Basato sull idea che uno stesso soggetto può aver bisogno di permessi diversi a seconda dell attività (ruolo) che svolge Tom come system administrator (root) Tom come utente tommy Ruoli Tom come consulente della banca A Tom come consulente della compagnia B L accesso agli oggetti è mediato dai ruoli s con ruolo r ha tutti i permessi di r soggetti ruoli s 1 r 1 oggetti s 2 r 2 s 3 r 3 30

32 Vantaggi di RBAC Supporta: Least privilege Facile la revoca di un permesso Separation of duty Gerarchie di ruoli Anonymity (parziale) NB: Gruppo: insieme di utenti Ruolo: insieme di permessi/privilegi 31

33 AC in Unix Utilizza il meccanismo DAC Soggetti = utenti (o root) Un file ha un proprietario e un gruppo Le modalità di accesso sono: read, write, execute I file sono protetti da ACLs indicano le modalità di accesso per user, group, world indicati mediante 9 bit: e.g., rwxr--r-- Lista di capability elementare: /etc/passwd, /etc/group, /etc/host.deny, /etc/host.allow I programmi: vengono eseguiti in area di memoria protetta vengono eseguiti con i provilegi del chiamante (tranne suid/sgid) 32

34 AC in Microsoft DOS: Nessun controllo degli accessi Sistema con un singolo utente Windows 95, 98 Controllo degli accessi di base Memoria non protetta!! Windows NT A parte l interfaccia, simile a Unix Più ricco: Gli utenti sono organizzati in domini Principio del least privilege Windows 2000, ME, XP, Più evoluti ancora 33

35 Riferimenti Orange Book - Trusted Computer System Evaluation Criteria (TCSEC), insieme di standard proposti nel 1983 dallo United States Government Department of Defense (DoD) Common Criteria for Information Technology Security Evaluation (abbreviato Common Criteria o CC), standard internazionale (ISO/IEC 15408) per la certificazione della sicurezza informatica (versione 3.1) D. E. Bell and L. J. LaPadula. Computer security model: Unified exposition and multics interpretation. Technical report, MITRE Corp., 34