Sistemi Operativi III Corso di Laurea in Ingegneria Informatica Facolta di Ingegneria, Universita La Sapienza Docente: Francesco Quaglia

Transcript

1 Sistemi Operativi III Corso di Laurea in Ingegneria Informatica Facolta di Ingegneria, Universita La Sapienza Docente: Francesco Quaglia Contenuti: 1. Requisiti e metodi per la sicurezza 2. Richiami di crittografia 3. Autenticazione e abilitazione 4. Domini di protezione e sistemi operativi sicuri 5. Attacchi interni al sistema 6. IDS e Reference Monitor

2 Requisiti per la sicurezza 1. il sistema informatico risulti utilizzabile dai legittimi utenti 2. solo chi dispone di una qualche forma di autorizzazione possa utilizzarlo, e solo nelle modalità e con le restrizioni stabilite da chi amministra il sistema il primo requisito può sembrare ridondante: un sistema che non può essere utilizzato da nessuno sicuramente non è di nessuna utilità molto spesso pero un aggressore può essere interessato non tanto ad accedere al sistema informatico, ma piuttosto a rendere impossibile il suo utilizzo ai legittimi utenti (attacchi DOS) nella maggior parte dei sistemi informatici il punto 1 è verificato solo se il sistema non è attaccato

3 Sicurezza nei sistemi per la gestione dei delle informazioni per i sistemi di gestione delle informazioni, il punto 2 precedente si specializza in quanto segue: 1. non deve essere possibile la lettura di informazioni riservate a chi non è autorizzato (confidenzialita ) 2. non deve essere possibile la modifica delle informazioni a chi non ha gli adeguati permessi (integrita ) 3. non deve essere possibile il disconoscimento della produzione delle informazioni da parte di chi le ha create (non ripudio)

4 Metodi per la sicurezza essi sono principalmente 3 1. Crittografia 2. Sistemi di autenticazione 3. Sistemi operativi sicuri ogni metodo risolve problemi specifici i differenti metodi dovrebbero quindi essere utilizzati simulataneamente per garantire adeguati livelli di sicurezza

5 Crittografia la parola crittografia proviene dai termini greci krupto (nascosto, segreto) e grafe (scritto) scopo della crittografia e la trasformazione di un messaggio leggibile da tutti (testo in chiaro) in un messaggio cifrato, leggibile solo da chi possiede apposite conoscenze le prime trattazioni matematiche (accessibili al pubblico) risalgono al 1949 ad opera di Shannon la crittografia in informatica viene utilizzata sia per nascondere informazioni memorizzate su dispositivi di memoria di massa, sia per trasmettere informazioni attraverso canali insicuri (ovvero che possono essere soggetti ad incercettazioni da parte di aggressori) inoltre viene utilizzata in alcune forme di autenticazione e per ottenere firme digitali di documenti elettronici

6 t C Kc c D Kd Principi per la crittografia = testo in chiaro = funzione di crittazione = chiave di crittazione = testo crittato = funzione di decrittazione = chiave di decrittazione C(t,Kc) = c (dove C:I x K O) D(c,Kd) = t (dove D: O x K I) Le tipologie di funzioni di crittazione/decrittazione sono tre: 1. a chiave segreta 2. a chiave pubblica-privata 3. hash

7 Sicurezza di un sistema di crittazione un sistema di crittazione e sicuro se P(t c) = P(t) per ogni t e c, dove P(t) è la probabilità che il messaggio originale sia t P(t c) e la probabilità che il messaggio sia t condizionata alla conoscenza del messaggio crittato c ciò vuol dire che la conoscenza del messaggio crittato non deve darci nessuna informazione sul messaggio non crittato

8 esistono anche definizioni meno stringenti di sistema sicuro rispetto a quella data da Shannon (ad esempio tutti i sistemi di crittazione usati oggi sono solo computazionalmente sicuri) condizione necessaria affinché una funzione di crittazione C:I x K O sia sicura è che K = I nei sistemi di crittografia più comunemente usati lo spazio delle chiavi è molto più piccolo dello spazio dei messaggi non cifrati quindi è sempre possibile rompere il cifrato per enumerazione totale dello spazio delle chiavi, anche se ciò può richiedere un tempo notevolmentelungo e numerose risorse computazionali

9 Crittografia a chiave segreta le chiavi di di crittazione e decrittazione coincidono, esempi sono 1. sostituzione monoalfabetica in cui ogni elemento di una stringa alfanumerica si trasforma in un ben determinato altro elemento nel messaggio cifrato 2. cifrari one time pad, possibilmente basati su chiavi della stessa lunghezza dei messaggi questo tipo di crittografia puo essere sicuro, secondo Shannon, o solo computazionalmente sicuro a seconda della dimensione delle chiavi ad esempio, nel caso di sostituzione monoalfabetica, ci si puo basare, per decrittare il messaggio su tentativi esaustivi per le chiavi e proprieta dei linguaggi naturali vi e necessita di conoscenza pregressa della chiave da entrambe le parti

10 Crittografia a chiave pubblica-privata le chiavi di crittazione e decrittazione sono differenti la chiave di crittazione viene resa disponibile senza necessita di un canale sicuro per trasmetterla la chiave di decrittazione rimane privata per il ricevente delle informazioni non e necessario generare chiavi nuove per ogni per ogni coppia di entita che intendono comunicare un esempio di applicazione e RSA

11 Hashing l hashing e anche noto come message digest, o trasformazione a senso unico chiamando h(m) l' hash di un messaggio m, esso ha le seguenti proprietà: ci vogliono poche risorse computazionali per calcolare h(m) dato h(m), non esiste alcun metodo computazionalmente semplice per trovare un messaggio n tale che h(n)=h(m) non esiste alcun metodo computazionalmente semplice di trovare due messaggi che abbiano lo stesso hash notare che, poiché O < I, il numero di messaggi che hanno come hash h(m) sarà sempre maggiore dell' unità

12 gli hash sono generalmente indipendenti da una chiave data una funzione hash h(m), indipendente da una chiave, per creare una nuovafunzione h'(m,k), che dipende anche da una chiave, quelloche si fa è semplicemente concatenare k e m e calcolare l' hash del risultato gli hash sono utilizzati per l'autenticazione e per la verifica dell' integrità di messaggi o dei dati

13 Firme digitali e impiegata tipicamente per garantire il non ripudio dato un documento, si applica al documento un hashing (tipicamente con forte riduzione della taglia del documento, es. MD5 - Message Digest - e SHA - Secure Hash Algorithm) si applica una decrittazione D all hashing tramite una chiave privata si spediscono documento originale e hashing decriptato al lato ricevente si calcola l hashing del documento e si applica una crittazione C con chiave pubblica all hashing decrittato se le informazioni ottenute coincidono allora la firma e ritenuta valida da notare che la funzione di crittazione/decrittazione (C/D) deve poter ammettere di poter essere applicata in modo da avaere C(D(x))=x, cosa non imediata dato che le funzioni di crittazione sono talvolta studiate solo per ammettere D(C(x))=x

14 Autenticazione l' autenticazione è il processo di verificare l' identità di qualcuno o qualcosa in maniera affidabile e' di vitale importanza per garantire solo a chi ne ha diritto l accesso a determinati servizi, risorse o informazioni le principali forme di autenticazione sono: 1. autenticazione basata su password 2. autenticazione crittografica 3. autenticazione basata su dispositivi fisici 4. autenticazione biometrica 5. autenticazione basata su indirizzo ovviamente si possono avere anche degli ibridi, e permettere ad esempio l' uso di un certo servizio ad un certo utente solo se la richiesta del servizio proviene da un certo indirizzo IP e l'utente conosce una password

15 Autenticazione basata su password chi vuole autenticarsi dispone di una informazione segreta (la password), concordata con l' entità con cui ci si vuole autenticare il processo di autenticazione consiste nel comunicare la password all' entità che autentica questa provvede poi a confrontare la password inviata da chi si vuole autenticare con la password corrispondente, memorizzata in un database problemi relativi 1. possibilità di ottenere la password quando è trasmessa semplicemente ascoltando il canale 2. se il database che contiene le password viene compromesso, l'aggressore ottiene le password di tutti gli utenti 3. possibilità di ``indovinare la password, se questa è debole (online password guessing e off-line password guessing)

16 Crittazione delle password la crittazione delle password e un metodo di protezione del database delle password da uso inproprio per chi ne ha accesso legittimo (es. amministratori di sistema) o non la password viene utilizzata come chiave di crittazione (tipicamente tramite hash one-way) di un blocco di dati noto il risultato della crittazione viene registrato nel file delle password ad ogni accesso, la password viene usata per riprodurre il blocco criptato e verificare la sua corrispondenza con quello presente nel file delle password questa tecnica non ripara comunque da cracker che hanno ottenuto l accesso al file delle password e che usano meccanismi di password guessing

17 Salt e crittazione la nozione di salt viene utilizzata per aumentare il costo computazionale dell operazione di password guessing ad ogni utente autorizzato viene associato un numero denominato salt questo verra concatenato alla password vera e propria prima di applicare una operazione di one-way hashing se il salt e di n bit, per ogni password tentata dal cracker si dovranno considerare 2 n possibilita il salt associato ad ogni utente viene mantenuto nel database delle password e ridefinito ad ogni cambio della password stessa il database mantiene anche il risultato della crittazione applicata alla concatenazione password+salt

18 Vantaggi del salt utenti con la stessa password avranno informazioni differenti registrate nel database delle password un attaccante non potra quindi determinare l uguaglianza delle password semplicemente consultando tale informazione se un attaccante non possiede il valore del salt allora non puo gestire meccanismi efficienti di password guessing off-line in tal caso il costo computazionale dell operazione di password guessing, da realizzare on-line, puo risultare proibitivo

19 Per sistemi UNIX il database delle password viene mantenuto su due file distinti 1. /etc/passwd 2. /etc/shadow il file /etc/passwd contiene informazioni di base sugli account ed e tipicamente accessibile ad ogni utente il file /etc/shadow contiene informazioni addizionali per l autenticazione, compresa la password criptata tramite l hashing one-way questo file e accessibile solo in modalita superuser se tale file resta confidenziale, password guessing efficiente puo essere operato solo dall amministratore di sistema la crittazione si basa su una versione modificata dell algoritmo DES

20 Dettagli su /etc/passwd il file /etc/passwd non "oscurato" ha il seguente formato: nomeutente:passwd:uid:gid:nome_completo:dire ctory:shell ad esempio: nomeutente:npge08pfz4wuk:503:100:nome Completo:/home/nomeutente:/bin/sh dove Np è il seme (16 bit) e ge08pfz4wuk è la password codificata nel caso di Shadowing (oscuramento) /etc/passwd invece conterrà: nomeutente:x:503:100:nome Completo:/home/nomeutente:/bin/sh x nel secondo campo in questo caso è ora soltanto un segnaposto, ed il formato del file /etc/passwd non è di fatto cambiato, solo che non contiene più le password codificate. questo significa che qualunque programma che legge il file /etc/passwd, ma in realtà non ha bisogno di verificare le password, funzionerà ancora correttamente

21 Dettagli su /etc/shadow il file /etc/shadow contiene le seguenti informazioni: nomeutente:passwd:ult:può:deve:avv:scad:disab: riservato dove: 1. nomeutente e l account dell'utente 2. passwd e la password codificata 3. ult indica i giorni dall 1/1/1970 fino all'ultima modifica della password 4. può indica i giorni prima che la password possa essere cambiata 5. deve indica i giorni dopo i quali la password deve essere cambiata 6. avv indica i giorni prima della scadenza della password in cui l'utente viene avvisato 7. scad indica i giorni dopo la scadenza della password in cui l'account viene disabilitato 8. disab indica ig iorni a partire dall 1/1/1970 dopo cui l'account verrà disabilitato 9. riservato indica semplicemente un campo riservato

22 Funzione di crittazione #include <unistd.h> char *crypt(const char *key, const char *salt) dove key e l user typed password salt e una stringa a due caratteri scelta nell insieme [a-za- Z0-9./] tale funzione usa i 7 bit meno significativi di ciascun carattere in key per ottenere una chiave a 56 bit usata per la crittazione il valore di ritorno punta ad una sequenza di 13 caratteri ASCII che rappresentano la password crittata, di cui i primi due sono il salt attenzione, la funzione e non rientrante

23 Per sistemi Windows le informazioni su password e account vengono mantenute sul registry, ovvero un database mappato su un set di file e, per una piccola parte, su memoria volatile tra questi file, quello che mantiene le password e C:\WINDOWS\system32\config\Sam le password sono mantenute in forma crittata (tramite hashing) il processo di crittazione non utilizza il salt le informazioni mantenute nel precedente file determinano anche, come vedremo, la gestione degli accessi agli oggetti

24 One time passwords tipicamente utilizzate nel caso di accesso remoto senza crittazione sul traffico di rete ad ogni utente viene fornita una lista di password ad ogni accesso, viene richiesta la password successiva nella lista questo implica che la scoperta di una singola password (es. intercettazione durante transito in rete) non fornisce all attaccante la possibilita di utilizzo della stessa per accedere al sistema poiche non e facile mantenere la lista delle password a memoria, vi e in genere il problema di doverle registrare su un supporto di memorizzazione sicuro si puo ovviare tale problema utilizzando un algoritmo di autenticazione proposto da Lamport nel 1981 tale algoritmo permette l accesso tramite transito di one time passwords, ma l utente necessita di conoscere una sola di esse

25 Algoritmo di Lamport siap la password nota all utente ed al sistema siaf() una funzione non invertibile sian-1 il numero massimo di accessi ammessi per l utente la password per l i-esimo accesso sara calcolata applicanto n-i volte la funzione f() alla password P, ovvero P i =f(f( (f(p)) n-i volte dato che P i =f -1 (P i-1 ), la cattura da parte di un attaccante della i- esima password non permettera di venire a conoscenza della successiva l unico modo per originare le one time password e quindi quello di conoscere la password iniziale P, la quale non transita, e quindi non e soggetta ad intercettazione

26 Autenticazione crittografica A prova la sua identità a B effettuando una operazione crittografica su una quantità fornita da B se l' operazione crittografica scelta è una cifratura con un algoritmo a chiave segreta o con una funzione hash, lo schema per l'autenticazione è il seguente: 1. A si rende noto presso B 2. B invia ad A un numero R 3. A calcola c(r,k) e lo invia a B 4. B confronta c(r,k) inviatogli da A con quello precedentemente calcolato da B stesso 5. se i due valori sono uguali, A è autenticato presso B c(r,k) è una funzione di crittazione a chiave segreta o una funzione hash ed R è un numero chiamato sfida

27 Trattamento della sfida R B deve generare R in maniera che sia sempre diverso ad ogni tentativo di autenticazione può essere ad esempio un numero casuale molto grande, un TimeStamp, o un numero generato con un qualche altro algoritmo (ad esempio concatenando un numero casuale con un TimeStamp) R deve però essere scelto in maniera tale che un aggressore non possa memorizzare un numero sufficiente di coppie <R, c(r,k)> e autenticarsi, fingendosi A, perché B ha usato come sfida un numero R già usato precedentemente quindi se si sceglie di usare un TimeStamp come sfida, B deve assicurarsiche non possa avvenire nessun tentativo di connessione prima che iltimestamp sia cambiato

28 Varianti l' autenticazione tramite funzione hash non risolve il problema della compromissione del database di B questo problema è però risolto se si usa come funzione di crittazione una funzione a chiave pubblica (in quanto nel database di B sono memorizzate solo chiavi pubbliche) 1. A si rende noto presso B 2. B invia ad A un numero R (sfida) 3. A calcola R'=c(R,k privata ) e lo invia a B 4. B calcola d(r',k pubblica ) e lo confronta con R 5. se i due valori sono uguali, A è autenticato presso B resta pero il problema di dover supportare la memorizzazione della chiave privata al lato dell utente e di fornire capacita di crittazione

29 Autenticazione basata su dispositivi fisici chi vuole autenticarsi deve disporre di un apposito dispositivo fisico, normalmente una smartcard o una tessera magnetica il dispositivo fisico in realtà effettua l'autenticazione al posto del possessore, utilizzando uno dei sistemi visti in precedenza se ad esempio il dispositivo di autenticazione è una smart card, l'algoritmo di autenticazione potrebbe essere il seguente: 1. il sistema invia alla smart card una sfida 2. la smart card critta il numero ricevuto come sfida (possibilmente in combinazione con la pasword dell utente) e lo invia al sistema 3. se il numero inviato dalla smart card è uguale a quello calcolato dal sistema, il possessore della smart card è autenticato uno dei vantaggi della smartcard, rispetto alla tessera magnetica, e che il protocollo crittografico potrebbe essere cambiato se si puo eseguire un iterprete di protocollo sulla smartcard stessa

30 Abilitazione per indirizzo l' abilitazione per indirizzo consiste nello specificare, per un determinato servizio, quali sono gli indirizzi da cui si accettano le richieste in genere, l' elenco degli host da cui accettare richieste è chiamato Access Control List (ACL) questo tipo di abilitazione e alla base di note applicazioni per il controllo dell accesso ai servizi, quali i super-server (es. inetd internet demon, xinetd extended internet demon) i contenitori TCP (es.tcpd)

31 UNIX inetd il suo scopo e rimanere in ascolto di connessioni su specifici port number all arrivo di una connessione, avvia il servizio relativo per determinare il servizio associato ad un port number viene consultato il file etc/services, strutturato come segue ftp-data 20/tcp ftp 21/tcp telnet 23/tcp questo super-demone non e stato originariamente pensato per problematiche di sicurezza, bensi per motivazioni legate all uso efficiente delle risorse

32 Configurazione di inetd le informazioni di configurazione per inetd vengono mantenute nel file /etc/inetd.conf per ogni servizio controllato viene specificata una linea contenente i seguenti campi il nome del servizio, come specificato tramite il file /etc/services la tipologia di socket relativa (es. stream) il protocollo livello socket (es. TCP) un flag (wait/nowait) che indica se il servizio va eseguito con attesa o in concorrenza piena l identificazione dell utente a cui associare l istanza del processo server (es. root) l ubicazione dell eseguibile per il processo server (es. /usr/sbin/telnetd) ed eventuali parametri per esso

33 Caratteristiche di xinetd estende le funzionalita di inetd come segue controllo di accesso basato su indirizzo, nome o dominio dell host remoto controllo di accesso basato su segmenti di tempo registrazione completa delle connessioni, inclusi successi e fallimenti prevenzione di attacchi DOS tramite definizione di un limite su numero di istanze di server per un determinato servizio numero di istanze di server totali dimensione dei file di log numero di connessioni avviate da una singola macchina il file di configurazione e /etc/xinetd.conf e puo essere generato in modo automatico a partire da /etc/inetd.conf tramite l utility PERL xconv.pl

34 Contenitori TCP: tcpd il demome tcpd viene avvolto intorno a specifici servizi gestiti tramite inetd, al fine di implementare controllo di accesso tcpd e il server lanciato ad ogni richiesta pervenuta an inetd tcpd riceve come parametri la specifica del servizio richiesto, e quindi la possibilita di risalire al relativo eseguibile la gestione dei servizi avviene tramite delle regole codificate nei file /etc/hosts.deny e /etc/hosts.allow questi file descrivono per ogni servizio, gli host non ammessi o ammessi al servizio stesso ogni riga dei file ha la forma daemon_list : client_list la stringa ALL identifica il set di tutti i servizi gestiti da inetd, e di tutti gli host un esempio (accesso a tutti i servizi inetd dall host locale) # /etc/hosts.allow ALL:

35 Contraffazione del reverse DNS in genere la specifica degli host (o domini ammessi) avviene tramite nomi simbolici (non solo indirizzi IP) all atto della connessione, tcpd verifica l indirizzo IP della sorgente ed effettua una richiesta di reverse DNS al fine di ottenere il nome simbolico dell host sorgente un attaccante puo contraffare l operazione di reverse DNS per figurare un nome simbolico lecito per la sua macchina per ovviare a tale problema, tcpd tipicamente esegue sia il forwards DNS che il reverse DNS su IP e nome in modo da verificare la veridicita del nome

36 Contromisure sulla contraffazione del reverse DNS client IP x.y.z.h inetd reverse IP to name DNS se uguale a x.y.z.h l accesso viene abilitato, altrimenti viene negato tcpd forward name to IP

37 Firewall un Firewall e un particolare router che effettua il filtraggio dei pacchetti per un Firewall un indirizzo è una terna <protocollo,indirizzo IP,port number>, dove port number ha senso se il protocollo è TCP o UDP in fase di configurazione si introducono delle regole che specificano quali pacchetti possono attraversare il Firewall, basandosi sull' indirizzo del mittente o della destinazione del pacchetto in questa maniera il Firewall può ad esempio permettere il passaggio solo a pacchetti TCP che abbiano come porta di destinazione la porta 80 (porta HTTP standard) della macchina dove risiede il web server in tal modo si puo disabilitare la macchina dove risiede il web server ad accettare connessioni telnet o ftp da macchine esterne alla rete controllata dal Firewall questo puo avvenire senza intervenire sulla configurazione delle singole applicazioni

38 Ispezioni statefull sui firewall recenti tecniche per i firewall permettono non solo di verificare il livello dei pacchetti ma anche di verificare il comportamento del protocollo applicativo supportato tramite lo scambio dei pacchetti questo tipo di monitoraggio viene denominato ispezione statefull ad ogni port number viene associato quindi un protocollo di livello applicativo da monitorare (es. HTTP nel caso di port number 80) il firewall verifica quindi anche lo scambio dei dati segua delle regole relative ad un processo noto ed abilitato questo permette un certo grado di protezione nei confronti di compromissioni del processo server

39 Sistemi operativi sicuri un sistema operativo sicuro si differenzia da un sistema operativo convenzionale nella granularita con la quale e possibile impostare i permessi di accesso alle risorse in tal modo, un aggressore (incluso un utente lecito del sistema) ha una scarsa possibilita di fare i danni (in termini di accesso/manipolazione di informazioni o instabilita /inutilizzabilita del sistema) che farebbe su un sistema convenzionale esempi di sistemi operativi sicuri sono SELINUX (della NSA) e SecurLinux (della HP) i sistemi operativi sicuri si basano sulla nozione di dominio di protezione

40 Domini di protezione DEFINIZIONE: un dominio di protezione è un insieme di coppie <risorsa, modalità> se una risorsa non compare nel dominio di protezione associato ad un utente o programma, questo non può accedervi se invece compare, questo può accedervi solo nelle modalità specificate nel dominio la filosofia quindi dei sistemi operativi che implementano i domini di protezione è quella di associare ad ogni programma ed utente il minimo livello di privilegi necessari per l' esecuzione del proprio compito

41 in alcuni di questi sistemi operativi il dominio di protezione è associato non al livello del programma ma al livello del processo. il vantaggio di questo approccio è che il dominio può variare nel tempo (tipicamente per riduzione dei privilegi) quindi se in esecuzione sono presenti vari processi istanza del medesimo programma, questi non sono vincolati ad avere lo stesso dominio di protezione in questa maniera quando un processo è arrivato ad un punto in cui non ha più bisogno di accedere ad una risorsa, può ridurre i suoi privilegi, senza compromettere il funzionamento degli altri processi (che magari necessitano di quella risorsa)

42 Vantaggi dei domini di protezione supponiamo che un aggressore sia riuscito ad entrare nel sistema scavalcando le procedure di autenticazione, ad esempio attraverso un bug presente in un programma la possibilità che ha di fare dei danni è limitata al dominio di protezione del processo attraverso cui è riuscito ad ottenere l'ingresso nel sistema se ad esempio un aggressore riesce ad entrare in un sistema attraverso il web server, non riuscirà comunque a fare danni (o comunque i danni saranno limitati all'interno del dominio del web server)

43 Politiche per la sicurezza DEFINIZIONE: una politica di sicurezza si dice discrezionaria se gli utenti ordinari possono essere coinvolti nella definizione delle funzioni della politica e o nell' assegnazione degli attributi di sicurezza DEFINIZIONE: una politica di sicurezza si dice mandatoria o non discrezionale se la definizione della logica della politica e l'assegnazione degli attributi di sicurezza sono strettamente controllate da un amministratore di politiche di sicurezza di sistema

44 Politiche per la sicurezza e SO sicuri un sistema operativo sicuro non si deve limitare soltanto a implementare i domini di protezione, ma deve anche implementare politiche di sicurezza mandatorie se infatti per un utente fosse possibile aggiungere voci al suo dominio di protezione, questi ultimi non avrebbero alcun senso, se invece gli fosse possibile togliere delle voci da tali domini, potrebbero esserci dei malfunzionamenti (sistema non utilizzabile) i sistemi operativi più comunemente utilizzati, ovvero i sistemi Windows e Unix-like, non offrono alcuna politica di sicurezza mandatoria, ma offrono solo politiche di sicurezza discrezionaria (es. gli utenti stabiliscono i permessi di accesso ai file)

45 Amministratore di un SO (sicuro) in un sistema operativo non sicuro (es Windows e UNIX convenzionali) un amministratore di sistema puo avere accesso a qualsiasi risorsa in qualsiasi momento se un attaccante sovverte il sistema (vedremo tra breve come possa essere possibile) ed acquisice il permesso di amministratore allora puo creare qualsiasi tipo di danno in un sistema operativo sicuro in cui i domini massimi siano definiti anche per l utente amministratore e attivati all avvio del sistema questo non puo accadere

46 Attacchi interni al sistema un attacco si dice interno ad un sistema se esso e apportato da un attaccante che per qualche motivo interagisce con un applicazione gia operativa nel sistema stesso tale attaccante potrebbe per esempio essere un utente lecito del sistema stesso oppure un individuo il quale ha violato un account lecito gli attacchi interni al sistema si distinguono nelle seguenti tipologie cavalli di troia login spoofing bombe logiche porte nascoste buffer overflow (exploit)

47 Cavalli di troia un cavallo di troia consiste in un modulo software incluso in un programma apparentemente innocuo, o attivato in circostanze apparentemente innocue, che serve invece ad eseguire azioni illecite per attivare un cavallo di troia e necessaro che il programma che lo contiene venga eseguito questo puo avvenire in vari modi: il modulo puo essere contenuto in un programma reperibile via rete (in tal caso l autore del cavallo di troia non deve neanche violare il sistema in oggetto) il programma che contiene il cavallo di troia puo essere installato in directory tipiche per il PATH di una shell, in modo che esso venga chiamato al posto del corrispettivo comando originale avente lo stesso nome

48 il programma contenente il cavallo di troia potrebbe essere istallato in directory secondarie per il PATH, ma con nome corrispondente a classici errori di battitura (es la per ls) il programma contenente il cavallo di troia potrebbe essere istallato sulla home di un utente X con nome pari a quello di un classico comando in modo che se il superuser esegue quel comando una volta portatosi su tale home directory di fatto attiva il cavallo di troia (questo poiche alcune shell ricercano i comandi prima nel direttorio corrente) come azioni classiche i cavalli di troia tendono ad eseguire task che permettano all attacante di ripenetrare/sovvertire facilmente il sistema in futuro (es. settando il bit SETUID sul programma shell nel caso il cavallo di troia sia attivato dal superuser)

49 Login spoofing questo attacco viene realizzato da un attaccante attivo nel sistema che esegua un programma che simula il programma di login standard il questo caso un utente ignaro interagisce con tale programma il quale pero non fa altro che registrare login e password su un file e poi terminare la sessione (es. tramite un segnale) in tal caso l utente crede di aver commesso un errore nel digitare la password che invece e stata registrata per uso futuro dall attaccante per proteggersi da questo attacco e necessario che l accesso al software di autenticazione avvenga tramite un evento che venga gestito direttamente dal kernel (es CTRL-ALT-DEL su sistemi Windows)

50 Bombe logiche e una porzione di software tipicamente inserita in un programma da un utente ammesso al sistema questa rimane innocua se il relativo programma riceve periodicamente determinati input dall utente se inprovvisamente l utente perde i permessi di accesso al sistema, l input non viene fornito e la bomba logica esplode creando eventualmente danni al sistema questo attacco era tipico di utenti leciti ricattatori, come ad esempio programmatori disonesti

51 Porte nascoste sono porzioni di software inserite in programmi in modo da ottenere, sotto certe condizioni (ad esempio per l input) un comportamento non conforme alla specifica ma fraudolento edi aiuto per l attaccante ad esempio, si possono inserire condizioni dipendenti dall input per baypassare dei controlli sugli accessi anche questo tipo di attacco puo essere proprio di utenti legittimi ma disonesti sia le porte nascoste che le bombe logiche possono essere prevenute tramite la verifica del codice incrociata tra piu programmatori