Documente Academic
Documente Profesional
Documente Cultură
8
Principii de securitate
8 decembrie 2008
Motto
The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards - and even then I have my doubts." Eugene H. Spafford
08.12.2008
Problematica securitii
Protecia informaiilor preioase (companii, instituii) Ce este un sistem sigur?
resursele sale sunt utilizate i accesate n orice mprejurare aa cum se dorete
Are sens?
Nu. Nu este util i flexibil.
Securitatea este un proces nu o finalitate Veriga cea mai slab indic securitatea sistemului
08.12.2008 3
Niveluri de securitate
La nivel de persoan
utilizatorii sunt alei cu grij reducerea probabilitii ca un utilizator s permit accesului unei persoane neautorizate
La nivel fizic
protecia ncperilor ce conin sistemele de calcul
La nivelul reelei
securizarea accesul de la distan filtrarea pachetelor de compromitere a reelei
08.12.2008 4
Suport hardware
procesoarele ofer cel puin dou niveluri de privilegiu
unul pentru operaii obinuite (user mode) altul pentru acces la instruciuni privilegiate (supevisor mode) rings n x86
08.12.2008
Directoare
se poate afia coninutul unui director DAR, fr drept de execuie, NU se poate ajunge n director
Exemplu:
razvan@anaconda:~/junkcode$ ls -ld sing/ drwxr-xr-x 5 razvan razvan 4096 Aug 23 17:57 sing/ razvan@anaconda:~/junkcode$ ls sing/ cvs-project.zip lza module papers.zip
08.12.2008
Directoare
se poate crea un nou fiier se poate terge un fiier directorul poate fi ters
Observaie
n Linux, tergerea unui fiier este condiionat de prezena dreptului de write pe directorul printe Nu este nevoie de de drept de write pe fiier
Soluie: activarea sticky bit
Directoare
se poate descende ntr-un director fr drept de execuie, un director nu poate fi inclus n nici o cale
Exemplu:
razvan@anaconda:~/junk$ mkdir -p uso7_dir/uso7_subdir razvan@anaconda:~/junk$ touch uso7_dir/uso7_subdir/uso7_test.txt razvan@anaconda:~/junk$ ls uso7_dir/uso7_subdir/ uso7_test.txt razvan@anaconda:~/junk$ ls -ld uso7_dir/ drwxr-xr-x 3 razvan razvan 4096 Nov 10 17:17 uso7_dir/ razvan@anaconda:~/junk$ chmod 644 uso7_dir razvan@anaconda:~/junk$ ls -ld uso7_dir/ drw-r--r-- 3 razvan razvan 4096 Nov 10 17:17 uso7_dir/ razvan@anaconda:~/junk$ ls uso7_dir/uso7_subdir/ ls: uso7_dir/uso7_subdir/: Permission denied
08.12.2008 10
Schimbarea drepturilor
chmod Exemple
razvan@anaconda:~/junk$ ls -l hello.c -rw-r--r-- 1 razvan razvan 81 Oct 6 21:35 hello.c razvan@anaconda:~/junk$ chmod o+x hello.c razvan@anaconda:~/junk$ ls -l hello.c -rw-r--r-x 1 razvan razvan 81 Oct 6 21:35 hello.c razvan@anaconda:~/junk$ chmod u=rx hello.c razvan@anaconda:~/junk$ ls -l hello.c -r-xr--r-x 1 razvan razvan 81 Oct 6 21:35 hello.c
umask
Restricia drepturilor de creare a intrrilor n sistemul de fiiere Valori tipice pentru umask: 022, 027, 077 Drepturi de creare implicite
666 pentru fiier 777 pentru director I logic ntre permisiunile implicite i masca inversat
08.12.2008
12
umask (cont.)
08.12.2008
13
suid, sgid
Aplicaiile care necesit resurse speciale pot fi rulate doar de superuser
ping, traceroute, passwd orice utilizator trebuie s le poat rula utilizarea unui bit special denumit suid (switch user id) permite execuia unui program cu drepturile celui care l deine (de obicei root)
Soluie
Securitatea utilizatorilor
08.12.2008
15
Parole
Form de autentificare (username/password)
se compar parola introdus cu cea stocat de sistem dac cele dou coincid se permite accesul
Ar trebui s m ngrijorez?
n 1997, n urma unui sondaj efectuat in Londra, 82% din parole puteau fi ghicite uor pe baza unei analize sumare a vieii subiectelor. utilizarea forei brute o parola cu 4 cifre are 10000 de posibiliti dac s-ar ncerca o parol la fiecare milisecund, n 10 secunde s-ar putea ghici parola
Verificarea periodic a parolelor utilizatorilor Password aging: forarea schimbrii parolei dup o anumit perioad Criptarea parolelor
08.12.2008 18
Parole n Unix
La nceput parolele se pstrau criptat n /etc/passwd Fisierul /etc/passwd conine i alte informaii
numele utilizatorilor directorul home shell-ul folosit
08.12.2008
19
intrare n /etc/shadow
razvan@anaconda:~/junk$ cat /etc/shadow | grep guest cat: /etc/shadow: Permission denied anaconda:/home/razvan/junk# cat /etc/shadow | grep guest guest:$1$jv4hP2au$BSrUDS0J7LhJv8PrCFltU/:13124:0:99999:7:::
Contul de root/Administrator
Controlul absolut al sistemului
obinerea contului de superuser nseamn spargerea sistemului
sudo
permite unui utilizator obinuit (dar de ncredere) rularea unui set restrns de comenzi cu privilegii de root NU trebuie folosit pentru a permite accesul la lucrul cu shell
obinerea unui shell de root nseamn accesul absolut la sistem
08.12.2008 21
Linux
folosirea sudo pentru rularea unui set restrns de comenzi
fiierul de configurare /etc/sudoers
folosirea de capabiliti
unele programe pot avea acces numai la o parte din privilegiile root
Windows
folosirea Power Users
utilizatori de sistem care au acces la cteva din privilegiile Administrator
08.12.2008
22
configurri necorespunztoare
Recunoaterea
Recunoaterea activ
host, whois ping sweep aplicaii de scanare a porturilor
Nmap
Recunoaterea pasiv
interceptarea traficului din reea
tcpdump Wireshark kismet
08.12.2008 24
inta atacurilor Pn n 2000 atacurile erau lansate pentru obinerea accesului pe o main int
se urmresc servicii incorect configurate sau vulnerabiliti ale sistemelor
Obinerea accesului
Prin analiza traficului
obinerea parolei alterarea traficului pentru schimbarea comportamentului unui serviciu
man-in-the-middle attack
un atacator este capabil s citeasc, insereze i modifice mesajele transmise ntre dou entiti fr ca aceste dou entiti s realizeze c legtura ntre ele a fost compromis
Replay attack
transmisia de date ntre entiti este ntrziat sau repetat fraudulos dou staii A i B doresc s comunice
A dorete sa se autentifice A transmite (eventual criptat) o parol o staie C (MITM) captureaz parola C se va conecta la B folosind parola lui A Cva cpta acces la sistem
session-tokens
B transmite lui A un jeton (token) care e folosit de A pentru criptare B face acelai calcul la primirea parolei i verific dac valorile coincid
Phishing
Form cunoscut de social engineering Folosit pentru a obine parole, detalii ale crii de credit, etc. Atacatorul invoc a fi o persoana de ncredere n comunicaia electronic De obicei se realizeaz prin e-mail, messaging sau telefonie Se poate pierde accesul la csua de e-mail sau la sume de bani importante n SUA, n 2004-2005 s-au nregistrat pierderi de 929 milioane $ din cauza phishing Anti-phishing
user training browser-ele actuale sunt capabile de a identifica forme de phishing de pe diverse site-uri spam-filters reduc mesajele spam care pot fi folosite pentru phishing
08.12.2008 28
DoS Attacks
Denial of Service mpiedicarea accesului utilizatorilor la o resurs Poate nsemna consumul resurselor unui sistem
exemplu: deschiderea unui numr mare de procese
Exemple:
08.12.2008
SYN floods ICMP floods UDP floods Teardrop attack Application level floods Nukes DDoS
29
Spam
Unsolicited mail Open mail relay
server de e-mail ce permite retransmiterea (relaying) mesajelor de pot de electronic sosite din Internet
Configurarea politicilor de filtrare a pachetelor Configurarea criptrii traficului important Configurarea programelor antivirus
08.12.2008 31
Detectarea atacurilor stabilirea unui nivel de referin pentru performaa reelei monitorizarea traficului din reea
automat
configurarea unui NIDS (Network Intrusion Detection System)
manual
prin stabilirea unor limite de ncrcare la nivelul dispozitivelor de reea
jurnalele
politic de colectare, pstrare i prelucrare a jurnalelor pentru serverele importante din reea
08.12.2008 32
Firewall software
Firewall integrat pe ruter
numr mai redus de conexiuni fa de un firewall dedicat poate gestiona topologii mai complexe Cisco ACL
Firewall de server
pachet software peste un sistem de operare n general ruleaz n spaiul kernel iptables (netfilter), shorewall, Microsoft ISA Server, Novell Border Manager
Firewall personal
n general ruleaz n spaiul utilizator performane reduse pentru trafic ridicat Symantec, McAfee, ZoneAlarm
08.12.2008 34
Criptografia Studiul ascunderii mesajelor Criptarea este procesul de transformare a unui text clar ntr-un text cifrat Decriptarea este procesul invers Criptarea/decriptarea necesit
Un algoritm, o cheie i date
Dou tipuri
Cu cheie simetric i asimetric (public)
08.12.2008 35
Hi, Dan!
08.12.2008
*&^1 )-h@
Hi, Dan
36
Exemple de algoritmi:
RSA Diffie-Hellman curbe eliptice
08.12.2008 37
cheia
publica
a Anei
Hello, Mom!
c&16 (^%1
Hello, Mom!
08.12.2008
38
boot sector virus e-mail virus logic bomb macro virus cross-site scripting virus sentinels trojan horse worm
40
Cuvinte cheie
problematica securitii drepturi de acces chmod umask suid, sgid parole John the Ripper /etc/passwd /etc/shadow pwgen sudo
Cuvinte cheie
man in the middle phishing DoS spam NIDS firewall criptare chei simetrice/asimetrice certificat virui, viermi, troieni
08.12.2008
41
41
Resurse utile
Link-uri utile
08.12.2008
42
42
The End
08.12.2008
43