Cursul 12

Elemente de securitate Utilizarea Sistemelor de Operare (USO) 17 decembrie 2012

Departamentul de Calculatoare

CSE Dep

Cursul 12, Elemente de securitate

1/42

Moto

The only truly secure system is one that is powered o, cast in a block of concrete and sealed in a lead-lined room with armed guards - and even then I have my doubts. Eugene H. Spaord

CSE Dep

Cursul 12, Elemente de securitate

2/42

Virtualizare

VirtualBox

KVM

LXC

hosted virtualization

bare-metal virtualization

operating system-level virtualization

guest

hypervisor host

system virtualization
CSE Dep Cursul 12, Elemente de securitate 3/42

Cloud computing

http://cloudcomputersupes.wordpress.com/category/cloud-funny-messages/

CSE Dep

Cursul 12, Elemente de securitate

4/42

Cuprins

Not , iuni de securitate Securitatea sistemului de operare Parole Securitatea ret , elelor Concluzie

CSE Dep

Cursul 12, Elemente de securitate

5/42

Suport curs

Suport (Introducere n sisteme de operare)

Capitolul 10 Elemente de securitate

CSE Dep

Cursul 12, Elemente de securitate

6/42

Problematica securit at , ii

protect , ia informat , iilor pret , ioase (companii, institut , ii) Ce este un sistem sigur?
resursele sale sunt utilizate s n orice mprejurare as , i accesate ,a cum se dores te ,

Se poate obt , ine un sistem sigur?

Da. Complet izolat de lumea exterioar a. nu este util, nici exibil

Ce nseamn a securizarea unui sistem de calcul?

folosirea de metode de protect , ie sucient de puternice un potent , ial atacator va descurajat compromiterea sistemului este greu de realizat

Securitatea este un proces nu o nalitate

CSE Dep

Cursul 12, Elemente de securitate

8/42

Not , iuni de securitate

obiective: condent , ialitate, integritate, disponibilitate, autenticitate privilegii

principiul celui mai mic privilegiu escaladare (escalation) revocare (revocation) separare (separation)

principii
security through obscurity vs. security by design cea mai slab a verig a simplitate (feature creep ) defense in depth analiza riscurilor

securitate vs. utilizabilitate

CSE Dep

Cursul 12, Elemente de securitate

9/42

Niveluri de securitate

la nivel de persoan a
utilizatorii sunt ales a , i cu grij educarea utilizatorilor

la nivel zic
protect nc aperilor ce cont , ia , in sistemele de calcul

la nivelul sistemului de operare

securizarea accesului (parole) protect , ia resurselor SO (memorie, s , iere) securizarea aplicat , iilor

la nivelul ret , elei

securizarea accesului de la distant a , ltrarea pachetelor de compromitere a ret , elei

CSE Dep

Cursul 12, Elemente de securitate

10/42

Securitatea sistemului de operare

sistem de operare sigur: resursele acestuia sunt accesate n mod valid zone de memorie, dispozitive de I/E, s , iere, procesor Cine asigur a securitatea sistemului de operare?
nucleul SO

nivel intermediar ntre utilizator s , i hardware suport hardware

procesoarele ofer a cel put a niveluri de privilegiu , in dou

unul pentru operat , ii obis , nuite (user mode) altul pentru acces la instruct , iuni privilegiate (supevisor mode)
doar nucleul ruleaz a n modul supervizor (kernel mode) separarea privilegiilor

CSE Dep

Cursul 12, Elemente de securitate

12/42

Securitatea sistemului de s , iere

aspecte importante
directorul HOME al ec arui utilizator
drepturi depline utilizatorul poate sau nu permite accesul altor utilizator

doar utilizatorul privilegiat are acces la anumite intr ari

s , iere de congurare, programe executabile

Cum se implementeaz a securitatea s , ierelor?

drepturi de acces (sau liste de acces)
pentru ecare intrare se precizeaz a drepturile utilizatorilor form a redus a pe Unix (user, group, others)

CSE Dep

Cursul 12, Elemente de securitate

13/42

umask

restrict arilor n sistemul de s , ia drepturilor de creare a intr , iere valori tipice pentru umask: 022, 027, 077 drepturi de creare implicite
666 pentru s , ier 777 pentru director

drepturi de creare efective

S ntre permisiunile implicite s a , I logic , i masca inversat

CSE Dep

Cursul 12, Elemente de securitate

14/42

umask (cont.)

s , ier: implicit 666 umask: 027 (666 & 027) 640 (rw- r-- ---)
umask pe s , iere
razvan@anaconda:~/junk$ umask 0022 razvan@anaconda:~/junk$ touch uso7_test1 razvan@anaconda:~/junk$ ls -l uso7_test1 -rw-r--r-- 1 razvan razvan 0 Nov 10 17:28 uso7_test1 razvan@anaconda:~/junk$ umask 027 razvan@anaconda:~/junk$ touch uso7_test2 razvan@anaconda:~/junk$ ls -l uso7_test2 -rw-r----- 1 razvan razvan 0 Nov 10 17:28 uso7_test2

CSE Dep

Cursul 12, Elemente de securitate

15/42

umask (cont.)

director: implicit 777 umask: 077 (777 & 077) 700 (rwx --- ---)
umask pe directoare
razvan@anaconda:~/junk$ umask 0027 razvan@anaconda:~/junk$ mkdir uso7_dir1 razvan@anaconda:~/junk$ ls -ld uso7_dir1 drwxr-x--- 2 razvan razvan 4096 Nov 10 17:29 uso7_dir1 razvan@anaconda:~/junk$ umask 077 razvan@anaconda:~/junk$ mkdir uso7_dir2 razvan@anaconda:~/junk$ ls -ld uso7_dir2 drwx------ 2 razvan razvan 4096 Nov 10 17:29 uso7_dir2

CSE Dep

Cursul 12, Elemente de securitate

16/42

Securitatea accesului

se permite numai accesul utilizatorilor autorizat ,i autenticare

permiterea accesului utilizatorilor privilegiat ,i

C and este un utilizator autentic?

posed a o unitate de identicare (cheie, card) posed a un nume de utilizator s , i o parola posed a un atribut de utilizator (amprent a, retin a, semn atur a)

CSE Dep

Cursul 12, Elemente de securitate

17/42

Autenticare, autorizare, controlul accesului

autenticare (authentication)
permiterea utilizatorului n sistem pe baza credent , ialelor (parola, semnatur a biometric a, certicat digital etc.)

autorizare
acordarea de drepturi de acces la resurse pentru utilizator

controlul accesului
vericarea drepturilor de acces la resurse; se permite sau nu se permite accesul

CSE Dep

Cursul 12, Elemente de securitate

18/42

Parole

form a de autenticare (username/password)

se compar a parola introdus a cu cea stocat a de sistem dac a cele dou a coincid se permite accesul

modul echo off sau ,,cu stelut , e

mpiedicarea shoulder surng

neajunsurile folosirii parolelor

p astrarea secret a a parolei
sticky-note care este lipit pe monitor stocat a n telefonul mobil recomandare: folosit a (keyring) , i aplicat , ii de stocare securizat

ghicirea parolei transferul parolei de la un utilizator autorizat la unul neautorizat

CSE Dep

Cursul 12, Elemente de securitate

20/42

Ghicirea unei parole

metode
ncerc ari automatizate (brute force) se ncearc a ghicirea parolei pe baz a

Ar trebui s a m a ngrijorez?
n 1997, n urma unui sondaj efectuat n Londra, 82% din parole puteau ghicite us , or pe baza unei analize sumare a viet , ii subiectelor
animale de cas a, date de nas , tere, nume de rude

utilizarea fort , ei brute

o parola cu 4 cifre are 10000 de posibilit at ,i dac a s-ar ncerca o parol a la ecare milisecund a, n 10 secunde s-ar putea ghici parola

John the Ripper http://openwall.com/john/

dict , ionare (wordlist)

CSE Dep

Cursul 12, Elemente de securitate

21/42

Protect , ie la ghicirea parolelor

alegerea de parole bune

minim 7 caractere, at at lower case c at s , i upper case cel put , in un caracter special sau numeric nu trebuie s a e nume de persoane sau cuvinte din dict , ionar usor de ret , inut exemple:
I check my e-mail every 3 hours Icme-me3h My rusty car is 7 years old Mrci7yo

utilizarea parolelor generate aleator de sistem

pwgen

vericarea periodic a a parolelor utilizatorilor password aging : schimbarea parolei dup a o anumit a perioad a

CSE Dep

Cursul 12, Elemente de securitate

22/42

Parole n Unix
la nceput parolele se p astrau criptat n /etc/passwd s , ierul /etc/passwd cont , ine s , i alte informat , ii
numele utilizatorilor directorul home shell-ul folosit

multe programe au nevoie de informat , iile de mai sus

s , ierul /etc/passwd este citibil de tot , i utilizatorii
Drepturi de acces pe /etc/passwd
razvan@anaconda:~/junk$ ls -l /etc/passwd -rw-r--r-- 1 root root 2147 Nov 4 15:35 /etc/passwd

Parola criptat a este vizibil a

potent ncerc ari , ial risc de spargere prin

CSE Dep

Cursul 12, Elemente de securitate

23/42

Parole n Unix (cont.)

s , ierul /etc/shadow accesibil numai de root parola ar putea spart a prin ncerc ari de login repetate
timeout ntre ncerc arile de autenticare
/etc/passwd
razvan@anaconda:~/junk$ cat /etc/passwd | grep guest guest:x:1001:1001:Guest,EF 303,,,Test:/home/guest:/bin/bash

/etc/shadow
razvan@anaconda:~/junk$ cat /etc/shadow | grep guest cat: /etc/shadow: Permission denied anaconda:/home/razvan/junk# cat /etc/shadow | grep guest guest:$1$jv4hP2au$BSrUDS0J7LhJv8PrCFltU/:13124:0:99999:7:::

CSE Dep

Cursul 12, Elemente de securitate

24/42

Contul privilegiat

controlul absolut al sistemului

obt nseamn a spargerea sistemului , inerea contului de superuser

trebuie folosit numai atunci c and este nevoie

pentru operat , ii obis , nuite, folosit , i contul neprivilegiat o bun a parte din atacurile pe Windows se bazeaz a pe faptul c a utilizatorii folosesc numai contul Administrator

sudo
permite unui utilizator obis ncredere) rularea unui , nuit (dar de set restr ans de comenzi cu privilegii de root privilege separation

CSE Dep

Cursul 12, Elemente de securitate

25/42

Securitatea ret , elelor

dou a tipuri de amenint ari ntr-o ret , , ea

vulnerabilit at ,i
la nivelul aplicat , iilor sistemului (exploit) la nivelul protocolului de comunicare folosit (SYN ood) la nivelul dispozitivelor de ret , ea (ARP poisoning)

congur ari necorespunz atoare

n general exist a 3 faze ale unui atac

recunoas , terea obt , inerea accesului escaladarea accesului (cont root) / folosirea sistemului pentru generarea unui nou atac mpotriva unui alte ret , ele

CSE Dep

Cursul 12, Elemente de securitate

27/42

Recunoas , terea

recunoas a , terea activ

host, whois ping sweep aplicat , ii de scanare a porturilor rewall blocarea operat , iilor congurarea aplicat iilor s a ofere detalii minime (versiune) ,

recunoas a , terea pasiv

interceptarea tracului din ret , ea
tcpdump wireshark Kismet

folosirea unor canale zice sigure criptarea tracului

CSE Dep

Cursul 12, Elemente de securitate

28/42

Obt , inerea accesului

prin analiza tracului

eavesdropping obt , inerea parolei criptare

man-in-the-middle attack
un atacator este capabil s a pretind a identitatea unei entit at , i de ncredere f ar a ca entitatea comunicant a s a realizeze c a leg atura este compromis a integritate (hashing: MD5, SHA), autenticare

social engineering
educat , ie

CSE Dep

Cursul 12, Elemente de securitate

29/42

Atacuri Denial of Services

mpiedicarea accesului utilizatorilor la o resurs a poate nsemna consumul resurselor unui sistem
deschiderea unui num ar mare de procese (fork bomb)

congestionarea tracului n ret , ele

devine dicil a comunicat ntre stat , ia , iile din ret , ea

Distributed Denial of Service (DDoS)

CSE Dep

Cursul 12, Elemente de securitate

30/42

Prevenirea atacurilor

stabilirea unor politici clare de securitate congurarea politicilor de ltrare a pachetelor congurarea cript arii tracului important congurarea programelor antivirus detectarea atacurilor / problemelor
monitorizare IDS (Intrusion Detection System)

CSE Dep

Cursul 12, Elemente de securitate

31/42

Firewall

rewall software rewall hardware sau dedicat reguli de acces pentru pachetelor de retea pot ltrate (dropped, rejected) pe baza criteriilor
tipuri de protocol adresa IP sursa adresa IP destinatie port sursa port destinatie

CSE Dep

Cursul 12, Elemente de securitate

32/42

Criptograe

studiul ascunderii mesajelor criptarea este procesul de transformare a unui text clar (plain text) ntr-un text cifrat decriptarea este procesul invers criptarea/decriptarea necesit a
un algoritm o cheie date/mesaj

CSE Dep

Cursul 12, Elemente de securitate

33/42

Criptare s , i decriptare

CSE Dep

Cursul 12, Elemente de securitate

34/42

Security Engineering: A Guide to Building Dependable Distributed Systems

Ross Anderson 2nd Edition, 2010 prima edit arcat a gratis , ie poate desc o privire n ansamblu a securit at , ii sistemelor s , i ret , elelor atacuri s arare , i ap bogat a n povestiri reale us , or de citit cont a pe aspecte practice , ine formalisme, dar insist

CSE Dep

Cursul 12, Elemente de securitate

36/42

Bruce Schneier

http://en.wikipedia.org/wiki/File:Bruce_Schneier_1.jpg

autorul mai multor c art , i de securitate algoritmi de criptograe Bruce Schneier on security (blog) (http://www.schneier.com) Bruce Schneier Facts
CSE Dep Cursul 12, Elemente de securitate 37/42

RSA

numele de la fondatorii: Ron Rivest, Adi Shamir, Led Adleman inint a n 1982 , at algoritmul de criptare cu chei publice RSA token-uri de autenticare (RSA SecurID security tokens) RSA Factoring Challenge

CSE Dep

Cursul 12, Elemente de securitate

38/42

AES

Advanced Encryption Standard adoptat de guvernul US ca standard de criptare n noiembrie 2001 init a numele unuia dintre inventatori , ial denumit Rijndael dup nlocuies , te algoritmul DES (Data Encryption Standard) din 1977 procesul de alegere a avut loc ntre 1997 s , i 2000 destinat comunit at , ii criptograce init , ial aleste 15 algoritmi, apoi 5 nalis , ti, apoi doar 1 (Rijndael)

CSE Dep

Cursul 12, Elemente de securitate

39/42

Cuvinte cheie

problematica securit at , ii principii de securitate umask autenticare autorizare controlul accesului parole /etc/passwd

/etc/shadow root sudo recunoas , tere man in the middle denial of service rewall criptare

CSE Dep

Cursul 12, Elemente de securitate

40/42

Resurse utile

http://en.wikipedia.org/wiki/Computer_security http://www.unixtools.com/security.html http://en.wikipedia.org/wiki/Ring_(computer_security) http://en.wikipedia.org/wiki/Network_security http://insecure.org/ http://www.linuxsecurity.com/ http://www.openbsd.org/ http://www.schneierfacts.com/

CSE Dep

Cursul 12, Elemente de securitate

41/42