Cursul 11

11
Elemente de securitate
12 decembrie 2011

Moto
The only truly secure system is one that is powered off, cast in a
block of concrete and sealed in a lead-lined room with armed
guards - and even then I have my doubts.
Eugene H. Spafford

There are two types of encryption: one that will prevent your sister
from reading your diary and one that will prevent your
government.
Bruce Schneier
12.12.2011

Servicii de reea
port

server

UDP

TCP

client
servicii

conexiune

SSH

E-mail

WWW

adres

22

cerere

sigur

SMTP

80
HTTP

IMAP
URL

scp
POP3
chei

sshd

12.12.2011

text

HTML
page

MIME

ssh
remote

25
443
Apache

mailbox

OpenSSH

IE

Outlook

Firefox

Thunderbird
3

Servicii de reea (2)

12.12.2011

Cuprins
Problematica securitii
Principii de securitate
Securitatea sistemului de operare
Securitatea accesului. Parole
Securitatea reelelor
Firewall-uri
Criptare
12.12.2011

Suport curs

Suport (Introducere n sisteme de operare)

Capitolul 10 Elemente de securitate

12.12.2011

Problematica securitii
Protecia informaiilor preioase (companii, instituii)
Ce este un sistem sigur?
resursele sale sunt utilizate i accesate n orice mprejurare aa cum se
dorete

Se poate obine un sistem sigur?

Da. Complet izolat de lumea exterioar.
nu este util, nici flexibil

Ce nseamn securizarea unui sistem de calcul?

folosirea de metode de protecie _suficient_ de puternice
un potenial atacator va fi _descurajat_
compromiterea sistemului este _greu_ de realizat

Securitatea este un proces nu o finalitate

12.12.2011

Noiuni de securitate
Obiective: confidenialitate, integritate, disponibilitate,
autenticitate
Privilegii

principiul celui mai mic privilegiu

escaladare (escalation)
revocare (revocation)
separare (separation)

Principii

security through obscurity vs. security by design

cea mai slab verig
simplitate (feature creep)
defense in depth
analiza riscurilor

Securitate vs. utilizabilitate

12.12.2011

Niveluri de securitate
La nivel de persoan
utilizatorii sunt alei cu grij
educarea utilizatorilor

La nivel fizic
protecia ncperilor ce conin sistemele de calcul

La nivelul sistemului de operare

securizarea accesului (parole)
protecia resurselor SO (memorie, fiiere)
securizarea aplicaiilor

La nivelul reelei
securizarea accesului de la distan
filtrarea pachetelor de compromitere a reelei
12.12.2011

Securitatea sistemului de operare

Sistem de operare sigur
resursele acestuia sunt accesate n mod valid
zone de memorie, dispozitive de I/E, fiiere, procesor

Cine asigur securitatea sistemului de operare?

nucleul SO
nivel intermediar ntre utilizator i hardware

Suport hardware
procesoarele ofer cel puin dou niveluri de privilegiu
unul pentru operaii obinuite (user mode)
altul pentru acces la instruciuni privilegiate (supevisor mode)

doar nucleul ruleaz n modul supervizor (kernel mode)

separarea privilegiilor
12.12.2011

10

Securitatea sistemului de fiiere

Aspecte importante
directorul HOME al fiecrui utilizator
drepturi depline
utilizatorul poate sau nu permite accesul altor utilizatori

doar utilizatorul privilegiat are acces la anumite intrri

fiiere de configurare, programe executabile

Cum se implementeaz securitatea fiierelor?

drepturi de acces (sau liste de acces)
pentru fiecare intrare se precizeaz drepturile utilizatorilor
form redus pe Unix (user, group, others)

12.12.2011

11

umask

Restricia drepturilor de creare a intrrilor n sistemul de

fiiere
Valori tipice pentru umask: 022, 027, 077
Drepturi de creare implicite
666 pentru fiier
777 pentru director

Drepturi de creare efective

I logic ntre permisiunile implicite i masca inversat

12.12.2011

12

umask (2)
director: implicit 777
umask: 077 (777 & ~077) 700 (rwx --- ---)
razvan@anaconda:~/junk$ umask
0027
razvan@anaconda:~/junk$ mkdir uso7_dir1
razvan@anaconda:~/junk$ ls -ld uso7_dir1
drwxr-x---

2 razvan razvan 4096 Nov 10 17:29 uso7_dir1

razvan@anaconda:~/junk$ umask 077

razvan@anaconda:~/junk$ mkdir uso7_dir2
razvan@anaconda:~/junk$ ls -ld uso7_dir2
drwx------

2 razvan razvan 4096 Nov 10 17:29 uso7_dir2

fiier: implicit 666

umask: 027 (666 & ~027) 640 (rw- r-- ---)
razvan@anaconda:~/junk$ umask
0022
razvan@anaconda:~/junk$ touch uso7_test1
razvan@anaconda:~/junk$ ls -l uso7_test1
-rw-r--r--

1 razvan razvan 0 Nov 10 17:28 uso7_test1

razvan@anaconda:~/junk$ umask 027

razvan@anaconda:~/junk$ touch uso7_test2
razvan@anaconda:~/junk$ ls -l uso7_test2
-rw-r----12.12.2011

1 razvan razvan 0 Nov 10 17:28 uso7_test2

13

Securitatea accesului

Se permite _numai_ accesul utilizatorilor autorizai

Autentificare
permiterea accesului utilizatorilor privilegiai

Cnd este un utilizator autentic?

posed o unitate de identificare (cheie, card)
posed un nume de utilizator i o parola
posed un atribut de utilizator (amprent, retin, semntur)

12.12.2011

14

Autentificare, autorizare, controlul accesului

Autentificare (authentication)
permiterea utilizatorului in sistem pe baza credentialelor
(parola, semnatura biometrica, certificat digital etc.)

Autorizare
acordarea de drepturi de acces la resurse pentru utilizator

Controlul accesului
verificarea drepturilor de acces la resurse; se permite sau nu se
permite accesul

12.12.2011

15

Parole
Form de autentificare (username/password)
se compar parola introdus cu cea stocat de sistem
dac cele dou coincid se permite accesul

Modul echo off sau cu stelue

mpiedicarea shoulder surfing

Neajunsurile folosirii parolelor

pstrarea secret a parolei
sticky-note care este lipit pe monitor
stocat n telefonul mobil
recomandare: folosii aplicaii de stocare securizat (keyring)

ghicirea parolei
transferul parolei de la un utilizator autorizat la unul neautorizat
12.12.2011

16

Ghicirea unei parole

Metode
ncercri automatizate (brute force)
se ncearc ghicirea parolei pe baz

Ar trebui s m ngrijorez?
n 1997, n urma unui sondaj efectuat n Londra, 82% din parole puteau fi
ghicite uor pe baza unei analize sumare a vieii subiectelor
animale de cas, date de natere, nume de rude

utilizarea forei brute

o parola cu 4 cifre are 10000 de posibiliti
dac s-ar ncerca o parol la fiecare milisecund, n 10 secunde s-ar putea ghici
parola

John the Ripper http://openwall.com/john/

dicionare (wordlist)
12.12.2011

17

Protecie la ghicirea parolelor

Alegerea de parole bune

minim 7 caractere, att lower case ct i upper case

cel puin un caracter special sau numeric
nu trebuie s fie nume de persoane sau cuvinte din dicionar
usor de reinut
exemple:
I check my e-mail every 3 hours Icme-me3h
My rusty car is 7 years old Mrci7yo

Utilizarea parolelor generate aleator de sistem

pwgen

Verificarea periodic a parolelor utilizatorilor

Password aging: schimbarea parolei dup o anumit perioad
12.12.2011

18

Parole n Unix
La nceput parolele se pstrau criptat n /etc/passwd
Fisierul /etc/passwd conine i alte informaii
numele utilizatorilor
directorul home
shell-ul folosit

Multe programe au nevoie de informaiile de mai sus

fiierul /etc/passwd este citibil de toi utilizatorii
razvan@anaconda:~/junk$ ls -l /etc/passwd
-rw-r--r-- 1 root root 2147 Nov 4 15:35 /etc/passwd

Parola criptat este vizibil

potenial risc de spargere prin ncercri
12.12.2011

19

Parole n Unix (cont.)

Fiierul /etc/shadow
accesibil numai de root
intrare n /etc/passwd
razvan@anaconda:~/junk$ cat /etc/passwd | grep guest
guest:x:1001:1001:Guest,EF 303,,,Test:/home/guest:/bin/bash

intrare n /etc/shadow
razvan@anaconda:~/junk$ cat /etc/shadow | grep guest
cat: /etc/shadow: Permission denied
anaconda:/home/razvan/junk# cat /etc/shadow | grep guest
guest:$1$jv4hP2au$BSrUDS0J7LhJv8PrCFltU/:13124:0:99999:7:::

Parola ar putea fi spart prin ncercri de login repetate

timeout ntre ncercrile de autentificare
12.12.2011

20

Contul de root/Administrator
Controlul absolut al sistemului
obinerea contului de superuser nseamn spargerea sistemului

Trebuie folosit _numai_ atunci cnd este nevoie

pentru operaii obinuite, folosii contul _neprivilegiat_
o bun parte din atacurile pe Windows se bazeaz pe faptul c
utilizatorii folosesc numai contul de Administrator

sudo
permite unui utilizator obinuit (dar de ncredere) rularea unui
set restrns de comenzi cu privilegii de root
privilege separation
12.12.2011

21

Securitatea reelelor
Dou tipuri de ameninri ntr-o reea
vulnerabiliti
la nivelul aplicaiilor sistemului (exploit)
la nivelul protocolului de comunicare folosit (SYN flood)
la nivelul dispozitivelor de reea (ARP poisoning)

configurri necorespunztoare

n general exist 3 faze ale unui atac

recunoaterea
obinerea accesului
escaladarea accesului (cont root) / folosirea sistemului pentru
generarea unui nou atac mpotriva unui alte reele
12.12.2011

22

Recunoaterea
Recunoaterea activ

host, whois
ping sweep
aplicaii de scanare a porturilor
firewall blocarea operaiilor
configurarea aplicaiilor s ofere detalii minime (versiune)

Recunoaterea pasiv
interceptarea traficului din reea
tcpdump
wireshark
Kismet

folosirea unor canale fizice sigure

criptarea traficului
12.12.2011

23

Obinerea accesului
Prin analiza traficului
eavesdropping
obinerea parolei
criptare

man-in-the-middle attack
un atacator este capabil s pretinda identitatea unei entitati de
incredere fr ca entitatea comunicanta s realizeze c legtura
este compromis
integritate (hashing: MD5, SHA), autentificare

Social engineering
educaie
12.12.2011

24

DoS Attacks

Denial of Service
mpiedicarea accesului utilizatorilor la o resurs
Poate nsemna consumul resurselor unui sistem
deschiderea unui numr mare de procese (fork bomb)

Congestionarea traficului n reele

devine dificil comunicaia ntre staiile din reea

DDoS
12.12.2011

25

Prevenirea atacurilor

Stabilirea unor politici clare de securitate

Configurarea politicilor de filtrare a pachetelor
Configurarea criptrii traficului important
Configurarea programelor antivirus
Detectarea atacurilor / problemelor
monitorizare
IDS (Intrusion Detection System)

12.12.2011

26

Firewall
Firewall software
Firewall hardware sau dedicat
Reguli de acces pentru pachetelor de retea
Pot fi filtrate (dropped, rejected) pe baza criteriilor

12.12.2011

tipuri de protocol
adresa IP sursa
adresa IP destinatie
port sursa
port destinatie
27

Criptografie
Studiul ascunderii mesajelor
Criptarea este procesul de transformare a unui text clar
(plain text) ntr-un text cifrat
Decriptarea este procesul invers
Criptarea/decriptarea necesit
Un algoritm
O cheie
Date/Mesaj

Dou tipuri
Cu cheie simetric i chei asimetrice (privata si public)
12.12.2011

28

Criptarea cu chei simetrice

O cheie secret partajat ntre dou entiti

Rapid
numit i criptografie de mas (bulk cryptography)

Exemple de algoritmi de criptare simetric

12.12.2011

DES
3DES
RC4
AES

29

Criptarea cu chei asimetrice

O pereche de chei key pair

cheie public, cheie privat (secreta)

relaie matematic
numere foarte mari
nefezabil s se determine una din cealalt

Cheia public este ... public

Mai lent
nepotrivit pentru criptarea de mas

Exemple de algoritmi
RSA
Diffie-Hellman
curbe eliptice
12.12.2011

30

Chei publice criptare

12.12.2011

31

Chei publice - semnturi digitale

12.12.2011

32

Cuvinte cheie

Cuvinte cheie

problematica securitii

root

principii de securitate

sudo

umask

recunoastere

autentificare

man in the middle

autorizare

DoS

controlul accesului

firewall

parole

criptare

/etc/passwd

semnatura digitala

/etc/shadow

chei simetrice/asimetrice

12.12.2011

33

33

Resurse utile

Link-uri utile

http://en.wikipedia.org/wiki/Computer_security
http://www.unixtools.com/security.html
http://en.wikipedia.org/wiki/Ring_(computer_security)
http://en.wikipedia.org/wiki/Network_security
http://insecure.org/
http://www.linuxsecurity.com/
http://www.openbsd.org/
http://www.schneierfacts.com/
12.12.2011

34

34

The End

12.12.2011

35