Documente Academic
Documente Profesional
Documente Cultură
informaționale
Adrian Munteanu – CIPM, CISA, CRISC
Virtualizare și sisteme distribuite
Virtualizare
• Se adaugă un nivel software între sistemul de operare și hardware
• Multiple sisteme “guest” pot rula pe un sistem fizic “host”
• Transparent Virtualization – rulează SO fără modificări
• Paravirtualization – SO este modificat (kernel)
Virtualizare și sisteme distribuite
Hypervisor
• Software ce controlează accesul între SO “guest” și hardware-ul “host”
• Type 1 – parte a SO, rulează pe hardware-ul host: VMware ESX
• Type 2 – rulează ca aplicație în cadrul SO:VMware Workstation
Virtualizare și sisteme distribuite
Beneficii
• Cost redus cu hardware
• Cost redus cu energia
Securitate
• Complexitate
• Relativ ușor de adăugat sisteme noi
• O problemă la nivel de host/hypervisor poate afecta orice guest (VMEscape)
Nu se pun sisteme cu cerințe de securitate diferite pe același hardware
Virtualizare și sisteme distribuite
Cloud Computing
• Economie
• Infrastructure as a Service (IaaS) – clientul configurează SO și toate celelalte (de obicei servere Linux)
• Platform as a Service (PaaS) – SO pre-configurat, clientul instalează și configurează restul (Web service hosting)
• Software as a Service (SaaS) – totul este configurat, clientul este doar utilizator (Web mail)
• Private cloud – cloud dedicat unui singur client
• Public cloud – cloud partajat între mai mulți clienți/organizații
Securitate
• Este nevoie de SLA
• Vizibilitatea este limitată
• Infrastructura partajată = ținte partajate
• Dreptul de audit, dreptul de acces (vulnerabilități) dreptul de a testa (pentest)
• Granițe fizice (geografic)
Virtualizare și sisteme distribuite
Grid Computing
• Se folosește puterea combinată a mii de sisteme
• Resurse disparate sunt puse la un loc
• SETI@home ("SETI at home") - 5.2 millioane de participanți mai mult de
2,000,000 ani de timp agregat de calcul
Virtualizare și sisteme distribuite
Peer to Peer (P2P)
• Orice sistem poate acționa ca server, client sau ambele
• Descentralizat, neutru
• Napster, Gnutella, BitTorrent
• Riscuri: IP, integritatea datelor, pierderea datelor
Virtualizare și sisteme distribuite
Thin Clients
• Se bazează pe servere centralizate – serverele rulează aplicațiile, stochează datele
• Mai ieftine decît PC
Diskless Workstations
• CPU, memorie și firmware (no disk drive)
• Kernelul și sistemul de oeprare se încarcă via rețea
• BIOS POST TCP/IP BOOTP sau DHCP
Thin Client Applications
• Acces via browser la aplicații centralizate
• Rulează pe PC
• Citrix ICA, OpenThinClient, etc.
Virtualizare și sisteme distribuite
Internet of Things (IoT)
• Coșmarul securității: Lipsă patch, suport redus, „facilitățile„ bat securitatea
Vulnerabilități, amenințări și contramăsuri
Emanații
• Energia emisă de un sistem electronic
• TEMPEST - Specificație National Security Agency și certificare NATO – se
referă la spionarea unui sistem prin intermediul emisiilor (semnale radio, electrice,
sunete, vibrații
• Standarde de ecranare (multe sunt secrete): 3 nivele publice
Vulnerabilități, amenințări și contramăsuri
Canale acoperite (Cover Channels)
• Comunicații care încalcă politica de securitate
• Storage channels – se folosesc suporții de memorare (sau caracteristici ale
acestora): temporary files și cache
• Timing channels – de obicei un atac care se folosește de întîrzierile din cadrul
prelucrărilor
Vulnerabilități, amenințări și contramăsuri
Backdoors
• „scurtături„ care evită verificările
• Bypass login – uneori ca parte a unui atac mai sofisticat
Maintenance Hooks
• Scurtături instalate de către programatori
• Nu trebuie uitate în mediile din producție
Vulnerabilități, amenințări și contramăsuri
Malware (Malicious Software/ Malicious Code)
• Zero-day exploit – code malițios pentru care furnizorul nu are încă patch (fix)
Computer Virus
• Nu se „împrăștie„ automat
• Tipuri:
• Macro virus
• Boot sector virus
• Stealth virus
• Polymorphic Virus
• Multipartite Virus
Vulnerabilități, amenințări și contramăsuri
Worms
• Se propagă singuri
• Prejudicii:
• Codul
• Resurse pierdute (de obicei network-related)
• Morris Worm, ILOVEYOU, Nimda, Code Red, Melissa
Vulnerabilități, amenințări și contramăsuri
Trojans
• O funcție benignă (un joc, de exemplu)
• A doua funcție este malignă (poate fi orice)
• Zeus, CryptoLocker, Netbus, Back Orifice, Shedun (Android)
Vulnerabilități, amenințări și contramăsuri
Rootkits
• Înlocuiesc porțiuni ale kernelului și/sau SO
• User-mode (ring 3) și kernel-mode (ring 0)
Vulnerabilități, amenințări și contramăsuri
Packers
Oferă compresie la executarea ….executabilelor (binaries).
Se folosesc pentru a evita detectarea pe bază de semnătură
Logic Bombs
• Se declanșează cînd o condiție logică este îndeplinită (tranzacție, contor, timp etc)
• Viermii conțin de obicei bombe logice
Vulnerabilități, amenințări și contramăsuri
Antivirus Software
Pe bază de semnătură (static signatures) sau heuristică (anomalii și
comportament)
Vulnerabilități, amenințări și contramăsuri
Server-side Attacks (service-side attacks)
• Atacarea serrviciului
Client-side Attacks
• Downloads
Vulnerabilități, amenințări și contramăsuri
Arhitecturi web și atacuri
Vulnerabilități, amenințări și contramăsuri
Applets
• Bucăți de code mobile integrate în alte aplicații (web browser)
• Se descarcă de pe servere și rulează local
• Java:
• Object-oriented
• Bytecode – independentă de platformă, necesită Java Virtual Machine (JVM)
• Applets rulează în sandbox
• ActiveX:
• Functionalitate similară cu Java applets
• Doar pe sisteme Microsoft
• Folosim certificate digitale
Vulnerabilități, amenințări și contramăsuri
XML – Extensible Markup Language
• Definește un set de reguli pentru codarea documentelor în format uman sau
mașină
• Documentele XML ar trebui să înceapă cu declararea unor informații despre ele
însele
SOA– Service Oriented Architecture
• Model arhitectural în care componentele oferă servicii altor componente prin
intermediul unui protocol de comunicații, de obicei prin rețea
• Serviciile pot fi reutilizate
• SOAP, REST, DCOM, CORBA
Securitatea BD
Poli-instanțiere
• Două obiecte (instanțe) diferite cu același nume
• În funcție de nivelul de securitate stabilit, o înregistrare poate conține
informații sensibile iar alta nu. Utilizatorul „vede„ informațile în funcție de
nivelul de confidențialitate stabilit prin politică
Securitatea BD
Inferențe
• Implică deduceri
• Controale posibile: poli-instanțiere sau difuziune
Agregare
• Procedeu matematic (de exemplu să întorci rezultatul fiecărei interogări)
Criptografie – concepte
Termeni
• Criptologie – stiința care se ocupă cu securizarea comunicațiilor
• Criptografie – crearea de mesaje al căror înțeles este ascuns
• Criptanaliză- stiința care se ocupă cu identificarea/spargerea codurilor
• Criptologie – criptografie+criptanaliză
• Cifru- algoritmul criptografic
• Plaintext –mesajul necriptat
• Ciphertext – mesajul criptat
• Encryption - transformarea „plaintext„ în „ciphertext„
• Decryption - transformarea „ciphertext„ în „plaintext„
Criptografie – concepte
Confidențialitate, Integritate, Autentificare și non-repudiere
• Criptografia poate oferi confidențialitate și integritate datelor
• Criptografia nu poate îmbunătăți disponibilitatea
• Criptografia poate oferi autentificare
• Criptografia poate oferi nonrepudiere (asigurarea că un anumit utilizator a
realizat o anumită tranzacție iar aceasta nu s-a modificat)