Securitatea sistemelor

informaționale
Adrian Munteanu – CIPM, CISA, CRISC
Tema 3: Managementul securității informațiilor
• Modele de securitate
• Metode de evaluare, certificare și acreditare
• Concepte privind proiectarea
• Arhitecturi hardware
• Sisteme de oeprare și arhitecturi software
• Virtualizare și sisteme distribuite
• Vulnerabilități, amenințări, măsuri de protecție
Modele de securitate
Ce le este permis subiecților și obiectelor să facă (în cadrul unui model sau cadru de
lucru)
• Subiect (de obicei un utilizator)
• Obiect (de obicei o resursă)
• Adminsitrarea relațiilor dintre subiecți și obiecte = controlul accesului
• Înțelegerea conceptelor: citește deasupra, citește dedesubt, scrie deasupra, scrie
dedesubt
Modele de securitate
Controale
• Controlul discreționar al accesului (Discretionary access control - DAC)
• Definit în Trusted Computer System Evaluation Criteria (TCSEC)
• Presupune restricționarea accesului la obiecte pe baza identității subiecților sau grupurilor cărora aparțin
• Un subiect cu o anumită permisiune de acces poate să transmită acea permisiune mai departe (indirect) către orice alt
subiect
• Controlul mandatar al accesului (Mandatory access control - MAC)
• Sistemuld de operare nu îi permite subiectului să acceseze sau să execute anumite acțiuni asupra unui obiect
• Regulle de autorizare sunt la nivel de kernel SO
• Politica de securitate este administrată centralizat (de obicei un adminsitrator
• Controlul bazat pe reguli (Rule-based access control - RBAC)
• Accesul al obiecte este permis sau interzis pe baza unui set de reguli definte de un administrator
• Proprietățrile/Caracteristicile accesulu sunt stocate în Access Control Lists (ACL) asociate fiecărui obiect
• Control bazat pe roluri (Role-based access control - RBAC)
• Controlul accesului Non-discretionar
• Se alocă permisiuni unui anumit rol din organizație
Modele de securitate
• State Machine
• Bell-LaPadula
• Lattice-Based Access
• Biba Model
• Clark-Wilson
• Information Flow
• Brewer and Nash (aka Chinese Wall)
• Take-Grant
• Access Control Matrix
• Zachman Framework for Enterprise Architecture
• Graham-Denning
• Harrison-Ruzzo-Ullman
Modele de securitate
State Machine
• Starea unei mașini este analizată pentru a verifica securitatea unui sistem
• „Starea„ se referă la toate permisiunile și instanțele subiecților care accesează obiecte.
Dacă subiectul poate acces obiecte doar prin mijloace concurente cu politica de
securitate, atunci sistemul este sigur
• Este baza pentru alte modele
Modele de securitate
Bell-LaPadula
• Original dezvoltat pentru U.S. Department of Defense
• Are în vedere asigurarea confidențialității obiectelor
• 2 reguli de acces:
• Simple Security Property – nu citești deasupra
• * Security Property (“Star” Security Property) – nu scrii dedesubt
• Două reguli de etichetare a obiectelor:
• Strong and Weak Tranquility Property - etichetele de securitate nu se schimbă în timp ce
sistemul este în funcțiune
• Weak Tranquility Property – etichetele de securitate nu se vor schimba intr-o manieră care intră în
conflict cu proprietățile definite
Modele de securitate
Lattice-Based Access Controls
• Pentru medii/organizații complexe
• Pentru fiecare relație dintre un subiect și un obiect există definite limitele
superioare și inferioare de acces, implementate în sistem
• Subiecții au acces „Least Upper Bound (LUB)„ și „Greatest Lower Bound (GLB)„la
obiecte, în funcție de poziția lor.
Modele de securitate
Biba
• Dezvoltat după modelul Bell-LaPadula
• Are în vedere integritatea obiectelor
• 2 reguli:
• Simple Integrity Axiom – nu citești dedesubt
• * Integrity Axiom (“Star” Integrity Axiom) – nu scrii deasupra
• (opusul modelului Bell-LaPadula)
Modele de securitate
Clark-Wilson
• Model (din lumea reală ) dedicat integrității
• Subiecții accesează obiecte prin intermediul programelor
• Progări clare cu privire la ce pot face sau nu cu obiectele
• 2 concepte:
• Well-Formed Transactions – abilitatea de a impune controlul asupra aplicațiilor; include „tripleta
controlului accesului„: utilizator, procedură de transformare (TP/well-formed transaction), date care
necesită integritate -constrained data item - CDI/data that requires integrity) - procedură verificare
integritate
• Separation of Duties – utilizatorii autorizați nu modifică datele
Modele de securitate
Information Flow
• datele sunt considerate ca fiind ținute în compartimente individuale
discrete
• Informațiile sunt compartimentate pe baza a doi factori: clasificarea și
nevoia de a cunoaște (need to know)
• Verificarea subiectului trebuie să domine clasificarea obiectului iar
profilul de securitate al subiectului conține una din categoriile listate în
eticheta obiectului
Modele de securitate
Brewer and Nash (Chinese Wall)
• Proiectat pentru a evita conflictul de interese: interzice unei persoane să
acceseze categorii multiple aflate în conflict de inetrese
• Controlul accesului se poate modifica în mod dinamic în funcție de acțiunile
anterioare ale utilizatorului
• Un subiect poate scrie într-un obiect numai dacă subiectul nu poate citi un
alt obiect aflat în alt set de date
• Inițial a fost dezvoltat pentru a evalua riscurile asociate consultanților din
sectorul bancar
Modele de securitate
Noninterference
• Modelul se asigură că nici o acțiune care are loc la un nivel superior nu afectează
sau nu interferează cu acțiuni care au loc la un nivel inferior
• Nu vizează fluxul datelor ci informațiile pe care le știe un subiect despre starea
unui sistem
• Vizează atacurile prin inferență- inference attack – care apar atunci cînd cineva
are acces la anumite informații și poate interfera (ghici) cu informații la care nu
are acces
Modele de securitate
Take-Grant
• Conține reguli care reglementează interacțiunile dintre subiecte și
obiecte, iar subiecții pot acorda pemisiuni altor subiecții
• Apar 2 drepturi în orice instanță a modelului: take și grant
• Regulile inlcud take, grant, create, și remove
• take - permite unui subiect să ia drepturile unui alt obiect
• grant – permite unui subiect să acorde propriile drepturi altui obiect
• create – permite unui subiect să creeze obiecte noi
• remove – ermite unui subiect să elimine drepturile pe care le are asupra unui obiect
Modele de securitate
Access Control Matrix
• Folosită de SO și aplicații
• Tabel care definește permisiunile de acces ale subiecților și obiectelor
Modele de securitate
Zachman Framework for Enterprise Architecture
• what, how, where, who, when, and why
Modele de securitate
Graham-Denning
• Definește un set de drepturi in termeni de comenzi pe care un subiect le poate
executa asupra unui obiect
• 3 elemente: obiecte, subiecți, reguli
• 8 reguli:
• R1: Transfer Access
• R2: Grant Access
• R3: Delete Access
• R4: Read Object
• R5: Create Object
• R6: Destroy Object
• R7: Create Subject
• R8: Destroy Subject
Modele de securitate
Harrison-Ruzzo-Ullman
• HRU este un model de securitate la nivel de sistem de operare și vizează integritatea drepturilor de
acces
• Există definit un set finit de proceduri pentru a edita drepturile la acces ale unui subiect asupra
unui obiect
• Mapează subiecți, obiecte și drepturi de acces într-o matrice a accesului
• Variaantă a modelului Graham-Denning
• 6 operații de bază
• Create object
• Create subject
• Destroy subject
• Destroy object
• Enter right into access matrix
• Delete right from access matrix
Modele de securitate
Moduri de operare
• Există 4 moduri în care controlul accesului operează:
• Dedicat:
• O singură clasificare(etichetă) pentru toate obiectele sistemului
• Subiectul trebuie să aibă o autorizare egală sau mai mare decît eticheta sistemului
• Subjecții trebuie să aibă:
• Autorizare corespunzătoare
• Aprobarea formală a accesului
• „nevoia de a ști„ pentru toate obiectele din sistem
Modele de securitate
• Sistemul superior:
• Sistemul conține obiecte cu etichete diferite
• Subjecții trebuie să aibă un nivel de autorizare egal sau mai mare decît eticheta cea
mai mare
Modele de securitate
• Compartimentat
• Obiectele sunt plasate în „compartimente„
• Subiecții „trebuie să aibă„ nevoia formală de a accesa datele din compartiment
• Toți subiecții trebuie să aibă:
• NDA semnat pentru toate datele din sistem
• Autorizare pentru toate datele din sistem
• Aprobare formală pentru anumite obiecte din sistem
• „trebuie să știe„ pentru anumite obiecte
Modele de securitate
• Multinivel:
• Sistemul conține obiecte cu etichete diferite
• Subiecți cu autorizări diferite pot accesa sistemul
• Un „monitor de referințe„ mediază accesul între subiecți și obiecte
• Toți subiecții trebuie să aibă
• NDA semnat pentru toate informațiile din sistem
• Autorizare pentru anumite informații
• Aprobare formală pentru accesul la anumite informații
• „trebuie să știe„ pentru anumite informații
Metode de evaluare, certificare și acreditare
Trusted Computer System Evaluation Criteria (TCSEC/Orange Book)
• Dezvoltat de National Computer Security Center (NCSC) , parte a National Institute of
Standards and Technology (NIST) și National Security Agency (NSA) (1983)
• Unul dintre primele frameworks de evaluare
• Acum este folosit de U.S. Government Protection Profiles în cadrul International Common
Criteria framework
Metode de evaluare, certificare și acreditare
Trusted Computer System Evaluation Criteria (TCSEC or Orange Book)
• Download http://csrc.nist.gov/publications/history/dod85.pdf
• D este forma minimă de securitate, A este maximul:
• D: Minimal Protection
• C: Discretionary Protection
• C1: Discretionary Security Protection
• C2: Controlled Access Protection
• B: Mandatory Protection
• B1: Labeled Security Protection
• B2: Structured Protection
• B3: Security Domains
• A: Verified Protection
• A1: Verified Design
Metode de evaluare, certificare și acreditare
Trusted Network Interpretation (TNI)/Red Book
• Orange Book pentru rețele
• Download http://ftp.fas.org/irp/nsa/rainbow/tg011.htm
• Rainbow Books: http://ftp.fas.org/irp/nsa/rainbow.htm
Metode de evaluare, certificare și acreditare
Information Technology Security Evaluation Criteria (ITSEC)
• Folosit în Europa
• Față de Orange Book, adaugă:
• F – Functionality
• Q – Effectiveness (part of assurance)
• E – Correctness (also part of assurance)
• Gradul de evaluare variază de la E0 („inadequate„) la E6 („formal model of security policy„)
Metode de evaluare, certificare și acreditare
International Common Criteria (“Common Criteria”)
• Standard internațional folosit pentru descrierea și testarea securității produselor IT
• Principalul obiectiv: eliminarea vulnerabilităților cunoscute
• Termeni:
• Target of Evaluation (ToE): sistemul sau produsul care va fi evaluat
• Security Target (ST): documentația care descrie TOE
• Protection Profile (PP): un set independent de cerințe de securitate și obiective pentru categorie de
produse sau sisteme
• Evaluation Assurance Level (EAL): scorul produsului sau sistemului testat
Metode de evaluare, certificare și acreditare
International Common Criteria (“Common Criteria”)
• Sunt 7 niveluri de evaluare (Levels of Evaluation -EAL):
• AL1: Functionally tested
• EAL2: Structurally tested
• EAL3: Methodically tested and checked
• EAL4: Methodically designed, tested, and reviewed
• EAL5: Semi-formally designed, and tested
• EAL6: Semi-formally verified, designed, and tested
• EAL7: Formally verified, designed, and tested
• Download http://www.commoncriteriaportal.org/files/ccfiles/CCPART3V3.1R3.pdf
Concepte privind proiectarea securității
sistemelor
Niveluri
• Separarea dintre funcționalitățile hardware și software în elemente modulare
• Acțiunile care au loc la un anumit nivel nu afectează în mod direct componentele
altui nivel
• OSI----de la rețele
• Listă generică de niveluri arhitecturale:
• Hardware
• Kernel (system/device drivers)
• SO
• Aplicații
Concepte privind proiectarea securității
sistemelor
Abstractizare – Complexitatea este inamicul securității
• Detalii inutile pentru utilizator

Exemplu?
Concepte privind proiectarea
securității sistemelor
Domenii de securitate
• O listă cu cu obiectele pe care un subiect are dreptul să le acceseze
• Grup de subiecți și obiecte cu aceleași cerințe de securitate
• Kernel - „inima„ sistemului de operare
• Două domenii:
• User mode – conturile și procesele aosociate utilizatorilor
• Kernel mode (supervisor mode) –kernelul însuși; accesul la componentele de memorie și hardware
• Cele două domenii sunt separate: o eroare în modul utilizator nu trebuie să afecteze modul kernel
• Sistemele de operare rulează în modul kernel
Concepte privind proiectarea securității sistemelor
Modelul inel
• Formă de niveluri folosită pentru a separa și proteja domeniile (user mode-kernel mode)
• Majoritatea CPÂU au 4 inele
• Ring 0 – Kernel
• Ring 1 – Operating system components outside of Ring 0
• Ring 2 - Device drivers
• Ring 3 – User applications
• Procesele comunică între inele cu ajutorul „system calls„
• Modelul inel oferă abstractizare
• Linux și Windows folosesc inelele 0 și 3
• Hypervisor - ring 0
Concepte privind proiectarea securității sistemelor
Arhitecturi hardware
Sisteme deschise – sisteme închise
• „Open systems„ folosesc standarde hardware deschise de la furnizori diferiți
• IBM-compatible PCs
• Sisteme închise – hardware proprietar
Arhitectura Hardware
Unitate și placă de bază
• Unitate – carcasa și tot ce conține
• Placa de bază - Central Processing Unit (CPU), sloturi memorie, sloturi
periferice, firmware
Architectura hardware
Computer Bus
• Principalul canal de comunicare dintre CPU, memorie, dispozitive I/O, mouse,
dispaly…
Architectura hardware
Computer Bus
• Northbridge – sau Memory Controller Hub (MCH) – conectează direct CPU la
RAM și memoria video
• Southbridge - sau I/O Controller Hub (ICH) – conectează dispozitivele I/O (hdd,
keyboard, mouse, CD drive, USB)
Architectura hardware
The Central Processing Unit (CPU)
• “creierul” – capabil să controleze și să realizeze calcule matematice
• Tot ce face un calculator este calcul matematic
• „number of clock cycles per second„ 2.4 GHz Pentium 4 CPU =
2.400.000 clock cycles per second.
Architectura hardware
Central Processing Unit (CPU)
• Arithmetic Logic Unit (ALU) - calcule matematice
• Control Unit (CU) – controlează și transmite instrucțiuni către ALU
Architectura hardware
Central Processing Unit (CPU)
• Fetch & Execute - prelucrările au loc în 4 pași (1 clock rate cycle) :
• Fetch Instruction 1
• Decode Instruction 1
• Execute Instruction 1
• Write (save) result 1
Architectura hardware
Central Processing Unit (CPU)
• Pipelining - se combină pașii într-un singur proces(fetch, decode, execute,
write)
• Se numește „pipeline stage„
Architectura hardware
Central Processing Unit (CPU)
• Interrupts (întreruperi) - CPU întrerupe prelucrarea curentă, salvează starea și
prelucrează o nouă cerere. Cînd sarcina este completă, CPU reia prelucrarea
de unde a rămas.
• De obicei întreruperile sunt caracteristici hardware.
Architectura hardware
Central Processing Unit (CPU)
Process – un program executabil și datele asociate încărcate în memorie
Thread - (lightweight process - “LWP”) – proces „copil„ (cînd un proces „dă
naștere„ unui alt proces.
Task - heavyweight process (“HWP)
Stările unui proces:
New: a procesul este creat
Ready: procesul așteaptă să fie executat de CP
Running: procesul este executat de CPU
Blocked: se așteaptă I/O
Terminate: proces finalizat

„Zombi„/„ orphan „ - proces (sau thread) al căui părinte este finalizat

Architectura hardware
Central Processing Unit (CPU)
• Multitasking - mai multe „tasks„ (heavy weight processes) rulează
simultan în CPU
• Multiprocessing – mai multe procese rulează pe mai multe CPU
• Symmetric Multiprocessing (SMP) – un SO gestionează toate CPU
• Asymmetric Multiprocessing (AMP) – un SO per CPU
• Multiprogramming – mai multe programe rulează simultan pe un CPU
• Multithreading – mai multe threads (light weight processes)
rulează simultan pe un CPU
Architectura hardware
Central Processing Unit (CPU)
• Watchdog Timers – recuperarea sistemului de oeprare prin rebootare după ce
un proces critic s-a blocat
• Complex Instruction Set Computer (CISC)
• Reduced Instruction Set Computer (RISC)
Architectura hardware
Protejarea memoriei
•Previne ca procesele să acceseze spațiul de memorie aparținînd altui proces
• Protejarea memoriei este necesară în cazul
sistemelor multi-user
Izolaarea proceselor
• Cntrol logic prin care se privine ca un proces să interfereze cu alt proces
• Object encapsulation – tratează un proces ca pe o cutie neagră
• Time multiplexing – multiplexează resursele sistemului între procese multiple,
fiecare cu un anumit slot de timp alocat
Architectura hardware
Protejarea memoriei
•Hardware Segmentation
• hardware complet separat
Virtual Memory
• Adrese virtuale – mapează aplicațiile și memoria hardware
Architectura hardware
Protejarea memorie
•Swapping and Paging
• Se folosește memorie virtuală pentru a copia conținutul în memoria RAM
de pe hdd (nu este adresabilă în mod direct de către CPU
• Cînd kernelul accesează memoria din spațiul swap rezultă „page fault„
Architectura hardware
BIOS
• Basic Input Output System
• Conține cod (firmware) executat în moemntul în care PC-ul este pornit
• Prima dată se încarcă/execută Power On Self-Test (POST)
• POST identifică sectorul de boot care conține codul mașină pentru
kernelul SO
• Kernelul se încarcă și se execută în SO
Architectura hardware
WORM
• Write Once Read Many
• De obicei se folosește pentru arhivare
• CD-Rs, DVD-Rs, etc.
• Nu D-RWs/DVD-RWs
Sisteme de operare și arhitectura software
Trusted Platform Module (TPM)
• Dezvoltată de Trusted Computing Group
• Procesorul poate oferi capabilități de securitate siplimentare la nivel
hardware
• De obicei pe placa de bază
• Hardware-based encryption (mai rapid)
• Boot integrity – protecție împotriva rootkits și „kernel bypass attacks„
isteme de operare și arhitectura sof
Kernel
• „Inima„(core) SO, de obicei rulează în inelul 0
• Interfața dintre SO și hardware
• Monolithic kernel – compilat într-un singur executabil static; rulează în modul
supervizor; dacă se adaugă ceva necesită recompilare
• Microkernel – un kernel modular; se pot adăuga funcționalități prin
intermediul modulelor
Sisteme de operare și arhitectura software
Kernel
• Reference monitor – funcțiile de bază ale kernelului; mediază accesul dintre subiecț
obiecte
• Activat întotdeauna, nu poate fi ocolit
Sisteme de operare și arhitectura software
Users and File Permissions
• Tipologia permisiunilor depinde de SO folosit
• Linux and UNIX permissions
• Read (“r”)
• Write (“w”)
• Execute (“x”)
• Permisiunile pot fi atributie separat la nivel de „owner„, „group„, sau „world„
Sisteme de operare și arhitectura software
Users and File Permissions
Linux and UNIX permissions - “ls –la /etc”
Sisteme de operare și arhitectura software
Users and File Permissions
• Microsoft NTFS Permissions
• Read
• Write
• Read and execute
• Modify
• Full control (read, write, execute, modify, change the permissions.)