A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

©2002-2004 Matt Bishop (C) 2005 Gustavo Motta1 2 Políticas, Modelos e Mecanismos de Segurança O papel do controle de acesso Matriz de controle de acesso.

Apresentações semelhantes


Apresentação em tema: "©2002-2004 Matt Bishop (C) 2005 Gustavo Motta1 2 Políticas, Modelos e Mecanismos de Segurança O papel do controle de acesso Matriz de controle de acesso."— Transcrição da apresentação:

1 © Matt Bishop (C) 2005 Gustavo Motta1 2 Políticas, Modelos e Mecanismos de Segurança O papel do controle de acesso Matriz de controle de acesso Resultados fundamentais Políticas de segurança Políticas de segurança Modelos de segurança Mecanismos e implementação

2 © Matt Bishop (C) 2005 Gustavo Motta2 Introdução A natureza das políticas –O que elas cobrem –Linguagens para políticas A natureza dos mecanismos –Tipos –Seguro vs. preciso Subjacente a ambos –Confiança Políticas de segurança (1)

3 © Matt Bishop (C) 2005 Gustavo Motta3 Políticas de segurança (2) Uma política particiona os estados de um sistema em autorizadosEstados autorizados (seguros), que o sistema pode entrar desautorizadosEstados desautorizados (inseguros), que o sistema não pode entrar Sistema seguro É aquele que inicia num estado autorizado e não consegue entrar num estado desautorizado violação de segurança –Uma violação de segurança ocorre quando o sistema entra num estado desautorizado t1t1 t2t2 t4t4 t5t5 t3t3 s1s1 s2s2 s3s3 s4s4

4 © Matt Bishop (C) 2005 Gustavo Motta4 Políticas de segurança (3) Confidencialidade propriedade de confidencialidadeSejam X um conjunto de entidades e I alguma informação. I possui a propriedade de confidencialidade com relação a X se nenhum x X pode obter informação sobre I Exemplo –X é o conjunto de funcionários de empresas de seguro de vida –I são informações sobre a saúde dos clientes (potenciais) –I é confidencial com respeito a X se os funcionários de empresas de seguro de vida não consigam obter dados sobre a saúde dos clientes

5 © Matt Bishop (C) 2005 Gustavo Motta5 Políticas de segurança (4) Integridade propriedade de integridadeSejam X um conjunto de entidades e I alguma informação ou recurso. I possui a propriedade de integridade com relação a X se todo x X confia em I Tipos de integridade –Integridade de dados – confiança em I e de que I não foi modificada no transporte ou no armazenamento –Integridade de origem ou autenticação – I é uma informação sobre a origem de alguma coisa ou sobre uma identidade –Integridade de garantia – I é um recurso que funciona de acordo com o especificado

6 © Matt Bishop (C) 2005 Gustavo Motta6 Políticas de segurança (5) Disponibilidade propriedade de disponibilidadeSejam X um conjunto de entidades e I um recurso. I possui a propriedade de disponibilidade com relação a X se todo x X pode acessar I Tipos de disponibilidade –Tradicional: x tem acesso ou não –Qualidade de serviço: um nível prometido de qualidade de acesso é oferecido

7 © Matt Bishop (C) 2005 Gustavo Motta7 Políticas de segurança (6) Uma política de segurança considera todos os aspectos relevantes ConfidencialidadeConfidencialidade –Identifica os estados nos quais a informação vaza para aqueles não autorizados a recebê-la Vazamento de direitos e transmissão ilícita de informação – information flow IntegridadeIntegridade –Identifica os meios autorizados para modificação da informação e as entidades autorizadas para tal Princípio da separação da responsabilidade DisponibilidadeDisponibilidade –Descreve quais serviços devem ser ofertados, podendo apresentar parâmetros de qualidade de serviço

8 © Matt Bishop (C) 2005 Gustavo Motta8 Políticas de segurança (7) Exemplo (1) A política de uma universidade proíbe a cópia de trabalhos, com ou sem permissão do autor Os trabalhos devem ser feitos nos computadores do curso Ana esqueceu de proteger seus arquivos contra a leitura por terceiros João conseguiu copiá-los para si Quem trapaceou a política?Quem trapaceou a política? –Ana, João ou ambos?

9 © Matt Bishop (C) 2005 Gustavo Motta9 Políticas de segurança (8) Exemplo (2) trapaceouJoão trapaceou –A política proíbe a cópia de trabalhos, o que João fez –O sistema entrou num estado não autorizado – João possui uma cópia do trabalho de Ana –Mas a política não especifica explicitamente que arquivos contendo trabalhos não podem ser copiados Irrelevante, pois a política deve seguir a norma da universidade que proíbe um aluno realizar o trabalho como se fosse outro não trapaceouAna não trapaceou –Ana não protegeu seu trabalho contra leitura, mas a política não requeria isto –Ela não violou a política –Caso a política assim determinasse, aí sim, ela a teria violado

10 © Matt Bishop (C) 2005 Gustavo Motta10 Políticas de segurança (9) Não confundir mecanismo com política Não confundir mecanismo com política O fato de João poder copiar os arquivos (mecanismo) não significa que esta ação é permitida (política) Mecanismo Um mecanismo de segurança é uma entidade ou procedimento que impõe alguma parte de uma política de segurança –Controles de acesso –Procedimentos que impedem o uso de CDs, disquetes e cartões de memória em computadores de uma empresa como forma de impedir a instalação de programas piratas Mecanismos de segurança podem ser controles operacionais Políticas quase sempre são implícitasPolíticas quase sempre são implícitas –Problemas quando definidas em termos de mecanismos

11 © Matt Bishop (C) 2005 Gustavo Motta11 Políticas de segurança (10) Modelos de políticas modelo de segurançaUm modelo de segurança é um modelo que representa uma política específica ou um conjunto de políticas –Diferencia uma política de sua descrição abstrata –Abstrai detalhes relevantes para análise de características específicas comuns a classes de políticas modelo Bell-LaPadula Níveis de segurança em modelos de segurança multinível - modelo Bell-LaPadula modelo Clark-Wilson Separação de responsabilidade no modelo Clark-Wilson modelo Chinese Wall Conflitos de interesses no modelo Chinese Wall

12 © Matt Bishop (C) 2005 Gustavo Motta12 Políticas de segurança (11) Tipos de políticas de segurança Política de segurança militar (governamental) primariamenteconfidencialidade –Visa proteger, primariamente, a confidencialidade Fator chave para privacidade Política de segurança comercial primariamenteintegridade –Visa proteger, primariamente, a integridade Política de segurança orientada a integridade de transação Política de confidencialidade apenasconfidencialidade –Visa proteger apenas a confidencialidade Política de integridade apenasintegridade –Visa proteger apenas a integridade

13 © Matt Bishop (C) 2005 Gustavo Motta13 Políticas de segurança (12) O papel da confiança (1) Teorias e mecanismos de segurança baseiam-se em certas suposições –Quando se entende as suposições em que se baseiam as políticas, os mecanismos e os procedimentos de segurança, então tem-se um entendimento muito bom do quão efetivos são essas políticas, mecanismos e procedimentos Exemplo: instalação de um patch por um administrador –Confia que o patch veio realmente do fabricante, não tendo sido adulterado –Confia que o patch foi testado em profundidade –Confia que o ambiente de teste no fabricante corresponde ao ambiente local –Confia que o patch foi instalado corretamente

14 © Matt Bishop (C) 2005 Gustavo Motta14 Políticas de segurança (13) O papel da confiança (2) Confiança em verificação formal (1) prova matemática formal –Fornece uma prova matemática formal de que para uma dada entrada i, um programa P produz uma saída o, como especificado –Suponha um programa relativo a segurança S formalmente verificado para trabalhar com sistema operacional O –Quais são as suposições?

15 © Matt Bishop (C) 2005 Gustavo Motta15 Políticas de segurança (14) O papel da confiança (3) Confiança em verificação formal (2) –Suposições A prova não possui erros »Bugs nos programas assistentes de provas de teoremas As precondições valem no ambiente no qual S é usado S foi transformando num programa objeto S, que segue as ações prescritas em S »Compiladores e ferramentas auxiliares livres de bugs O hardware executa S como esperado »Hardware bugs (Pentium f00f bug, por exemplo) Quaisquer políticas, mecanismos ou procedimentos de segurança baseiam-se em suposições, que, se incorretas, destroem a superestrutura na quais estão construídas Suposições não garantidas levam a conclusões erradas

16 © Matt Bishop (C) 2005 Gustavo Motta16 Políticas de segurança (15) Tipos de controle de acesso Controle de acesso discricionárioControle de acesso discricionário (CAD) –Se um usuário individual pode configurar um mecanismo de controle de acesso para permitir ou proibir o acesso a um objeto, então tal mecanismo é um controle de acesso discricionário, também conhecido por controle de acesso baseado na identidade (CABI) Controle de acesso compulsórioControle de acesso compulsório (CAC) –Quando um mecanismo do sistema controla o acesso a um objeto e um usuário individual não pode alterar este acesso, então tal mecanismo é um controle de acesso compulsório, ocasionalmente chamado controle de acesso baseado em regras Controle de acesso controlado pelo originadorControle de acesso controlado pelo originador (CACO) –Um controle de acesso controlado pelo originador baseia o acesso no criador de um objeto (ou nas informações que ele contém) O objetivo é permitir ao originador o controle da disseminação da informação »Owner como fiel depositário, sujeito às determinações do originador

17 © Matt Bishop (C) 2005 Gustavo Motta17 Políticas de segurança (16) Linguagens para políticas (1) Usadas para representar uma política de segurança Alto nívelAlto nível –Restrições da política expressas abstratamente Baixo nívelBaixo nível –Restrições da política expressas em termos de opções de programas, entradas ou características específicas da entidades de um sistema

18 © Matt Bishop (C) 2005 Gustavo Motta18 Políticas de segurança (17) Linguagens para políticas (2) Linguagens de alto nível para políticas independentemente –Restrições expressas independentemente do mecanismo de imposição –Restrições atuam sobre entidades e ações num sistema sem ambigüidades –Restrições expressas sem ambigüidades Requer uma linguagem precisa, usualmente, uma linguagem matemática, lógica ou similar a uma linguagem de programação

19 © Matt Bishop (C) 2005 Gustavo Motta19 Políticas de segurança (18) Linguagens para políticas (3) Exemplo: linguagem de alto nível para segurança de um web browser (1) –Objetivo Restringir as ações de programas Java baixados e executados sob controle do web browser –Linguagem específica para programa Java –Expressa restrições como condições limitando a invocação de entidades

20 © Matt Bishop (C) 2005 Gustavo Motta20 Políticas de segurança (19) Linguagens para políticas (4) Exemplo: linguagem de alto nível para segurança de um web browser (2) –Entidades: classes ou métodos –Operações Instanciação: s cria uma instância da classe c: s –| c Invocação: s 1 excuta objeto s 2 : s 1 | s 2 –Restrições de acesso deny(s op x) when b Enquanto b é verdadeiro, o sujeito s não pode executar op em (sujeito ou classe) x; o s vazio denota todos os sujeitos

21 © Matt Bishop (C) 2005 Gustavo Motta21 Políticas de segurança (20) Linguagens para políticas (5) Exemplo: linguagem de alto nível para segurança de um web browser (3) –Exemplo de restrição: o programa baixado não pode acessar o arquivo de senhas num sistema Unix –Classe e métodos de manipulação de arquivos do programa class File { public file(String name); public String getfilename(); public char read(); –Restrição deny( |-> file.read) when (file.getfilename() == /etc/passwd)

22 © Matt Bishop (C) 2005 Gustavo Motta22 Políticas de segurança (21) Linguagens para políticas (6) Exemplo: linguagem de alto nível para segurança de um web browser (4) –Exemplo de restrição: máximo de 100 conexões de rede abertas –Classe Socket define interface de rede O método Network.numconns fornece o numero de conexões de rede ativas –Restrição deny( -| Socket) when ( Network.numconns () >= 100)

23 © Matt Bishop (C) 2005 Gustavo Motta23 Políticas de segurança (22) Linguagens para políticas (7) Linguagens de baixo nível para políticas –Conjuntos de entradas ou argumentos para comandos Definir ou verificar restrições num sistema –Baixo nível de abstrações Necessita de detalhes do sistema, comandos Exemplo: acesso a displays X11 controlado por listas – xhost +groucho -chico –Conexões do host groucho permitidas –Conexões do host chico proibidas

24 © Matt Bishop (C) 2005 Gustavo Motta24 Políticas de segurança (23) Linguagens para políticas (8) Exemplo: tripwire – assume uma política de constância num sistema de arquivos (1) –Registra um estado inicial, depois acusa os arquivos que tiveram atributos modificados /usr/mab/tripwire +gimnpsu a Verifica todos os atributos, menos data do último acesso (-a) –Um banco de dados mantém os valores anteriores dos atributos – /usr/mab/tripwire/README 0..../ gtPvf.gtPvY.gtPvY 0.ZD4cc0Wr8i21ZKaI..LUOr3.0fwo5:hf4e4.8TAqd0V4ubv ? b3 1M4GX01xbGIX0oVuGo1h15z3 ?:Y9jfa04rdzM1q:eqt1APgHk ?.Eb9yo.2zkEh1XKovX1:d0wF0kfAvC ?1M4GX01xbGIX2947jdyrior38h15z3 0 Nome do arquivo, versão, máscara de bits, modo, número do inode, número de links, uid, gid, tamanho, datas de criação, última modificação, último acesso, checksums...

25 © Matt Bishop (C) 2005 Gustavo Motta25 Políticas de segurança (24) Linguagens para políticas (9) Exemplo: tripwire – assume uma política de constância num sistema de arquivos (2) –Observações Não se espera que administradores editem o banco de dados para definir atributos apropriadamente Verificar a ocorrência de mudanças num sistema de arquivos com o tripwire é fácil »Execute uma vez para criar o banco de dados e execute novamente para verificar Verificar a conformidade com uma política é mais difícil Verificar a conformidade com uma política é mais difícil »Necessita ou editar o arquivo do banco de dados, ou definir o sistema em conformidade com a política – então, executa-se o tripwire para construir o banco de dados

26 © Matt Bishop (C) 2005 Gustavo Motta26 Políticas de segurança (25) Exemplo: política de segurança numa universidade (1) Política de alto nível – expressa em linguagem natural –O nível de detalhamento depende do ambiente e da cultura das organizações Universidade têm políticas mais genéricas Bancos têm políticas mais detalhadas e explícitas Instituição –Múltiplos campi, administradas centralmente –Cada campus tem uma administração local, possuindo aspectos e necessidades únicas Política de uso autorizado Política de

27 © Matt Bishop (C) 2005 Gustavo Motta27 Políticas de segurança (25) Exemplo: política de segurança numa universidade (2) Política de uso autorizado - genérica –Aplicável para apenas um campus (Davis) –Objetivos para computação no campus Intenções subjacentes às regras Enumera exemplos específicos de ações que são consideradas abusos »Lista não exaustiva –Mecanismos de imposição – procedimentos Advertências Proibição do acesso aos computadores Sanções disciplinares, incluindo a expulsão –Escrita informalmente, com o objetivo de alcançar a comunidade de usuários

28 © Matt Bishop (C) 2005 Gustavo Motta28 Políticas de segurança (26) Exemplo: política de numa universidade (1) Abrange todos os campus da UC Três partes –Sumário –Política completa –Interpretação no campus

29 © Matt Bishop (C) 2005 Gustavo Motta29 Políticas de segurança (27) Exemplo: política de numa universidade (2) Sumário –Adverte que o não é privado Pode ser lido durante a administração normal do sistema Pode ser forjado, alterado e re-enviado –Incomum, pois políticas em geral não alertam usuários sobre ameaças Em geral, orientam na prevenção de problemas, mas não definem as ameaças –O que os usuários deveriam e o que eles não deveriam fazer Pense antes de enviar um Seja cortês e respeitoso com os outros Não interfira com o uso do pelos outros –Permitido o uso pessoal, desde que a sobrecarga seja mínima –A quem a política se aplica O problema é que a UC é quasi-governamental, tendo de obdecer a regras que uma empresa privada não está A missão educacional da universidade afeta a aplicação

30 © Matt Bishop (C) 2005 Gustavo Motta30 Políticas de segurança (28) Exemplo: política de numa universidade (3) Política completa (1) –Contexto Não se aplica aos laboratórios do Depto. de Energia da universidade Não se aplica a cópias impressas de »Outras políticas da universidade se aplicam –Serviços de e infra-estrutura são propriedades da universidade Todos que usam são obrigados a obedecer a lei e a política da universidade São garantidos os princípios de liberdade acadêmica e de expressão Acesso sem a permissão do usuário só é permitida com a anuência do vice-diretor ou do vice-reitor Caso inviável, deve-se pedir a autorização retroativamente

31 © Matt Bishop (C) 2005 Gustavo Motta31 Políticas de segurança (29) Exemplo: política de numa universidade (4) Política completa (2) –Uso do Anonimato permitido »Exceção: violação da lei ou de outras políticas Não se pode interferir no uso do pelos outros »Proibidos spam, letter bombs, vermes por , etc. Uso pessoal permitido com limitações »Não pode interferir nos interesses da universidade »Por ser um registro da universidade, pode ser divulgado a critério desta

32 © Matt Bishop (C) 2005 Gustavo Motta32 Políticas de segurança (30) Exemplo: política de numa universidade (5) Política completa (3) –Segurança do A universidade pode ler um »Permitido em virtude de interesses legítimos da universidade »Permitido para oferecer um serviço de robusto e confiável Arquivamento e retenção permitidos »Cópias são mantidas num servidor (cópia de segurança, por exemplo) –Implementação Adiciona requisitos e procedimentos específicos a um campus »Exemplo: uso incidental pessoal não permitido se beneficia uma organização não universitária Procedimentos para monitoração, inspeção e revelação do conteúdo de s Backups

33 © Matt Bishop (C) 2005 Gustavo Motta33 Políticas de segurança (31) Segurança e precisão (1) ePode-se conceber um procedimento para desenvolver um mecanismo que seja seguro e preciso? –Considera-se apenas políticas de confidencialidade –Obtém-se os mesmos resultados com políticas de integridade Considera-se um programa P tendo múltiplas entradas e uma única saída –Seja p uma função p: I 1... I n R, então P é um programa com n entradas i k I k, 1 k n e com uma saída r R Postulado da observaçãoPostulado da observação –A saída de uma função p(i 1,..., i n ) incorpora toda informação disponível sobre i 1,..., i n Os canais ocultos fazem parte da saída –Exemplo: função de autenticação Entradas: nome, senha ; saída: sucesso ou insucesso Caso o nome seja inválido, imprime imediatamente insucesso ; senão acessa banco de senhas Problema: o tempo de resposta da saída insucesso pode determinar se um nome é válido Isso significa que o tempo de resposta é parte da saída da função

34 © Matt Bishop (C) 2005 Gustavo Motta34 Políticas de segurança (32) Segurança e precisão (2) Mecanismo de proteção –Seja p a função p: I 1... I n R. Um mecanismo de proteção m é uma função m: I 1... I n R E para a qual, quando i k I k, 1 k n, uma das seguintes opções valem m(i 1,..., i n ) = p(i 1,..., i n ) ou m(i 1,..., i n ) E. –E é o conjunto de saídas de erro No exemplo anterior, E = { Banco de dados senhas não especificado, Banco de dados de senhas bloqueado } –Toda entrada legal para m produz ou o mesmo valor para a mesma entrada em p, ou uma mensagem de erro –O conjunto de valores de saída de p que é excluído das saídas de m é o conjunto de saídas que podem difundir informações confidenciais

35 © Matt Bishop (C) 2005 Gustavo Motta35 Políticas de segurança (33) Segurança e precisão (3) Política de segurança (1) –Uma política de confidencialidade para o programa p estabelece quais entradas podem ser reveladas Formalmente, para p: I 1... I n R, a política de confidencialidade é a função c: I 1... I n A, onde A I 1... I n A é o conjunto de entradas disponível para observação –Seja a função m: I 1... I n R E um mecanismo de segurança para p, então m é seguro se e somente se m´: A R E tal que, para todo i k I k, 1 k n, m(i 1,..., i n ) = m´(c(i 1,..., i n )) –m retorna valores consistentes com a política de confidencialidade c

36 © Matt Bishop (C) 2005 Gustavo Motta36 Políticas de segurança (34) Segurança e precisão (4) Política de segurança (2) –Exemplos c(i 1,..., i n ) = C, uma constante »Proíbe a observação de qualquer informação – a saída não varia com as entradas c(i 1,..., i n ) = (i 1,..., i n ), e m´ = m »Permite a observação completa da informação c(i 1,..., i n ) = i 1 »Permite a observação de informação relativa a primeira entrada, mas nenhuma informação sobre as outras entradas

37 © Matt Bishop (C) 2005 Gustavo Motta37 Políticas de segurança (35) Segurança e precisão (5) Precisão –Uma política de segurança pode restringir além do necessário Precisão mede o quanto a restrição é além do necessário –m 1, m 2 são mecanismos de proteção distintos para o programa p sob a política c m 1 é tão preciso quanto m 2 (m 1 m 2 ) se, para todas as entradas i 1, …, i n, m 2 (i 1, …, i n ) = p(i 1, …, i n ) m 1 (i 1, …, i n ) = p(i 1, …, i n ) m 1 é mais preciso que m 2 (m 1 ~ m 2 ) se existe uma entrada (i 1 ´, …, i n ´) tal que m 1 (i 1 ´, …, i n ´) = p(i 1 ´, …, i n ´) e m 2 (i 1 ´, …, i n ´) p(i 1 ´, …, i n ´)

38 © Matt Bishop (C) 2005 Gustavo Motta38 Políticas de segurança (36) Segurança e precisão (6) Combinando mecanismos –m 1, m 2 são mecanismos de proteção –m 3 = m 1 m 2 Para entradas nas quais m 1 ou m 2 retornam o mesmo valor em p, m 3 também retorna; nos outros casos, m 3 retorna o mesmo valor que m 1 –Teorema: se m 1, m 2 são seguros, então m 3 também é seguro Em adição, m 3 m 1 e m 3 m 2 Seguem das definições de seguro, preciso e de m 3

39 © Matt Bishop (C) 2005 Gustavo Motta39 Políticas de segurança (37) Segurança e precisão (7) Teorema da existência –Para qualquer programa p e política de segurança c, existe um mecanismo preciso e seguro m* tal que, para todo mecanismo seguro m associado a p e c, m* m Mecanismo maximamente seguro Assegura segurança Minimiza o número de proibições para ações legítimas Ausência de um procedimento efetivo –Não existe um procedimento efetivo para determinar um mecanismo maximamente preciso e seguro para qualquer política e programa


Carregar ppt "©2002-2004 Matt Bishop (C) 2005 Gustavo Motta1 2 Políticas, Modelos e Mecanismos de Segurança O papel do controle de acesso Matriz de controle de acesso."

Apresentações semelhantes


Anúncios Google