Set-UID e Set-GID

No Linux, os privil´egios de acesso de um processo s˜ao definidos pelo seu UID e GIDs, estes herdados do processo pai. No arranque de sess˜ao a consola de comandos (shell ) ou o gestor de ecr˜a (window Manager ) obtˆem o UID e os GID do utilizador extra´ıdos dos ficheiros /etc/passwd e /etc/group.

Existem, contudo, situa¸c˜oes que criam cen´arios contradit´orios. Por exemplo, se um utiliza- dor desejar alterar a sua senha ter´a que editar o ficheiro /etc/shadow/passwd, e utilizadores ordin´arios (n˜ao administradores) n˜ao devem ter um acesso de escrita gen´erico a esse ficheiro, pois podem alterar as senhas de outros utilizadores. Esta situa¸c˜ao n˜ao pode ser apenas resolvida pelos direitos rwx de acesso de um processo a um ficheiro.

Portanto, ´e necess´ario um mecanismo especial para que certas aplica¸c˜oes possam realizar opera¸c˜oes que tenham implica¸c˜oes de seguran¸ca, como alterar a senha de um utilizador, mas que estejam acess´ıveis a qualquer utilizador em termos da sua execu¸c˜ao. Isto ´e conseguido com as flags Set-UID e Set-GID, que quando ativas, permitem ao programa correr com a identidade (UID e GID) do dono do execut´avel, em vez do UID e GID de quem o executa. O objetivo destas flags ´e permitirem a um utilizador realizar opera¸c˜oes que necessitam de privil´egios especiais (n˜ao necessariamente privil´egios mais altos), como mudar a senha, montar ou desmontar sistemas de ficheiros, enviar pings para a rede, etc.

Cada processo tem um UID e GID real e efetivo. O real ´e o que herdou do processo pai. O efetivo ´e que aquele que efetivamente conta para o controlo de acesso. As flags Set-UID e Set-GID alteram temporariamente o UID e GID efetivo.

Cap´ıtulo 3

Authenticated File Broadcast

Protocol

O sistema DETIboot usa um protocolo pr´oprio, designado por File Broadcast Protocol (FBP). A primeira vers˜ao do FBP n˜ao continha nenhum mecanismo de seguran¸ca, o que n˜ao ´e aconselh´avel para garantir a distribui¸c˜ao correta da imagem Linux pretendida para todos os recetores. Neste cap´ıtulo propomos um protocolo de autentica¸c˜ao para o FBP que garante aos clientes FBP a descarga de um ficheiro do servidor FBP pretendido. Este protocolo foi publicado em [21].

O nosso protocolo de autentica¸c˜ao mant´em o comportamento base do FBP. A auten- tica¸c˜ao ´e realizada com o uso de mensagens extras (autenticadores) intercalados de forma n˜ao previs´ıvel dentro do fluxo de transmiss˜ao das tramas originais FBP. Estes autenticado- res permitem que um conjunto de tramas futuras possam ser autenticadas pelos recetores. Os autenticadores s˜ao enviados antes das tramas alvo de forma a prevenir que os recetores acumulem tramas que podem nunca a vir a ser autenticadas.

Os autenticadores usam tecnologia padr˜ao: s´ınteses Secure Hashing Algorithm (SHA)-1 de tramas, assinadas com uma chave privada RSA. Para o ambiente de explora¸c˜ao visionado usam uma configura¸c˜ao RSA de alto desempenho (m´odulo de 1024 bits e expoente p´ublico fixo e pequeno) sem comprometer a seguran¸ca. A configura¸c˜ao de um sess˜ao FBP ´e condicionada por parˆametros obtidos da chave p´ublica do servidor FBP, o que garante que os recetores n˜ao est˜ao a ser enganados por redes instaladas por atacantes.

Para avaliar o desempenho do protocolo proposto, foram feitas medi¸c˜oes em v´arios cen´arios operacionais, considerando diferentes condi¸c˜oes de rece¸c˜ao, diferentes distribui¸c˜oes de envio de autenticadores e a presen¸ca de um atacante.

3.1

File Broadcast Protocol

Nesta sec¸c˜ao o FBP ´e descrito de forma a clarificar o cen´ario que precisa de ser protegido. O FBP [6, 8, 9] usa c´odigos Fountain [5, 14] para difundir um ficheiro. Os c´odigos Fountain criam uma sequˆencia de codewords que podem ser gerados de um conjunto de s´ımbolos fonte de forma a que esses s´ımbolos possam ser recuperados de qualquer subconjunto de c´odigos de tamanho igual ou ligeiramente maior que o n´umero de s´ımbolos fonte.

O FBP come¸ca por segmentar o ficheiro a ser transmitido num conjunto de segmentos (s´ımbolos fonte), todos eles do mesmo tamanho. Combina¸c˜oes pseudoaleat´orias de somas

em m´odulo 2 (XOR) desses segmentos s˜ao ent˜ao calculadas, produzindo as codewords. O FBP difunde de forma repetitiva e infinita codewords de um servidor para m´ultiplos clientes. O transmissor codifica os segmentos do ficheiros em codewords e os clientes descodificam as codewords, obtendo os segmentos originais do ficheiro.

Os cliente FBP podem entrar em qualquer momento na sess˜ao de difus˜ao, estes n˜ao precisam de estar presentes no in´ıcio da transmiss˜ao FBP. Al´em disso, estes s˜ao tolerantes a perda de pacotes visto que, em teoria, n˜ao interessa o conjunto exato de codewords que um cliente recebe (todas as codewords s˜ao igualmente boas para recuperar os s´ımbolos originais). Ap´os um certo limiar de codewords recebidas, deve ser altamente prov´avel que o cliente consiga completar a descodifica¸c˜ao e recuperar todos os s´ımbolos originais.

FBP ´e um protocolo de rede (camada 3 do modelo OSI), identificado atrav´es do c´odigo Ethernet 0x1986 em tramas 802.11, embora n˜ao limitado a esta. A difus˜ao pode ser realizada tamb´em em redes com fios.

Cada trama 802.11 transmitida pelo FBP cont´em n˜ao s˜ao a pr´opria codeword mas tamb´em os ´ındices de todos os s´ımbolos usados para gerar a codeword . Os ´ındices n˜ao s˜ao transmitidos diretamente, estes s˜ao derivados pelos recetores atrav´es de parˆametros inclu´ıdos na trama: o n´umero total de s´ımbolos (K), o grau da codeword (n´umero de s´ımbolos usados na sua gera¸c˜ao), e uma semente aleat´oria (Figura 3.3). O grau e a semente em conjunto com um gerador pseudoaleat´orio universal, s˜ao usados para gerar o conjunto de ´ındices (sem repeti¸c˜oes) dos s´ımbolos contidos na codeword .

Cada trama possui tamb´em inclu´ı um ´ındice da codeword (um n´umero de sequˆencia) para prop´ositos de avalia¸c˜ao de performance (nomeadamente, para avaliar perdas de codeword nos recetores). Este campo foi usado para definir uma janela de autentica¸c˜ao.