Capítulo 9 Segurança

(1)

Segurança

Capítulo 9

9.1 O ambiente de segurança

9.2 Criptografia básica

9.3 Autenticação de usuário

9.4 Ataques de dentro do sistema

9.5 Ataques de fora do sistema

9.6 Mecanismos de proteção

9.7 Sistemas confiáveis

(2)

O Ambiente de Segurança

Ameaças

(3)

Invasores

Categorias comuns

1. Curiosidades casuais de usuários leigos

2. Espionagem por pessoas internas

3. Tentativas determinadas para ganhar

dinheiro

(4)

Perda Acidental de Dados

Causas comuns

1. Atos de Deus

-

_{incêndios, enchentes, guerras}

1. Erros de hardware ou software

-

_{defeitos na CPU, discos ruins, erros de}

programas

1. Erros humanos

-

_{entrada incorreta de dados, montagem}

(5)

Criptografia Básica

(6)

• _{Substituição monoalfabética}

–

_{cada letra é substituída por letra diferente}

• _{Dada a chave criptográfica,}

–

_{fácil achar a chave de decriptação}

• _{Criptografia de chave secreta ou criptografia}

de chave simétrica

(7)

Criptografia por Chave Pública

• _{Todos os usuários possuem um par de}

chaves pública/privada

–

_{publica a chave pública}

–

_{chave privada não publicada}

• _{Chave pública é a chave criptográfica}

(8)

Funções de Uma Via

• _{Função tal que dados f e seu parâmetro x}

–

_{fácil calcular y = f(x)}

• _{Mas dado y}

–

_{computacionalmente inviável encontrar}

(9)

Assinaturas Digitais

• _{Calculando um bloco de assinatura}

• _{O que o receptor recebe}

(10)

Autenticação de Usuário

Princípios Básicos. A autenticação deve

identificar:

1. Alguma coisa que o usuário sabe

2. Alguma coisa que o usuário tem

3. Alguma coisa que o usuário é

Isto é feito antes do usuário poder usar o

sistema

(11)

Autenticação Usando Senhas (1)

(a) Um acesso bem sucedido

(b) Acesso rejeitado depois da entrada de nome

(12)

• _{Como um cracker invadiu o computador do LBL}

–

_{um lab de pesquisa do Dep. de Energia dos EUA}

(13)

O uso do sal para atrapalhar a pré-computação de

senhas criptografadas

(14)

Autenticação Usando

um Objeto Físico

• _{Cartões de plástico}

–

_{cartões de faixa magnética}

–

_{cartões com processador: cartões com}

(15)

Autenticação Usando Biométrica

Um dispositivo para medir o comprimento do

dedo

(16)

Medidas de Defesa

• _{Limitação do horário de acesso ao sistema}

• _{Chamada automática de volta para um}

número pré-especificado

• _{Número limitado de tentativa de acessos}

• _{Uma base de dados de todos os acessos}

ao sistema

• _{Nome e senha simples como isca}

–

_{pessoal de segurança é notificado quando o}

(17)

Segurança de Sistemas Operacionais

Cavalos de Tróia

• _{Programa livre disponibilizado para usuários}

inocentes

–

_{contém na verdade código destrutivo}

• _{Coloca versão adulterada de um programa}

utilitário no computador da vítima

(18)

Conexão Impostora (Spoofing)

(a) Tela de conexão verdadeira

(b) Tela de conexão impostora

(19)

Bombas Lógicas

• _{Programador da empresa escreve programa}

–

_{com potencial para causar danos (bomba lógica)}

–

_{OK desde que ele/ela alimente o programa}

diariamente com uma senha

–

_{se programador é despedido, programa não é}

(20)

Alçapões

(a) Código normal

(21)

Transbordo de Buffer (Overflow)

(a) Situação na qual programa principal está executando

(b) Depois que procedimento A foi chamado

(22)

Ataques Genéricos à Segurança

Ataques típicos

• _{Solicitar memória, espaço de disco, fitas e apenas ler}

• _{Tentar chamadas ilegais ao sistema}

• _{Iniciar o acesso ao sistema e pressionar as teclas}

DEL, RUBOUT, ou BREAK

• _{Tentar modificar estruturas complexas do SO}

• _{Tentar todos os NÃO FAÇA especificados nos}

manuais

• _{Convencer um programador a introduzir um alçapão}

• _{Implorar para a secretária do administrador do sistema}

(23)

Falhas Famosas de Segurança

(24)

Princípios de Projeto de Segurança

1. O projeto do sistema deve ser público

2. Default deve ser “acesso negado”

3. Checar autoridade atual

4. Dar a cada processo o menor privilégio

possível

5. Mecanismo de proteção deve ser

-

_simples

-

_uniforme

-

_{nas camadas mais inferiores do sistema}

1. Esquema deve ser psicologicamente aceitável

(25)

Segurança de Rede

• _{Ameaça externa}

–

_{código transmitido para máquina alvo}

–

_{código executado lá, causando danos}

• _{Objetivos do programador de vírus}

–

_{espalhar rapidamente o vírus}

–

_{difícil de detectar}

–

_{difícil de se livrar}

• _{Virus = programa capaz de se auto-reproduzir}

–

_{anexa seu código a um outro programa}

–

_{adicionalmente, causa danos}

(26)

Cenários de Danos Causados

por Vírus

• _Chantagem

• _{Recusa de serviço enquanto o vírus estiver}

executando

• _{Danificar o hardware permanentemente}

• _{Lançar vírus no computador do concorrente}

–

_{causar danos}

–

_espionagem

• _{Truques sujos intra-corporativo}

(27)

Como Funcionam os Vírus (1)

• _{Vírus escritos em linguagem de montagem}

• _{Inseridos em um outro programa}

–

_{uso de ferramenta chamada conta-gotas}

_(dropper)

–

_{vírus dormente até que programa executa}

–

_{então infecta outros programas}

(28)

Procedimento

recursivo que

encontra

arquivos

executáveis

em um

sistema Unix

Vírus poderia

infectá-los

todos

(29)

a)

Um programa executável

b)

Com um vírus à frente

c)

Com um vírus no final

d)

Com vírus espalhado pelos espaços livres dentro do programa

(30)

• _{Depois do vírus ter capturado os vetores de interrupção e de desvio de controle da CPU}

• _{Depois do SO ter retomado o vetor de interrupção da impressora}

• _{Depois do vírus ter percebido a perda do vetor de interrupção da impressora e tê-lo}

recuperado

(31)

Como os Vírus se Disseminam

• _{Vírus colocados onde há chance de}

serem copiados

• _{Quando copiados}

–

_{infectam programas no disco rígido, disquetes}

–

_{podem tentar se disseminar na rede local}

• _{Anexam-se à mensagens eletrônicas}

aparentemente inocentes

–

_{quando executados, usam listas de contatos}

(32)

a)

Um programa

b)

Programa infectado

c)

Programa infectado comprimido

d)

Vírus criptografado

Técnicas Antivírus

e Antiantivírus (1)

(33)

Exemplos de um vírus polimórfico

Todos esses exemplos fazem a mesma coisa

Técnicas Antivírus

(34)

• _{Verificadores de integridade}

• _{Verificadores de comportamento}

• _{Prevenção contra vírus}

–

_{um bom SO}

–

_{instalar apenas softwares originais, de fabricante}

confiável

–

_{usar software antivírus}

–

_{não clicar em anexos às mensagens eletrônicas}

–

_{fazer cópias de segurança com frequência}

• _{Recuperação de um ataque de vírus}

–

_{parar o computador, reiniciar de disco seguro, executar}

antivírus

Técnicas Antivírus

e Antiantivírus (3)

(35)

O Verme da Internet

• _{Consistia de dois programas}

–

_{iniciador (bootstrap) para carregar o verme}

–

_{o verme em si}

• _{O verme primeiro esconde sua}

existência

• _{Em seguida se replica em novas}

(36)

Código Móvel (1)

Caixa de Areia (sandboxing)

(a)

Memória dividida em caixas de areia de 16MB

(37)

Código Móvel (2)

Applets podem ser interpretadas por um

navegador Web

(38)

Como funciona a assinatura de código

(39)

Segurança em Java (1)

• _{Uma linguagem tipificada e segura}

–

_{compilador rejeita tentativas de mau uso de variável}

• _{Verificação inclui …}

1. tentativa de forjar ponteiros

2. violação de restrições de acesso sobre membros de

classes privadas

3. mau uso do tipo de uma variável

4. geração de transbordo/falta na pilha

(40)

Exemplos de proteção que pode ser especificada com o JDK 1.2

Segurança em Java (2)

(41)

Mecanismos de Proteção

Domínios de Proteção (1)

(42)

Domínios de Proteção (2)

(43)

Uma matriz de proteção com domínios como objetos

Domínios de Proteção (3)

(44)

Listas de Controle de Acesso (1)

Uso de listas de controle de acesso para

gerenciar o acesso a arquivos

(45)

Duas listas de controle de acesso

(46)

Capacidades (1)

(47)

• _{Capacidade criptograficamente}

protegida

• _{Direitos genéricos}

1. copia capacidade

2. copia objeto

3. remove capacidade

4. destrói objeto

servidor

objeto

direitos

f (objetos, direitos, verificação)

(48)

Sistemas Confiáveis

Base de Computação Confiável

(49)

Modelos Formais de

Sistemas Seguros

(a) Um estado autorizado

(50)

Segurança Multiníveis (1)

(51)

O Modelo Biba

• _{Princípios para garantir a integridade dos}

dados

1. Propriedade de integridade simples

• _{um processo só pode escrever objetos em seu nível de}

segurança ou inferior

1. Propriedade de integridade*

• _{um processo só pode ler objetos em seu nível de segurança ou}

superior

(52)

O Livro Laranja sobre

Segurança (1)

• _{Símbolo X significa novos requisitos}

• _{Símbolo -> indica que requisitos da próxima categoria inferior}

(53)

O Livro Laranja sobre

Segurança (2)

(54)

Canais Subliminares (1)

Processos cliente,

servidor e

colaborador

Servidor encapsulado

ainda pode passar

informações ao

colaborador por canais

subliminares

(55)

Um canal subliminar usando impedimento de arquivo

(56)

• _{Imagens parecem as mesmas}

• _{Imagem à direita contém os textos de 5 peças de}

Shakespeare

–

_{criptografados, inseridos nos bits menos significativos de cada valor de cor}

Zebras

_{Hamlet, Macbeth, Julius Caesar}

Mercador de Veneza, Rei Lear

Canais Subliminares (3)