06 - Sistemas Operacionais - Segurança- Prof Sergio Villarreal

Sistemas

Operacionais

Segurança

Eng. SERGIO VILLARREAL

Objetivos

 _{Entender os conceitos básicos de}

segurança da informação

 Apresentar as ameaças que existem sobre os sistemas

 _{Conhecer as estratégias e mecanismos de}

proteção utilizados nos sistemas operacionais

Segurança da Informação

 _{Toda organização ou pessoa coleta, processa,} armazena e transmite informações pelos seus dispositivos computacionais

 _{Estas informações são valiosas para obter seus}

objetivos

 _{Numerosas ameaças comprometem os sistemas}

e a informação

 _{Há necessidade de proteger os sistemas e a}

informação

Responsabilidade do SO

 Garantir o correto funcionamento do sistema

 _{Proteger o próprio sistema operacional}

 _{Impedir que diferentes processos interfiram}

entre si

 _{Permitir o uso do sistema por vários usuários}

concorrentemente sem que um possa acessar ou comprometer os recursos do outro

Segurança da Informação

Segurança da Informação

Confidencialidade: os recursos só podem ser consultados por

usuários autorizados.

Integridade: os recursos do sistema só podem ser modificados

ou destruídos pelos usuários autorizados.

Disponibilidade: os recursos devem estar disponíveis para os

usuários com direito a qualquer momento.

Autenticidade: todas as entidades do sistema são autênticas

ou genuínas.

Não Repúdio: todas as ações realizadas no sistema são

Conceitos Básicos

Vulnerabilidades e Ameaças

 _{Um erro de programação no serviço de}

compartilhamento de arquivos, que permita a usuários externos o acesso a arquivos não compartilhados

 Uma conta de usuário sem senha ou com uma senha pré-definida pelo fabricante que permita a usuários não autorizados acessar o sistema

 _{Ausência de quotas de disco, permitindo a um}

único usuário alocar todo o espaço em disco para si e assim impedir os demais usuários de usar o

Vulnerabilidades e Ameaças

 _{A grande maioria das vulnerabilidades ocorre}

devido a erros de programação, como não verificar a conformidade dos dados recebidos de um usuário ou da rede

 _{Exemplo clássico: uma versão antiga do servidor}

HTTP Microsoft IIS não verificava adequadamente os pedidos dos clientes; por exemplo, um cliente que solicitasse a URL

http://www.servidor.com/../../../../windows/system.ini

receberia como resultado o conteúdo do arquivo de sistema system.ini ao invés de ter seu pedido

recusado

Principais Ameaças

 _{Usuários mal intencionados}  _Malwares

 _Ataques

– Reconhecimento: Port Scan - Sniffing

– Negação de Serviço: Ping of Dead – Syn Flood – Acesso: Quebra de senha – Trojan

Mecanismos de Proteção do SO

 _{Modo Protegido do Sistema Operacional}  _{Mecanismos de coordenação de processos}  _{Controle de Acesso}

– Autenticação

– Controle de Acesso – Auditoria

 _{Criptografia e Hash}

 Assinatura Digital e Certificado Digital

Estratégias de SI

Controle de Acesso

Eng. SERGIO VILLARREAL

Controle de Acesso

 _{Autenticação: conjunto de técnicas usadas}

para identificar inequivocamente usuários e recursos em um sistema

 _{Controle de Acesso ou Autorização: técnicas}

usadas para definir quais ações são permitidas e quais são negadas no sistema

 _{Auditoria: técnicas usadas para manter um}

registro das atividades efetuadas no sistema, visando a contabilização de uso dos recursos, a análise posterior de situações de uso indevido

Autenticação

 _{O objetivo da autenticação é verificar a} identidade das diversas entidades de um

sistema computacional

 _{Através da autenticação, o usuário interessado}

em acessar o sistema comprova que é realmente quem afirma ser

 _{Inicialmente, a autenticação visava apenas} identificar usuários. Atualmente, em muitas

circunstâncias, também é necessário identificar o sistema para o usuário ou sistemas entre si

Técnicas de Autenticação

 _{Conhecimento (Algo que você sabe): baseadas}

em informações conhecidas pelo usuário, como seu nome de login e sua senha

 _{Propriedade (Algo que você tem): baseadas na}

posse de algum dispositivo material, como um smartcard, um cartão magnético, um código de barras, etc.

 _{Característica (Algo que você é): se baseiam}

em características intrinsecamente associadas ao usuário, como seus dados biométricos – impressão digital, padrão da íris, etc.

Processo de Autenticação

 _{Se a autenticação é bem sucedida, são criados processos para}

representar o usuário dentro do sistema. Esses processos

agem em nome do usuário.

 _{A presença de um ou mais processos agindo em nome de um}

usuário dentro do sistema é denominada uma sessão de

usuário

 A sessão de usuário inicia imediatamente após a autenticação do usuário (Login ou Logon) e termina quando seu último processo é encerrado, na desconexão (Logout ou Logoff).

 Um sistema operacional servidor ou desktop típico suporta várias sessões de usuários simultaneamente.

Controle de Acesso

 Verificação de cada solicitação de acesso de um usuário autenticado a um recurso para determinar deve ser autorizada ou negada

 Praticamente todos os recursos de um sistema operacional típico estão submetidos a um controle de acesso

 Política de controle de acesso: Conjunto de regras definindo

os acessos possíveis aos recursos e eventuais condições necessárias para permitir cada acesso

 Autorizações: As regras ou definições individuais de uma

política

 Política administrativa: define quem pode modificar as

políticas vigentes no sistema

Processo de Controle de Acesso

acesso e auditoria, cada processo deve ser associado a seu respectivo usuário através de um Identificador de Usuário (UID - User IDentifier)

 O identificador de usuário é usado pelo sistema operacional para definir o Proprietário de cada entidade e recurso

conhecido

 _{É habitual também classificar os usuários em grupos}

identificados através de um Identificador de Grupo (GID - Group IDentifier)

Matriz de Controle de Acesso

Arquivo01 Arquivo02 Processo22 Port01

José

Ler Ler

Escrever Executar Ler Maria Ler Escrever João Ler Escrever Ler Escrever Processo01 Ler Ler Ler Ler Grupo03 Ler

Escrever

Criptografia

Criptografia



_{Kriptos Oculto}

Graphos Escrita



_{Codificação de informações com a}

finalidade de garantir a sua

confidencialidade

Criptografar

(Encriptar)

C

Descriptografar

(Decriptar)

DC

Tipos de Criptografia



_Simétrica



Assimétrica

Criptografia Simétrica

 _{Mesma Chave para criptografar as mensagens é}

utilizada para descriptografá-la.

 DES (Data Encryption Standard) é um algoritmo simétrico, desenvolvido pela IBM.

 _{AES (Advanced Encryption Standard) Padrão}

americano desde 2002.

Criptografia Simétrica

Vantagens Desvantagens

Simplicidade Necessário um canal seguro para transferir a

chave.

Processamento Rápido Quantidade de chaves necessárias

Criptografia Simétrica - Exemplo

Criptografia Assimétrica

 _{Utiliza duas Chaves Diferentes.}

 _{Dados criptografados com uma chave, só podem}

ser descriptografados com a outra e vice-versa.

 _{Privada - pertence a uma pessoa - confidencial.}  _{Pública - também pertence a pessoa porém é}

Criptografia Assimétrica - RSA

RSA: é um algoritmo de criptografia assimétrica, utilizado tanto para criptografia de dados quanto para autenticação.

Baseia-se na multiplicação de números primos complexos.

Rivest, Shamir e Adleman foram os inventores do RSA em 1977.

Criptografia Assimétrica

Vantagens Desvantagens

Não há risco na transmissão das chaves.

Complexa. Menor número de chaves Processamento mais lento Assinatura digital

Algoritmo de Hashing - Resumo

 _{É uma algoritmo que tendo como entrada um}

documento de qualquer tamanho, entrega como saída um código de tamanho fixo conhecido como

message digest, hash, resumo ou assinatura.

 _{Características do message digest}

– Exclusividade:impossível que duas mensagens gerem a mesma

assinatura

Algoritmo de Hashing - Resumo

Documento Resumo

Hash

Algoritmo

Assinatura Digital - Conceito

 _{Envia-se a mensagem criptografada com a chave}

privada

 _{Qualquer pessoa que conhece a chave pública do}

criador da mensagem pode lê-lha (Não é secreta)

 _{Se pode ser lida com a chave pública somente pode}

ter sido criada pelo dono dessa chave com sua chave privada (Confirma origem da mensagem)

 _{Este processo seria computacionalmente intensivo}

Assinatura Digital- Implementação

 _{Utilizando o MD5, cria-se um resumo da}

mensagem original de 128 bits

 _{Criptografa-se apenas o resumo com a}

chave privada. (Esta es a assinatura digital)

 _{Envia-se a mensagem em claro e a assinatura}  _{Quem recebe a mensagem descriptografa o}

resumo; cria um segundo resumo da mensagem, utilizando MD5; e compara os dois. Se forem idênticos a mensagem foi assinada corretamente e não foi alterada.

Assinatura Digital

Confirmação da Assinatura

Texto Claro _Resumo

Assinatura Digital MD5 RSA Resumo Comparar Senha Pública

Certificado Digital

 _{Documento digital que atesta a relação entre uma}

chave pública e um indivíduo ou entidade

 Podem ser utilizados para:

– Permitir que terceiros mandem dados criptografados

para o dono do certificado.

– Permitir que terceiros verifiquem a assinatura gerada.

Certificado Digital

 _{Evita a publicação de chaves falsas}

 _{Vincula de maneira confiável uma chave pública a}

uma entidade ou indivíduo

 _{Permite criar um modelo de confiança essencial}

para as transações eletrônicas

 _{Além da chave pública contem informações de}

identificação do proprietário da assinatura e dados sobre o próprio certificado e sobre a autoridade certificadora

ATIVIDADES

 _{Pesquise sobre técnicas de autenticação}

biométricas.

 _{Pesquise como é implementado o controle de}

acesso no Unix. Compare com Windows.

 _{Pesquise sobre os diferentes tipos de malwares e}

suas características

 _{Explique o método de autenticação por senha}

Fim Apresentação