Upload
franca-porta
View
214
Download
0
Embed Size (px)
Citation preview
Sicurezza dei sistemi Sicurezza dei sistemi informaticiinformatici
Master di I° livello inMaster di I° livello in
Sistemi e Tecnologie per la sicurezza Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazionedell'Informazione e della Comunicazione
Prima lezionePrima lezione31/3/200731/3/2007
Contenuto della lezioneContenuto della lezione Motivazioni Motivazioni Dati sulla sicurezzaDati sulla sicurezza I concetti di sicurezzaI concetti di sicurezza Minacce e loro classificazioneMinacce e loro classificazione Politiche e meccanismiPolitiche e meccanismi Modelli teorici di sicurezza Modelli teorici di sicurezza Politiche per la confidenzialitàPolitiche per la confidenzialità
Sicurezza dell’informazione Sicurezza dell’informazione 20 anni fa20 anni fa
Sicurezza di tipo “fisico” Sicurezza di tipo “fisico” L’informazione era principalmente su cartaL’informazione era principalmente su carta Chiusa a chiave (armadi, casseforti, ...)Chiusa a chiave (armadi, casseforti, ...) La trasmissione fisica abbastanza sicura La trasmissione fisica abbastanza sicura
Amministrazione della sicurezzaAmministrazione della sicurezza Controllo “fisico” degli accessi alle risorseControllo “fisico” degli accessi alle risorse Screening del personaleScreening del personale AuditingAuditing
Sicurezza dell’informazione oggiSicurezza dell’informazione oggi Utilizzo emergente di Internet e dei sistemi Utilizzo emergente di Internet e dei sistemi
distribuiti distribuiti L’informazione digitale deve mantenuta sicuraL’informazione digitale deve mantenuta sicura I costi dell’insicurezzaI costi dell’insicurezza
Stime dell’FBI indicano che un attacco insider può Stime dell’FBI indicano che un attacco insider può produrre in media un danno da 2.8 milioni di $produrre in media un danno da 2.8 milioni di $
Le perdite annue finanziarie dovute a falle nel Le perdite annue finanziarie dovute a falle nel sistema di sicurezza dell’informazione sono sistema di sicurezza dell’informazione sono stimate tra i 5 e i 45 miliardi di $stimate tra i 5 e i 45 miliardi di $
Sicurezza dell’informazione oggiSicurezza dell’informazione oggi
Sicurezza a livello nazionaleSicurezza a livello nazionale Protezione of infrastrutture critiche Protezione of infrastrutture critiche
Rete energeticaRete energetica Trasporto aereoTrasporto aereo agenzie governative e connesse con il governoagenzie governative e connesse con il governo
Molte agenzie non hanno livelli di sicurezza Molte agenzie non hanno livelli di sicurezza accettabiliaccettabili
Soprattutto per quanto riguarda la gestione della Soprattutto per quanto riguarda la gestione della sicurezza interna e le misure di controllo di sicurezza interna e le misure di controllo di accessoaccesso
Sicurezza di reteSicurezza di rete
Ovviamente se ogni computer avesse un solo Ovviamente se ogni computer avesse un solo utente e non fosse collegato ad altri computer, utente e non fosse collegato ad altri computer, il problema della sicurezza non si porrebbe il problema della sicurezza non si porrebbe neppureneppure
Questa situazione di isolamento tra gli utenti Questa situazione di isolamento tra gli utenti dei computer non si è in realtà mai verificatadei computer non si è in realtà mai verificata
Sicurezza di reteSicurezza di rete
Fino agli anni ‘70 i computer erano grandi e molto Fino agli anni ‘70 i computer erano grandi e molto costosi main-frame usati da molti utenti che si costosi main-frame usati da molti utenti che si connettevano da terminali (molto semplici)connettevano da terminali (molto semplici)
In questa situazione sono state sviluppate molte In questa situazione sono state sviluppate molte tecniche (HW e SW) per garantire la sicurezza di tecniche (HW e SW) per garantire la sicurezza di ciascun utente:ciascun utente: distinguere utente normale dal sistema operativodistinguere utente normale dal sistema operativo autenticare gli utenti autenticare gli utenti controllare gli accessicontrollare gli accessi sviluppo di modelli generali di sicurezzasviluppo di modelli generali di sicurezza
Sicurezza di reteSicurezza di rete
dagli anni ‘70 ad oggi, i terminali sono dagli anni ‘70 ad oggi, i terminali sono diventati PC intelligenti ed autonomi ed i diventati PC intelligenti ed autonomi ed i mainframe sono scomparsi mainframe sono scomparsi
i PC sono ora collegati in retei PC sono ora collegati in rete sulla rete ci sono server che offrono servizi sulla rete ci sono server che offrono servizi
commerciali delicati per la sicurezza (banche, commerciali delicati per la sicurezza (banche, e-commerce…)e-commerce…)
ma anche solo la posta elettronica nasconde ma anche solo la posta elettronica nasconde insidieinsidie
Insidie nella sicurezza di reteInsidie nella sicurezza di rete
1) in un computer multi-utente, uno degli utenti può assumere l’identità di un altro utente per carpire informazioni di quest’ultimo o per spacciarsi per lui
1+) i servizi di rete sono potenzialmente aperti a tutti, quindi l’insieme degli utenti di un sistema aumenta arbitrariamente e quindi anche le interazioni tra utenti diversi e quindi i pericoli di tipo (1)
Insidie nella sicurezza di reteInsidie nella sicurezza di rete
2 nuovo) i servizi che usano la rete internet si basano sulla trasmissione di informazioni che attraversano reti e router non sempre controllabili
Per difendersi dai pericoli (1) e (1+) è fondamentale che ogni utente sia identificato e
che le azioni che gli sono consentite siano decise in funzione di questa identità
cioè è fondamentale che il SO attui una chiara politica di sicurezza
Ulteriori problemiUlteriori problemi
il fatto che i PC siano in rete (possibilmente insicura) rende più difficile autenticare gli utenti
le password vanno protette e non devono passare in chiaro sulla rete
Per evitare (2) si deve trasmettere in rete solo informazione criptata cioè incomprensibile da chi non abbia l’apposita chiave di decrittazione
Ridimensioniamo il ruolo della Ridimensioniamo il ruolo della crittografia crittografia
insomma la crittografia è una tecnica importante per risolvere questi problemi,
ma non risolve tutto … anzi
Se un utente riesce a diventare system manager Se un utente riesce a diventare system manager di un PC o di una retedi un PC o di una rete
non c’è crittografia che tenganon c’è crittografia che tenga
Esistono diverse definizioni di sicurezza e diversi organismi di valutazione della sicurezza :
•US Department of Defence Trusted Computer System Evaluation Criteria (Orange Book), 1985. radium.ncsc.mil/tpep/process/faq.html
•European Information Technology Security Evaluation Criteria (ITSEC), 1991. cesg.gov.uk
•Canadian Trusted Computer Product Evaluation Creteria (CTCPEC), 1993. ftp.cse-st.gc.ca/pub/criteria/CTCPEC
Definizioni ufficiali di sicurezzaDefinizioni ufficiali di sicurezza
Qualche dato sulla (in)sicurezzaQualche dato sulla (in)sicurezza L’impatto economico dei virus, worm e Trojan horse è di L’impatto economico dei virus, worm e Trojan horse è di
17.1 miliardi di $ nel 2000 (8.75 miliardi solo per il virus “I 17.1 miliardi di $ nel 2000 (8.75 miliardi solo per il virus “I Love You”)Love You”)
In uno studio, una e-mail ogni 325 aveva un attachment In uno studio, una e-mail ogni 325 aveva un attachment malignomaligno
In un recente studio dell’EU, la metà di ogni messaggio di e-In un recente studio dell’EU, la metà di ogni messaggio di e-mail è posta non richiesta che alle imprese europee più di mail è posta non richiesta che alle imprese europee più di 2,5 miliardi all’anno in produttività persa2,5 miliardi all’anno in produttività persa
Nella prima metà del 2005 sono state scoperte 1862 nuove Nella prima metà del 2005 sono state scoperte 1862 nuove vulnerabilità del software, delle quali il 60% in programmi vulnerabilità del software, delle quali il 60% in programmi che girano su Internetche girano su Internet
Problemi di sicurezza segnalati nei Problemi di sicurezza segnalati nei mediamedia
““Computer Hacker Invades Web Site of the Justice Department”, Computer Hacker Invades Web Site of the Justice Department”, NYT, 18 August 1996NYT, 18 August 1996
““Hacker Group Commandeers The New York Times Web Site”, Hacker Group Commandeers The New York Times Web Site”, NYT, 14 September 1998NYT, 14 September 1998
““Yahoo Blames a Hacker Attack for a Lengthy Service Failure”, Yahoo Blames a Hacker Attack for a Lengthy Service Failure”, NYT, 8 February 2000NYT, 8 February 2000
““A Hacker May Have Entered Egghead Site”, NYT, 23 December A Hacker May Have Entered Egghead Site”, NYT, 23 December 20002000
““Stung by Security Flaws, Microsoft Makes Software Safety a Top Stung by Security Flaws, Microsoft Makes Software Safety a Top Goal”, NYT, 17 January 2002Goal”, NYT, 17 January 2002
““Millions of Cisco Devices Vulnerable To Attack”, Information Millions of Cisco Devices Vulnerable To Attack”, Information Week, 18 July 2003Week, 18 July 2003 ““A method for shutting down networking devices circulates on A method for shutting down networking devices circulates on
the Internet”the Internet” ““New Doomjuice Worm Emerges, Targets Microsoft”,Reuters UK, New Doomjuice Worm Emerges, Targets Microsoft”,Reuters UK,
9 February 20049 February 2004
Problemi di sicurezza segnalati dai Problemi di sicurezza segnalati dai mediamedia
E innumerevoli altri incidenti che non sono E innumerevoli altri incidenti che non sono stati pubblicizzati per paura di imbarazzostati pubblicizzati per paura di imbarazzo
Ogni volta che viene pubblicizzato un Ogni volta che viene pubblicizzato un incidente, gli esperti di sicurezza e i rivenditori incidente, gli esperti di sicurezza e i rivenditori di antivirus tendono ad esagerarne i costidi antivirus tendono ad esagerarne i costi
Nel 2002, le compagnie americane hanno Nel 2002, le compagnie americane hanno speso più di 4.3 miliardi di dollari solo per gli speso più di 4.3 miliardi di dollari solo per gli antivirusantivirus
Cambiamento del tipo di attacchiCambiamento del tipo di attacchi
Si passa da attacchi multiobbiettivo in grande Si passa da attacchi multiobbiettivo in grande scala su grandi sistemi ad attacchi mirati sui scala su grandi sistemi ad attacchi mirati sui PCPC
C’è inoltre il passaggio dall’ “hacking” C’è inoltre il passaggio dall’ “hacking” malizioso ad attacchi criminali con motivi malizioso ad attacchi criminali con motivi economicieconomici Furto di identitàFurto di identità PhishingPhishing Denial-of-serviceDenial-of-service
Furto di identitàFurto di identità
Nell’aprile 2005, un’intrusione nel database Nell’aprile 2005, un’intrusione nel database della LexisNexis ha compromesso le della LexisNexis ha compromesso le informazioni personali di circa 310000 informazioni personali di circa 310000 personepersone
Nell’agosto 2004, un’intrusione aveva Nell’agosto 2004, un’intrusione aveva compromesso 1,4 milioni di record di compromesso 1,4 milioni di record di informazioni personali all’università di informazioni personali all’università di BerkeleyBerkeley
PhisingPhising
Durante la prima metà del 2005 il volume Durante la prima metà del 2005 il volume delle e-mail “phishing” è cresciuto da circa 3 delle e-mail “phishing” è cresciuto da circa 3 milioni al giorno a circa 5.7 milionimilioni al giorno a circa 5.7 milioni
Ogni 125 messaggi di e-mail di media uno è Ogni 125 messaggi di e-mail di media uno è un tentativo di phishingun tentativo di phishing
L’1% of US households sono state vittime of L’1% of US households sono state vittime of successful phishing attacks in 2004successful phishing attacks in 2004
Ciber-estorsioniCiber-estorsioni
Durante la prima metà del 2005 gli attacchi Durante la prima metà del 2005 gli attacchi Denial-of-Service (DoS) sono aumentati da Denial-of-Service (DoS) sono aumentati da una media 119 a una media 927 al giornouna media 119 a una media 927 al giorno
Il 17% dei siti commerciali hanno ricevuto Il 17% dei siti commerciali hanno ricevuto minacce di chiusure mediante attacchi DoS minacce di chiusure mediante attacchi DoS
Una compagnia che si rifiuta di pagare gli Una compagnia che si rifiuta di pagare gli estortori spende 100,000 $ all’anno per estortori spende 100,000 $ all’anno per difendersi dagli attacchi DoSdifendersi dagli attacchi DoS
Botnets e ZombiesBotnets e Zombies
SecurityFocus, 23 January 2006SecurityFocus, 23 January 2006 " " Bot herder pleads guilty to 'zombie' salesBot herder pleads guilty to 'zombie' sales: A 20-: A 20-
year-old California man used automated software to year-old California man used automated software to infect Windows systems and to create botnets — infect Windows systems and to create botnets — centrally controlled networks of compromised PCs — centrally controlled networks of compromised PCs — to which he sold access.to which he sold access.
" In October 2005, Dutch authorities arrested three " In October 2005, Dutch authorities arrested three men in the Netherlands who allegedly controlled a men in the Netherlands who allegedly controlled a network of more than 1.5 million compromised network of more than 1.5 million compromised computers.computers.
AggiornamentiAggiornamenti New York Times, 25 September 2006.New York Times, 25 September 2006.
ChoicePoint, CardSystems Solutions, Time Warner and dozens of ChoicePoint, CardSystems Solutions, Time Warner and dozens of universities have collectively revealed 93,754,333 private recordsuniversities have collectively revealed 93,754,333 private records
The Commerce Department announced that between 2001 and the The Commerce Department announced that between 2001 and the present, 1,137 laptops were lost, missing or had been stolen present, 1,137 laptops were lost, missing or had been stolen
Symantec Internet Security Threat Report covering the first 6 Symantec Internet Security Threat Report covering the first 6 months of 2006, 25 September 2006.months of 2006, 25 September 2006. The Symantec Probe Network detected 157,477 unique phishing The Symantec Probe Network detected 157,477 unique phishing
messagesmessages Botnets have become a major part of the underground economyBotnets have become a major part of the underground economy An average of 6,110 denial-of-service attacks per dayAn average of 6,110 denial-of-service attacks per day Spam made up 54% of all monitored email trafficSpam made up 54% of all monitored email traffic
Considerazioni finaliConsiderazioni finali
La sicurezza deve essere implementata secondo le La sicurezza deve essere implementata secondo le esigenza personaliesigenza personali
Non esiste una soluzione che va bene per tuttiNon esiste una soluzione che va bene per tutti La sicurezza è un’area complessa ed estesa che La sicurezza è un’area complessa ed estesa che
permea permea tutti i livelli di un sistema informatico, compresi quelli tutti i livelli di un sistema informatico, compresi quelli
fisici: Hardware-OS-Application-Network-Operatorfisici: Hardware-OS-Application-Network-Operator E come in altri contesti, la sicurezza informatica è per E come in altri contesti, la sicurezza informatica è per
la sicurezza sia l’anello più forte che quello più la sicurezza sia l’anello più forte che quello più deboledebole
Una rassegna dei concetti di Una rassegna dei concetti di sicurezzasicurezza
La sicurezza deve garantire le proprietà diLa sicurezza deve garantire le proprietà di ConfidenzialitàConfidenzialità IntegritàIntegrità DisponibilitàDisponibilità
La sicurezza studia le minacce e gli attacchi, in La sicurezza studia le minacce e gli attacchi, in base ai quali stabilisce delle politiche e dei base ai quali stabilisce delle politiche e dei meccanismimeccanismi
Tali meccanismi sono poi implementati e Tali meccanismi sono poi implementati e verificativerificati
ConfidenzialitàConfidenzialità Si ottiene la confidenzialità nascondendo ai Si ottiene la confidenzialità nascondendo ai
non autorizzati informazioni o risorsenon autorizzati informazioni o risorse In molti ambiti esistono informazioni e risorse In molti ambiti esistono informazioni e risorse
“sensibili” a cui non possono accedere tutti“sensibili” a cui non possono accedere tutti Un modo per nascondere le informazioni è la Un modo per nascondere le informazioni è la
crittografiacrittografia Un altro modo è controllarne gli accessiUn altro modo è controllarne gli accessi
Anche le risorse possono essere soggette a Anche le risorse possono essere soggette a restrizionirestrizioni
IntegritàIntegrità L’integrità richiede che le informazioni o le L’integrità richiede che le informazioni o le
risorse “sensibili” non subiscano alterazioni risorse “sensibili” non subiscano alterazioni non autorizzatenon autorizzate Integrità dei datiIntegrità dei dati Integrità della sorgenteIntegrità della sorgente
Differenza: si può intercettare un fax in modo Differenza: si può intercettare un fax in modo completo che contiene informazioni falsecompleto che contiene informazioni false
I meccanismi per garantire l’integrità si I meccanismi per garantire l’integrità si dividono in meccanismi di prevenzione e di dividono in meccanismi di prevenzione e di scopertascoperta
IntegritàIntegrità
Integrità: è difficile da esprimere in modo Integrità: è difficile da esprimere in modo preciso:preciso: è la proprietà che tutto è come dovrebbe essereè la proprietà che tutto è come dovrebbe essere
Spesso si riduce nelSpesso si riduce nel proibire la scrittura senza proibire la scrittura senza autorizzazioneautorizzazione
E’ collegata alla segretezza:E’ collegata alla segretezza: modificare il SO è spesso prerequisito per avere modificare il SO è spesso prerequisito per avere
accesso a documenti proibiti accesso a documenti proibiti problema: violazione dell’integrità del SOproblema: violazione dell’integrità del SO
DisponibilitàDisponibilità
Per disponibilità si intende semplicemente la Per disponibilità si intende semplicemente la possibilità di usare una determinata risorsa o possibilità di usare una determinata risorsa o un’informazione nel tempoun’informazione nel tempo
Alcuni attacchi, il già citato DoS, tendono a Alcuni attacchi, il già citato DoS, tendono a diminuire e/o ad annullare la disponibilità di diminuire e/o ad annullare la disponibilità di alcune risorsealcune risorse
MinacceMinacce Una Una minacciaminaccia è una è una possibilepossibile violazione della violazione della
sicurezzasicurezza La violazione non deve necessariamente La violazione non deve necessariamente
accadere: è il fatto stesso che può accadere che accadere: è il fatto stesso che può accadere che la rende una minacciala rende una minaccia
E’ importante salvaguardarsi dalle minacce ed E’ importante salvaguardarsi dalle minacce ed essere pronti ad eventuali violazioniessere pronti ad eventuali violazioni
La violazione effettiva è chiamata La violazione effettiva è chiamata attaccoattacco e e coloro che la commettono “coloro che la commettono “attaccantiattaccanti””
Classi di minacceClassi di minacce
DisclosureDisclosure: accesso non autorizzato alle : accesso non autorizzato alle informazioniinformazioni
DeceptionDeception: accettazione di dati falsi: accettazione di dati falsi DisruptionDisruption: interruzione o prevenzione di : interruzione o prevenzione di
operazioni corretteoperazioni corrette UsurpationUsurpation: controllo non autorizzato di : controllo non autorizzato di
alcune parti del sistemaalcune parti del sistema
Minacce più ricorrentiMinacce più ricorrenti
SnoopingSnooping: intercettazione non autorizzata di : intercettazione non autorizzata di informazioni. Disclosure passivainformazioni. Disclosure passiva
Modificazione o alterazioneModificazione o alterazione: cambiamento non : cambiamento non autorizzato di informazioni. Deception attiva. autorizzato di informazioni. Deception attiva. Esempio: attacco “man-in-the-middle”Esempio: attacco “man-in-the-middle”
Masquerading o spoofingMasquerading o spoofing: impersonificazione di : impersonificazione di un’entità da parte di un’altra. un’entità da parte di un’altra. Deception/usurpation passiva o anche attiva. Deception/usurpation passiva o anche attiva. Esempio: siti “civetta”. Forme legali: delegazioneEsempio: siti “civetta”. Forme legali: delegazione
Minacce più ricorrenti (2)Minacce più ricorrenti (2) Ripudiazione dell’origineRipudiazione dell’origine: falso diniego che : falso diniego che
un’entità abbia inviato (o creato) qualcosa. un’entità abbia inviato (o creato) qualcosa. Deception.Deception.
Diniego di ricezioneDiniego di ricezione: falso diniego che : falso diniego che un’entità abbia ricevuto qualcosa. Deceptionun’entità abbia ricevuto qualcosa. Deception
RitardoRitardo: inibizione temporanea di un : inibizione temporanea di un servizio. Usurpation.servizio. Usurpation.
Denial of serviceDenial of service
Diniego di servizioDiniego di servizio: inibizione a lungo termine : inibizione a lungo termine di un servizio. Usurpation. Può essere svolta di un servizio. Usurpation. Può essere svolta sul server, sul client o in mezzosul server, sul client o in mezzo
Si verifica quando un server viene sepolto Si verifica quando un server viene sepolto sotto un enorme numero di richieste di servizi sotto un enorme numero di richieste di servizi che non può trattare e quindi non riesce più a che non può trattare e quindi non riesce più a fare il suo lavoro normalefare il suo lavoro normale
E’ difficile da evitare in generaleE’ difficile da evitare in generale
Politiche e meccanismiPolitiche e meccanismi Una politica di sicurezza è un’indicazione di cosa è e Una politica di sicurezza è un’indicazione di cosa è e
cosa non è permessocosa non è permesso Un meccanismo di sicurezza è un metodo Un meccanismo di sicurezza è un metodo
(strumento/procedura) per garantire una politica di (strumento/procedura) per garantire una politica di sicurezzasicurezza
Esempio: Esempio: il lab. di inf. di un università stabilisce come politica che il lab. di inf. di un università stabilisce come politica che
non si possono copiare i file dei compiti di un altro non si possono copiare i file dei compiti di un altro studente.studente.
Il sistema ha un meccanismo per prevenire la copia di un Il sistema ha un meccanismo per prevenire la copia di un file da parte di un altro utentefile da parte di un altro utente
Anna non usa tale meccanismo e il sistema è violatoAnna non usa tale meccanismo e il sistema è violato
Le politicheLe politiche
Una politica di sicurezza stabilisce regole che Una politica di sicurezza stabilisce regole che possono riguardare:possono riguardare: le operazioni che si possono usare su certi dati e le operazioni che si possono usare su certi dati e
l’utente che può usarlel’utente che può usarle gli utenti che possono accedere a certi dati.gli utenti che possono accedere a certi dati. eventuali profili di utente con specifici dirittieventuali profili di utente con specifici diritti
Politiche di sicurezzaPolitiche di sicurezza
La politica di sicurezza si focalizza su:La politica di sicurezza si focalizza su: i dati (proteggere)i dati (proteggere) le operazioni (controllare)le operazioni (controllare) gli utenti/profili (controllare)gli utenti/profili (controllare)
Tradizionalmente i SO hanno meccanismi che Tradizionalmente i SO hanno meccanismi che proteggono i dati. Oggi diventa più importante proteggono i dati. Oggi diventa più importante controllare gli utenticontrollare gli utenti
Meccanismi di sicurezzaMeccanismi di sicurezza Data una politica, che distingue le azioni “sicure” da Data una politica, che distingue le azioni “sicure” da
quelle “non sicure”, i meccanismi di sicurezza devono quelle “non sicure”, i meccanismi di sicurezza devono prevenireprevenire, , scoprirescoprire o o recuperarerecuperare da un attacco da un attacco
La La prevenzioneprevenzione significa che il meccanismo deve significa che il meccanismo deve rendere impossibile l’attaccorendere impossibile l’attacco
Spesso sono pesanti ed interferiscono con il sistema al Spesso sono pesanti ed interferiscono con il sistema al punto da renderlo scomodo da usare punto da renderlo scomodo da usare
Esempio unanimanente accolto: richiesta di password Esempio unanimanente accolto: richiesta di password come modo di autenticazione come modo di autenticazione
Meccanismi di sicurezza (2)Meccanismi di sicurezza (2) La La scopertascoperta significa che il meccanismo è in significa che il meccanismo è in
grado di scoprire che un attacco è in corsogrado di scoprire che un attacco è in corso E’ utile quando non è possibile prevenire E’ utile quando non è possibile prevenire
l’attacco, ma può servire anche a valutare le l’attacco, ma può servire anche a valutare le misure preventivemisure preventive
Si usa solitamente un monitoraggio delle Si usa solitamente un monitoraggio delle risorse del sistema, cercando eventuali tracce risorse del sistema, cercando eventuali tracce di attacchidi attacchi
Meccanismi di sicurezza (3)Meccanismi di sicurezza (3)
Il Il recuperorecupero da un attacco si può fare in due da un attacco si può fare in due modimodi Il primo è fermare l’attacco e recuperare/ricostruire Il primo è fermare l’attacco e recuperare/ricostruire
la situazione pre-attacco, ad esempio attraverso la situazione pre-attacco, ad esempio attraverso copie di backupcopie di backup
Il secondo è continuare a far funzionare il sistema Il secondo è continuare a far funzionare il sistema correttamente durante l’attacco (fault-tolerant)correttamente durante l’attacco (fault-tolerant)
Assunzioni e fiduciaAssunzioni e fiducia Come possiamo essere certi che la politica Come possiamo essere certi che la politica
descrive correttamente il livello e il tipo richiesto descrive correttamente il livello e il tipo richiesto di sicurezza ?di sicurezza ?
Esempio: per aprire una porta occorre una Esempio: per aprire una porta occorre una chiave, l'assunzione ritenuta da molti valida è che chiave, l'assunzione ritenuta da molti valida è che il lucchetto sia a prova di ladriil lucchetto sia a prova di ladri
In un ambiente in cui ci sono abili scassinatori In un ambiente in cui ci sono abili scassinatori tale assunzione non è più valida e il sistema non tale assunzione non è più valida e il sistema non si può più ritenere sicurosi può più ritenere sicuro
Assunzioni e fiducia (2)Assunzioni e fiducia (2)
Un meccanismo M è Un meccanismo M è sicurosicuro (rispetto ad una (rispetto ad una politica P) se non può condurre a stati non politica P) se non può condurre a stati non ammessi da Pammessi da P
M è M è liberaleliberale se può condurre anche a stati non se può condurre anche a stati non ammessi da Pammessi da P
M è M è precisopreciso gli stati a cui può condurre gli stati a cui può condurre coincidono con quelli ammessi da Pcoincidono con quelli ammessi da P
Come ottenere un sistema sicuroCome ottenere un sistema sicuro
FasiFasi Specificazione: descrizione del funzionamento Specificazione: descrizione del funzionamento
desiderato del sistemadesiderato del sistema Progetto: traduzione delle specifiche in Progetto: traduzione delle specifiche in
componenti che le implementerannocomponenti che le implementeranno Implementazione: creazione del sistema che Implementazione: creazione del sistema che
soddisfa le specifichesoddisfa le specifiche E’ indispensabile verificare la correttezza dei E’ indispensabile verificare la correttezza dei
programmiprogrammi
Considerazioni implementativeConsiderazioni implementative
Analisi costi-benefici della sicurezzaAnalisi costi-benefici della sicurezza Analisi dei rischi (valutare le probabilità di subire Analisi dei rischi (valutare le probabilità di subire
attacchi e i danni che possono causare)attacchi e i danni che possono causare) Aspetti legali (ad esempio uso della crittografia negli Aspetti legali (ad esempio uso della crittografia negli
USA) e morali USA) e morali Problemi organizzativi (ad esempio la sicurezza non Problemi organizzativi (ad esempio la sicurezza non
“produce” nuova ricchezza, riduce solo le perdite)“produce” nuova ricchezza, riduce solo le perdite) Aspetti comportamentali delle persone coinvolteAspetti comportamentali delle persone coinvolte
Aspetti psicologiciAspetti psicologici
La sicurezza viene difficilmente apprezzataLa sicurezza viene difficilmente apprezzata La maggior parte degli utenti di internet non La maggior parte degli utenti di internet non
sanno nulla di sicurezza, ma hanno bisogno di sanno nulla di sicurezza, ma hanno bisogno di sicurezzasicurezza
Esiste un conflitto tra sicurezza e facilità d’uso Esiste un conflitto tra sicurezza e facilità d’uso del computerdel computer
Sono necessarie maggiori risorse di calcolo, Sono necessarie maggiori risorse di calcolo, interagisce con le abitudini, la gestione della interagisce con le abitudini, la gestione della sicurezza costasicurezza costa
Aspetti psicologici (2)Aspetti psicologici (2)
D’altra parte la sicurezza è D’altra parte la sicurezza è necessarianecessaria perché c’è una continua crescita delle perché c’è una continua crescita delle violazioni della sicurezza informatica violazioni della sicurezza informatica
Esistono software d’attacco disponibili su reteEsistono software d’attacco disponibili su rete Si riscontrano anche attacchi molto sofisticati Si riscontrano anche attacchi molto sofisticati
che arrivano a cancellare le tracceche arrivano a cancellare le tracce Quindi in percentuale cresce il numero degli Quindi in percentuale cresce il numero degli
attacchi che hanno successo ed arrivano a attacchi che hanno successo ed arrivano a compromettere il sistema attaccatocompromettere il sistema attaccato
RintracciabilitàRintracciabilità Certe “garanzie” possono non bastare:
anche azioni autorizzate possono causare violazioni di sicurezza
ci può essere un “buco” nei controlli che abbiamo stabilito
Impossibile la sicurezza al 100% E’ importante riuscire a tenere traccia di chi ha
fatto le azioni che violano la sicurezza : Rintracciabilità (Auditing)
RintracciabilitàRintracciabilità
L’auditing richiede: selezione delle azioni pericolose protezione dei file di log
Inoltre richiede l’autenticazione degli utenti in modo da poter collegare le azioni pericolose a chi le ha compiute
Sicurezza e livelliSicurezza e livelli
in quale livello del computer conviene inserire un meccanismo di controllo ?
applicazioni
servizi
SO
kernel del SO
hardware
Sicurezza e livelliSicurezza e livelli
livelli bassi: meccanismi di sicurezza generali, semplici, grossolani, ma dimostrabili corretti
livelli alti: meccanismi ad hoc per gli utenti, sofisticati, difficili da dimostrare corretti
Sicurezza e livelliSicurezza e livelli
il livello sottostante: ogni meccanismo di controllo definisce un
perimetro di sicurezza al suo esterno ci sono le parti del sistema il cui
malfunzionamento non compromette il meccanismo di controllo
al suo interno ci sono invece le parti del sistema che possono essere usate per scardinare il meccanismo di protezione
Sicurezza e livelliSicurezza e livelli
ogni meccanismo di controllo si situa ad un certo livello del computer, i livelli sottostanti sono sempre nel perimetro di sicurezza del meccanismo.
come difendere i livelli sotto quello in cui si trova il meccanismo di controllo
Attacchi al livello sottostanteAttacchi al livello sottostante Strumenti di recupero che leggono direttamente il
contenuto dei dischi o della RAM (byte per byte) ignorando l’organizzazione logica in files che questi bytes rappresentano e quindi evitando il controllo sull’accesso dei files stessi
I dispositivi di I/O in Unix sono trattati come files, se i permessi d’accesso ad un disco sono definiti male ed un utente ottiene accesso al disco, esso può avere accesso a tutti i files che vi risiedono indipendentemente dal permesso di accedere ad ogni singolo file
Attacchi al livello sottostanteAttacchi al livello sottostante
Riuso degli oggetti: in sistemi a multiprogrammazione un processo ottiene la CPU a spese di un altro processo cui viene sottratta. Un context switch copia lo stato del vecchio processo su file ed inizializza il nuovo processo. Lo switch non deve lasciare residui in memoria, cioè il nuovo processo non deve poter conoscere lo stato del processo che lo precede
Attacchi al livello sottostanteAttacchi al livello sottostante
Backups e core dumps basta che l’attaccante acceda ai files di backup o a dei core dumps (effettuati in caso di terminazione anomala dei programmi)
utenteapplic.
computer risorse
specifico complesso
generico, semplice
???
semplicità e buona garanzia, oppure specificità e minore garanzia ?
Visione finaleVisione finale
Modello di Modello di Harrison-Ruzzo-UllmanHarrison-Ruzzo-Ullman
E’ uno dei modelli teorici più semplici per la E’ uno dei modelli teorici più semplici per la sicurezza informaticasicurezza informatica
Si basa sui semplici concetti di soggetto, Si basa sui semplici concetti di soggetto, oggetto, diritto e matrice di controllooggetto, diritto e matrice di controllo
E’ alla base dei metodi di gestione della E’ alla base dei metodi di gestione della sicurezza nei sistemi operativi (capabilities, sicurezza nei sistemi operativi (capabilities, access control list, ...)access control list, ...)
StatiStati Uno stato di un sistema è composto dai valori Uno stato di un sistema è composto dai valori
correnti correnti di tutte le locazioni di memoriadi tutte le locazioni di memoria dei registridei registri del contenuto delle memorie di massadel contenuto delle memorie di massa del contenuto dei dispositividel contenuto dei dispositivi Di altre componenti del sistemaDi altre componenti del sistema
Insieme degli stati PInsieme degli stati P Insieme degli stati sicuri Q Insieme degli stati sicuri Q Insieme degli stati insicuri P-QInsieme degli stati insicuri P-Q
QP-Q
EntitàEntità
Insieme di oggetti OInsieme di oggetti O Insieme di soggetti S, sottoinsieme di OInsieme di soggetti S, sottoinsieme di O Insieme di diritti R, operazioni che un soggetto Insieme di diritti R, operazioni che un soggetto
ss può compiere su un oggetto può compiere su un oggetto oo Esempio Esempio
O={file1, file2, process1, process2},O={file1, file2, process1, process2}, S={process1, process2},S={process1, process2}, R={read, write, own, append, execute}R={read, write, own, append, execute}
Matrice di controllo degli accessiMatrice di controllo degli accessi
Matrice A[s,o] per ogni soggetto s ed ogni Matrice A[s,o] per ogni soggetto s ed ogni oggetto o oggetto o
Il contenuto di A[s,o] è un sottoinsieme di R e Il contenuto di A[s,o] è un sottoinsieme di R e specifica quali operazioni s può compiere su ospecifica quali operazioni s può compiere su o
L’operazione L’operazione ownown assume di solito il assume di solito il significato di possesso totale dell’oggetto e significato di possesso totale dell’oggetto e quindi anche la possibilità di cambiare i diritti quindi anche la possibilità di cambiare i diritti dei vari soggetti su tale oggettodei vari soggetti su tale oggetto
Esempio di matriceEsempio di matrice
file1file1 file2 file2 process1process1 process2process2
process1process1rd,wr,rd,wr, rd rd rd, wr, ex, rd, wr, ex, wr wr
ownown ownown
process2process2appapp rd,own rd,own rd rd rd,wr, ex rd,wr, ex
ownown
SpiegazioneSpiegazione
E’ chiaro cosa vuole dire che un processo può E’ chiaro cosa vuole dire che un processo può svolgere le operazioni di read, write, execute e svolgere le operazioni di read, write, execute e append su un fileappend su un file
Verso un processo read vuol dire ricevere Verso un processo read vuol dire ricevere segnali, write spedire e execute eseguirlo come segnali, write spedire e execute eseguirlo come sottoprocessosottoprocesso
Altro esempioAltro esempioHostnamesHostnames
ToadflaxToadflax
NobNob
TelegraphTelegraph
ownown ftpftp ftpftp
ftpftp, , nsfnsf, , mailmail, , ownown
ftpftp, , nfsnfs, , mailmail
ftpftp, , mailmail ftpftp, , nsfnsf, , mailmail, , ownown
Toadflax Nob Telegraph
Stati e comandiStati e comandi Stato X=(S,O,A)Stato X=(S,O,A) Primitive di modifica dello statoPrimitive di modifica dello stato
creare un nuovo soggettocreare un nuovo soggetto creare un nuovo oggettocreare un nuovo oggetto aggiungere un diritto r a A[s,o]aggiungere un diritto r a A[s,o] eliminare un diritto r da A[s,o]eliminare un diritto r da A[s,o] eliminare un soggettoeliminare un soggetto eliminare un oggettoeliminare un oggetto
Transizioni di statoTransizioni di stato
Un comando incondizionato è una primitiva o Un comando incondizionato è una primitiva o una sequenza di primitiveuna sequenza di primitive
Un comando C cambia lo stato corrente S in Un comando C cambia lo stato corrente S in un nuovo stato S’un nuovo stato S’
S |--S |--C C S’S’ Una sequenza di comandi C1,...,Cn cambia lo Una sequenza di comandi C1,...,Cn cambia lo
stato corrente S in un nuovo stato Sstato corrente S in un nuovo stato Snn
S |-- S |--C1 C1 SS11 |-- |--C2 C2 ... S ... Sn-1n-1 |-- |--Cn Cn SSnn
Comandi condizionaliComandi condizionali if r if r inin A[s,o] then A[s,o] then
primitiva1; primitiva1; ...; ...; primitivaNprimitivaN
if r1 if r1 inin A[s1,o1] and ... A[s1,o1] and ... and rk and rk inin A[sk,ok] then A[sk,ok] then primitiva1; primitiva1; ...; ...;
primitivaNprimitivaN
EsempioEsempiocomando CREA(soggetto s,file f)comando CREA(soggetto s,file f)
crea nuovo oggetto fcrea nuovo oggetto faggiungi own a A[s,f]aggiungi own a A[s,f]
comando CONFERISCI(soggetto s,soggetto s’,file f,diritto r)comando CONFERISCI(soggetto s,soggetto s’,file f,diritto r)if own in A[s,f] and if own in A[s,f] and r in A[s,f]r in A[s,f] then then
aggiungi r a A[s’,f]aggiungi r a A[s’,f]
comando RIMUOVI(soggetto s,soggetto s’, file f, diritto r)comando RIMUOVI(soggetto s,soggetto s’, file f, diritto r)if own in A[s,f] and r in A[s’,f] thenif own in A[s,f] and r in A[s’,f] then
elimina r da A[s’,f]elimina r da A[s’,f]
Diritti di copia e di possessoDiritti di copia e di possesso
Il diritto di copia (o grant) consente al Il diritto di copia (o grant) consente al possessore di un oggetto possessore di un oggetto oo di concedere ad di concedere ad altri soggetti un diritto altri soggetti un diritto rr su su oo
Per il Per il principio di attenuazione principio di attenuazione il possessore il possessore di di oo può concedere solo diritti che lui possiede può concedere solo diritti che lui possiede su su oo
Il diritto di possesso consente al possessore di Il diritto di possesso consente al possessore di oo di auto-concedersi o sottrarsi diritti su di auto-concedersi o sottrarsi diritti su oo
La domanda fondamentaleLa domanda fondamentale Un sistema informatico è definito con un Un sistema informatico è definito con un
insieme finito di comandi validi C e un insieme finito di comandi validi C e un insieme finito di diritti Rinsieme finito di diritti R
Come possiamo stabilire se è sicuro ?Come possiamo stabilire se è sicuro ? Ad esempio se esiste una sequenza di comandi Ad esempio se esiste una sequenza di comandi
che conduce ad una violazione di sicurezza ?che conduce ad una violazione di sicurezza ?
La domanda fondamentaleLa domanda fondamentale
Esiste un algoritmo in grado di determinare se Esiste un algoritmo in grado di determinare se il sistema è sicuro ?il sistema è sicuro ?
In generale la risposta è NO, in quanto In generale la risposta è NO, in quanto definendo in modo ragionevole quando un definendo in modo ragionevole quando un sistema è sicuro, si ottiene un problema sistema è sicuro, si ottiene un problema indecidibileindecidibile
Ad esempio una violazione è quando un utente Ad esempio una violazione è quando un utente ottiene un diritto per cui non era autorizzatoottiene un diritto per cui non era autorizzato
Modello take-grantModello take-grant E’ però possibile costruire dei modelli E’ però possibile costruire dei modelli
vincolati di cui è possibile dimostrare la vincolati di cui è possibile dimostrare la sicurezza in modo algoritmicosicurezza in modo algoritmico
Un esempio abbastanza semplice è il modello Un esempio abbastanza semplice è il modello take-grant in cui è possibile take-grant in cui è possibile definire se un utente può prendere (definire se un utente può prendere (taketake) o ) o
concedere (concedere (grantgrant) diritti da/a un altro utente) diritti da/a un altro utente che un utente che un utente creicrei un nuovo oggetto, auto- un nuovo oggetto, auto-
concedendosi diritti su di essoconcedendosi diritti su di esso che un utente che un utente tolgatolga a se stesso un diritto su un a se stesso un diritto su un
oggettooggetto
Modello take-grantModello take-grant
Modello take-grantModello take-grant
Decidibilità del modelloDecidibilità del modello E’ possibile costruire un grafo che rappresenta E’ possibile costruire un grafo che rappresenta
i diritti che i soggetti hanno sugli altri soggetti i diritti che i soggetti hanno sugli altri soggetti e sugli oggettie sugli oggetti
Ragionando su tale grafo e sull’insieme di Ragionando su tale grafo e sull’insieme di comandi validi è possibile verificare in comandi validi è possibile verificare in maniera efficiente se c’è la possibilità di maniera efficiente se c’è la possibilità di “furti” di diritti da parte di non autorizzati e di “furti” di diritti da parte di non autorizzati e di “cospirazioni” tra utenti“cospirazioni” tra utenti
Cenni al Schematic Protection Cenni al Schematic Protection ModelModel
Si basa sui concetti diSi basa sui concetti di ticket X/r: indica il diritto r sull’entità Xticket X/r: indica il diritto r sull’entità X tipi di soggetti e di oggettitipi di soggetti e di oggetti link di collegamento tra soggettilink di collegamento tra soggetti filtro sui linkfiltro sui link
X/rc indica che il diritto su X può essere copiato ad X/rc indica che il diritto su X può essere copiato ad altrialtri
I diritti sono suddivisi inI diritti sono suddivisi in inerziali: non cambiano lo stato di protezione del sistemainerziali: non cambiano lo stato di protezione del sistema di controllo: cambiano (come take o grant)di controllo: cambiano (come take o grant)
Cenni al SPMCenni al SPM
Un diritto r può essere concesso da Y a Z sulla Un diritto r può essere concesso da Y a Z sulla risorsa X serisorsa X se Y possiede il ticket X/rcY possiede il ticket X/rc Y è collegato a ZY è collegato a Z è ammesso dal filtro il trasferimento di r su X da è ammesso dal filtro il trasferimento di r su X da
oggetti del tipo di Y a quelli del tipo di Zoggetti del tipo di Y a quelli del tipo di Z Esiste un algoritmo in grado di decidere se un Esiste un algoritmo in grado di decidere se un
sistema SPM con un certo repertorio di sistema SPM con un certo repertorio di comandi validi è sicurocomandi validi è sicuro
Politiche di sicurezzaPolitiche di sicurezza
Una politica partiziona l’insieme degli stati Q in Una politica partiziona l’insieme degli stati Q in due partidue parti P, stati sicuriP, stati sicuri Q-P, stati insicuriQ-P, stati insicuri
Un sistema sicuro è un sistema che partendo da Un sistema sicuro è un sistema che partendo da uno stato sicuro non entra mai in uno stato uno stato sicuro non entra mai in uno stato insicuroinsicuro
Una falla nella sicurezza è quando un sistema Una falla nella sicurezza è quando un sistema entra in uno stato insicuroentra in uno stato insicuro
Politiche per la sicurezzaPolitiche per la sicurezza
Una politica P garantisceUna politica P garantisce la confidenzialità di I rispetto a X se nessun la confidenzialità di I rispetto a X se nessun
membro di X può accedere a Imembro di X può accedere a I l’integrita di I rispetto a X se ogni membro di X ha l’integrita di I rispetto a X se ogni membro di X ha
fiducia del contenuto di Ifiducia del contenuto di I la disponibilità di I rispetto a X se se ogni membro la disponibilità di I rispetto a X se se ogni membro
di X può accedere ad Idi X può accedere ad I Un meccanismo di sicurezza M è un entità o Un meccanismo di sicurezza M è un entità o
una procedura che rinforza una parte della una procedura che rinforza una parte della politica Ppolitica P
Tipi di politicheTipi di politiche
Politiche militari/governative: incentrate Politiche militari/governative: incentrate primariamente sulla confidenzialitàprimariamente sulla confidenzialità
Politiche commerciali: incentrate Politiche commerciali: incentrate maggiormente sull’integritàmaggiormente sull’integrità
Sono importanti anche ai fini commerciali le Sono importanti anche ai fini commerciali le politiche di integrità orientate alle transazioni politiche di integrità orientate alle transazioni (consistenza delle transazioni)(consistenza delle transazioni)
Tipi di controllo sugli accessiTipi di controllo sugli accessi
Controllo di accesso discrezionale (DAC), Controllo di accesso discrezionale (DAC), detto anche controllo di accesso basato detto anche controllo di accesso basato sull’identità (IBAC): sull’identità (IBAC): ogni utente può avere diritti diversi sugli oggettiogni utente può avere diritti diversi sugli oggetti è il possessore dell’oggetto che stabilisce i diritti è il possessore dell’oggetto che stabilisce i diritti
per se e per gli altri soggettiper se e per gli altri soggetti in base all’identità dell’utente che tali diritti sono in base all’identità dell’utente che tali diritti sono
controllaticontrollati
Tipi di controllo sugli accessiTipi di controllo sugli accessi
Controllo di accesso mandatorio (MAC), detto Controllo di accesso mandatorio (MAC), detto anche rule-based access controlanche rule-based access control il sistema controlla gli accessi di un soggetto il sistema controlla gli accessi di un soggetto ss ad ad
oggetto oggetto o o in base alle informazioni su in base alle informazioni su s s e su e su oo il singolo individuo non può alterare i dirittiil singolo individuo non può alterare i diritti il possessore non può assegnare i diritti in maniera il possessore non può assegnare i diritti in maniera
arbitraria agli altri soggettiarbitraria agli altri soggetti
Politiche per la confidenzialitàPolitiche per la confidenzialità
Uno dei modelli più semplici è quello di Bell-Uno dei modelli più semplici è quello di Bell-La PadulaLa Padula
Ci sono n livelli di sicurezza, Ci sono n livelli di sicurezza, LL11 è il livello più basso, è il livello più basso, ..., ..., LLnn è il livello più alto, quello per cui è maggiore la è il livello più alto, quello per cui è maggiore la
necessità di confidenzialitànecessità di confidenzialità Ad esempio UC (non classificato) < C Ad esempio UC (non classificato) < C
(confidenziale) < S (segreto) < TS (top secret)(confidenziale) < S (segreto) < TS (top secret)
Modello di Bell-La PadulaModello di Bell-La Padula
Ogni soggetto s ha un proprio livello di Ogni soggetto s ha un proprio livello di sicurezza sicurezza L(s)L(s) che rappresenta il livello che rappresenta il livello massimo a cui può lavoraremassimo a cui può lavorare
Ogni oggetto Ogni oggetto oo ha un proprio livello di ha un proprio livello di sicurezza sicurezza L(o)L(o) che rappresenta il livello di che rappresenta il livello di confidenzialità che contieneconfidenzialità che contiene
Ogni soggetto s ha eventuali diritti Ogni soggetto s ha eventuali diritti discrezionali di lettura e/o scrittura sugli discrezionali di lettura e/o scrittura sugli oggetti ooggetti o
EsempioEsempio
Livelli di Livelli di sicurezzasicurezza
SoggettiSoggetti OggettiOggetti
TOP SECRETTOP SECRET Tamara, ThomasTamara, Thomas File personaliFile personali
SECRETSECRET Sally, SamuelSally, Samuel File e-mailFile e-mail
CONFIDENTIALCONFIDENTIAL Claire, ClarenceClaire, Clarence File di logFile di log
UNCLASSIFIEDUNCLASSIFIED Ursula, UrkUrsula, Urk Elenco telef.Elenco telef.
Regole di base Regole di base di Bell-La Paduladi Bell-La Padula
Il soggetto Il soggetto ss può leggere l’oggetto può leggere l’oggetto oo se se L(o)<=L(s)L(o)<=L(s) e se ha diritto discrezionale di e se ha diritto discrezionale di leggere leggere o o ((proprietà di sicurezza sempliceproprietà di sicurezza semplice))
Ad esempio Claire non può leggere i file Ad esempio Claire non può leggere i file personali, mentre Tamara può leggere i file di personali, mentre Tamara può leggere i file di loglog
Cosa succederebbe se Tamara copiasse una Cosa succederebbe se Tamara copiasse una parte dei file personali sui file di log ?parte dei file personali sui file di log ?
Regole di baseRegole di base Il soggetto Il soggetto ss può scrivere l’oggetto può scrivere l’oggetto oo se se
L(o)>=L(s)L(o)>=L(s) e se ha diritto discrezionale di e se ha diritto discrezionale di scrivere scrivere oo ( (proprietà *proprietà *) )
Quindi tutto quello che può scrivere Tamara è Quindi tutto quello che può scrivere Tamara è Top Secret (file personali), che solo Thomas, Top Secret (file personali), che solo Thomas, oltre a lei può leggereoltre a lei può leggere
Un sistema è sicuro se qualunque cosa accada Un sistema è sicuro se qualunque cosa accada (cioè in qualunque stato sia possibile transire (cioè in qualunque stato sia possibile transire attraverso i comandi validi) le due proprietà attraverso i comandi validi) le due proprietà (semplice e *) continuano a valere(semplice e *) continuano a valere
Categorie di oggettiCategorie di oggetti
Ogni oggetto è classificato in una o più Ogni oggetto è classificato in una o più categorie a seconda del contenutocategorie a seconda del contenuto
Ad esempio NUC, EUR e USAd esempio NUC, EUR e US
00
{NUC,EUR,US}
{NUC,EUR} {EUR,US} {NUC,US}
{EUR} {NUC} {US}
{ }
Categorie di oggettiCategorie di oggetti
Ogni soggetto ha un livello e un insieme di Ogni soggetto ha un livello e un insieme di categorie a cui può accederecategorie a cui può accedere
Ogni oggetto ha un livello e un insieme di Ogni oggetto ha un livello e un insieme di categorie di cui trattacategorie di cui tratta
Principio del “need-to-know”: ogni soggetto Principio del “need-to-know”: ogni soggetto deve sapere solo quello di cui ha strettamente deve sapere solo quello di cui ha strettamente bisognobisogno
EsempioEsempio
George ha livello (Secret, {NUC, EUR})George ha livello (Secret, {NUC, EUR}) Paul ha livello (Secret, {EUR, NUC, US})Paul ha livello (Secret, {EUR, NUC, US}) DocA ha livello (Confid, {NUC})DocA ha livello (Confid, {NUC}) DocB ha livello (Secret, {EUR, US})DocB ha livello (Secret, {EUR, US}) DocC ha livello (Secret, {EUR})DocC ha livello (Secret, {EUR})
DominanzaDominanza
In una coppia (L,C), L è un livello di sicurezza In una coppia (L,C), L è un livello di sicurezza e C è un sottoinsieme di categoriee C è un sottoinsieme di categorie
La coppia (L,C) domina la coppia (L’,C’) se La coppia (L,C) domina la coppia (L’,C’) se L’<=L e L’<=L e C’ è un sottoinsieme di CC’ è un sottoinsieme di C
Ad esempio George domina DocA in quanto Ad esempio George domina DocA in quanto Conf < Secret e {NUC} è un sottoinsieme di Conf < Secret e {NUC} è un sottoinsieme di {NUC, EUR}{NUC, EUR}
George non domina DocBGeorge non domina DocB
RegoleRegole
s s può leggere può leggere o o se (L(s),C(s)) domina se (L(s),C(s)) domina (L(o),C(o)) e s ha il diritto discrezionale di (L(o),C(o)) e s ha il diritto discrezionale di lettura su olettura su o
Ad esempio George potrebbe leggere DocA e Ad esempio George potrebbe leggere DocA e DocC, ma non DocBDocC, ma non DocB
s s può scrivere può scrivere o o se (L(o),C(o)) domina se (L(o),C(o)) domina (L(s),C(s)) e s ha il diritto discrezionale di (L(s),C(s)) e s ha il diritto discrezionale di scrittura su oscrittura su o
Paul non può scrivere DocAPaul non può scrivere DocA
SicurezzaSicurezza
Se ogni comando valido preserva la Se ogni comando valido preserva la condizione di semplice sicurezza e la proprietà condizione di semplice sicurezza e la proprietà * allora il sistema è sicuro e non si possono * allora il sistema è sicuro e non si possono avere intrusioniavere intrusioni
Un problema grave è che un soggetto S non Un problema grave è che un soggetto S non può può maimai comunicare con soggetti S’ di livello comunicare con soggetti S’ di livello di sicurezza inferioredi sicurezza inferiore
Principio di tranquillitàPrincipio di tranquillità
Bisognerebbe cambiare i livelli di sicurezza di Bisognerebbe cambiare i livelli di sicurezza di un oggettoun oggetto
Ma si può ?Ma si può ? Principio di tranquillità forte: NO !Principio di tranquillità forte: NO ! Principio di tranquillità debole:Principio di tranquillità debole:
Se ciò non viola le regole delle politiche di Se ciò non viola le regole delle politiche di sicurezza, ad esempiosicurezza, ad esempio
Alzare il livello di un oggettoAlzare il livello di un oggetto Abbassare (dopo declassificazione) il livello di un Abbassare (dopo declassificazione) il livello di un
oggettooggetto