Wykład 13

Transkrypt

Wykład 13

Wykład 13
Bezpieczeństwo
Wojciech Kwedlo,Krzysztof Bandurski, Wykład z Systemów Operacyjnych
-1-
Wydział Informatyki
PB
Bezpieczeństwo
●
●
System jest bezpieczny, gdy zasoby są używane tak jak jest to (przez system)
zamierzone bez względu na okoliczności.
System może zapewniać wspaniały mechanizm ochrony gwarantujący, że
użytkownik który jest studentem nigdy nie otrzyma praw zapisu do do pliku
wyniki_egzaminu.txt, ale
–
Student może się zalogować do systemu jako prof. Kowalski.
–
Student może poprzez złośliwe działanie (np. utwórz 10000 procesów, przydziel
10GB pamięci, inne ...) zakłócić normalną pracę systemu – atak typu denial of
service.
–
Student może wystartować z dyskietki własny system operacyjny i uzyskać dostęp
do wszystkich plików na dysku twardym
–
Student może wymontować dysk z komputera, wstawić do innego systemu, a
następnie powtórzyć czynności z poprzedniego kroku.
–
Student mający znajomości w CIA może zarejestrować z odległości 200m
wszystkie znaki wpisywane na klawiaturze.
–
Student może wręczyć łapówkę profesorowi
-2-
PB
Naruszenia bezpieczeństwa
●
●
●
●
●
Całkowite bezpieczeństwo jest niemożliwe do osiągnięcia - ale należy
projektować mechanizmy sprawiające, aby naruszenia były jak najrzadsze.
Ogólnie można podzielić na przypadkowe bądź celowe, złośliwe (ang.
malicious) - obrona przed złośliwymi jest dużo trudniejsza.
Najważniejsze celowe naruszenia to:
–
Nieautoryzowany dostęp do danych lub kradzież informacji.
–
Nieautoryzowana modyfikacja danych.
–
Nieautoryzowane zniszczenie danych.
–
Uniemożliwienie normalnego korzystania z systemu (ang. denial of service, DOS).
Niezbędne jest podjęcie niezbędnych środków na poziomie:
–
Fizycznym: kluczyki, kasa pancerna, ...
–
Ludzkim: może nie warto przyznawać konta osobie, która jest spędza cały wolny
czas w kasynie i jest zadłużona.
–
Sieci: Komputery nie są izolowane, dane przesyłane są liniami nad którymi nie
mamy kontroli: możliwość podsłuchu, ukrycia tożsamości, zmiany tożsamości
–
Systemu operacyjnego.
Na dzisziejszym wykładzie dwa ostatnie punkty
-3-
PB
Uwierzytelnianie (ang. authentication)
użytkowników
●
●
●
Jak sprawdzić, czy identyfikator użytkownika jest autentyczny ? Istniejące podejścia
oparte są na sprawdzeniu wiedzy (hasła), pomiarach biometrycznych (linie papilarne,
wzór siatkówki), czy stanu posiadania (np. karty chipowe).
Hasła są najpopularniejsza, ale sprawiają wiele problemów.
–
Ludzie wybierają jako hasła słowa łatwe do odgadnięcia (np. swoje imię).
–
Użytkownik może zapisać trudne hasło na kartce i pozostawić w łatwo dostępnym miejscu.
–
Hasła są narażone na ujawnienie w wyniku monitoringu (np. spoglądanie zza ramienia,
przechwyt pakietów w sieci (o ile nie są szyforwane)).
Problem: W jaki sposób nie przechowywać hasła w sposób jawny, ale jednocześnie
umożliwić uwierzytelnienie ? Odp: Wykorzystując szyfrowanie w postaci
jednokierunkowej funkcji skrótu f, np.
f(“Wojtek”) =”aqw36vbuyolrw6yefgnmyulocdxnmueq98i7rtfmuo76w”
●
Postać zaszyfrowana jest przechowywana w pliku z hasłami. Przy uwierzytelnianiu jest
obliczana funkcja skrótu, a wynik porównywany z postacią zaszyfrowaną. Jeżeli funkcja
skrótu jest na tyle bezpieczna, że (a) pomimo znajomości algorytmu i (b) znajomości
postaci zakodowanej, nie da się analitycznie (bez przeszukania wyczerpującego )
odgadnąć hasła, dostęp do postaci zaszyfrowanej niewiele daje.
-4-
PB
Szyfrowanie symetryczne
“Sprzedaj
akcje“
szyfrowanie
“BxWv;5df deszyfrowanie
“Sprzedaj
~TmWe#4
akcje“
^,sdgfMwir
3:dkJeTsY\
s@!q3”
BOB
Ten sam klucz
(tajny)
ALICJA
●
Algorytmy: DES,3-DES, IDEA, Blowfish, ... (szybkie !!!)
●
Wada: Jak uzgodnić tajny klucz (włamywacz może podsłuchiwać !!!)
-5-
PB
Kryptografia asymetryczna
różne klucze
różne klucze
Klucz
publiczny
Klucz
publiczny
Klucz
prywatny
BOB
●
●
Klucz
prywatny
ALICJA
Zarówno Bob jak i Alicja generują pary kluczy:
–
Klucz publiczny - dostępny dla wszystkich np. w książce telefonicznej
–
Klucz prywatny - tajny
Algorytm działa w sposób następujący: Komunikat zaszyfrowany jednym kluczem z pary
można odszyfrować wyłącznie drugim kluczem.
-6-
PB
Kryptografia asymetryczna - przesyłanie tajnej wiadomości
“Sprzedaj
akcje“
BOB
szyfrowanie
“Sprzedaj
~TmWe#4
akcje“
^,sdgfMwir
3:dkJeTsY\
s@!q3”
Klucz
publiczny
Alicji
●
Tylko Alicja może odczytać wiadomość.
●
Nie trzeba uzgadniać tajnego klucza !!!
●
Alicja nie wie, czy nadawcą jest Bob
Klucz
prywatny
Alicji
-7-
ALICJA
PB
Kryptografia asymetryczna - podpis cyfrowy
“To ja BOB “
BOB
szyfrowanie
“To ja BOB“
~TmWe#4
^,sdgfMwir
3:dkJeTsY\
s@!q3”
Klucz
publiczny
BOBa
Klucz
prywatny
BOBa
●
Każdy może odczytać wiadomość.
●
Mamy gwarancję że napisał ją BOB.
●
Dobre narzędzie do uwierzytelnienia np. program ssh.
-8-
ALICJA
PB
Kryptografia asymetryczna
●
Możemy łączyć dwie techniki np. BOB szyfruje wiadomość najpierw kluczem
publicznym Alicji a potem swoim kluczem prywatnym. Alicja dekoduje
używając najpierw klucza publicznego BOBa, a następnie swojego klucza
prywatnego.
–
●
●
●
●
Alicja ma gwarancję, że komunikat wysłała BOB i jednocześnie treść jest tajna.
Techniki asymetryczne są niezwykle wolne (1000 razy wolniejsze od technik
symetrycznych) - problem w przypadku długich wiadomości, ruchu w sieci, ...
W praktyce używa się rozwiązań hybrydowych, w którym techniki
asymetryczne wykorzystuje się do wygenerowania i uzgodnienia klucza dla
szyfru symetrycznego - ale dla użytkownika nie ma to znaczenia.
Problem: Jak zagwarantować, że publiczny klucz Alicji umieszczony w książce
telefonicznej jest naprawdę kluczem Alicji. Rozwiązania: certyfikaty. Klucz
publiczny jest podpisany przez organizację której ufamy: VeriSign, PCSS,
Microsoft (- to żart).
W ten sposób powstaje PKI (Public Key Infrastructure) - e-banki, etc ....
-9-
PB
Złośliwe programy - klasyfikacja
-10-
PB
Tylne drzwi + bomby logiczne
●
●
●
●
●
Tylne drzwi (ang. trapdoor) Mechanizm, pozwalający osobie która jest świadoma
jego istnienia na uzyskanie dostępu.
Przykład: każdy który wykona telnet na port 12345 otrzymuje uprawnienia
Administratora.
Programiści często używają tylnych drzwi w celu ułatwienia debugowania systemu
(mogą zapomnieć je usunąć, przykład jednej z bazy danych, tylne drzwi wykryto
dopiero, gdy firma udostępniła kod na zasadach Open Source).
Włamywacze pozostawiają/instalują tylne drzwi aby ułatwić sobie (i być może innym
kolejne włamania).
Bomba logiczna, kod umieszczony w legalnym programie, który eksploduje gdy
spełnione są pewne warunki np.
–
Programista zostanie skreślony z listy płac firmy.
–
Firma pisząca program nie otrzyma zapłaty.
-11-
PB
Konie trojańskie
●
●
Program, często atrakcyjny (np. gra komputerowa, program kompresji
plików, ...), często dostępny publicznie w internecie, który dodatkowo
wykonuje pewne złośliwe czynności.
–
Np. co 12 miesięcy formatuje dysk.
–
Także programy typu spyware.
Przykład: login spoofing:
(a) Fałszywy ekran logowania
(b) prawdziwy ekran logowania
●
●
-12-
PB
Wirusy
Wirus
Wirus
Kod
programu
Kod
programu
Adres
początku
●
●
Wirus
Kod
programu
Wirus
Wirus
Wirus
Nagłówek
Nagłówek
Nagłówek
Nagłówek
(a)
(b)
(c)
(d)
Wirus - program zdolny do powielania przez dodanie swojego kodu do innego programu.
Uruchomienie innego programu powoduje ponowne powielenie się wirusa.
Wirusy mogą także infekować: sektor startowy (boot sektor), dokumenty programów
aplikacyjnych np. pliki Worda i Excela (bo mogą zawierać kod Visual Basica uruchamiany
automatycznie po wczytaniu dokumentu - dziękujemy ci M$) a nawet kod źródłowy (np. w
języku C)
-13-
PB
Ochrona przed wirusami
●
●
●
●
●
Generalnie nie należy uruchamiać
specjalistyczne oprogramowanie typu:
niepewnego
kodu,
oprócz
tego
Skanery antywirusowe: porównują kod wirusa z bazą danych.
–
Wirusy starają się unikać wykrycia: szyfrowanie, wirusy polimorficzne.
–
Skanowanie trwa długo.
–
Jeżeli wirusa nie ma w bazie danych - problemy.
Sprawdzanie spójności: utrzymuj sumy kontrolne dla każdego pliku (wirus
może próbować je zmienić)
Blokery: Uniemożliwiaj podejrzane zachowanie np. zapis do plików .exe - ale
robi to wiele legalnych programów.
Kontrola zachowania (ang. behavioral checking) wykrywaj zmiany zachowania
się programu - przedmiot badań naukowych.
-14-
PB
Ataki typu Denial of Service
●
●
●
Przykład: w nagłówku pakietu w jednym z protokołów TCP/IP pewne pole przechowuje
długość pakietu.
–
System Windows 95 nie sprawdzał, czy te pole ma sensowną wartość. (Tzn. zakładał że wartość
ta jest zawsze poprawna).
–
W efekcie wystarczyło wysłać przez sieć pakiet o wartości pola długość = 0xffffffff. System
Windows przyjmował to za pakiet o długości 4GB i usiłując go “skopiować” zamazywał cały
RAM komputera.
Inny przykład: dzięki błędowi w procesorach Intela każdy użytkownik mógł wykonać
niedozwoloną instrukcję o prefiksie 0x0f i “wyłączyć” procesor -> na szczęście
odnaleziono obejście programowe.
Nowość: ataki typu DDOS (Distributed DOS). Włamywacze przejmują kilka (set,tysięcy)
komputerów w sieci (zombi). Następnie z każdego komputera częściowo otwierają setki
połączeń TCP np. do serwera WWW - co przeciąża serwer, tak że zwykli użytkownicy nie
mogą z niego korzystać.
–
Obrona przed takimi atakami jest bardzo trudna, ponieważ ciężko stwierdzić że w ogóle trwa atak
(może serwer jest obciążony legalnym ruchem)
-15-
PB
Robaki (ang. Worms)
●
●
●
Używa połączenie sieciowego do przenoszenie się z jednego systemu na drugi. Nie
wymaga nosiciela.
Robaki mogą się przenosić przy pomocy:
–
E-maili. Otwarcie e-maila automatycznie uruchamia załącznik (dziękujemy ci M$). Załącznik
zawiera program, który przegląda książkę adresową i rozsyła się do wszystkich
korespondentów.
–
Przydaje się odrobina inżynierii społecznej np. tytuł maila “I Love You”.
Możliwości zdalnego wykonania kodu - dzięki wykorzystaniu techniki przepełnienia
bufora.
–
Błąd w systemie operacyjnym (często nie w jądrze, ale w uprzywilejowanych programach
dokonujących komunikacji sieciowej użytkownika typu serwer WWW, serwer poczty) pozwala
atakującemu na zdalne wykonanie dowolnego kodu.
–
Ten kod transmituje robaka z maszyny atakującego, uruchamia robaka, skanuje sieć w
poszukiwaniu innych ofiar itp.
-16-
PB
Przepełnienie bufora (1)
●
Wyobraźmy sobie program wykonujący sie wysokimi uprawnieniami (np.
Administratora - patrz bit suid) a w w funkcja A wołana z funkcji main:
void A() {
char B[128]
scanf(“%s”,Bufor);
}
●
●
// dalszy kod funkcji A
Generalnie chodzi o sytuację w której (a) program otrzymuje dane z zewnątrz
(b) na dane zaalokowaliśmy bufor o stałej długości, (c) nie sprawdzamy, czy
dane przesyłane z zewnątrz nie zajmują więcej miejsca niż na nie
przeznaczyliśmy.
Co się stanie jeżeli napis będzie dłuższy od 128 znaków ???
-17-
PB
Przepełnienie bufora (2)
Przestrzeń adresów
0xFFFF...
Zmienne lokalne
Stack
main
Stack
pointer
Zmienne lokalne
main
Zmienne lokalne
main
Adr. powrotu
Adr. powrotu
Zmienne
lokalne A
Zmienne
lokalne A
B
SP
SP
B
Bufor B
●
●
Program
Program
Program
(a)
(b)
(c)
Zmienne lokalne oraz adresy powrotu z funkcji (instr. call) przechowywane są
na stosie.
W wyniku przepełnienia bufora adres powrotu zostaje zamazany. Przy
złośliwym skonstruowaniu danych, adres powrotu może wskazać na inną część
bufora, co daje atakującemu możliwość wykonania dowolnego kodu z
uprawnieniami zaatakowanego procesu (np. wyświetlenie shella)
-18-
PB
Jak walczyć z przepełnieniami bufora
●
●
●
Generalnie nie wolno ufać danym przekazanym na wejściu procesu (dotyczy to zwłaszcza
procesów o wysokich uprawnieniach).
Do przetwarzania danych używać wyłącznie funkcji pozwalających na określenie rozmiaru
bufora (strcpy => strncpy).
Ale mimo to firma M$ miała olbrzymie problemy z przepełnieniami bufora (robaki
sieciowe NIMDA, CODE RED).
–
●
●
W Linuksie istnieje możliwość ładowania programów i bibliotek pod losowo wybrany
adres, co niezwykle utrudnia konstruowanie exploitów.
Z ostatecznym (???) ratunkiem pośpieszyły Intel i AMD: najnowsze wersje ich
procesorów mają możliwość określenia zabronienia zakazu wykonania kodu (oprócz
istniejącego już zakazu zapisu) dla każdej strony procesu.
–
●
W sieci szybko pojawiały się tzw. exploity, przez co użytkownicy nie mający doświadczenia
technicznego (tzw. script kiddies) mogli się włamywać do systemów przez sieć.
Nic prostszego jak ustawić bit zakazu dla wszystkich stron stosu.
Nowe języki programowanie (Java, C# - platforma .NET) nie używają wskaźników - i
problemu nie ma (???)
-19-
PB
Zasady projektowania bezpiecznych systemów
●
Budowa systemu powinna być powszechnie znana.
●
Domyślnie, dostęp powinien być zabroniony.
●
Sprawdzaj uprawnienia na bieżąco.
●
Dawaj procesom jak najmniejsze uprawnienia.
●
●
Mechanizmy ochrony powinny być proste, jednolite i zaimplementowane w najniższych
warstwach systemu.
Wybrane metody ochrony nie mogą zniechęcać użytkowników.
...i utrzymuj prostotę budowy
-20-
PB

Wykład 13

Transkrypt

Podobne dokumenty

Wykład 12 Bezpieczeństwo c.d.

Wykład 11 Ochrona + Bezpieczeństwo cz. I

Wykład 12 Ochrona

prof. dr hab. Wojciech Chudziak prof. dr hab. Józef Dobosz prof.

Systemy operacyjne

Data Czas zajęć Prowadzący 29 czerwca do 3 lipca 2015

Śmierć obrazu WOJCIECH MICHERA Śmierć obrazu JOSEPH LEO

Wyniki_klocki - Zespół Szkół z Oddziałami Integracyjnymi nr 2 w

Spis treści