Υπηρεσίες Ασφάλειας & Έλεγχος Πρόσβασης Διάλεξη στις 01.03.2010 Δρ. Χρήστος Αναγνωστόπουλος (bleu@di.uoa.gr)
Υπηρεσίες Ασφάλειας κατά O.S.I. Αυθεντικοποίηση (Authentication) Έλεγχος Πρόσβασης (Access Control) Εμπιστευτικότητα (Confidentiality) Ακεραιότητα (Integrity) Μη αποποίηση (Non repudiation) Διαθεσιμότητα (Availability)
Μηχανισμοί Ασφάλειας κατά O.S.I. Κρυπτογραφία (Encipherment) Ψηφιακές Υπογραφές (Digital Signatures) Ελέγχου Πρόσβασης (Access Control) Ακεραιότητας Δεδομένων (Data Integrity) Ανταλλαγής Αυθεντικοποίησης (Authentication Exchange) Εμβόλιμης Κίνησης (Traffic Padding) Ελέγχου Δρομολόγησης (Routing Control) Συμβολαιογραφίας (Notarization)
Μηχανισμοί Ασφάλειας κατά O.S.I. Κρυπτογραφία (Encipherment) Εμπιστευτικότητα. Συνεπικουρεί και σε άλλους μηχανισμούς. Ψηφιακές Υπογραφές (Digital Signatures) Επικύρωση ακεραιότητας. Αποτροπή αποποίησης αποστολής. Αυθεντικοποίηση. Ελέγχου Πρόσβασης (Access Control) Έλεγχος προσπέλασης σε πόρους και αγαθά. Εξουσιοδότηση. Χρήση μηχανισμών αυθεντικοποίησης.
Μηχανισμοί Ασφάλειας κατά O.S.I. Ακεραιότητας Δεδομένων (Data Integrity) Αποτροπή τροποποίησης δεδομένων που μεταδίδονται Ανταλλαγής Αυθεντικοποίησης (Authentication Exchange) Επιβεβαίωση ταυτότητας οντοτήτων Ισχυρή (κρυπτογραφία) vs. Μη ισχυρή (χωρίς κρυπτογραφία) Εμβόλιμης Κίνησης (Traffic Padding) Αποτροπή ανάλυσης κίνησης Ελέγχου Δρομολόγησης (Routing Control) Επιλογή συγκεκριμένης διαδρομής κατά τη μετάδοση της πληροφορίας Ανίχνευση Εισβολέων Συμβολαιογραφίας (Notarization) Διασφαλίζουν ιδιότητες πληροφορίας, όπως προέλευση, προορισμός
Έλεγχος Πρόσβασης
Αντικείμενα Πρόσβασης Μνήμη διεργασίας Χωρητικότητα στο δίσκο Αρχεία δεδομένων (+πίνακες βάσεων δεδομένων) Εκτελέσιμα προγράμματα (εγκατάσταση, εκτέλεση, απεγκατάσταση) Μονάδες εισόδου/εξόδου (π.χ., USB απενεργοποίηση) Ευρετήρια αρχείων (π.χ., αναζήτηση σε κατάλογο) Πίνακες λειτουργικού συστήματος Μηχανισμοί συνθηματικών και αναγνώρισης ταυτότητας χρήστη. Εκτυπωτές… Πρόσβαση σε δίκτυο …
Επίπεδα Πρόσβασης Αντικειμένων* Καμία προστασία Απομόνωση: κάθε διεργασία έχει δικά της αντικείμενα Κοινή ή αποκλειστική χρήση: ο ιδιοκτήτης ορίζει δικαιώματα Περιοριστική πρόσβαση: το λειτουργικό σύστημα ελέγχει την πρόσβαση υποκειμένων-αντικειμένων Μεταβλητή δυνατότητα πρόσβασης: δυνατότητα δυναμικής τροποποίησης των δικαιωμάτων Περιορισμένη χρήση αντικειμένου: δυνατότητα περιορισμών δικαιωμάτων σε διάφορα αντικείμενα, π.χ., r--, -w-. Βαθμίδα πρόσβασης Bit, byte, word, field, record, file *C. Pfleeger, Security in Computing, Prentice Hall, Englewood Cliffs, US., 1989
Στόχοι Πρόσβασης Αντικειμένων Έλεγχος κάθε πρόσβασης (Check every access) Το λειτουργικό σύστημα πρέπει να μπορεί να ανακαλέσει το δικαίωμα πρόσβασης ενός χρήστη σε κάποιο αντικείμενο. Σε κάθε αίτηση πρέπει να ελέγχεται η ύπαρξη δικαιώματος. Αναγνώριση ελάχιστων δικαιωμάτων (Allow least privilege) Ο χρήστης διαθέτει δικαίωμα πρόσβασης μόνο στα αντικείμενα που είναι απολύτως απαραίτητα για την άσκηση καθηκόντων του. Επαλήθευση αποδεκτής χρήσης (Verify acceptable usage) Επιβεβαίωση ότι εκτός από το δικαίωμα πρόσβασης σε ένα αντικείμενο, πρέπει να ελέγχονται διαρκώς οι πράξεις σε αυτό, δημιουργώντας ένα προφίλ για κάθε υποκείμενο (;).
Δομές Ελέγχου Πρόσβασης Ευρετήριο (Directory) Λίστα Ελέγχου Πρόσβασης (Access Control List) Γράφος Ελέγχου Πρόσβασης (Access Control Graph)
Ευρετήριο Ορίζονται δικαιώματα τύπου: Μειονεκτήματα: read (R), write (W), execute (E), owner (O). Κάθε αντικείμενο έχει έναν και μοναδικό ιδιοκτήτη, ο οποίος καθορίζει τα δικαιώματα πρόσβασης σε αυτό. Κάθε υποκείμενο έχει ένα κατάλογο-λίστα όλων των αντικειμένων για τα οποία έχει καθορισμένα δικαιώματα πρόσβασης Μειονεκτήματα: Οι λίστες των υποκειμένων είναι τεράστιες Οι διαδικασίες αναζήτησης είναι χρονοβόρες Ο ιδιοκτήτης δεν γνωρίζει ποια υποκείμενα έχουν πρόσβαση στα δικά του αντικείμενα καθώς και αγνοεί την μεταβίβαση δικαιωμάτων από ένα έμπιστο υποκείμενο σε κάποιο άλλο.
Ευρετήριο Ευρετήριο (χρήστη-α) Ευρετήριο (χρήστη-β) ORW RW OR W E OR Sec18.03.09.ppt ORW Sec18.03.09.ppt RW Passwd.obj OR Passwd.obj W eplorer.exe E eplorer.exe OR Example.java ORW
Λίστα Ελέγχου Πρόσβασης (ACL) Ορίζονται δικαιώματα τύπου: read (R), write (W), execute (E), owner (O). Κάθε αντικείμενο έχει ένα κατάλογο-λίστα όλων των υποκειμένων και των δικαιωμάτων σε αυτό Λύνονται τα προβλήματα του Ευρετηρίου, αλλά για να αρθούν τα δικαιώματα ενός υποκειμένου απαιτείται αναζήτηση σε όλες τις λίστες των αντικειμένων. Εφαρμογή VAX/VMS και UNIX. Παράδειγμα: Έστω μια διεργασία (δ) που εκτελείται για λογαριασμό του υποκειμένου (υ) και επιχειρεί πρόσβαση σε κάποιο αντικείμενο (α) με δικαιώματα Α = {r,w}. Τότε, η πρόσβαση είναι επιτρεπτή όταν στο κατάλογο του συστήματος υπάρχει η εγγραφή (α, υ, Β = {r,w,x}), δηλαδή το σύνολο Α είναι υποσύνολο του Β για το (υ) υποκείμενο, ανεξαρτήτως τι τύπου είναι η διεργασία (δ)! Πως μπορούμε να ξέρουμε κάτι για την (δ); Έχει νόημα; java.security.acl.* sun.security.acl.*;
Λίστα Ελέγχου Πρόσβασης (ACL) Ευρετήριο Sec18.03.09.ppt Χρήστης-α RW Χρήστης-β W Passwd.obj Χρήστης-γ OR eplorer.exe Χρήστης-α RW Χρήστης-γ W Χρήστης-α RW Χρήστης-β W Χρήστης-γ OR Χρήστης-δ OR
Γράφος Ελέγχου Πρόσβασης Ορίζονται δικαιώματα τύπου: read (R), write (W), execute (E), owner (O). Τα δικαιώματα ορίζονται ως πληροφορία πάνω στην ακμή που συνδέει ένα κόμβο-Υποκείμενο με ένα κόμβο-Αντικείμενο Εάν η υλοποίηση γίνει με δομή δεδομένων «πίνακα» τότε προκύπτουν πολλοί αραιοί πίνακες. Sec18.03.09.ppt Χρήστης-α Passwd.obj Χρήστης-β Χρήστης-γ eplorer.exe
Λογαριασμοί Χρηστών και Ομάδων
Μηχανισμός ομαδοποίησης Ομαδοποίηση χρηστών σε τρεις «ομάδες» Χρήστη (user) π.χ., φοιτητής Ομάδα χρηστών όπου ο χρήστης έχει εμπιστοσύνη Φοιτητές για ένα συγκεκριμένο μάθημα Η βάση για ταξινόμηση σε ομάδα είναι η ανάγκη οι χρήστες να μοιρασθούν κάτι κοινό. Υπόλοιποι χρήστες Συμφοιτητές τις σχολής Δικαιώματα είναι: r,w,x Η αναγνώριση ενός user γίνεται με βάση του userID και το groupID, δηλαδή από το ζεύγος (user,group)
Μηχανισμός ομαδοποίησης Μειονεκτήματα Ένας χρήστης δεν μπορεί να ανήκει ταυτόχρονα σε δύο ή περισσότερες ομάδες Για να ξεπερασθεί το μειονέκτημα αυτό, εισάγουμε τον ίδιο χρήστη σε πολλές ομάδες (αφού το μοναδικό κλειδί είναι το ζεύγος (user, group)). Αποτέλεσμα: αύξηση των λογαριασμών των χρηστών, πολλαπλή εμφάνιση των ίδιων αρχείων με διαφορετικά δικαιώματα πρόσβασης,… Πολλές φορές οι χρήστες θέλουν να ορίζουν δικαιώματα πρόσβασης με βάση ένα συγκεκριμένο αρχείο και όχι με βάση την ομάδα όπου ανήκουν.
Μηχανισμός Συνθηματικού Για να ενεργοποιηθεί το δικαίωμα πρόσβασης ενός υποκειμένου πρέπει να έχει ένα και μοναδικό συνθηματικό. Μειονεκτήματα: Η απώλεια του συνθηματικού μερικές φορές επιφέρει «κλείδωμα» του λογαριασμού του χρήστη. Ο διαχειριστής μπορεί, φυσικά, να φτιάξει νέο συνθηματικό για τον χρήστη. Αποκάλυψη συνθηματικού: δεν υπάρχει αναγνώριση από το σύστημα ότι κάποιος έχει υποκλέψει το συνθηματικό μας! Για οτιδήποτε αλλαγή δικαιώματος σε αντικείμενο, πρέπει, υποχρεωτικά, να δίνεται το συνθηματικό για επιβεβαίωση: αύξηση πιθανότητας αποκάλυψης Υποχρεωτικά πρέπει να ενεργοποιείται η διαδικασία εισαγωγής συνθηματικού έστω και για μια απλή ενέργεια.
Μηχανισμός Χρήστη και Συνθηματικού για Αλληλοεπιβεβαίωση οντοτήτων Στάδιο ταυτοποίησης (identification): τόσο το σύστημα όσο και ο χρήστης αναγγέλλουν την ταυτότητά τους. Χρήση ελέγχου ταυτότητας, π.χ., αριθμός κάρτας. Στάδιο αυθεντικοπίησης (authentication): κάθε ένα από τα δύο μέρη επιβεβαιώνει ότι είναι αυτό που ισχυρίστηκε στο στάδιο της ταυτοποίησης. Ενεργοποίηση μηχανισμού συνθηματικού. Στάδιο εξουσιοδότησης (authorization): ελέγχονται διεξοδικά οι επί μέρους όροι συνεργασίας, π.χ., έλεγχος πρόσβασης,…
Έλεγχος ροής ελέγχου πρόσβασης Terminal (username, password) & (trials <= 5) Login process ERROR (trials--) (password) Ciphering process OK System (h( password) = ($#21@#)) Controller
Αποκάλυψη Συνθηματικού Να δοκιμάσει όλα τα δυνατά συνθηματικά Να δοκιμάσει όλα τα πιθανά συνθηματικά Να δοκιμάσει όλα τα πιθανά συνθηματικά για συγκεκριμένο χρήστη Να ανακαλύψει τον πίνακα των κρυπτογραφημένων συνθηματικών και τον αλγόριθμο κρυπτογράφησης Να πάρει το συνθηματικό απευθείας από τον χρήστη.
Αποκάλυψη Συνθηματικού Να δοκιμάσει όλα τα δυνατά συνθηματικά Έστω, συνθηματικό με n σύμβολα από μια αλφάβητο με m σύμβολα. Τότε αριθμός δυνατών προσπαθειών είναι: mn Εάν απαιτείται t=0.001 δευτερόλεπτα χρόνος για να υπολογισθεί ένα συνθηματικό, και το συνθηματικό μπορεί να αποτελείται από 1 έως και 8 σύμβολα, με 26 σύμβολα, τότε χρειάζονται: 26+26*26+26*26*26+… = 7 χρόνια για να ελεγχτούν όλα τα συνθηματικά. Για συνθηματικά που πηγάζουν από λέξεις μέσα από λεξικά Για λεξικό 100.000 λέξεων, αποκάλυψη σε 14 ώρες – μέσος όρος Για τυχαία συνθηματικά, αποκάλυψη σε 1,093 χρόνια – μέσος όρος
Αποκάλυψη Συνθηματικού Να δοκιμάσει όλα τα δυνατά συνθηματικά με μικρό αριθμό συμβόλων Εάν απαιτείται t=0.001 δευτερόλεπτα χρόνος για να υπολογισθεί ένα συνθηματικό, και το συνθηματικό μπορεί να αποτελείται από 1 έως και 3 σύμβολα, με 26 σύμβολα, τότε χρειάζονται: 26+26*26+26*26*26= 18, 278 δευτερόλεπτα για να ελεγχτούν όλα τα συνθηματικά. Για συνθηματικό μόνον 5 συμβόλων τότε απαιτείται 3,5 ώρες περίπου για να ελέγχουν όλα. Ανακάλυψη πλήθους συμβόλων: Εκμάθηση της ποσότητας: αριθμός χαρακτήρων / λεπτό
Αποκάλυψη Συνθηματικού Να ανακαλύψει το αρχείο των κρυπτογραφημένων συνθηματικών και τον αλγόριθμο κρυπτογράφησης (είναι γνωστός) joe 9Mfsk4EQ... mary AEd62KRD... john J3mhF7Mv... Υπολογισμός κρυπτογραφημένων κωδικών από λεξικά h(automobile) = 9Mfsk4EQ... h(aardvark) = z5wcuJWE... h(balloon) = AEd62KRD... h(doughnut) = tvj/d6R4 mary has password balloon!
Αποκάλυψη Συνθηματικού Έρευνα των Rober Morris, Ken Thompson, 1979* Στατιστικά για 3.289 συνθηματικά 15 συνθηματικά ενός χαρακτήρα 72 συνθηματικά δύο χαρακτήρων 464 & 477 συνθηματικά τριών & τεσσάρων χαρακτήρων, αντίστοιχα 706 συνθηματικά πέντε χαρακτήρων 605 συνθηματικά έξι χαρακτήρων 492 ήταν ονόματα και λέξεις από λεξικά 458 ήταν μόνο δύσκολα να τα μαντέψεις 86% of passwords can be cracked Τα συνθηματικά φυλάσσονται κρυπτογραφημένα. Η αποκάλυψη του αλγορίθμου κρυπτογράφησης δεν είναι πρόβλημα! Οδηγίες για strong passwords: http://www.microsoft.com/protect/yourself/password/create.mspx Τελικά; *Robert Morris, Ken Thompson, Password Security - A Case History. Communications of the ACM 22(11): 594-597 (1979) Download paper: http://citeseer.ist.psu.edu/old/41625.html
Αποκάλυψη Συνθηματικού Salting – Εισαγωγή περεταίρω πληροφορίας κατά την κρυπτογράφηση Εισαγωγή ενός αριθμού που δεν είναι γνωστός στον χρήστη (τυχαία από το σύστημα) δίπλα στο συνθηματικό. Ο αριθμός αυτός είναι το salt Παράδειγμα Χρήστης: john με κωδικό automobile Ο κρυπτογραφημένος κωδικός είναι: h(automobile|1515) = ScF5GDhW... Εύκολα υλοποιήσιμο.
Αποκάλυψη Συνθηματικού Πλεονεκτήματα του Salting Η επίθεση με λέξεις από λεξικά είναι πολύ πιο δύσκολη. Πριν το Salting: Η κρυπτογραφημένη λέξη εξισώνεται με την φυλασσόμενη λέξη στο αρχείο κωδικών. Μετά το Salting: Η κρυπτογραφημένη λέξη μαζί με το salt εξισώνεται με την κρυπτογραφημένη λέξη και το salt από το σύστημα. n-λεξο λεξικό, k-bit salts, m διαφορετικά salts: Κατά την επίθεση πρέπει να ελεγχτούν n*min(m, 2k) συμβολοσειρές αντί n (χωρίς salt) Εάν υπάρχουν πολλοί χρήστες, π.χ., (>> 2k, με salts) τότε έχουμε 2k πιο δύσκολη επίθεση! Για το σύστημα είναι ίδιος υπολογιστικός χρόνος UNIX: συνθηματικά των 8 συμβόλων με 12-bit salt. Για 32-bit salt απαιτούνται 800 τρις-εκατομμύριο hash δοκιμές αντί, για ένα λεξικό με 200,000 λέξεις.
Αποκάλυψη Συνθηματικού Αρπαγές Συνθηματικών (Password Grabbers) Προσομοίωση της διαδικασίας εισόδου σε ένα σύστημα Η κακόβουλη οντότητα αφήνει το πρόγραμμα ενεργό και απομακρύνεται από το τερματικό. Ο πρόγραμμα αυτό είναι ακριβώς το ίδιο με το πραγματικό. Ο χρήστης (εφόσον δεν πληκτρολόγησε break – F5 για να δει εάν είναι «παγιδευμένο» το τερματικό ή όχι) εισάγει το συνθηματικό του. Προφανώς, το πρόγραμμα προσομοίωσης εμφανίζει μήνυμα λάθους, και τότε επιστρέφει στο πραγματικό πρόγραμμα εισόδου. Ο χρήστης ξανα-εισάγει το συνθηματικό του, νομίζοντας ότι έκανε λάθος πληκτρολόγηση πριν (κάτι που το πιστεύουμε πολλές φορές!) Το πρόγραμμα προσομοίωσης αποθήκευσε το συνθηματικό και το όνομα χρήστη. Υπάρχει περίπτωση να γίνεται «ανακατεύθυνση» από το πρόγραμμα προσομοίωσης στο σύστημα κατευθείαν
Αποκάλυψη Συνθηματικού Reverse Turing Test ! Completely Automated Public Turing test to tell Computers and Humans Apart - CAPTCA Ποιος ενδιαφέρεται;