Ασφάλεια & Επικινδυνότητα Πληροφοριακού Συστήματος Διάλεξη στις 22.02.2010 Δρ. Χρήστος Αναγνωστόπουλος (bleu@di.uoa.gr)
Περιεχόμενα Ασφάλεια και Επικινδυνότητα Πληροφοριακού Συστήματος. Υπηρεσίες Ασφάλειας. Μηχανισμοί Ασφάλειας. Έλεγχος Πρόσβασης. Δομές Ελέγχου Πρόσβασης. http://www.di.uoa.gr/~bleu
Ασφάλεια Δεν μπορούμε να παρέχουμε την απόλυτη ασφάλεια*. Η ασφάλεια είναι πάντα θέμα οικονομίας. Τήρηση ίδιου επιπέδου ασφάλειας παντού. Μια κακόβουλη οντότητα προσπαθεί να βρει αδύναμα σημεία στο σύστημα και όχι να αντιμετωπίσει τα πιο δυνατά. Μια «αλυσίδα» είναι τόσο δυνατή όσο ο πιο αδύναμός της κρίκος (minmax). Δεν πρέπει να παραχωρούνται περισσότερα δικαιώματα από όσο πρέπει. Η ασφάλεια είναι αναπόσπαστο μέρος της δημιουργίας ενός συστήματος. Ένα πρόγραμμα ή πρωτόκολλο είναι επισφαλές μέχρι να επιβεβαιωθεί ότι είναι ασφαλές. Δεν πρέπει να υποβιβάζεται η «αξία» των αγαθών * Peter Feaver, Guarding the Guardians: Civilian Control of Nuclear Weapons in the United States. Cornell University Press, 1992
Ασφάλεια Πληροφοριακού Συστήματος Στόχος της ασφάλειας ενός πληροφοριακού συστήματος (πσ.) Διαφύλαξη των υπολογιστικών πόρων έναντι μη εξουσιοδοτημένης ή κακής χρήσης τους. Προστασία πληροφορίας ή δεδο༧ένων που κωδικοποιούν την πληροφορία από ακούσια ή σκόπιμη βλάβη, αποκάλυψη ή τροποποίησή τους. Στόχος της ασφάλειας πληροφοριών Η προστασία και τήρηση της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας τους.
Ασφάλεια Πληροφοριακού Συστήματος Εμπιστευτικότητα (Confidentiality) είναι η διασφάλιση της προσπέλασης της πληροφορίας μόνο από εξουσιοδοτημένους χρήστες. Ακεραιότητα (Integrity) είναι η διασφάλιση της ακρίβειας και πληρότητας της πληροφορίας και των μεθόδων επεξεργασίας της. Διαθεσιμότητα (Availability) είναι η διασφάλιση της προσπέλασης στην πληροφορία εξουσιοδοτημένων χρηστών, σε εύλογα προσδοκώμενο χρόνο.
Ανάλυση και Διαχείριση Επικινδυνότητας Η ανάλυση και διαχείριση επικινδυνότητας αποτελεί μια συστηματική διαδικασία, όπου αποτιμάται και αναλύεται η επικινδυνότητα ενός πσ. ικανοποιούνται οι απαιτήσεις που θέτει το θεσμικό πλαίσιο για τα δεδομένα που επεξεργάζεται το πσ. εντοπίζονται και περιγράφονται τα οργανωτικά και τεχνικά μετρά που πρέπει να ληφθούν για να διαχειριστούμε την επικινδυνότητα.
Ανάλυση και Διαχείριση Επικινδυνότητας Προβλήματα ασφάλειας πσ. Η αιτιολόγηση του κόστους μέτρων ασφαλείας. Η επικοινωνία μεταξύ ειδικών και διοίκησης. Η ενεργός συμμετοχή των χρηστών στην προσπάθεια προστασίας του πσ. Η λανθασμένη αντίληψη ότι «η ασφάλεια πσ. αποτελεί αμιγώς τεχνικό ζήτημα» Η ανάπτυξη ενός αποδοτικού και αποτελεσματικού σχεδίου ασφάλειας. Ο προσδιορισμός και αποτίμηση των επιπτώσεων από την εφαρμογή ενός σχεδίου ασφάλειας πσ. Ανάλυση και Διαχείριση Επικινδυνότητας Πληροφοριακού Συστήματος, Αν. Καθ. Δ. Γκρίτζαλης ΟΠΑ, 2005
Ανάλυση και Διαχείριση Επικινδυνότητας Καταγραφή πόρων (assets). Αξιολόγηση απειλών (threats). Εξέταση αδυναμιών (vulnerabilities) ή ευπαθειών. Buffer overflows, code injection, sql injection ("SELECT * FROM users WHERE name = '" + userName + "‘ instead ‘abc' or 't'='t), phising… Ορισμός επιπτώσεων. ποσοτικός & ποιοτικός προσδιορισμός επιπτώσεων (impact) Προσδιορισμός μεθόδων προστασίας. (countermeasure/safeguard – αντίμετρο) προληπτικοί / κατασταλτικοί Κοστολόγηση. Διαχείριση Συνεχής παρακολούθηση, εξέταση, και έλεγχος.
Ανάλυση και Διαχείριση Επικινδυνότητας Αγαθό: περιουσιακό στοιχείο ενός πσ., το οποίο εκτιμάται ότι πρέπει να προστατευθεί. π.χ.: Υλικό (H/W), λογισμικό, εξοπλισμός επικοινωνιών, εξοπλισμός ελέγχου, υλικό τεκμηρίωσης έχει αξία: η σημαντικότητα εκφρασμένη με οικονομικό ή άλλο τρόπο. Ευπάθεια & Αδυναμία: Σημεία του φυσικού περιβάλλοντος, υλικού, λογισμικού ή διαδικασιών, τα οποία ενδέχεται να προσδίδουν σε κάποιους τη δυνατότητα να προβούν σε ενέργειες μη επιθυμητές από αυτούς που ανέπτυξαν ή από αυτούς που ελέγχουν το πσ. Ανθρώπινη Τεχνική π.χ.: Ανεξέλεγκτη φυσική προσπέλαση στο Κέντρο Πληροφορικής, επιλογή συνθηματικού με λίγα γράμματα, εγκατάσταση μη ελεγμένου για ιομορφές λογισμικού, υποτυπώδης διαχείριση αστοχιών υλικού/λογισμικού.
Ανάλυση και Διαχείριση Επικινδυνότητας Απειλή: οι ενδεχόμενες ενέργειες οι οποίες, αξιοποιώντας τις αδυναμίες του συστήματος, μπορούν να οδηγήσουν κάποιο από τα στοιχεία του πσ. σε ανεπιθύμητες καταστάσεις Φυσική Απειλή: επιφέρει φυσικές καταστροφές σε πσ. Ανθρώπινη απειλή: προέρχεται από ανθρώπινες ενέργειες. Τυχαία απειλή: προέρχεται από ενέργειες που δεν είχαν κακόβουλο χαρακτήρα. Σκόπιμη απειλή: προέρχεται από κακόβουλες ενέργειες. π.χ.: Εγκατάσταση ιομορφικού λογισμικού, είσοδος στο Κέντρο Πληροφορικής μη εξουσιοδοτημένου προσώπου, διαγραφή αρχείου από μαγνητικό μέσο.
Ανάλυση και Διαχείριση Επικινδυνότητας Επίπτωση: οι ανεπιθύμητες καταστάσεις που ενδέχεται να δημιουργηθούν από την πραγματοποίηση μιας απειλής, που βασίστηκε στην εκμετάλλευση κάποιας αδυναμίας του πσ. π.χ.: το αρχείο των συνθηματικών γνωστοποιήθηκε σε μη εξουσιοδοτημένα πρόσωπα, το λειτουργικό σύστημα προσβλήθηκε από ιομορφικό λογισμικό, ο ιστοχώρος καρτέρευσε. Μέσο Προστασίας: οι διοικητικό-οικονομικές επιλογές και τεχνικές ρυθμίσεις που μπορούν: να μειώσουν την πιθανότητα εμφάνισης περιστατικών ανασφάλειας να αντιμετωπίσουν ευπάθειες του πσ. να περιορίσουν τις συνέπειες των ανεπιθύμητων γεγονότων που μπορεί να συμβούν π.χ.: χρήση ανιχνευτών ιομορφών, πολιτικές ελέγχου προσπέλασης, στρατηγική επιλογής συνθηματικών, συχνότητα λήψης εφεδρικών αντιγράφων, ρήτρες στις συμβάσεις πρόσληψης προσωπικού, αναχώματα ασφαλείας.
Ανάλυση και Διαχείριση Επικινδυνότητας Κοστολόγηση Ρήγμα σε ασφάλεια: κόστος χρήμα δυσαρέσκεια υποβάθμιση παρεχόμενων υπηρεσιών Μέσα Προστασίας: κόστος λειτουργικό τεχνολογικό ερευνητικό Αγαθά, πόροι, επικοινωνίες: αξία
Επικινδυνότητα πσ. Προδιαγραφές οδηγούν σε Επίπτωση οδηγεί επιφέροντας αυξάνει μειώνει Αγαθό Επικινδυνότητα Έλεγχος αυξάνει αυξάνει εκθέτει σε κίνδυνο προστατεύουν από εκμεταλλεύεται Ευπάθεια Απειλή
Επικινδυνότητα πσ. Η επικινδυνότητα είναι συνάρτηση: της αξίας των αγαθών (a) του βαθμού των ευπαθειών (v) της πιθανότητας εμφάνισης απειλών (t) της έντασης των επιπτώσεων που θα έχουν οι απειλές αν πραγματοποιηθούν (i)
Επικινδυνότητα πσ. Value at Risk (VaR): Αποτίμηση Μεγέθους Επικινδυνότητας VaR := Αξία Παραβίασης x Πιθανότητα ύπαρξης γεγονότος x Πιθανότητα αποτυχίας αντίμετρων Impact Threat Vulnerability (επίδραση) (απειλή) (ευπάθεια)
Επικινδυνότητα πσ. Ανάλυση Επικινδυνότητας Επιλογή των αντιμέτρων που προσφέρουν προστασία ανάλογη των κινδύνων που απειλούν το πσ. Στάδια: Προσδιορισμός και αποτίμηση αγαθών. Εκτίμηση απειλής. Εκτίμηση ευπάθειας. Εκτίμηση υφισταμένων μέσων προστασίας. Υπολογισμός επικινδυνότητας.
Επικινδυνότητα πσ. Διαχείριση Επικινδυνότητας Περιορισμός της επικινδυνότητας σε αποδεκτά επίπεδα. Μείωση επικινδυνότητας, π.χ. υιοθέτηση νέου αντίμετρου. Μεταβίβαση επικινδυνότητας σε τρίτους, π.χ. Ασφάλιση. Αποδοχή επικινδυνότητας. Στάδια: Επιλογή αντιμέτρων. Καθορισμός πολιτικής ασφάλειας (security policy): Το σύνολο των αποφάσεων που υιοθετείται από έναν οργανισμό με στόχο την ασφάλεια του πσ. του. Η πολιτική ασφαλείας καθορίζει ρητά τα όρια συμπεριφοράς αποδοχής των μηχανισμών λειτουργίας του πσ. και καθορίζει τις ενέργειες που θα ληφθούν κατά την εμφάνιση απειλής. Σύνταξη σχεδίου ασφάλειας. Τι αγαθά προστατεύονται; Ποια πιστεύεται ότι είναι κακόβουλη οντότητα; Μέχρι ποιο επίπεδο ασφάλειας μπορεί να παρέχεται; Εφαρμογή και παρακολούθηση του σχεδίου ασφάλειας.
Επικινδυνότητα πσ. Εστιάστε στα επόμενα γεγονότα που συνέβησαν σε ένα πανεπιστήμιο: Μια μηχανή gateway χάλασε ένα Σαββατοκύριακο όπου κανένας από τους administrators δεν ήταν διαθέσιμος. Ένας backup expert που δεν μπόρεσε να διαγνώσει το πρόβλημα από το σπίτι του μέσω τηλεφώνου, δημιούργησε έναν λογαριασμό guest για να έχει απομακρυσμένη πρόσβαση. Το σύστημα αποθήκευσε τον λογαριασμό αυτόν χωρίς κωδικό στο PC του administrator. Στο τέλος της λύσης του προβλήματος, ο expert ξέχασε να διαγράψει τον λογαριασμό (ή τον άφησε σε περίπτωση που το πρόβλημα δεν είχε εντελώς λυθεί και έπρεπε να επέμβει πάλι). Κάποιοι φοιτητές ανακάλυψαν τον λογαριασμό αυτό μέσα στην μέρα (προφανώς με ένα πρόγραμμα που ψάχνει να βρει λογαριασμούς guest!) και τον μετέδωσαν…
Υπηρεσίες Ασφάλειας
Υπηρεσίες Ασφάλειας κατά O.S.I. Αυθεντικοποίηση (Authentication) Έλεγχος Πρόσβασης (Access Control) Εμπιστευτικότητα (Confidentiality) Ακεραιότητα (Integrity) Μη αποποίηση (Non repudiation) Διαθεσιμότητα (Availability)
Αυθεντικοποίηση Ομότιμων Οντοτήτων Προέλευσης Δεδομένων Εξετάζει αν μία οντότητα που συμμετέχει σε μία επικοινωνία (σύνοδο ή συναλλαγή) είναι αυτή που ισχυρίζεται. Λαμβάνει χώρα κατά τη διάρκεια εγκατάστασης επικοινωνίας. Προέλευσης Δεδομένων Εξετάζει αν η πηγή προέλευσης δεδομένων (π.χ., μηνύματος) είναι αυτή που ισχυρίζεται. Λαμβάνει χώρα κατά τη διάρκεια μεταφοράς των δεδομένων.
Έλεγχος Πρόσβασης Παρέχει προστασία χρήσης πόρων, αγαθών από μη εξουσιοδοτημένους χρήστες ή οντότητες. Συνεργασία με αυθεντικοποίηση Δίνεται πρόσβαση και δικαιώματα πρόσβασης σε πόρους ή αγαθά εφόσον έχει προηγηθεί αυθεντικοποίηση οντότητας που αιτείται πρόσβασης. Υποκείμενο πρόσβασης: η οντότητα που της παρέχεται δικαίωμα πρόσβασης ή όχι (φυσικό πρόσωπο, εφαρμογή, διεργασία συστήματος). Αντικείμενο πρόσβασης: το αντικείμενο στο οποίο έχει πρόσβαση το υποκείμενο (αρχείο, μνήμη, CPU, εφαρμογή, εκτυπωτές). Κατηγορίες Mandatory Access Control(MAC) Discretionary Access Control(DAC) Role-Based Access Control(RBAC)
Εμπιστευτικότητα Στη σύνδεση Σύνολο δεδομένων προς μετάδοση. Μη Εγκατεστημένης Σύνδεσης (connectionless) Μεμονωμένων τμημάτων δεδομένων προς μετάδοση. Επιλεγμένων Πεδίων Συγκεκριμένων πεδίων δεδομένων (π.χ., passwords, cards). Ροής Κίνησης Από ανάλυση κυκλοφορίας.
Ακεραιότητα Σύνδεσης με αποκατάσταση Σύνδεσης άνευ αποκατάστασης Σύνολο δεδομένων μίας σύνδεσης. Αποκατάσταση και ανάκτηση υπό περιπτώσεις Σύνδεσης άνευ αποκατάστασης Σύνολο δεδομένων μίας σύνδεσης χωρίς αποκατάσταση Μη Εγκατεστημένης Σύνδεσης Μεμονωμένων τμημάτων δεδομένων προς μετάδοση Επιλεγμένων Πεδίων Συγκεκριμένων πεδίων δεδομένων
Μη αποποίηση Μη αποποίηση με πιστοποίηση αποστολέα Παρέχει στον παραλήπτη πιστοποίηση της αποστολής –προέλευσης των μηνυμάτων που λαμβάνει. Μη αποποίηση με πιστοποίηση παραλήπτη Παρέχει στον αποστολέα πιστοποίηση της παράδοσης των μηνυμάτων που έστειλε.
Εφαρμογή υπηρεσιών ασφάλειας στο O.S.I. Επίπεδο Εφαρμογής: Αυθεντικοποίηση, Έλεγχος πρόσβασης, Ακεραιότητα, Εμπιστευτικότητα, Μη αποποίηση Επίπεδο Παρουσίασης: Εμπιστευτικότητα Επίπεδο Συνόδου: - Επίπεδο Μεταφοράς: Αυθεντικοποίηση, Έλεγχος Πρόσβασης, Ακεραιότητα, Εμπιστευτικότητα Επίπεδο Δικτύου: Επίπεδο Ζεύξης δεδομένων: Φυσικό Επίπεδο: Εμπιστευτικότητα, Ακεραιότητα
Μηχανισμοί Ασφάλειας
Μηχανισμοί Ασφάλειας κατά O.S.I. Κρυπτογραφία (Encipherment) Ψηφιακές Υπογραφές (Digital Signatures) Ελέγχου Πρόσβασης (Access Control) Ακεραιότητας Δεδομένων (Data Integrity) Ανταλλαγής Αυθεντικοποίησης (Authentication Exchange) Εμβόλιμης Κίνησης (Traffic Padding) Ελέγχου Δρομολόγησης (Routing Control) Συμβολαιογραφίας (Notarization)
Μηχανισμοί Ασφάλειας κατά O.S.I. Κρυπτογραφία (Encipherment) Εμπιστευτικότητα. Συνεπικουρεί και σε άλλους μηχανισμούς. Ψηφιακές Υπογραφές (Digital Signatures) Επικύρωση ακεραιότητας. Αποτροπή αποποίησης αποστολής. Αυθεντικοποίηση. Ελέγχου Πρόσβασης (Access Control) Έλεγχος προσπέλασης σε πόρους και αγαθά. Εξουσιοδότηση. Χρήση μηχανισμών αυθεντικοποίησης.
Μηχανισμοί Ασφάλειας κατά O.S.I. Ακεραιότητας Δεδομένων (Data Integrity) Αποτροπή τροποποίησης δεδομένων που μεταδίδονται Ανταλλαγής Αυθεντικοποίησης (Authentication Exchange) Επιβεβαίωση ταυτότητας οντοτήτων Ισχυρή (κρυπτογραφία) vs. Μη ισχυρή (χωρίς κρυπτογραφία) Εμβόλιμης Κίνησης (Traffic Padding) Αποτροπή ανάλυσης κίνησης Ελέγχου Δρομολόγησης (Routing Control) Επιλογή συγκεκριμένης διαδρομής κατά τη μετάδοση της πληροφορίας Ανίχνευση Εισβολέων Συμβολαιογραφίας (Notarization) Διασφαλίζουν ιδιότητες πληροφορίας, όπως προέλευση, προορισμός
Έλεγχος Πρόσβασης
Στόχος Ελέγχου Πρόσβασης Να επιτρέπει ή να απαγορεύει συγκεκριμένες λειτουργίες σε ένα πσ. ή πληροφορία Αποτελείται από δύο μηχανισμούς απόφασης: Μηχανισμός Χορήγησης Άδειας Πρόσβασης Υποκειμένων σε Αντικείμενα (Access Control Decision Facility) Μηχανισμός Επιβολής της Απόφασης (Access Control Enforcement Facility) αίτημα Υποκείμενο Έλεγχος Πρόσβασης Αντικείμενο ACDF ACEF
Πολιτικές Ελέγχου Πρόσβασης Πολιτική Υποχρεωτικού Ελέγχου Πρόσβασης (Mandatory Access Control - MAC) Πολιτική Διακριτικού Ελέγχου Πρόσβασης (Discretionary Access Control - DAC) Πολιτική Ελέγχου Πρόσβασης βάσει Ρόλου (Role-based Access Control - RBAC) Πολιτική Σινικού Τείχους (Chinese Wall Access Control - CWAC)
Πολιτική Υποχρεωτικού Ελέγχου Πρόσβασης Ορίζει ποια υποκείμενα έχουν πρόσβαση σε ποια αντικείμενα Άδεια πρόσβασης χορηγείται όταν: Ο βαθμός εμπιστοσύνης e(u) του χρήστη u είναι τουλάχιστον ίσος με τον βαθμό ευαισθησίας s(d) της πληροφορίας d, i.e., e(u) > s(d) Παράδειγμα: e(Administrator) = 100, e(guest) = 1, e(me) = 10 s(Sec18.03.09.ppt) = 9, s(explorer.exe) = 20.
Πολιτική Υποχρεωτικού Ελέγχου Πρόσβασης Κάποιος με υψηλό βαθμό εμπιστοσύνης είναι ικανός να διαγράψει ή τροποποιήσει όλα τα αντικείμενα χαμηλότερου βαθμού ευαισθησίας. Λύση: Πολύ-επίπεδη Ασφάλεια εισάγοντας labels l επιπέδων: top secret secret confidential unclassified Κανόνας: for a level l : e(u) > s(d)
Πολιτική Διακριτικού Ελέγχου Πρόσβασης Οι κανόνες πρόσβασης καθορίζονται αποκλειστικά και μόνον από τους ιδιοκτήτες ή παραγωγούς πληροφορίας. Η παροχή και ανάκληση δικαιωμάτων προσπέλασης επαφίεται στην διακριτική ευχέρεια του ιδιοκτήτη και δεν απαιτεί εμπλοκή του διαχειριστή του πσ. Γίνεται τρωτό σε Trojan Horses
Πολιτική Διακριτικού Ελέγχου Πρόσβασης Παράδειγμα: Ο admin είναι παραγωγός του passwd.obj αρχείου και έχει δικαίωμα read/write. Ο χρήστης bleu είναι guest και γράφει ένα πρόγραμμα: bleuProg {cat passwd.obj >> a.txt} δίνει δικαίωμα μόνο read στο a.txt και δίνει στον admin δικαίωμα exec στο bleuProg ως «νόμιμο» αρχείο run.bat Όταν ο admin εκτελέσει το αρχείο run.bat, τότε το αρχείο έχει τα ίδια δικαιώματα με τον admin και αποκαλύπτει τα περιεχόμενα του passwd.obj στο a.txt
Πολιτική Ελέγχου Πρόσβασης βάσει Ρόλου Ένα Υποκείμενο αποκτά έναν Ρόλο, ο οποίος ρόλος αναπαριστάνει τα δικαιώματα πρόσβασης στο Αντικείμενο Υποχρεωτική ιεραρχία Ρόλων Κάθε ρόλος περιγράφει το σύνολο των ενεργειών που μπορεί να εκτελέσει οποιοδήποτε υποκείμενο τον υιοθετήσει Ιδιοκτήτης των αντικειμένων είναι ο οργανισμός και όχι κάποιο υποκείμενο.
Πολιτική Ελέγχου Πρόσβασης βάσει Ρόλου Η ιεραρχία είναι συνήθως στατική, π.χ., admin is-a system-user is-a guest admin: setPasswords(*), deleteUser(*) system-user: setPasswords(this) guest: readOnly() Οι ρόλοι δεν συγκρούονται Static Separation of Roles Dynamic Separation of Roles (admin and system-user not simultaneously active) Πεπερασμένο πλήθος ρόλων σε κάθε υποκείμενο.
Πολιτική Σινικού Τείχους Η πληροφορία διακρίνεται σε δημόσια και εταιρική η οποία υποδιαιρείται σε μη αλληλεπικαλυπτόμενες κλάσεις αντικρουόμενων συμφερόντων Ανάγνωση δημόσιας πληροφορίας: free Ανάγνωση εταιρικής πληροφορίας: controlled Χορηγείται άδεια όταν: Το αντικείμενο ανήκει: στην ίδια κλάση αντικρουόμενων συμφερόντων με κάποια άλλη πληροφορία που ήδη έχει προσπελάσει το υποκείμενο, ή, σε κλάση για την οποία δεν έχει αποκτήσει ακόμα άδεια προσπέλασης ο χρήστης
Πολιτική Σινικού Τείχους Όταν χορηγηθεί άδεια δεν είναι δυνατόν να προσπελαστεί πληροφορία που ανήκει σε διαφορετική κλάση αντικρουόμενων συμφερόντων από αυτή για την οποία ζητείται άδεια εγγραφής.