ì SICUREZZA E PRIVACY - people.unica.it · ì SICUREZZA E PRIVACY Introduzione alla sicurezza nei DBMS ì La sicurezza delle basi di dati coinvolge ì Aspetti etici e legali ì Politiche

ìSICUREZZA E PRIVACY

Introduzione alla sicurezza nei DBMS

ì Lasicurezzadellebasididaticoinvolgeì Aspettieticielegaliì Politichedigestionedeidatiì Componentihardwareesoftwaredelsistemaì Definizionedidiversilivellidisicurezza

ì IDBMSmettonoadisposizionemeccanismietecnicheperlasicurezzaeilcontrollodegliaccessiì Discretionary SecurityMechanismsì Mandatory SecurityMechanisms

Giorgio Giacinto 2015

2

Da cosa difendersi?

ì IlDBMSdevegarantireì Integritàì Disponibilitàì Riservatezza

deidati

ì LaprotezionedeidatiinunDBMSsirealizzaattraverso


3

Meccanismi di Controllo

ì definizionediutenti epassword

ì utilizzatonellebasididaticheproduconoinformazionistatistiche

ì evitachel’informazionepossaraggiungereutentinonautorizzatiattraversocanalinascosti

ì ades.,datidicartedicreditousatiincomunicazioniinrete


4

DBA e Sicurezza

ì L’amministratoredellabasedidati(DBA)èlamassimaautoritàchegestisceilDBMS

ì IlDBAèresponsabilediì concedere leautorizzazioniagliutentiì classificareutentiedatiinaccordoconlepolitiche

aziendali

ì IlDBAèresponsabileperlasicurezzadell’interoDBMS


5

L’utente DBA nei DBMS

ì L’utenteamministratoreinunDBMSspessochiamatosuperuser

halapossibilitàdi:1. Crearenuoviutenti2. Concedereprivilegiagliutenti3. Revocareiprivilegiagliutenti4. Assegnareilivellidisicurezza

ì L’attività1 realizzailcontrollodegliaccessiì Leattività2 e3 sonoditipodiscretionaryì L’attività4 controllaleautorizzazioniditipomandatory

Initalia disciplinatoda“Misureeaccorgimentiprescrittiaititolarideitrattamentieffettuaticonstrumentielettronicirelativamentealleattribuzionidellefunzionidiamministratoredisistema”- 27novembre2008(G.U.n.300del24dicembre2008)


6

Protezione e Controllo degli Accessi

ì IlDBMSregistratutteleattivitàsvoltedaciascunutenteduranteunasessionedilavoroì Registrazionenelfiledilogdituttelemodifichealla

basedidati

ì Incasodisospettamanomissionedeidatiì Attivitàdidatabaseaudit

ì verificadelfiledilog


7

Information Security e Information Privacy

ì Sicurezzaì Protezionedelleinformazionidausinonautorizzati

attraversoautenticazionedegliutenti,crittografia,controllodegliaccessi,firewall,eintrusiondetection.

ì Privacy(riservatezza)ì Memorizzazionedidatiriservatiì Usoappropriatodidatiriservati

ì Isistemidevonoconsentireaciascunindividuoilcontrollosucosaèmemorizzatoeperqualifinièusato


8

ìDISCRETIONARY ACCESS CONTROL


9

Privilegi

ì Alivellodiì IlDBAspecificaiprivilegidiciascunaccountutente

indipendentementedallerelazioninellabasididati

ì Alivellodelle ( )ì IlDBAspecificaiprivilegidiaccessoperciascuna

relazione ovista nellabasedidati.


10

Privilegi a livello di account utente

ì Esempidiprivilegialivellodiaccountutenteì CREATESCHEMA eCREATETABLEì CREATEVIEWì ALTER

ì consenteall’utentedimodificareglischemi,aggiungendoorimuovendoattributi

ì DROP checonsentedicancellarerelazionievisteì MODIFY

ì UPDATE,DELETE,INSERTIì SELECT

ì Consenteaccessoaidatiattraversounaquery


11

Privilegi a livello di relazione

ì Usodelmodellobasatosullamatriced’accessoì Le rappresentanoi

ì utenti,programmi

ì Le rappresentanogliì relazioni,record,colonne,viste,operazioni

ì CiascunacellaM(i,j)dellamatricerappresentailtipodiprivilegio(read,write,update)chel’i-simosoggettohasulj-esimooggetto.


12

Concessione e Revoca di Privilegi

ì Aciascunarelazioneinunoschemaèassociatol’utenteproprietarioì L’accountconilqualeèstatacreatalarelazione

ì Ilproprietariodiunarelazionepossiedetuttiiprivilegisuquellarelazioneì InSQL2,ilDBApuòassegnareunproprietarioadun

interoschema

ì Ilproprietariopuòpassareiprivilegiadaltriutentiattraversoilmeccanismodiconcessione

ì IprivilegipossonoessererevocaticonREVOKEGiorgio Giacinto 2015

13

Utenti e Privilegi sulle Relazioni

ì SQLpermettedigestireiseguentiprivilegisuciascunarelazioneRì SELECT

ì L’utentepuòusarelarelazioneR inunainterrogazione

ì MODIFYì InSQLquestoprivilegioèsuddivisoin

ì UPDATE,DELETE,INSERT

ì NelcasodiINSERTeUPDATEsispecificaseilprivilegioèlimitatoadalcuniattributi

ì REFERENCESì Consentediusare(alcuni)attributidiR inunvincolodi

integritàreferenzialeGiorgio Giacinto 2015

14

Uso delle Viste per Concedere Privilegi

ì Sel’utenteA èproprietariodiunarelazioneR evuolelimitarel’accessodell’utenteB adalcuniattributidiRì A creaunavistaV checontienesologliattributiutilizzabili

daBì A concedeaB ilprivilegioSELECTsuV

ì Sel’utenteA èproprietariodiunarelazioneR evuolelimitarel’accessodell’utenteB adalcunetuple diRì A creaunavistaV’ checontienesololetuple utilizzabili

daBì A concedeaB ilprivilegioSELECTsuV’.


15

Propagazione dei Privilegi GRANT OPTION

ì QuandoilproprietarioA diunarelazioneR concedeunprivilegioaunutenteB,ilprivilegiopuòesseredatoWITHGRANTOPTIONì B puòconcederequelprivilegioadaltriutentiì AncheB puòusareWITHGRANTOPTION

ì IlproprietarioperdetracciadegliutenticuivieneconcessoilprivilegioconcessoinizialmenteaB

ì Sel’utenteA revoca ilprivilegioconcessoaB,automaticamenteilprivilegiovienerevocatoatuttigliutentiacuiB loavevapropagato


16

Esempio (1)

ì IpotizziamocheilDBAcrei4utentiì A1,A2,A3,A4

esoloA1possacrearerelazionidibase.

ì IlDBAdeveusareilseguentecomandoGRANTinSQLGRANT CREATETAB TO A1;

ì InSQL2siottienelostessorisultatoconilseguentecomando

CREATE SCHEMA EXAMPLE AUTHORIZATION A1;

nelloschemaEXAMPLEl’utenteA1puòcrearetabelle


17

Esempio (2)

ì IpotizziamocheA1 crei duerelazionidibaseEMPLOYEEeDEPARTMENTì A1 èproprietariodellerelazioni,diconseguenzahatuttii

privilegi.

ì SeA1 vuoleconcedere aA2 ilprivilegio diinserire ecancellare tuple inentrambelerelazioniMAseA1 nonvuolecheA2 possapropagareilprivilegioadaltriutenti

GRANT INSERT, DELETE ONEMPLOYEE, DEPARTMENT TO A2;


18

Esempio (3)


19

Esempio (4)

ì IpotizziamocheA1 vogliaconcedereaA3 lapossibilitàdiinterrogareleduerelazioniecheA3 possapropagareilprivilegioSELECTadaltriutentiGRANT SELECT ON EMPLOYEE, DEPARTMENT

TO A3 WITH GRANT OPTION;

ì A3 puòconcedereadA4 ilprivilegioSELECT sullarelazioneEMPLOYEEGRANT SELECT ON EMPLOYEE TO A4;ì Nota:A4 nonpuòpropagareilprivilegio


20

Esempio (5)

ì SesuccessivamenteA1 decidedirevocareadA3 ilprivilegioSELECTsullarelazioneEMPLOYEEREVOKE SELECT ON EMPLOYEE FROM A3;

ì Questocomandoautomaticamenterevocaancheall’utenteA4 ilprivilegioSELECTsullarelazioneEMPLOYEEì A4 avevaricevutoilprivilegiodaA3,maoraA3non

hapiùquelprivilegio


21

Esempio (6)

ì SeA1 vuolerestituireaA3 lacapacitàdiinterrogarelarelazioneEMPLOYEElimitatamenteagliattributiNAME,BDATE,eADDRESS,neicasiincuiDNO=5,equestoprivilegiopuòesserepropagato

ì A1 crealavistaCREATE VIEW A3EMPLOYEE AS

SELECT NAME, BDATE, ADDRESSFROM EMPLOYEEWHERE DNO = 5;

ì A1 puòconcedereaA3 ilprivilegioSELECT sullavistaA3EMPLOYEEGRANT SELECT ON A3EMPLOYEE TO A3

WITH GRANT OPTION;


22

Esempio (7)

ì SeA1vuoleconsentireaA4lapossibilitàdiaggiornarel’attributoSALARYsullarelazioneEMPLOYEE

GRANT UPDATE ON EMPLOYEE (SALARY) TO A4;

ì PeriprivilegiUPDATE eINSERT possonoesserespecificatigliattributi

ì Altriprivilegicome(SELECT,DELETE)nonconsentonodispecificareattributi.


23

Specifica di Limitazioni nella Propagazione di Privilegi

ì AlcuniDBMShannomeccanismiperlalimitazionedellapropagazionedeiprivilegiì NonfannopartediSQL.

ì Meccanismirealizzatiì Limitiorizzontaliallapropagazione

ì Unutentepuòpropagareilprivilegioalmassimoadaltrii utenti.

ì Limitiverticaliallapropagazioneì Limitalaprofonditàdellapropagazione

ì Realizzazionecomplessa


24

ìMANDATORY ACCESS CONTROL


25

Mandatory Access Control

ì Utentiedatisonoclassificatisecondounagerarchiadiì topsecret(TS)ì secret(S)ì confidential(C)ì unclassified(U),TS≥S≥C≥U


26

Sicurezza Multilivello

ì ModelloperlasicurezzamultilivellodiBell-LaPadulaì ciascunsoggetto (utente,account,programma)eciascun

oggetto (relazione,tupla,colonna,vista,operazione)sonoclassificatiinunaclassefraT,S,C,eUì Clearance diunsoggettoS perunaclasse,classe(S)ì Classificazione diunoggettoOinunaclasse,classe(O).

ì Dueproprietàdevonosempreessereverificateì Simplesecurityproperty:UnsoggettoS nonè

autorizzatoallalettura suunoggettoOseclasse(S)<classe(O).

ì Starproperty (*property):UnsoggettoS nonèautorizzatoalascrittura suunoggettoOseclasse(S)>classe(O).


27

Basi di Dati e Sicurezza Multilivello

ì Gliattributidiunarelazioneeletuple sonoconsideratioggetti.ì Aogniattributoèassociataunaclassedisicurezzaì Ciascunatupla puòessereassociataaunaclassedi

sicurezzaì maggioredellapiùaltaclassificazionedegliattributi

ì UnoschemadirelazionemultilivelloR(A1,C1,A2,C2,…,An,Cn,TC)

LachiaveapparentediR èlastessacheavrebbeR senonusassimolaclassificazionemultilivello


28

Esempio: filtraggio di relazioni multilivello


29

Ilrisultatodell’interrogazione

SELECT*FROMEmployee

dipendedallaclearancedelsoggetto

chiaveapparente:Name

Esempio: filtraggio di relazioni multilivello


30

Ilrisultatodell’interrogazione

SELECT*FROMEmployee

dipendedallaclearancedelsoggetto

chiaveapparente:Name

Entity Integrity

ì Gliattributichefannopartedellachiaveapparenteì NondevonoaverevaloreNULLì Devonoaverelastessaclassificazionedisicurezza

all’internodiunastessatuplaì Glialtriattributidevonoavereunaclassificazionedi

sicurezzamaggioreougualeaquelladellachiaveapparente.

ì Questovincoloconsenteaunutentedivederelachiavesolosepuòaccedereadattributidiversidallachiave.


31

Confronto Discretionary Access Control e Mandatory Access Control

ì Discretionary AccessControl(DAC)ì Maggioreflessibilitàì Vulnerabiliadattacchiinformatici

ì Trojan horses

ì Mandatory AccessControl(MAC)ì Schemamoltorigido

ì utilizzabileinpochicontesti

ì Bloccaflussidiinformazionenonconsentiti


32

ìROLE BASED ACCESS CONTROL


33

Controllo degli accessi basato su Ruoli

ì Role-based access control(RBAC) siaffermaneglianni‘90perlagestionedellasicurezzainsistemiinformativiaziendaliì Riflettelagerarchiadeiruolinell’organizzazione

aziendale

ì Ipermessinonsonoassociatiautentimaaruoliì Aciascunutentesipuòassociareunoopiùruoli

ì ComandiCREATEROLE eDESTROYROLEì IcomandiGRANT eREVOKE sonousatiper

assegnareerevocareprivilegiairuoli


34

Proprietà dei Ruoli

ì Alcuniruolipossonoesseredefiniticomemutuamenteesclusiviì Unutentenonpuòattivarecontemporaneamenteidue

ruoliì Lamutuaesclusionepuòesseredeterminata

staticamente odinamicamente

ì Gestionedelleidentità(IdentityManagement)ì Autenticazioneegestionedell’accessoainformazioni

riservate

ì IlmodelloRBACèutilizzatoperlagestionedellasicurezzanelleweb-applicationì Ruoliassegnatiaciascuntask diunworkflow


35

Label-based SecurityRow-Level Access Control

ì MoltiDBMSutilizzanoDACeinoltreconsentonodiassociareunvalorenumerico(label)adognirigadiunatabella

ì Aciascunutenteèassociatounlivellodiautorizzazioneì L’utentepuòaccederesoloainformazioniconlabel

divaloreugualeoinferioreì Ades.,seall’utenteèstatoassegnatounvalore20e

haprivilegiodiSELECTsuunatabella,potràvederesololerigheconlabel ugualeoinferiorea20


36

Controllo degli accessi per il Web e il commercio elettronico

ì Nonoccorresoloproteggereidatimaanchelaconoscenzae l’esperienza

ì Tecnichedicontrollodegliaccessiinbasealcontenuto

ì Eterogeneitàdeisoggettiì Concettodicredenziali,cioèlecaratteristichedel

soggettoinbaseallequaliaccordareiprivilegiì Ades.,posizionenell’azienda,anzianitàdiservizio


37

ìSQL Injection


38

Attacchi alle Basi di Dati

ì Unauthorizedprivilegeescalation

ì PrivilegeAbuse

ì DenialofService(DoS)

ì Weakauthentication

ì SQLInjectionè una delle minacce più comuni


39

Metodi per realizzare un attacco SQL Injection

ì SIsfruttanovulnerabilitànellaapplicazioniì SQLManipulation

ì SiaggiungonoulterioricondizioniallaclausolaWHEREì Ades.,seperilloginsiesegue

SELECT*FROMusers WHEREusername=‘jake’ANDpassword=‘jakepassword’unattaccodiSQLinjection potrebbemodificarlainSELECT*FROMusers WHEREusername=‘jake’AND(password=‘jakepassword’OR‘x’=‘x’)

ì SiespandeunainterrogazioneaggiungendoaltrecomponenticonUNION,INTERSECT,MINUS

ì CodeInjectionì Function CallInjection


40

SQL Injection…


41

SQL Injection…


42

Obiettivi di attacchi SQL Injection

ì DatabaseFingerprinting

ì Denial ofService

ì Elusionedellafasediautenticazione

ì Identificazionedeiparametriiniettabili

ì Esecuzionedicomandiremoti

ì Privilege Escalation


43

Protezione da attacchi SQL Injection

ì Validazionedituttiidatidiinputalleapplicazioni

ì Usodiistruzioniparametrizzateì Gliinputassegnatiavariabiliinvececheinseriti

automaticamenteall’internodell’istruzione

ì Accessolimitatoallefunzionideldatabase


44

ìSICUREZZA BASI DI DATI STATISTICHE


45

Basi di Dati Statistiche

ì Lebasididatistatistichesonousateperprodurreinformazionistatistichesuunapopolazioneì Gliutentipossonoaccederesoloainformazioni

statisticheenonasingolivalorinelletuple

ì Valoriprodottiì Medie,somme,conteggi,valorimassimieminimi,

varianze.

ì Labasedidatipuòconteneredatipersonaliilcuiaccessodeveessereregolato


46

Popolazione in una base di dati statistica

ì Unapopolazioneèuninsiemedituple inunarelazionechesoddisfacertecondizionidiselezione.

ì Leinterrogazionistatisticheapplicanofunzionistatisticheaunapopolazionedituple.

ì Inunabasedidatistatisticanonsonopermesseinterrogazionicheestraggonovaloridiattributisingoliì Sonopermessesolointerrogazionistatistiche

ì Fareattenzioneallapossibilitàdiinferirevalorisingolidaunasequenzadiinterrogazionistatistiche


47

ìCONTROLLO DEL FLUSSO INFORMATIVO


48

Flussi informativi

ì SirealizzaunflussoinformativofraunoggettoXeunoggettoYquandounprogrammaleggevaloridaXescrivesuYì Leinformazioninondevonoesseretrasferite

esplicitamenteoimplicitamentedaunoggettoversooggetticonlivelloinferiorediprotezione.

ì Lepolitichesuiflussideterminanoicanaliconsentitiì Ades.,incasodidueclassi

confidential (C)andnonconfidential (N)possonoessereconsentitituttiiflussitrannequellidaC aN


49

Covert Channels

ì Canaliilleciticheconsentonoflussiinformativicheviolanolepolitichedisicurezza.ì Sfruttanodebolezzediprogettazionedelsistema

ì Sipossonosuddividereinì Storagechannels

ì Accessodirettoalleinformazioniriservate

ì Timingchannelsì Sfruttanovulnerabilitànellaesecuzioneditransazioni

concorrenti


50

ìPRIVACY


51

Privacy

ì Pergarantireriservatezzadeidatiì Anonimizzazioneì Introduzionedirumoreneidatiì Distribuzionedeidati

ì Eunsettorediricercamoltoattivo

ì Informazionipersonalipotrebberoessereinferiteattraversounasuccessionesiinterrogazionistatistichesubasididatiidverse


52

ìSFIDE FUTURE


53

Alcune linee di evoluzione

ì Qualitàdeidatiì Soprattuttodatiacquisitiviaweb

ì Gestionedeidirittidiproprietàintellettuale

ì SopravvivenzadelDBMSadattacchiecatastrofiì Confinamentoì Stimadeldannosubitoì Riconfigurazioneì Riparazioneì Eliminazionedellevulnerabilità


54

Documents

ì SICUREZZA E PRIVACY - people.unica.it · ì SICUREZZA E PRIVACY Introduzione alla sicurezza nei DBMS ì La sicurezza delle basi di dati coinvolge ì Aspetti etici e legali ì Politiche