Sicurezza dei sistemi informatici Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione Prima lezione 31/3/2007

Sicurezza dei sistemi Sicurezza dei sistemi informaticiinformatici

Master di I° livello inMaster di I° livello in

Sistemi e Tecnologie per la sicurezza Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazionedell'Informazione e della Comunicazione

Prima lezionePrima lezione31/3/200731/3/2007

Contenuto della lezioneContenuto della lezione Motivazioni Motivazioni Dati sulla sicurezzaDati sulla sicurezza I concetti di sicurezzaI concetti di sicurezza Minacce e loro classificazioneMinacce e loro classificazione Politiche e meccanismiPolitiche e meccanismi Modelli teorici di sicurezza Modelli teorici di sicurezza Politiche per la confidenzialitàPolitiche per la confidenzialità

Sicurezza dell’informazione Sicurezza dell’informazione 20 anni fa20 anni fa

Sicurezza di tipo “fisico” Sicurezza di tipo “fisico” L’informazione era principalmente su cartaL’informazione era principalmente su carta Chiusa a chiave (armadi, casseforti, ...)Chiusa a chiave (armadi, casseforti, ...) La trasmissione fisica abbastanza sicura La trasmissione fisica abbastanza sicura

Amministrazione della sicurezzaAmministrazione della sicurezza Controllo “fisico” degli accessi alle risorseControllo “fisico” degli accessi alle risorse Screening del personaleScreening del personale AuditingAuditing

Sicurezza dell’informazione oggiSicurezza dell’informazione oggi Utilizzo emergente di Internet e dei sistemi Utilizzo emergente di Internet e dei sistemi

distribuiti distribuiti L’informazione digitale deve mantenuta sicuraL’informazione digitale deve mantenuta sicura I costi dell’insicurezzaI costi dell’insicurezza

Stime dell’FBI indicano che un attacco insider può Stime dell’FBI indicano che un attacco insider può produrre in media un danno da 2.8 milioni di $produrre in media un danno da 2.8 milioni di $

Le perdite annue finanziarie dovute a falle nel Le perdite annue finanziarie dovute a falle nel sistema di sicurezza dell’informazione sono sistema di sicurezza dell’informazione sono stimate tra i 5 e i 45 miliardi di $stimate tra i 5 e i 45 miliardi di $

Sicurezza dell’informazione oggiSicurezza dell’informazione oggi

Sicurezza a livello nazionaleSicurezza a livello nazionale Protezione of infrastrutture critiche Protezione of infrastrutture critiche

Rete energeticaRete energetica Trasporto aereoTrasporto aereo agenzie governative e connesse con il governoagenzie governative e connesse con il governo

Molte agenzie non hanno livelli di sicurezza Molte agenzie non hanno livelli di sicurezza accettabiliaccettabili

Soprattutto per quanto riguarda la gestione della Soprattutto per quanto riguarda la gestione della sicurezza interna e le misure di controllo di sicurezza interna e le misure di controllo di accessoaccesso

Sicurezza di reteSicurezza di rete

Ovviamente se ogni computer avesse un solo Ovviamente se ogni computer avesse un solo utente e non fosse collegato ad altri computer, utente e non fosse collegato ad altri computer, il problema della sicurezza non si porrebbe il problema della sicurezza non si porrebbe neppureneppure

Questa situazione di isolamento tra gli utenti Questa situazione di isolamento tra gli utenti dei computer non si è in realtà mai verificatadei computer non si è in realtà mai verificata


Fino agli anni ‘70 i computer erano grandi e molto Fino agli anni ‘70 i computer erano grandi e molto costosi main-frame usati da molti utenti che si costosi main-frame usati da molti utenti che si connettevano da terminali (molto semplici)connettevano da terminali (molto semplici)

In questa situazione sono state sviluppate molte In questa situazione sono state sviluppate molte tecniche (HW e SW) per garantire la sicurezza di tecniche (HW e SW) per garantire la sicurezza di ciascun utente:ciascun utente: distinguere utente normale dal sistema operativodistinguere utente normale dal sistema operativo autenticare gli utenti autenticare gli utenti controllare gli accessicontrollare gli accessi sviluppo di modelli generali di sicurezzasviluppo di modelli generali di sicurezza


dagli anni ‘70 ad oggi, i terminali sono dagli anni ‘70 ad oggi, i terminali sono diventati PC intelligenti ed autonomi ed i diventati PC intelligenti ed autonomi ed i mainframe sono scomparsi mainframe sono scomparsi

i PC sono ora collegati in retei PC sono ora collegati in rete sulla rete ci sono server che offrono servizi sulla rete ci sono server che offrono servizi

commerciali delicati per la sicurezza (banche, commerciali delicati per la sicurezza (banche, e-commerce…)e-commerce…)

ma anche solo la posta elettronica nasconde ma anche solo la posta elettronica nasconde insidieinsidie

Insidie nella sicurezza di reteInsidie nella sicurezza di rete

1) in un computer multi-utente, uno degli utenti può assumere l’identità di un altro utente per carpire informazioni di quest’ultimo o per spacciarsi per lui

1+) i servizi di rete sono potenzialmente aperti a tutti, quindi l’insieme degli utenti di un sistema aumenta arbitrariamente e quindi anche le interazioni tra utenti diversi e quindi i pericoli di tipo (1)

Insidie nella sicurezza di reteInsidie nella sicurezza di rete

2 nuovo) i servizi che usano la rete internet si basano sulla trasmissione di informazioni che attraversano reti e router non sempre controllabili

Per difendersi dai pericoli (1) e (1+) è fondamentale che ogni utente sia identificato e

che le azioni che gli sono consentite siano decise in funzione di questa identità

cioè è fondamentale che il SO attui una chiara politica di sicurezza

Ulteriori problemiUlteriori problemi

il fatto che i PC siano in rete (possibilmente insicura) rende più difficile autenticare gli utenti

le password vanno protette e non devono passare in chiaro sulla rete

Per evitare (2) si deve trasmettere in rete solo informazione criptata cioè incomprensibile da chi non abbia l’apposita chiave di decrittazione

Ridimensioniamo il ruolo della Ridimensioniamo il ruolo della crittografia crittografia

insomma la crittografia è una tecnica importante per risolvere questi problemi,

ma non risolve tutto … anzi

Se un utente riesce a diventare system manager Se un utente riesce a diventare system manager di un PC o di una retedi un PC o di una rete

non c’è crittografia che tenganon c’è crittografia che tenga

Esistono diverse definizioni di sicurezza e diversi organismi di valutazione della sicurezza :

•US Department of Defence Trusted Computer System Evaluation Criteria (Orange Book), 1985. radium.ncsc.mil/tpep/process/faq.html

•European Information Technology Security Evaluation Criteria (ITSEC), 1991. cesg.gov.uk

•Canadian Trusted Computer Product Evaluation Creteria (CTCPEC), 1993. ftp.cse-st.gc.ca/pub/criteria/CTCPEC

Definizioni ufficiali di sicurezzaDefinizioni ufficiali di sicurezza

Qualche dato sulla (in)sicurezzaQualche dato sulla (in)sicurezza L’impatto economico dei virus, worm e Trojan horse è di L’impatto economico dei virus, worm e Trojan horse è di

17.1 miliardi di $ nel 2000 (8.75 miliardi solo per il virus “I 17.1 miliardi di $ nel 2000 (8.75 miliardi solo per il virus “I Love You”)Love You”)

In uno studio, una e-mail ogni 325 aveva un attachment In uno studio, una e-mail ogni 325 aveva un attachment malignomaligno

In un recente studio dell’EU, la metà di ogni messaggio di e-In un recente studio dell’EU, la metà di ogni messaggio di e-mail è posta non richiesta che alle imprese europee più di mail è posta non richiesta che alle imprese europee più di 2,5 miliardi all’anno in produttività persa2,5 miliardi all’anno in produttività persa

Nella prima metà del 2005 sono state scoperte 1862 nuove Nella prima metà del 2005 sono state scoperte 1862 nuove vulnerabilità del software, delle quali il 60% in programmi vulnerabilità del software, delle quali il 60% in programmi che girano su Internetche girano su Internet

Problemi di sicurezza segnalati nei Problemi di sicurezza segnalati nei mediamedia

““Computer Hacker Invades Web Site of the Justice Department”, Computer Hacker Invades Web Site of the Justice Department”, NYT, 18 August 1996NYT, 18 August 1996

““Hacker Group Commandeers The New York Times Web Site”, Hacker Group Commandeers The New York Times Web Site”, NYT, 14 September 1998NYT, 14 September 1998

““Yahoo Blames a Hacker Attack for a Lengthy Service Failure”, Yahoo Blames a Hacker Attack for a Lengthy Service Failure”, NYT, 8 February 2000NYT, 8 February 2000

““A Hacker May Have Entered Egghead Site”, NYT, 23 December A Hacker May Have Entered Egghead Site”, NYT, 23 December 20002000

““Stung by Security Flaws, Microsoft Makes Software Safety a Top Stung by Security Flaws, Microsoft Makes Software Safety a Top Goal”, NYT, 17 January 2002Goal”, NYT, 17 January 2002

““Millions of Cisco Devices Vulnerable To Attack”, Information Millions of Cisco Devices Vulnerable To Attack”, Information Week, 18 July 2003Week, 18 July 2003 ““A method for shutting down networking devices circulates on A method for shutting down networking devices circulates on

the Internet”the Internet” ““New Doomjuice Worm Emerges, Targets Microsoft”,Reuters UK, New Doomjuice Worm Emerges, Targets Microsoft”,Reuters UK,

9 February 20049 February 2004

Problemi di sicurezza segnalati dai Problemi di sicurezza segnalati dai mediamedia

E innumerevoli altri incidenti che non sono E innumerevoli altri incidenti che non sono stati pubblicizzati per paura di imbarazzostati pubblicizzati per paura di imbarazzo

Ogni volta che viene pubblicizzato un Ogni volta che viene pubblicizzato un incidente, gli esperti di sicurezza e i rivenditori incidente, gli esperti di sicurezza e i rivenditori di antivirus tendono ad esagerarne i costidi antivirus tendono ad esagerarne i costi

Nel 2002, le compagnie americane hanno Nel 2002, le compagnie americane hanno speso più di 4.3 miliardi di dollari solo per gli speso più di 4.3 miliardi di dollari solo per gli antivirusantivirus

Cambiamento del tipo di attacchiCambiamento del tipo di attacchi

Si passa da attacchi multiobbiettivo in grande Si passa da attacchi multiobbiettivo in grande scala su grandi sistemi ad attacchi mirati sui scala su grandi sistemi ad attacchi mirati sui PCPC

C’è inoltre il passaggio dall’ “hacking” C’è inoltre il passaggio dall’ “hacking” malizioso ad attacchi criminali con motivi malizioso ad attacchi criminali con motivi economicieconomici Furto di identitàFurto di identità PhishingPhishing Denial-of-serviceDenial-of-service

Furto di identitàFurto di identità

Nell’aprile 2005, un’intrusione nel database Nell’aprile 2005, un’intrusione nel database della LexisNexis ha compromesso le della LexisNexis ha compromesso le informazioni personali di circa 310000 informazioni personali di circa 310000 personepersone

Nell’agosto 2004, un’intrusione aveva Nell’agosto 2004, un’intrusione aveva compromesso 1,4 milioni di record di compromesso 1,4 milioni di record di informazioni personali all’università di informazioni personali all’università di BerkeleyBerkeley

PhisingPhising

Durante la prima metà del 2005 il volume Durante la prima metà del 2005 il volume delle e-mail “phishing” è cresciuto da circa 3 delle e-mail “phishing” è cresciuto da circa 3 milioni al giorno a circa 5.7 milionimilioni al giorno a circa 5.7 milioni

Ogni 125 messaggi di e-mail di media uno è Ogni 125 messaggi di e-mail di media uno è un tentativo di phishingun tentativo di phishing

L’1% of US households sono state vittime of L’1% of US households sono state vittime of successful phishing attacks in 2004successful phishing attacks in 2004

Ciber-estorsioniCiber-estorsioni

Durante la prima metà del 2005 gli attacchi Durante la prima metà del 2005 gli attacchi Denial-of-Service (DoS) sono aumentati da Denial-of-Service (DoS) sono aumentati da una media 119 a una media 927 al giornouna media 119 a una media 927 al giorno

Il 17% dei siti commerciali hanno ricevuto Il 17% dei siti commerciali hanno ricevuto minacce di chiusure mediante attacchi DoS minacce di chiusure mediante attacchi DoS

Una compagnia che si rifiuta di pagare gli Una compagnia che si rifiuta di pagare gli estortori spende 100,000 $ all’anno per estortori spende 100,000 $ all’anno per difendersi dagli attacchi DoSdifendersi dagli attacchi DoS

Botnets e ZombiesBotnets e Zombies

SecurityFocus, 23 January 2006SecurityFocus, 23 January 2006 " " Bot herder pleads guilty to 'zombie' salesBot herder pleads guilty to 'zombie' sales: A 20-: A 20-

year-old California man used automated software to year-old California man used automated software to infect Windows systems and to create botnets — infect Windows systems and to create botnets — centrally controlled networks of compromised PCs — centrally controlled networks of compromised PCs — to which he sold access.to which he sold access.

" In October 2005, Dutch authorities arrested three " In October 2005, Dutch authorities arrested three men in the Netherlands who allegedly controlled a men in the Netherlands who allegedly controlled a network of more than 1.5 million compromised network of more than 1.5 million compromised computers.computers.

AggiornamentiAggiornamenti New York Times, 25 September 2006.New York Times, 25 September 2006.

ChoicePoint, CardSystems Solutions, Time Warner and dozens of ChoicePoint, CardSystems Solutions, Time Warner and dozens of universities have collectively revealed 93,754,333 private recordsuniversities have collectively revealed 93,754,333 private records

The Commerce Department announced that between 2001 and the The Commerce Department announced that between 2001 and the present, 1,137 laptops were lost, missing or had been stolen present, 1,137 laptops were lost, missing or had been stolen

Symantec Internet Security Threat Report covering the first 6 Symantec Internet Security Threat Report covering the first 6 months of 2006, 25 September 2006.months of 2006, 25 September 2006. The Symantec Probe Network detected 157,477 unique phishing The Symantec Probe Network detected 157,477 unique phishing

messagesmessages Botnets have become a major part of the underground economyBotnets have become a major part of the underground economy An average of 6,110 denial-of-service attacks per dayAn average of 6,110 denial-of-service attacks per day Spam made up 54% of all monitored email trafficSpam made up 54% of all monitored email traffic

Considerazioni finaliConsiderazioni finali

La sicurezza deve essere implementata secondo le La sicurezza deve essere implementata secondo le esigenza personaliesigenza personali

Non esiste una soluzione che va bene per tuttiNon esiste una soluzione che va bene per tutti La sicurezza è un’area complessa ed estesa che La sicurezza è un’area complessa ed estesa che

permea permea tutti i livelli di un sistema informatico, compresi quelli tutti i livelli di un sistema informatico, compresi quelli

fisici: Hardware-OS-Application-Network-Operatorfisici: Hardware-OS-Application-Network-Operator E come in altri contesti, la sicurezza informatica è per E come in altri contesti, la sicurezza informatica è per

la sicurezza sia l’anello più forte che quello più la sicurezza sia l’anello più forte che quello più deboledebole

Una rassegna dei concetti di Una rassegna dei concetti di sicurezzasicurezza

La sicurezza deve garantire le proprietà diLa sicurezza deve garantire le proprietà di ConfidenzialitàConfidenzialità IntegritàIntegrità DisponibilitàDisponibilità

La sicurezza studia le minacce e gli attacchi, in La sicurezza studia le minacce e gli attacchi, in base ai quali stabilisce delle politiche e dei base ai quali stabilisce delle politiche e dei meccanismimeccanismi

Tali meccanismi sono poi implementati e Tali meccanismi sono poi implementati e verificativerificati

ConfidenzialitàConfidenzialità Si ottiene la confidenzialità nascondendo ai Si ottiene la confidenzialità nascondendo ai

non autorizzati informazioni o risorsenon autorizzati informazioni o risorse In molti ambiti esistono informazioni e risorse In molti ambiti esistono informazioni e risorse

“sensibili” a cui non possono accedere tutti“sensibili” a cui non possono accedere tutti Un modo per nascondere le informazioni è la Un modo per nascondere le informazioni è la

crittografiacrittografia Un altro modo è controllarne gli accessiUn altro modo è controllarne gli accessi

Anche le risorse possono essere soggette a Anche le risorse possono essere soggette a restrizionirestrizioni

IntegritàIntegrità L’integrità richiede che le informazioni o le L’integrità richiede che le informazioni o le

risorse “sensibili” non subiscano alterazioni risorse “sensibili” non subiscano alterazioni non autorizzatenon autorizzate Integrità dei datiIntegrità dei dati Integrità della sorgenteIntegrità della sorgente

Differenza: si può intercettare un fax in modo Differenza: si può intercettare un fax in modo completo che contiene informazioni falsecompleto che contiene informazioni false

I meccanismi per garantire l’integrità si I meccanismi per garantire l’integrità si dividono in meccanismi di prevenzione e di dividono in meccanismi di prevenzione e di scopertascoperta

IntegritàIntegrità

Integrità: è difficile da esprimere in modo Integrità: è difficile da esprimere in modo preciso:preciso: è la proprietà che tutto è come dovrebbe essereè la proprietà che tutto è come dovrebbe essere

Spesso si riduce nelSpesso si riduce nel proibire la scrittura senza proibire la scrittura senza autorizzazioneautorizzazione

E’ collegata alla segretezza:E’ collegata alla segretezza: modificare il SO è spesso prerequisito per avere modificare il SO è spesso prerequisito per avere

accesso a documenti proibiti accesso a documenti proibiti problema: violazione dell’integrità del SOproblema: violazione dell’integrità del SO

DisponibilitàDisponibilità

Per disponibilità si intende semplicemente la Per disponibilità si intende semplicemente la possibilità di usare una determinata risorsa o possibilità di usare una determinata risorsa o un’informazione nel tempoun’informazione nel tempo

Alcuni attacchi, il già citato DoS, tendono a Alcuni attacchi, il già citato DoS, tendono a diminuire e/o ad annullare la disponibilità di diminuire e/o ad annullare la disponibilità di alcune risorsealcune risorse

MinacceMinacce Una Una minacciaminaccia è una è una possibilepossibile violazione della violazione della

sicurezzasicurezza La violazione non deve necessariamente La violazione non deve necessariamente

accadere: è il fatto stesso che può accadere che accadere: è il fatto stesso che può accadere che la rende una minacciala rende una minaccia

E’ importante salvaguardarsi dalle minacce ed E’ importante salvaguardarsi dalle minacce ed essere pronti ad eventuali violazioniessere pronti ad eventuali violazioni

La violazione effettiva è chiamata La violazione effettiva è chiamata attaccoattacco e e coloro che la commettono “coloro che la commettono “attaccantiattaccanti””

Classi di minacceClassi di minacce

DisclosureDisclosure: accesso non autorizzato alle : accesso non autorizzato alle informazioniinformazioni

DeceptionDeception: accettazione di dati falsi: accettazione di dati falsi DisruptionDisruption: interruzione o prevenzione di : interruzione o prevenzione di

operazioni corretteoperazioni corrette UsurpationUsurpation: controllo non autorizzato di : controllo non autorizzato di

alcune parti del sistemaalcune parti del sistema

Minacce più ricorrentiMinacce più ricorrenti

SnoopingSnooping: intercettazione non autorizzata di : intercettazione non autorizzata di informazioni. Disclosure passivainformazioni. Disclosure passiva

Modificazione o alterazioneModificazione o alterazione: cambiamento non : cambiamento non autorizzato di informazioni. Deception attiva. autorizzato di informazioni. Deception attiva. Esempio: attacco “man-in-the-middle”Esempio: attacco “man-in-the-middle”

Masquerading o spoofingMasquerading o spoofing: impersonificazione di : impersonificazione di un’entità da parte di un’altra. un’entità da parte di un’altra. Deception/usurpation passiva o anche attiva. Deception/usurpation passiva o anche attiva. Esempio: siti “civetta”. Forme legali: delegazioneEsempio: siti “civetta”. Forme legali: delegazione

Minacce più ricorrenti (2)Minacce più ricorrenti (2) Ripudiazione dell’origineRipudiazione dell’origine: falso diniego che : falso diniego che

un’entità abbia inviato (o creato) qualcosa. un’entità abbia inviato (o creato) qualcosa. Deception.Deception.

Diniego di ricezioneDiniego di ricezione: falso diniego che : falso diniego che un’entità abbia ricevuto qualcosa. Deceptionun’entità abbia ricevuto qualcosa. Deception

RitardoRitardo: inibizione temporanea di un : inibizione temporanea di un servizio. Usurpation.servizio. Usurpation.

Denial of serviceDenial of service

Diniego di servizioDiniego di servizio: inibizione a lungo termine : inibizione a lungo termine di un servizio. Usurpation. Può essere svolta di un servizio. Usurpation. Può essere svolta sul server, sul client o in mezzosul server, sul client o in mezzo

Si verifica quando un server viene sepolto Si verifica quando un server viene sepolto sotto un enorme numero di richieste di servizi sotto un enorme numero di richieste di servizi che non può trattare e quindi non riesce più a che non può trattare e quindi non riesce più a fare il suo lavoro normalefare il suo lavoro normale

E’ difficile da evitare in generaleE’ difficile da evitare in generale

Politiche e meccanismiPolitiche e meccanismi Una politica di sicurezza è un’indicazione di cosa è e Una politica di sicurezza è un’indicazione di cosa è e

cosa non è permessocosa non è permesso Un meccanismo di sicurezza è un metodo Un meccanismo di sicurezza è un metodo

(strumento/procedura) per garantire una politica di (strumento/procedura) per garantire una politica di sicurezzasicurezza

Esempio: Esempio: il lab. di inf. di un università stabilisce come politica che il lab. di inf. di un università stabilisce come politica che

non si possono copiare i file dei compiti di un altro non si possono copiare i file dei compiti di un altro studente.studente.

Il sistema ha un meccanismo per prevenire la copia di un Il sistema ha un meccanismo per prevenire la copia di un file da parte di un altro utentefile da parte di un altro utente

Anna non usa tale meccanismo e il sistema è violatoAnna non usa tale meccanismo e il sistema è violato

Le politicheLe politiche

Una politica di sicurezza stabilisce regole che Una politica di sicurezza stabilisce regole che possono riguardare:possono riguardare: le operazioni che si possono usare su certi dati e le operazioni che si possono usare su certi dati e

l’utente che può usarlel’utente che può usarle gli utenti che possono accedere a certi dati.gli utenti che possono accedere a certi dati. eventuali profili di utente con specifici dirittieventuali profili di utente con specifici diritti

Politiche di sicurezzaPolitiche di sicurezza

La politica di sicurezza si focalizza su:La politica di sicurezza si focalizza su: i dati (proteggere)i dati (proteggere) le operazioni (controllare)le operazioni (controllare) gli utenti/profili (controllare)gli utenti/profili (controllare)

Tradizionalmente i SO hanno meccanismi che Tradizionalmente i SO hanno meccanismi che proteggono i dati. Oggi diventa più importante proteggono i dati. Oggi diventa più importante controllare gli utenticontrollare gli utenti

Meccanismi di sicurezzaMeccanismi di sicurezza Data una politica, che distingue le azioni “sicure” da Data una politica, che distingue le azioni “sicure” da

quelle “non sicure”, i meccanismi di sicurezza devono quelle “non sicure”, i meccanismi di sicurezza devono prevenireprevenire, , scoprirescoprire o o recuperarerecuperare da un attacco da un attacco

La La prevenzioneprevenzione significa che il meccanismo deve significa che il meccanismo deve rendere impossibile l’attaccorendere impossibile l’attacco

Spesso sono pesanti ed interferiscono con il sistema al Spesso sono pesanti ed interferiscono con il sistema al punto da renderlo scomodo da usare punto da renderlo scomodo da usare

Esempio unanimanente accolto: richiesta di password Esempio unanimanente accolto: richiesta di password come modo di autenticazione come modo di autenticazione

Meccanismi di sicurezza (2)Meccanismi di sicurezza (2) La La scopertascoperta significa che il meccanismo è in significa che il meccanismo è in

grado di scoprire che un attacco è in corsogrado di scoprire che un attacco è in corso E’ utile quando non è possibile prevenire E’ utile quando non è possibile prevenire

l’attacco, ma può servire anche a valutare le l’attacco, ma può servire anche a valutare le misure preventivemisure preventive

Si usa solitamente un monitoraggio delle Si usa solitamente un monitoraggio delle risorse del sistema, cercando eventuali tracce risorse del sistema, cercando eventuali tracce di attacchidi attacchi

Meccanismi di sicurezza (3)Meccanismi di sicurezza (3)

Il Il recuperorecupero da un attacco si può fare in due da un attacco si può fare in due modimodi Il primo è fermare l’attacco e recuperare/ricostruire Il primo è fermare l’attacco e recuperare/ricostruire

la situazione pre-attacco, ad esempio attraverso la situazione pre-attacco, ad esempio attraverso copie di backupcopie di backup

Il secondo è continuare a far funzionare il sistema Il secondo è continuare a far funzionare il sistema correttamente durante l’attacco (fault-tolerant)correttamente durante l’attacco (fault-tolerant)

Assunzioni e fiduciaAssunzioni e fiducia Come possiamo essere certi che la politica Come possiamo essere certi che la politica

descrive correttamente il livello e il tipo richiesto descrive correttamente il livello e il tipo richiesto di sicurezza ?di sicurezza ?

Esempio: per aprire una porta occorre una Esempio: per aprire una porta occorre una chiave, l'assunzione ritenuta da molti valida è che chiave, l'assunzione ritenuta da molti valida è che il lucchetto sia a prova di ladriil lucchetto sia a prova di ladri

In un ambiente in cui ci sono abili scassinatori In un ambiente in cui ci sono abili scassinatori tale assunzione non è più valida e il sistema non tale assunzione non è più valida e il sistema non si può più ritenere sicurosi può più ritenere sicuro

Assunzioni e fiducia (2)Assunzioni e fiducia (2)

Un meccanismo M è Un meccanismo M è sicurosicuro (rispetto ad una (rispetto ad una politica P) se non può condurre a stati non politica P) se non può condurre a stati non ammessi da Pammessi da P

M è M è liberaleliberale se può condurre anche a stati non se può condurre anche a stati non ammessi da Pammessi da P

M è M è precisopreciso gli stati a cui può condurre gli stati a cui può condurre coincidono con quelli ammessi da Pcoincidono con quelli ammessi da P

Come ottenere un sistema sicuroCome ottenere un sistema sicuro

FasiFasi Specificazione: descrizione del funzionamento Specificazione: descrizione del funzionamento

desiderato del sistemadesiderato del sistema Progetto: traduzione delle specifiche in Progetto: traduzione delle specifiche in

componenti che le implementerannocomponenti che le implementeranno Implementazione: creazione del sistema che Implementazione: creazione del sistema che

soddisfa le specifichesoddisfa le specifiche E’ indispensabile verificare la correttezza dei E’ indispensabile verificare la correttezza dei

programmiprogrammi

Considerazioni implementativeConsiderazioni implementative

Analisi costi-benefici della sicurezzaAnalisi costi-benefici della sicurezza Analisi dei rischi (valutare le probabilità di subire Analisi dei rischi (valutare le probabilità di subire

attacchi e i danni che possono causare)attacchi e i danni che possono causare) Aspetti legali (ad esempio uso della crittografia negli Aspetti legali (ad esempio uso della crittografia negli

USA) e morali USA) e morali Problemi organizzativi (ad esempio la sicurezza non Problemi organizzativi (ad esempio la sicurezza non

“produce” nuova ricchezza, riduce solo le perdite)“produce” nuova ricchezza, riduce solo le perdite) Aspetti comportamentali delle persone coinvolteAspetti comportamentali delle persone coinvolte

Aspetti psicologiciAspetti psicologici

La sicurezza viene difficilmente apprezzataLa sicurezza viene difficilmente apprezzata La maggior parte degli utenti di internet non La maggior parte degli utenti di internet non

sanno nulla di sicurezza, ma hanno bisogno di sanno nulla di sicurezza, ma hanno bisogno di sicurezzasicurezza

Esiste un conflitto tra sicurezza e facilità d’uso Esiste un conflitto tra sicurezza e facilità d’uso del computerdel computer

Sono necessarie maggiori risorse di calcolo, Sono necessarie maggiori risorse di calcolo, interagisce con le abitudini, la gestione della interagisce con le abitudini, la gestione della sicurezza costasicurezza costa

Aspetti psicologici (2)Aspetti psicologici (2)

D’altra parte la sicurezza è D’altra parte la sicurezza è necessarianecessaria perché c’è una continua crescita delle perché c’è una continua crescita delle violazioni della sicurezza informatica violazioni della sicurezza informatica

Esistono software d’attacco disponibili su reteEsistono software d’attacco disponibili su rete Si riscontrano anche attacchi molto sofisticati Si riscontrano anche attacchi molto sofisticati

che arrivano a cancellare le tracceche arrivano a cancellare le tracce Quindi in percentuale cresce il numero degli Quindi in percentuale cresce il numero degli

attacchi che hanno successo ed arrivano a attacchi che hanno successo ed arrivano a compromettere il sistema attaccatocompromettere il sistema attaccato

RintracciabilitàRintracciabilità Certe “garanzie” possono non bastare:

anche azioni autorizzate possono causare violazioni di sicurezza

ci può essere un “buco” nei controlli che abbiamo stabilito

Impossibile la sicurezza al 100% E’ importante riuscire a tenere traccia di chi ha

fatto le azioni che violano la sicurezza : Rintracciabilità (Auditing)

RintracciabilitàRintracciabilità

L’auditing richiede: selezione delle azioni pericolose protezione dei file di log

Inoltre richiede l’autenticazione degli utenti in modo da poter collegare le azioni pericolose a chi le ha compiute

Sicurezza e livelliSicurezza e livelli

in quale livello del computer conviene inserire un meccanismo di controllo ?

applicazioni

servizi

SO

kernel del SO

hardware


livelli bassi: meccanismi di sicurezza generali, semplici, grossolani, ma dimostrabili corretti

livelli alti: meccanismi ad hoc per gli utenti, sofisticati, difficili da dimostrare corretti


il livello sottostante: ogni meccanismo di controllo definisce un

perimetro di sicurezza al suo esterno ci sono le parti del sistema il cui

malfunzionamento non compromette il meccanismo di controllo

al suo interno ci sono invece le parti del sistema che possono essere usate per scardinare il meccanismo di protezione


ogni meccanismo di controllo si situa ad un certo livello del computer, i livelli sottostanti sono sempre nel perimetro di sicurezza del meccanismo.

come difendere i livelli sotto quello in cui si trova il meccanismo di controllo

Attacchi al livello sottostanteAttacchi al livello sottostante Strumenti di recupero che leggono direttamente il

contenuto dei dischi o della RAM (byte per byte) ignorando l’organizzazione logica in files che questi bytes rappresentano e quindi evitando il controllo sull’accesso dei files stessi

I dispositivi di I/O in Unix sono trattati come files, se i permessi d’accesso ad un disco sono definiti male ed un utente ottiene accesso al disco, esso può avere accesso a tutti i files che vi risiedono indipendentemente dal permesso di accedere ad ogni singolo file

Attacchi al livello sottostanteAttacchi al livello sottostante

Riuso degli oggetti: in sistemi a multiprogrammazione un processo ottiene la CPU a spese di un altro processo cui viene sottratta. Un context switch copia lo stato del vecchio processo su file ed inizializza il nuovo processo. Lo switch non deve lasciare residui in memoria, cioè il nuovo processo non deve poter conoscere lo stato del processo che lo precede

Attacchi al livello sottostanteAttacchi al livello sottostante

Backups e core dumps basta che l’attaccante acceda ai files di backup o a dei core dumps (effettuati in caso di terminazione anomala dei programmi)

utenteapplic.

computer risorse

specifico complesso

generico, semplice

???

semplicità e buona garanzia, oppure specificità e minore garanzia ?

Visione finaleVisione finale

Modello di Modello di Harrison-Ruzzo-UllmanHarrison-Ruzzo-Ullman

E’ uno dei modelli teorici più semplici per la E’ uno dei modelli teorici più semplici per la sicurezza informaticasicurezza informatica

Si basa sui semplici concetti di soggetto, Si basa sui semplici concetti di soggetto, oggetto, diritto e matrice di controllooggetto, diritto e matrice di controllo

E’ alla base dei metodi di gestione della E’ alla base dei metodi di gestione della sicurezza nei sistemi operativi (capabilities, sicurezza nei sistemi operativi (capabilities, access control list, ...)access control list, ...)

StatiStati Uno stato di un sistema è composto dai valori Uno stato di un sistema è composto dai valori

correnti correnti di tutte le locazioni di memoriadi tutte le locazioni di memoria dei registridei registri del contenuto delle memorie di massadel contenuto delle memorie di massa del contenuto dei dispositividel contenuto dei dispositivi Di altre componenti del sistemaDi altre componenti del sistema

Insieme degli stati PInsieme degli stati P Insieme degli stati sicuri Q Insieme degli stati sicuri Q Insieme degli stati insicuri P-QInsieme degli stati insicuri P-Q

QP-Q

EntitàEntità

Insieme di oggetti OInsieme di oggetti O Insieme di soggetti S, sottoinsieme di OInsieme di soggetti S, sottoinsieme di O Insieme di diritti R, operazioni che un soggetto Insieme di diritti R, operazioni che un soggetto

ss può compiere su un oggetto può compiere su un oggetto oo Esempio Esempio

O={file1, file2, process1, process2},O={file1, file2, process1, process2}, S={process1, process2},S={process1, process2}, R={read, write, own, append, execute}R={read, write, own, append, execute}

Matrice di controllo degli accessiMatrice di controllo degli accessi

Matrice A[s,o] per ogni soggetto s ed ogni Matrice A[s,o] per ogni soggetto s ed ogni oggetto o oggetto o

Il contenuto di A[s,o] è un sottoinsieme di R e Il contenuto di A[s,o] è un sottoinsieme di R e specifica quali operazioni s può compiere su ospecifica quali operazioni s può compiere su o

L’operazione L’operazione ownown assume di solito il assume di solito il significato di possesso totale dell’oggetto e significato di possesso totale dell’oggetto e quindi anche la possibilità di cambiare i diritti quindi anche la possibilità di cambiare i diritti dei vari soggetti su tale oggettodei vari soggetti su tale oggetto

Esempio di matriceEsempio di matrice

file1file1 file2 file2 process1process1 process2process2

process1process1rd,wr,rd,wr, rd rd rd, wr, ex, rd, wr, ex, wr wr

ownown ownown

process2process2appapp rd,own rd,own rd rd rd,wr, ex rd,wr, ex

ownown

SpiegazioneSpiegazione

E’ chiaro cosa vuole dire che un processo può E’ chiaro cosa vuole dire che un processo può svolgere le operazioni di read, write, execute e svolgere le operazioni di read, write, execute e append su un fileappend su un file

Verso un processo read vuol dire ricevere Verso un processo read vuol dire ricevere segnali, write spedire e execute eseguirlo come segnali, write spedire e execute eseguirlo come sottoprocessosottoprocesso

Altro esempioAltro esempioHostnamesHostnames

ToadflaxToadflax

NobNob

TelegraphTelegraph

ownown ftpftp ftpftp

ftpftp, , nsfnsf, , mailmail, , ownown

ftpftp, , nfsnfs, , mailmail

ftpftp, , mailmail ftpftp, , nsfnsf, , mailmail, , ownown

Toadflax Nob Telegraph

Stati e comandiStati e comandi Stato X=(S,O,A)Stato X=(S,O,A) Primitive di modifica dello statoPrimitive di modifica dello stato

creare un nuovo soggettocreare un nuovo soggetto creare un nuovo oggettocreare un nuovo oggetto aggiungere un diritto r a A[s,o]aggiungere un diritto r a A[s,o] eliminare un diritto r da A[s,o]eliminare un diritto r da A[s,o] eliminare un soggettoeliminare un soggetto eliminare un oggettoeliminare un oggetto

Transizioni di statoTransizioni di stato

Un comando incondizionato è una primitiva o Un comando incondizionato è una primitiva o una sequenza di primitiveuna sequenza di primitive

Un comando C cambia lo stato corrente S in Un comando C cambia lo stato corrente S in un nuovo stato S’un nuovo stato S’

S |--S |--C C S’S’ Una sequenza di comandi C1,...,Cn cambia lo Una sequenza di comandi C1,...,Cn cambia lo

stato corrente S in un nuovo stato Sstato corrente S in un nuovo stato Snn

S |-- S |--C1 C1 SS11 |-- |--C2 C2 ... S ... Sn-1n-1 |-- |--Cn Cn SSnn

Comandi condizionaliComandi condizionali if r if r inin A[s,o] then A[s,o] then

primitiva1; primitiva1; ...; ...; primitivaNprimitivaN

if r1 if r1 inin A[s1,o1] and ... A[s1,o1] and ... and rk and rk inin A[sk,ok] then A[sk,ok] then primitiva1; primitiva1; ...; ...;

primitivaNprimitivaN

EsempioEsempiocomando CREA(soggetto s,file f)comando CREA(soggetto s,file f)

crea nuovo oggetto fcrea nuovo oggetto faggiungi own a A[s,f]aggiungi own a A[s,f]

comando CONFERISCI(soggetto s,soggetto s’,file f,diritto r)comando CONFERISCI(soggetto s,soggetto s’,file f,diritto r)if own in A[s,f] and if own in A[s,f] and r in A[s,f]r in A[s,f] then then

aggiungi r a A[s’,f]aggiungi r a A[s’,f]

comando RIMUOVI(soggetto s,soggetto s’, file f, diritto r)comando RIMUOVI(soggetto s,soggetto s’, file f, diritto r)if own in A[s,f] and r in A[s’,f] thenif own in A[s,f] and r in A[s’,f] then

elimina r da A[s’,f]elimina r da A[s’,f]

Diritti di copia e di possessoDiritti di copia e di possesso

Il diritto di copia (o grant) consente al Il diritto di copia (o grant) consente al possessore di un oggetto possessore di un oggetto oo di concedere ad di concedere ad altri soggetti un diritto altri soggetti un diritto rr su su oo

Per il Per il principio di attenuazione principio di attenuazione il possessore il possessore di di oo può concedere solo diritti che lui possiede può concedere solo diritti che lui possiede su su oo

Il diritto di possesso consente al possessore di Il diritto di possesso consente al possessore di oo di auto-concedersi o sottrarsi diritti su di auto-concedersi o sottrarsi diritti su oo

La domanda fondamentaleLa domanda fondamentale Un sistema informatico è definito con un Un sistema informatico è definito con un

insieme finito di comandi validi C e un insieme finito di comandi validi C e un insieme finito di diritti Rinsieme finito di diritti R

Come possiamo stabilire se è sicuro ?Come possiamo stabilire se è sicuro ? Ad esempio se esiste una sequenza di comandi Ad esempio se esiste una sequenza di comandi

che conduce ad una violazione di sicurezza ?che conduce ad una violazione di sicurezza ?

La domanda fondamentaleLa domanda fondamentale

Esiste un algoritmo in grado di determinare se Esiste un algoritmo in grado di determinare se il sistema è sicuro ?il sistema è sicuro ?

In generale la risposta è NO, in quanto In generale la risposta è NO, in quanto definendo in modo ragionevole quando un definendo in modo ragionevole quando un sistema è sicuro, si ottiene un problema sistema è sicuro, si ottiene un problema indecidibileindecidibile

Ad esempio una violazione è quando un utente Ad esempio una violazione è quando un utente ottiene un diritto per cui non era autorizzatoottiene un diritto per cui non era autorizzato

Modello take-grantModello take-grant E’ però possibile costruire dei modelli E’ però possibile costruire dei modelli

vincolati di cui è possibile dimostrare la vincolati di cui è possibile dimostrare la sicurezza in modo algoritmicosicurezza in modo algoritmico

Un esempio abbastanza semplice è il modello Un esempio abbastanza semplice è il modello take-grant in cui è possibile take-grant in cui è possibile definire se un utente può prendere (definire se un utente può prendere (taketake) o ) o

concedere (concedere (grantgrant) diritti da/a un altro utente) diritti da/a un altro utente che un utente che un utente creicrei un nuovo oggetto, auto- un nuovo oggetto, auto-

concedendosi diritti su di essoconcedendosi diritti su di esso che un utente che un utente tolgatolga a se stesso un diritto su un a se stesso un diritto su un

oggettooggetto

Modello take-grantModello take-grant

Modello take-grantModello take-grant

Decidibilità del modelloDecidibilità del modello E’ possibile costruire un grafo che rappresenta E’ possibile costruire un grafo che rappresenta

i diritti che i soggetti hanno sugli altri soggetti i diritti che i soggetti hanno sugli altri soggetti e sugli oggettie sugli oggetti

Ragionando su tale grafo e sull’insieme di Ragionando su tale grafo e sull’insieme di comandi validi è possibile verificare in comandi validi è possibile verificare in maniera efficiente se c’è la possibilità di maniera efficiente se c’è la possibilità di “furti” di diritti da parte di non autorizzati e di “furti” di diritti da parte di non autorizzati e di “cospirazioni” tra utenti“cospirazioni” tra utenti

Cenni al Schematic Protection Cenni al Schematic Protection ModelModel

Si basa sui concetti diSi basa sui concetti di ticket X/r: indica il diritto r sull’entità Xticket X/r: indica il diritto r sull’entità X tipi di soggetti e di oggettitipi di soggetti e di oggetti link di collegamento tra soggettilink di collegamento tra soggetti filtro sui linkfiltro sui link

X/rc indica che il diritto su X può essere copiato ad X/rc indica che il diritto su X può essere copiato ad altrialtri

I diritti sono suddivisi inI diritti sono suddivisi in inerziali: non cambiano lo stato di protezione del sistemainerziali: non cambiano lo stato di protezione del sistema di controllo: cambiano (come take o grant)di controllo: cambiano (come take o grant)

Cenni al SPMCenni al SPM

Un diritto r può essere concesso da Y a Z sulla Un diritto r può essere concesso da Y a Z sulla risorsa X serisorsa X se Y possiede il ticket X/rcY possiede il ticket X/rc Y è collegato a ZY è collegato a Z è ammesso dal filtro il trasferimento di r su X da è ammesso dal filtro il trasferimento di r su X da

oggetti del tipo di Y a quelli del tipo di Zoggetti del tipo di Y a quelli del tipo di Z Esiste un algoritmo in grado di decidere se un Esiste un algoritmo in grado di decidere se un

sistema SPM con un certo repertorio di sistema SPM con un certo repertorio di comandi validi è sicurocomandi validi è sicuro

Politiche di sicurezzaPolitiche di sicurezza

Una politica partiziona l’insieme degli stati Q in Una politica partiziona l’insieme degli stati Q in due partidue parti P, stati sicuriP, stati sicuri Q-P, stati insicuriQ-P, stati insicuri

Un sistema sicuro è un sistema che partendo da Un sistema sicuro è un sistema che partendo da uno stato sicuro non entra mai in uno stato uno stato sicuro non entra mai in uno stato insicuroinsicuro

Una falla nella sicurezza è quando un sistema Una falla nella sicurezza è quando un sistema entra in uno stato insicuroentra in uno stato insicuro

Politiche per la sicurezzaPolitiche per la sicurezza

Una politica P garantisceUna politica P garantisce la confidenzialità di I rispetto a X se nessun la confidenzialità di I rispetto a X se nessun

membro di X può accedere a Imembro di X può accedere a I l’integrita di I rispetto a X se ogni membro di X ha l’integrita di I rispetto a X se ogni membro di X ha

fiducia del contenuto di Ifiducia del contenuto di I la disponibilità di I rispetto a X se se ogni membro la disponibilità di I rispetto a X se se ogni membro

di X può accedere ad Idi X può accedere ad I Un meccanismo di sicurezza M è un entità o Un meccanismo di sicurezza M è un entità o

una procedura che rinforza una parte della una procedura che rinforza una parte della politica Ppolitica P

Tipi di politicheTipi di politiche

Politiche militari/governative: incentrate Politiche militari/governative: incentrate primariamente sulla confidenzialitàprimariamente sulla confidenzialità

Politiche commerciali: incentrate Politiche commerciali: incentrate maggiormente sull’integritàmaggiormente sull’integrità

Sono importanti anche ai fini commerciali le Sono importanti anche ai fini commerciali le politiche di integrità orientate alle transazioni politiche di integrità orientate alle transazioni (consistenza delle transazioni)(consistenza delle transazioni)

Tipi di controllo sugli accessiTipi di controllo sugli accessi

Controllo di accesso discrezionale (DAC), Controllo di accesso discrezionale (DAC), detto anche controllo di accesso basato detto anche controllo di accesso basato sull’identità (IBAC): sull’identità (IBAC): ogni utente può avere diritti diversi sugli oggettiogni utente può avere diritti diversi sugli oggetti è il possessore dell’oggetto che stabilisce i diritti è il possessore dell’oggetto che stabilisce i diritti

per se e per gli altri soggettiper se e per gli altri soggetti in base all’identità dell’utente che tali diritti sono in base all’identità dell’utente che tali diritti sono

controllaticontrollati

Tipi di controllo sugli accessiTipi di controllo sugli accessi

Controllo di accesso mandatorio (MAC), detto Controllo di accesso mandatorio (MAC), detto anche rule-based access controlanche rule-based access control il sistema controlla gli accessi di un soggetto il sistema controlla gli accessi di un soggetto ss ad ad

oggetto oggetto o o in base alle informazioni su in base alle informazioni su s s e su e su oo il singolo individuo non può alterare i dirittiil singolo individuo non può alterare i diritti il possessore non può assegnare i diritti in maniera il possessore non può assegnare i diritti in maniera

arbitraria agli altri soggettiarbitraria agli altri soggetti

Politiche per la confidenzialitàPolitiche per la confidenzialità

Uno dei modelli più semplici è quello di Bell-Uno dei modelli più semplici è quello di Bell-La PadulaLa Padula

Ci sono n livelli di sicurezza, Ci sono n livelli di sicurezza, LL11 è il livello più basso, è il livello più basso, ..., ..., LLnn è il livello più alto, quello per cui è maggiore la è il livello più alto, quello per cui è maggiore la

necessità di confidenzialitànecessità di confidenzialità Ad esempio UC (non classificato) < C Ad esempio UC (non classificato) < C

(confidenziale) < S (segreto) < TS (top secret)(confidenziale) < S (segreto) < TS (top secret)

Modello di Bell-La PadulaModello di Bell-La Padula

Ogni soggetto s ha un proprio livello di Ogni soggetto s ha un proprio livello di sicurezza sicurezza L(s)L(s) che rappresenta il livello che rappresenta il livello massimo a cui può lavoraremassimo a cui può lavorare

Ogni oggetto Ogni oggetto oo ha un proprio livello di ha un proprio livello di sicurezza sicurezza L(o)L(o) che rappresenta il livello di che rappresenta il livello di confidenzialità che contieneconfidenzialità che contiene

Ogni soggetto s ha eventuali diritti Ogni soggetto s ha eventuali diritti discrezionali di lettura e/o scrittura sugli discrezionali di lettura e/o scrittura sugli oggetti ooggetti o

EsempioEsempio

Livelli di Livelli di sicurezzasicurezza

SoggettiSoggetti OggettiOggetti

TOP SECRETTOP SECRET Tamara, ThomasTamara, Thomas File personaliFile personali

SECRETSECRET Sally, SamuelSally, Samuel File e-mailFile e-mail

CONFIDENTIALCONFIDENTIAL Claire, ClarenceClaire, Clarence File di logFile di log

UNCLASSIFIEDUNCLASSIFIED Ursula, UrkUrsula, Urk Elenco telef.Elenco telef.

Regole di base Regole di base di Bell-La Paduladi Bell-La Padula

Il soggetto Il soggetto ss può leggere l’oggetto può leggere l’oggetto oo se se L(o)<=L(s)L(o)<=L(s) e se ha diritto discrezionale di e se ha diritto discrezionale di leggere leggere o o ((proprietà di sicurezza sempliceproprietà di sicurezza semplice))

Ad esempio Claire non può leggere i file Ad esempio Claire non può leggere i file personali, mentre Tamara può leggere i file di personali, mentre Tamara può leggere i file di loglog

Cosa succederebbe se Tamara copiasse una Cosa succederebbe se Tamara copiasse una parte dei file personali sui file di log ?parte dei file personali sui file di log ?

Regole di baseRegole di base Il soggetto Il soggetto ss può scrivere l’oggetto può scrivere l’oggetto oo se se

L(o)>=L(s)L(o)>=L(s) e se ha diritto discrezionale di e se ha diritto discrezionale di scrivere scrivere oo ( (proprietà *proprietà *) )

Quindi tutto quello che può scrivere Tamara è Quindi tutto quello che può scrivere Tamara è Top Secret (file personali), che solo Thomas, Top Secret (file personali), che solo Thomas, oltre a lei può leggereoltre a lei può leggere

Un sistema è sicuro se qualunque cosa accada Un sistema è sicuro se qualunque cosa accada (cioè in qualunque stato sia possibile transire (cioè in qualunque stato sia possibile transire attraverso i comandi validi) le due proprietà attraverso i comandi validi) le due proprietà (semplice e *) continuano a valere(semplice e *) continuano a valere

Categorie di oggettiCategorie di oggetti

Ogni oggetto è classificato in una o più Ogni oggetto è classificato in una o più categorie a seconda del contenutocategorie a seconda del contenuto

Ad esempio NUC, EUR e USAd esempio NUC, EUR e US

00

{NUC,EUR,US}

{NUC,EUR} {EUR,US} {NUC,US}

{EUR} {NUC} {US}

{ }

Categorie di oggettiCategorie di oggetti

Ogni soggetto ha un livello e un insieme di Ogni soggetto ha un livello e un insieme di categorie a cui può accederecategorie a cui può accedere

Ogni oggetto ha un livello e un insieme di Ogni oggetto ha un livello e un insieme di categorie di cui trattacategorie di cui tratta

Principio del “need-to-know”: ogni soggetto Principio del “need-to-know”: ogni soggetto deve sapere solo quello di cui ha strettamente deve sapere solo quello di cui ha strettamente bisognobisogno

EsempioEsempio

George ha livello (Secret, {NUC, EUR})George ha livello (Secret, {NUC, EUR}) Paul ha livello (Secret, {EUR, NUC, US})Paul ha livello (Secret, {EUR, NUC, US}) DocA ha livello (Confid, {NUC})DocA ha livello (Confid, {NUC}) DocB ha livello (Secret, {EUR, US})DocB ha livello (Secret, {EUR, US}) DocC ha livello (Secret, {EUR})DocC ha livello (Secret, {EUR})

DominanzaDominanza

In una coppia (L,C), L è un livello di sicurezza In una coppia (L,C), L è un livello di sicurezza e C è un sottoinsieme di categoriee C è un sottoinsieme di categorie

La coppia (L,C) domina la coppia (L’,C’) se La coppia (L,C) domina la coppia (L’,C’) se L’<=L e L’<=L e C’ è un sottoinsieme di CC’ è un sottoinsieme di C

Ad esempio George domina DocA in quanto Ad esempio George domina DocA in quanto Conf < Secret e {NUC} è un sottoinsieme di Conf < Secret e {NUC} è un sottoinsieme di {NUC, EUR}{NUC, EUR}

George non domina DocBGeorge non domina DocB

RegoleRegole

s s può leggere può leggere o o se (L(s),C(s)) domina se (L(s),C(s)) domina (L(o),C(o)) e s ha il diritto discrezionale di (L(o),C(o)) e s ha il diritto discrezionale di lettura su olettura su o

Ad esempio George potrebbe leggere DocA e Ad esempio George potrebbe leggere DocA e DocC, ma non DocBDocC, ma non DocB

s s può scrivere può scrivere o o se (L(o),C(o)) domina se (L(o),C(o)) domina (L(s),C(s)) e s ha il diritto discrezionale di (L(s),C(s)) e s ha il diritto discrezionale di scrittura su oscrittura su o

Paul non può scrivere DocAPaul non può scrivere DocA

SicurezzaSicurezza

Se ogni comando valido preserva la Se ogni comando valido preserva la condizione di semplice sicurezza e la proprietà condizione di semplice sicurezza e la proprietà * allora il sistema è sicuro e non si possono * allora il sistema è sicuro e non si possono avere intrusioniavere intrusioni

Un problema grave è che un soggetto S non Un problema grave è che un soggetto S non può può maimai comunicare con soggetti S’ di livello comunicare con soggetti S’ di livello di sicurezza inferioredi sicurezza inferiore

Principio di tranquillitàPrincipio di tranquillità

Bisognerebbe cambiare i livelli di sicurezza di Bisognerebbe cambiare i livelli di sicurezza di un oggettoun oggetto

Ma si può ?Ma si può ? Principio di tranquillità forte: NO !Principio di tranquillità forte: NO ! Principio di tranquillità debole:Principio di tranquillità debole:

Se ciò non viola le regole delle politiche di Se ciò non viola le regole delle politiche di sicurezza, ad esempiosicurezza, ad esempio

Alzare il livello di un oggettoAlzare il livello di un oggetto Abbassare (dopo declassificazione) il livello di un Abbassare (dopo declassificazione) il livello di un

oggettooggetto

Documents

Sicurezza dei sistemi informatici Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione Prima lezione 31/3/2007