: Éléments de Module II : Sécurité SE et des logiciels José M. Fernandez M-3109 340-4711 poste 5433
Module II Aperçu Semaine 5 Sécurité dans les systèmes d'exploitation (SE) Contrôle d'accès dans les SE Authentification dans les SE Semaine 6 Sécurit dans les SE (suite) Contrôle d'intégrité Code malicieux Contre-mesures Semaine 7 Sécurité du logiciel Failles typiques et vulnérabilités Techniques d'exploitation Contre-mesures Semaine 8 période de relâche Semaine 9 Sécurité des BD et des applications Web Semaine 10 Contrôle périodique (jusqu'à semaine 7) 2
Plan de ce chapitre Objets protégés et méthodes de protection Contrôle de l'accès aux objets généraux Protection des fichiers Protection de la mémoire et de l'adressage Authentification des usagers 3
Objets et méthodes de protection Objets protégés mémoire dispositifs E/S, p.ex. les disques dispositifs réutilisables, p.ex. les imprimantes programmes et procédures (e.g. les DLL en Windows) partagés ressources réseaux données partagées Méthodes de protection dans les systèmes d'exploitation séparation physique séparation temporelle séparation logique séparation cryptographique 4
Niveaux de protection Aucune Isolation Partage tout ou rien Partage par contrôle d'accès Partage par capabilités Imposition de limites à l'usage Niveaux de protection Granularité contrôle au niveau du bit, octet, mot, élément, champ, fiche 5
Modèles de contrôle d'accès Objets généraux mémoire fichier programme exécutable répertoire un dispositif matériel structure de données, e.g. pile tables du système d'exploitation instructions, surtout instructions "privilégiées" mots de passe et mécanismes d'authentification le mécanisme de protection luimême Sujets Processus Utilisateurs Groupe d'utilisateurs Mode d'accès Lecture Écriture Exécution Propriété ("ownership") "Grant" Matrice de contrôle d'accès Établi quel mode d'accès les sujets ont sur quels objets Objectifs vérifier chaque accès, tous les accès principe du privilège minimum vérifier l'usage approprié et acceptable 6
Problématique du contrôle d'accès Définition du problème Complexe Utilisation de "politique de sécurité" en terme plus abstrait Traduction des spécifications abstraites en propriétés vérifiables de bas niveau Vérification et réalisation Vérification bas niveau faite par les mécanismes internes du SE Vérification de la traduction par méthodes formelles Authentification Est-ce que le sujet S voulant accéder à l'objet O en mode M en ayant la permission est vraiment le sujet S? Mécanismes d'authentification du code des utilisateurs du systèmes 7
Contrôle d'accès sur Unix/Linux et Windows Unix/Linux Objets "Everything is a file" Périphériques Processus Mémoire Sujets Utilisateurs Fichier : /etc/passwd Fichier : /etc/shadow Groupe d'utilisateurs Fichier : /etc/group Mode d'accès Lecture Écriture Exécution répertoire "Ownership" Permet d'attribuer/révoquer des droits Gestion des droits chmod, chgrp, chown Windows Objets Fichiers "Shared Pipes" Sujets Utilisateurs Groupe d'utilisateurs Groupe locaux vs. globaux Base de donnée interne (SAM) Mode d'accès Plus de granularité Create Traverse Gestion des droits Interface directe Explorer 8
Philosophie de gestion des accès AGLP AGLP Access Global Local Permissions Terminologie Windows, mais applicable partout Éléments Groupes "Locaux" : auxquels sont attribués des Permissions sur des ressources généralement définis et résidants sur les serveurs où ces ressources se trouvent (d'où le nom) les membres sont exclusivement des groupes globaux Groupe "Globaux" regroupement des utilisateurs, typiquement selon leur rôles généralement définis sur des serveurs de domaine globaux (d'où le nom) Principes : On n'attribue pas de permissions aux groupes globaux ni aux utilisateurs On n'ajoute pas d'utilisateurs dans les groupes locaux Séparation des responsabilités Gestion des usagers : A et G Politique de sécurité : G et L, et possiblement L et P Administrateur de système : L et P 9
Protection de la mémoire Problème Éviter que certaines parties de la mémoire soit accédées Il est difficile pour le SE (machine de registre) de savoir ce qui est mémoire légitime en run-time Mesures de protection possibles: Registre "frontière" Registres de base et de limite Mémoire avec étiquettes ("tags") Segmentation Pagination Pagination plus segmentation 10
Authentification des usagers Par quelque chose qu'il connaît mot de passe phrase de passe information personnelle nom date de naissance No. d'ass. sociale Par quelque chose qu'il possède carte magnétique "dongle" carte à puce dispositif "Secure ID" dispositif ou carte RFID Par quelque chose qu'il est (biométrie) empreintes digitales géométrie de la main rétine de l'œil iris de l'œil caractéristiques du visage Par quelque chose qu'il fait signature voix rythme au clavier 11
Modèle général Saisie de l'information Extraction unidirectionnelle Conservation en base de données Saisie de l'information Extraction unidirectionnelle Décision faux positif? faux négatif? Comparaison 12
Exemple 1 Mot de passe: WELCOME TO THE XYZ COMPUTING SYSTEM ENTER USER'S NAME: gaspar INVALID USER NAME: UNKNOWN USER ENTER USER'S NAME: Exemple 2 WELCOME TO THE XYZ COMPUTING SYSTEM ENTER USER'S NAME: gaspar ENTER PASSWORD: ghjfds INVALID ACCESS ENTER USER'S NAME: 13
Attaque sur les mots de passe Techniques de base Capturer et lire le fichier des mots de passe surtout s'il n'est pas encrypté Recherche exhaustive l'algorithme d'encryptage unidirectionnel est connu Demander à l'usager à son insu Social engineering Supplantation avec sa collaboration $$$ "Talents" Vulnérabilités de mots de passe mots de passe probables mots de passe courts mots du dictionnaire mots de passe avec lien à l'usager information personnelle information familiale (Problème de base : faible entropie des choix de mots de passe!!! ) mauvaise protection des fichiers de mots de passe pas d'authentification du système 14
Mots de passe Contremesures Algorithme unidirectionnel Introduire une variation aléatoire pour permettre plus d'une variation possible ("salt" en Unix) Utilisation de fonction de hachage cryptographique sécuritaire Choix du mot de passe Utiliser plus que 26 caractères: majuscule, minuscules, chiffres et symboles spéciaux Utiliser un mot de passe suffisamment long ("phrase de passe") Éviter des mots de passe qui sont des mots du dictionnaire(s) Politique de gestion de mot de passe Expiration des mots de passe Mots de passe à usage unique: Un mot de passe = Un système Contrôle des mécanismes de mise à zéro ("password reset") etc. MOTS DE PASSE = TALON D'ACHILES!!! 15
Doit être vraiment unique Possiblement indépendant d'une base de données Doit être difficile/coûteux à reproduire Problème de gestion de ces objets émission contrôle de possession perte ou vol récupération Authentification par possession d'un objet unique Faiblesses coût possibilité de falsification perte ou vol Cas particulier Ré-authentification détection de la présence continue de l'usager distinct de l'activité de l'usager 16
Authentification biométrique statique Empreintes digitales bonne précision: expérience policière antérieure la contrefaçon est possible Géométrie de la main assez précise contrefaçon? Rétine de l'œil la plus précise des méthodes biométriques utilisation d'un laser: réticence des usagers Iris de l'œil très précise: 266 caractéristiques => 10 78 combinaisons lecture jusqu'à un mètre n'est pas affecté par l'age, la maladie incluant la cataracte Caractéristiques du visage se rapproche le plus de la méthode humaine le taux de précision reste à améliorer utilisé pour identifier des individus dans des lieux publics 17
Authentification biométrique dynamique Signature tient compte de la dynamique du geste et non seulement de l'apparence de la signature il faut entrainer le système: décision "floue" la décision est sous forme d'une probabilité Voix le moins précis de toutes ces méthodes biométriques il faut entrainer le système sensible à l'état de santé de la personne (laryngite) contrefaçon facile très accepté en général Rythme au clavier pas encore très développé décision "floue" complètement transparent pour l'usager surveillance continuelle tant que le clavier est utilisé non-applicable si une interface graphique d'usager est utilisée 18
Authentification dans les réseaux Problématiques additionnelles Interception de la session d'authentification Supplantation du système "Replay attacks" Session hi-jacking Chess-master attack 19
Système de "challenge-response" La possession d'une information I authentifie l'utilisateur au système Au lieu de dévoiler I, 1. le système émet un "challenge" 2. L'utilisateur répond au "challenge" avec une réponse, que seul quelqu'un connaissant l'information I peut calculer 3. Le système vérifie que la réponse est bonne Avantages: Protège contre l'interception Désavantages : Le système doit connaître I Vulnérable à l'attaque de supplantation Vulnérable à l'attaque de "replay" 20
Preuves à connaissance nulle "Zero-Knowledge Proofs", en anglais Protocoles permettant à un démonstrateur P de prouver à un vérificateur V qu'il connaît quelque chose ou est capable de réaliser une tâche, sans que V n'apprenne rien d'autre que ce fait. Sécurité basée sur des problèmes calculatoire difficiles : Coloriage de graphe (NP-complet) Isomorphisme de graphe (NP) Calcul de résidu quadratique modulo N = p.q (NP) Applications en authentification P détient une information I qui l'authentifie au système V connaît émet un "challenge" aléatoire, que seul quelqu'un connaissant I peut résoudre V ne connaît pas I Avantages Résout le problème de supplantation Désavantages Vulnérable au session hi-jacking et attaque "chessmaster" Requiert une capacité de calcul chez l'utilisateur 21
Architecture d'authentification en réseaux Principe d'authentification unique On veut que l'utilisateur s'authentifie une fois seulement pour tous les systèmes Convivialité Centralisation de la gestion des utilisateurs et accès Efficacité Solutions existantes Kerberos "Tickets" émis par le serveur d'authentification Durée limitée dans le temps Accès et utilisation limité "Domain trusts" (ou "rhosts") Relation de confiance entre serveurs/domaines Établis par les administrateurs de systèmes Pas nécessairement bi-directionnelles Statique et non-dynamique Transitivité de la relation de confiance 22