4.Seguridad SSOO p

7/25/2019 4.Seguridad SSOO p

1/40

Seguridad en Tecnologas de la Informacion

Tema 4Seguridad en Sistemas Operativos

Manuel J. Lucena [email protected]

Departamento de InformaticaUniversidad de Jaen

10 de noviembre de 2015

Manuel Lucena (Dpto. Informatica) 4. Seguridad SS.OO. 10 de noviembre de 2015 1 / 40


2/40

El Sistema Operativo

Indice


Gestion de Usuarios

El Sistema de Ficheros

Archivos de Registro

Controles de Acceso

Programacion Segura



3/40


El Papel del Sistema Operativo Permite la comunicacion entre el usuario y el ordenador.

Gestiona los recursos de la computadora, proporcionandoabstracciones: Archivos o Ficheros. Dispositivos. Procesos. . . .

Las abstracciones permiten al usuario desentenderse de los detallesconcretos del hardware, y controlar diferentes computadoras demanera homogenea.

Cuanto mas alejado este el S.O. de la maquina real, mas complejo

sera el sistema y mas riesgos de seguridad presentara.

Todos los SS.OO. incorporan mecanismos para garantizar la seguridad.



4/40

Gestion de Usuarios

Indice


Gestion de Usuarios



Controles de Acceso

Programacion Segura



5/40

Gestion de Usuarios

Los Usuarios de un Sistema Operativo

Los SS.OO. modernos permiten la interaccion de la computadora condiferentes usuarios.

Cada usuario dispone de una cuenta, con una serie de privilegios.



6/40

Gestion de Usuarios

Usuarios y Grupos de Usuarios

Los procesos que se ejecutan poseen los privilegios de los usuarios alos que estan asociados.

Escalada de privilegios: cuando un proceso logra fraudulentamente elacceso a recursos que no le corresponden.

Existe un usuario (administrador o root), que tiene acceso total a losrecursos del sistema.

Algunos SS.OO. solo permiten acceder a todos los recursosarrancandolos en un modo especial.

Los usuarios se organizan en grupos: Se definen privilegios especficos para los miembros de un grupo. Un usuario puede pertenecer a mas de un grupo.


El Si d Fi h


7/40


Indice


Gestion de Usuarios



Controles de Acceso

Programacion Segura


El Si t d Fi h


8/40


Finalidad del Sistema de Ficheros

Abstrae propiedades fsicas de los dispositivos de almacenamiento,dando lugar a una unica entidad: el archivo (o fichero).

El usuario podra crear ficheros, almacenar informacion en los mismos,y recuperarla posteriormente en diferentes dispositivos, empleandouna interfazhomogenea.

En sistemas de la familia UNIX, todos los recursos del sistema sontratados como archivos.

Quien accede a los archivos, esta accediendo a los recursos memoriamasiva y posiblemente otros dispositivos de la computadora.

Necesidades:

Controlar el acceso Confidencialidad y Disponibilidad.

Preservar correctamente los datos Integridad.


El Sistema de Ficheros Controles de Acceso


9/40


Controles de acceso en un Sistema de Ficheros

Permisos:

Definen quien puede acceder, y de que forma.

Cada fichero tiene un propietario, y esta asociado a un grupo.

Tres privilegios basicos: Lectura, Escritura y Ejecucion.

Se asignan privilegios por separado al propietario, al grupo, y al restode usuarios.

Listas de control de acceso:

Presentes en algunos saboresde UNIX (Solaris, AIX,. . . ).

Permiten una granularidad mas fina.




10/40


Otras Estrategias de Control de Acceso

Proteccion contra accesos fsicos no autorizados a dispositivos dealmacenamiento:

Sistemas de archivos cifrados. Los datos se almacenan cifrados en el dispositivo. Es necesario introducir una contrasena para montar el dispositivo.

Borradosegurode ficheros. Cuando se borra un archivo, no se eliminan los datos del dispositivo. Incluso un borrado fsico puede dejar rastros. Se recomienda una serie de sobrescrituras aleatorias. Herramientas especficas: DBAN, WipeDrive, Data Shredder,

CyberCide, shred, scrub...


El Sistema de Ficheros Integridad de Archivos


11/40


Alteraciones en un Sistema de Archivos

El objeto central de un Sistema Informatico es la informacion, quereside en los dispositivos de almacenamiento masivo.

Si el sistema de archivos sufre alteraciones, todo el sistema se veafectado.

Tipos:

En los datos: Dependiendo de las circunstancias, puede ser muy delicado.

En los programas: Muy peligroso. Un programa danadopuede a su vez danar mas cosas. Puede introducirse codigo malicioso (virus, troyanos, rootkits, etc.).




12/40


Alteraciones fortuitas con origen en el hardware

Hardwaredefectuoso: circuitos de memoria, discos duros, pendrives,etc.

Herramientas para detectar/corregir: Memtest86+, scandisk, fsck, etc.

Suministro electrico inadecuado: subidas de tension, cortes, etc. Medidas para evitar danos:

Discos duros redundantes (RAID). Sistemas de alimentacion ininterrumpida (SAI).

Copias de respaldo frecuentes.




13/40

g

Alteraciones fortuitas debidas al software

Programas mal disenados: Por utilizar un programa en condiciones diferentes para las que fue

concebido. Por un diseno inadecuado.

Sistemas que se cuelgan, quedando en un estado inconsistente: Sobrecarga del sistema operativo. Errores a nivel de nucleo del sistema operativo. Mala coordinacion entre diferentes elementos.

Operaciones erroneas llevadas a cabo por el usuario. Permisos inadecuados. Falta de formacion.




14/40

g

Alteraciones provocadas en los Sistemas de Ficheros

Codigo malicioso: Virus. Troyanos.

Bombas Logicas. Spam . . .

Intrusiones:

Modificacion deliberada de los datos. Al ser ataques a medida, provocan las alteraciones mas peligrosas.




15/40

Prevencion de alteraciones en los Sistemas de Ficheros

Firma Digital: Garantizan la autenticidad de programas (y datos) suministrados por

terceros.

CRC y funciones resumen (hash). Detectan alteraciones de archivos en el propio sistema. Ejemplo: Ficheros ejecutables.

Bitacoras (journaling): Registran los cambios en el sistema de archivos antes de hacerlos

efectivos. Si hay un fallo durante una transaccion, puede repetirse o revertirse

posteriormente. Mantienen la consistencia aunque haya cuelgueso cadas del sistema. Ejemplos: ReiserFS, ext3, NTFS, etc.




16/40

Sistemas de Archivos con memoria

Existen sistemas de archivos capaces de viajar atras en el tiempo: ZFS (Solaris), Time Machine (Mac OS), Btrfs (Linux).

El sistema registra instantaneas (snapshots) de los archivos y permiterecuperarlas en el futuro.

Muy interesante para recuperar archivos perdidos o versiones antiguasde los mismos.

Inconveniente: Los datos borrados podran ser recuperados.


El Sistema de Ficheros Copias de Seguridad


17/40

Las Copias de Seguridad

Tambien denominadas copias de respaldo.

Permiten recuperar los datos cuando se produzcan perdidas oalteraciones.

Pueden usarse para tener un historicodel sistema. Deben realizarse:

Con frecuencia. Manteniendo mas de una copia a la vez. En dispositivos alejados fsicamente del sistema.

Pueden ser totales o incrementales.




18/40

Indice


Gestion de Usuarios



Controles de Acceso

Programacion Segura




19/40

Finalidad de los Archivos de Registro

En general, es conveniente monitorizarel funcionamiento del sistema.

Hacerlo en tiempo real es complicado y costoso.

Es interesante poder analizar la evolucion del sistema en un intervalode tiempo determinado, fuera de lnea.

Los archivos de registro: Almacenan una bitacora (log) con los eventos significativos.

Suelen ser ficheros de texto, para facilitar su procesamiento.

Pueden almacenarse de forma local o remota.

Constituyen una de las fuentes de informacion basicas para detectarfallos en el sistema.

Aplicaciones para analizarlos automaticamente: DenyHosts, Port ScanAttack Detector, etc.


Controles de Acceso


20/40

Indice


Gestion de Usuarios



Controles de Acceso

Programacion Segura


Controles de Acceso


21/40

Proposito de los Controles de Acceso

Para poder adaptar su respuesta frente a diferentes agentes, elsistema debera reconocerlos.

Los mecanismos de control de acceso permiten: Bloquear la interaccion con agentes no autorizados. Saber con quien se interactua, para asignar los permisos adecuados.


Controles de Acceso


22/40

Tipos de Autentificacion de Usuario

Por lo que sabes:

El usuario conoce algun secreto (contrasena).

Por lo que tienes:

El usuario posee algun dispositivo (tarjeta inteligente) que acredita su

identidad.

Por lo que eres:

El sistema mide alguna caracterstica fsica (voz, retina, huellas

dactilares, etc.):biometra.

En la practica, se combinan varios metodos.

Telefonos moviles, DNIe, cajeros automaticos, etc.


Controles de Acceso


23/40

Controles de acceso por Contrasena

Es la opcion mas sencilla y barata. La responsabilidad es del usuario =Vulnerable. Solo hace falta conocer la contrasena para suplantar al usuario.

Ingeniera social.

Se validan mediante funciones resumen. Vulnerables a ataques de diccionario.

Rainbow tables. La saldificulta estos ataques.

El sistema almacena los siguientes campos: Nombre, resumen de la contrasena, sal. En UNIX, ficheros /etc/passwd y /etc/shadow.

Sistemas seguros de generacion de contrasenas: Diceware, pwgen, etc.


Controles de Acceso


24/40

Controles de acceso mediante Dispositivos

Chipcards: Tarjetas de plastico con un chip.

Smartcards: Incorporan un microprocesador. Puertos de E/S, CPU, Criptoprocesador, memorias RAM, ROM y

EEPROM.

Smartphones: Cada vez mas gente dispone de uno.

Emplean autentificacion por desafo(basados en funciones MAC) ometodos basados en el reloj.

Suelen incorporar una contrasena o numero de identificacion personal(PIN).


Controles de Acceso


25/40

Biometra

Elementos que se suelen medir:

Iris, retina, huellas dactilares, cara, geometra dela mano, distribucion vascular del dorso de lamano, escritura, voz, etc.

La medida tiene que ser:

Estable a lo largo del tiempo. Suficientemente discriminativa. Facil de medir. Ser medible en el mayor numero posible de sujetos.

Problemas: Dispositivos de medida especializados y caros. Personas con minusvalas. Suplantacion mediante grabaciones. Manipulacion del dispositivo de medida. . . .


Controles de Acceso


26/40


Programacion Segura


27/40

Indice


Gestion de Usuarios



Controles de Acceso

Programacion Segura


Programacion Segura


28/40

Programacion Segura

Los programas manejan la informacion.

Si funcionan mal, la informacion puede quedar comprometida. Causas de funcionamiento inadecuado:

Errores(bugs) en el codigo que hacen que el programa no se comportecomo se espera.

Errores en el codigo que normalmente no provocan un malfuncionamiento, pero que dan lugar a vulnerabilidades.

Programas expresamente disenados para hacer dano (malware).


Programacion Segura


29/40

Mal funcionamiento debido a errores en el codigo

Deben ser detectados y eliminados en fases tempranas del desarrollo.

Aparecen durante el uso normal del sistema.

Suelen manifestarse en situaciones no verificadas en el desarrollo. Los danos se producen de manera fortuita. Son de gravedad variable.

Deficiencias en la interfaz, cuelgues, perdidas de datos...


Programacion Segura Vulnerabilidades debidas al codigo


30/40

Vulnerabilidades

Se manifiestan en situaciones poco habituales, que no deberan darse

en el uso normal del sistema: Cadenas de entrada muy largas, operaciones con datos ilegales, etc.

Pueden ser aprovechadas para causar danos, provocando lascondiciones necesarias (exploits).

No suelen detectarse mediante tecnicas tradicionales de prueba delsoftware.

Para detectarlas es necesario hacer auditoras de seguridad. Tipos:

Desbordamientos de buffer. Condiciones de carrera. Manejo erroneo de archivos. Control inadecuado de entradas. . . .




31/40

Desbordamiento de buffer

Escritura en un arrayde una cadena de longitud mayor a la reservadainicialmente.

Corrupcion de la memoria (pila).

Puede sobrescribir otras variables, o la direccion de retorno delsubprograma.

Manipulando la direccion de retorno, se puede ejecutar codigoarbitrario.

Si el programa vulnerable se ejecuta con un uidde root, el sistemacompleto puede quedar comprometido.




32/40

Descripcion de un desbordamiento de buffer

=

1. La pila almacena el ambiente de ejecucion, los parametros locales, lasvariables, etc.

2. Una variable sobrescribe estos valores, permitiendo la ejecucion de codigoarbitrario(shellcode).




33/40

Condiciones de carrera

Ocurren cuando dos procesos acceden a un recurso compartido. Fichero, area de memoria, etc.

El estado del sistema evoluciona de forma distinta en funcion del orden

relativo de los instantes de ejecucion de cada proceso involucrado.

Pueden surgir intervalos de tiempo en los que:

Un atacante puede obtener privilegios.

Se puede leer o escribir en ficheros protegidos.

El proceso puede quedar bloqueado.

Suelen ser muy difciles de detectar y corregir.



C C


34/40

Vulnerabilidad derivada de una Condicion de Carrera

Sea el siguiente fragmento de codigo:if (accesible(fichero,ESCRITURA)) {open(fichero);

write(fichero,datos);

}

La funcion accesible devuelve verdaderosi el fichero es valido paraescribir en el.

Supongamos que entre las llamadas a accesible y open un procesoborra el fichero en cuestion y lo enlaza con otro.

El programa escribira en un fichero distinto del que comprobo. Si tiene el bit UID de root, cualquier fichero del sistema podra ser

manipulado.



O d i


35/40

Otros errores comunes de programacion

Manejo erroneo de ficheros: Manejo deficiente de ficheros temporales: privilegios inadecuados,

eliminacion incorrecta, etc. Uso de ficheros sin comprobaciones previas.

Control inadecuado de entradas: Una entrada demasiado larga puede provocar un desbordamiento de

buffer. Una cadena de entrada para un programa puede contener comandos de

shell.



Ej l d l i d d d d d


36/40

Ejemplo de control inadecuado de parametros de entrada

El programa contarlin permite contar las lneas de un fichero detexto que se le pase como parametro. Su codigo en bash sera elsiguiente:

echo wc -l $1 | bash -s

Una llamada normala ese programa sera:

contarlin fichero.txt

Si hacemos la siguiente llamada:

contarlin "fichero.txt; echo te pille\!"

El programa devolvera el numero de lneas de fichero.txt, yejecutara el comando anadido, mostrando el mensaje te pille!en la consola.



I i SQL


37/40

Inyeccion SQL

Existen programas que construyen consultas SQL a partir de lasentradas del usuario.

Si la entrada no se verifica correctamente, puede dar lugar a consultasmaliciosas.

Ejemplo: consulta := SELECT * FROM tabla WHERE nombre = + entrada + ;

Si entrada vale x, la consulta devolvera los elementos de la tabla cuyocampo nombre sea igual a x.

Si entrada vale x or x=x, la expresion se expande como:SELECT * FROM tabla WHERE nombre = x or x=x;

Devolviendo todos los elementos de la tabla.


Programacion Segura Softwaremalicioso

Cdi M li i


38/40

Codigo Malicioso

Tipos:

Virus: Se propagan a otros sistemas y tratan de hacer un dano.

Gusanos: Solo se propagan. Aunque no tienen codigo especfico parahacer dano, pueden colapsar un sistema.

Conejos: Se copian dentro de un sistema hasta colapsarlo. :(){ :|:&

};: Troyanos: Aparentemente inofensivos, provocan un dano. Usan la

ingeniera socialpara propagarse.



Cdig M li i s ( t )


39/40

Codigo Malicioso (cont.)

Tipos:

Programas espa: Recopilan informacion acerca del usuario.

Bombas logicas: Provocan un dano cuando se cumple cierta condicion.

Puertas traseras: Permiten saltarse las medidas de seguridad.

Programas secuestradores (ransomware): Cifran el contenido del ordenador ypiden un rescate a cambio de la clave.



Rootkits


40/40

Rootkits

Cualquier conjunto de herramientas que permita ganar fraudulentamenteprivilegios de superusuario (root).

Originarios del mundo UNIX. Caractersticas:

Hay para todos los sistemas operativos. Ademas de ganar privilegios de superusuario, permiten ocultar al

Sistema Operativo ficheros y procesos. Se emplean para esconder otro tipo de softwaremalicioso. Actuan a bajo nivel, por lo que son muy difciles de detectar y eliminar. Existen herramientas especficas para su deteccion: RKHunter,

RootkitRevealer, VICE, Patchfinder2, etc.


4.Seguridad SSOO p

Documents

Transcript of 4.Seguridad SSOO p