Avaliao de Sistemas Confiveis

Prof. Ms. Juliano Freitas da Silva

julianofs@unisinos.br

Universidade do Vale do Rio dos Sinos (Unisinos)

Graduao Tecnolgica em Segurana da Tecnologia da Informao

Introduo

Monitor de Referncia

Um elemento de controle de acesso que se refere a uma mquina
abstrata que media todos os acessos dos sujeitos aos objetos

Kernel de Segurana

Hardware, Firmware e software que implementam um monitor de
referncia

Base de Computao Confivel (Trusted Computing Base ou TCB)

Combinao de elementos computacionais responsveis por
assegurar uma poltica de segurana

Introduo

Monitor de Referncia um conceito abstrato

Kernel de segurana a implementao

TCB contm o kernel de segurana

Requisitos Importantes de Monitores de Referncia

No permitir alteraes no autorizadas

Invocao permanente

Pequenos o suficiente para permitir anlises e testes, assegurando
a sua corretude

Utilizao de Monitores de Referncia

Hardware
 Mecanismos de controle de acesso em microprocessadores

Kernel de Sistema Operacional

 Hypervisor, uma mquina virtual que emula um computador.
 Utilizado para separar usurios, aplicaes

Sistema Operacional
 Controle de acesso no Windows 2000 e Unix

Camada de Servios
 Controle de acesso em SGBDs, JVM, .NET ou middleware (Corba)

Aplicaes
 Solues de segurana diretamente implementadas nas aplicaes,
sem utilizar servios subjacentes

Utilizao de Monitores de Referncia

MR no Kernel

Programa
Aplicao
Kernel
MR

Interpretador

MR in-line

MR

Programa

Programa

MR

Integridade do Sistema Operacional

Requisito Fundamental: usurios no devem ser capazes de modificar
o sistema operacional
 Devem apenas poder utiliz-lo
 No podem ser capazes de utiliz-lo de forma incorreta

Conceitos de segurana importantes: informao de status e

invocao controlada (privilgio restrito)
 Podem ser usados em qualquer camada de um sistema, hardware ou
software
 Mecanismos de segurana so suspensos se um atacante obtiver
acesso camada subjacente

Modos de Operao do Sistema Operacional

Capacidade de distinguir entre computaes do sistema operacional e
de usurio
 Modo Usurio e Supervisor

Exemplo de uso: somente processos em modo supervisor podem

escrever diretamente na memria

Invocao Controlada
 Execuo privilegiada de operaes em nome do usurio
 Aps a execuo das operaes permitidas, antes de retornar o
controle ao usurio, a requisio volta ao modo usurio

Segurana em Hardware

Um mecanismo de segurana em determinada camada
comprometido se um atacante efetuar o ataque em uma camada
subjacente

Adicionar segurana nas camadas subjacentes reduz a sobrecarga
ocasionada

Processos e Threads

Em linhas gerais, um processo consiste de:
 Cdigo executvel
 Dados
 Contexto de execuo

A separao lgica entre processos base para a segurana de

sistemas operacionais
 Mudana de contexto uma operao com custo alto

Threads so linhas de execuo dentro de um processo

Threads compartilham o espao de endereamento dos processos
 Evitam sobrecarga de mudana de contexto
 No possuem isolamento total entre si

Invocao Controlada de Interrupes

Processadores possuem recursos para operar interrupes, criadas
por erros no programa, requisies de usurios e falha de hardware

Quando uma interrupo ocorre, o sistema salva o estado atual na
pilha e ento executa o tratamento de interrupo (interrupt handler)

possvel que uma nova interrupo seja gerada, enquanto do
tratamento de outra
 Necessidade de garantir o isolamento de ambas
 Necessidade de tratamento adequado deste tipo de situao

Tabela de interrupes um ponto potencial de ataques

 Substituir rotinas de interrupo uma estratgia utilizada por vrus

Proteo em Processadores Intel 80386/80486

Nveis de Segurana disponveis:





0 Kernel do Sistema Operacional

1 Resto do Sistema Operacional
2 I/O Drivers
3 Software de Aplicao

Nem todos os sistemas operacionais fazem uso de todos os nveis

Procedimentos somente podem acessar outros procedimentos no
mesmo nvel
 Acesso a outros nveis realizado atravs de objetos especiais
chamados pontes (gates)
 O processo requisita o acesso a outro nvel via uma ponte, que aps a
execuo da atividade requisitada, retornam o controle ao nvel original
 Necessidade de mecanismo de controle de acesso, para avaliar o
acesso privilegiado a partir da ponte

Proteo de Memria

Sistemas operacionais gerenciam acesso a dados e recursos, de
mltiplos usurios simultneos

Sistema operacional no somente tem que proteger sua prpria
integridade, como tambm impedir usurios de acidentalmente ou
intencionalmente acessar dados de outros usurios
 Separao lgica dos usurios impede interferncia mtua:
gerenciamento de arquivos e gerenciamento de memria

Protegendo a Memria II

Endereamento Seguro no Sistema Operacional
 Modificao dos endereos recebidos por processos de usurios
(Address Sandboxing)
 Construo de endereos efetivos a partir de endereos relativos que
so recebidos dos processos dos usurios
 Verificao se os endereos recebidos de processos de usurios esto
nos intervalos definidos

Trusted System Evaluation Criteria (TCSEC)

Avaliao de Sistemas de Segurana
Criado pelo departamento de defesa dos Estados Unidos
Tambm conhecido como Orange Book
Base Computacional Confivel (Trusted Computing Base):
combinao de hardware e software para suportar usurios e
aplicaes no confiveis

Nveis de segurana especficos

 Definir requisitos que possibilitem avaliar diferentes classes de sistemas

 O Centro Nacional de Segurana de Computadores (US) mantm a lista
de sistemas comerciais avaliados de acordo com essa metodologia

Desenvolvimento do TCSEC
Etapa 1 (1978): Processors, operating systems, and nearby peripherals
Etapa 2 (1979): Proposed Technical Evaluation criteria for computer
systems
Etapa 3 (1982): Trusted Computer System Evaluation Criteria, 1st Draft
Etapa 4 (1983): verso final do Draft
Etapa 5 (1983): disponibilizada a primeira verso Orange Book
Etapa 6 (1985): Trusted Computer System Evaluation Criteria (TCSEC)

Nveis de Segurana TCSEC

Classe D - Untrusted
 Nenhuma proteo para o hardware ou para o sistema operacional
 Ex. MS-DOS, Windows95/98

Nvel C1 - Discretionary Security Protection

 Identifica usurios por login e senha, com permisses de acesso a
recursos e dados. Login nico para administrao
 Ex. Unix

Nvel C2- Discretionary Access Controls

 C1 com controles adicionais: de acesso por nveis de autorizao, de
auditoria, e de direitos administrativos.
 Ex. Sistemas Unix comerciais, Windows NT/2000/2003

Nvel B1- Labeled Security Protection

 Objetos sob controle de acesso mandatrio tem suas permisses prcodificadas no sistema.
 Ex: AT&T V/LMS, UNISYS 1100, HP UX

Nveis de Segurana TCSEC

Nvel B2- Structured Protection
 Todos os objetos acessveis so rotulados para controle mandatrio.
Modelo formal de segurana documentado
 Ex. Honeywell Multics

Nvel B3- Security Domains Level

 Mecanismos de segurana devem ser modularmente testveis. Controle
e gerenciamento de memria por hardware.
 Mecanismo de restaurao e canais de comunicao confiveis.

Classe A - Verified Design Level

 B3 com especificao formal do projeto de software e consistncia do
modelo de segurana formalmente verificvel. Controle na fabricao e
transporte do hardware
 Ex: Honeywell SCOMP

Nvel de Segurana C2

Critrio aceitvel para padres de segurana maioria das aplicaes
comerciais

Caractersticas principais:
 Domnio: sistema operacional auto-protegido atravs de isolamento de
memria entre processos
 Kernel do sistema: protegido contra adulteraes em disco
 Poltica de segurana: parmetros configurveis dos nveis de
segurana, globalmente aplicveis no controle de acesso
 Controle de acesso: implementa listas de permisses, com registro
configurvel de acessos em arquivo de log
 Autenticao: com granularidade a nvel de objeto, por mdulo
protegido, com suas operaes rastreveis via log
 Log: acesso restrito a nveis de administrao e protegido de
adulteraes em disco

Common Criteria Information Technology Security Evaluation

Esforo para unificar critrios de avaliao de segurana de TI

Consolidao das tcnicas presentes em diferentes padres ITSEC,
TCSEC e CTCPEC

Conjunto de trs volumes
1. Definies e Metodologia
2. Requisitos de Segurana
3. Metodologia de Avaliao

Padro internacional






1996: CC verso 1
1998: CC verso 2
1999: CC verso 2.1 (homologada ISO/IEC 15408)
2004: CC verso 2.2
2005: CC verso 3

Terminologia CC (Reformular)

TOE (Target of Evaluation): sistema em avaliao

TSF (TOE security functions): funcionalidades a serem avaliadas

ST (security target): conjunto de requisitos de segurana que o TOE
deve satisfazer

PP (Protection Profile): conjunto geral de requisitos de segurana (ST)

Nveis de Classificao

Evaluation Assurance Level (EAL): Nvel de Garantia de Avaliao
Common Criteria

TCSEC

EAL 1
EAL 2

C1

EAL 3

C2

EAL 4

B1

EAL 5

B2

EAL 6

B3

EAL 7

A1

Avaliao CC

EAL 1: Testado funcionalmente
 Funcionalidades de segurana so testadas no produto final e sem
acesso a dados de desenvolvimento ou ao cdigo fonte

EAL 2: Testado funcionalmente e estruturalmente

 O desenvolvedor fornece dados a respeito da estrutura do programa e
dados de testes dos componentes

EAL 3: Testado e verificado metodicamente

 Acesso a mais dados sobre o processo de desenvolvimento,
gerenciamento de configurao e resultados de teste

Avaliao CC

EAL 4: Projetado, testado e revisto metodicamente
 Acesso estrutura do programa, realizao de testes independentes e
uso de boa prticas de segurana no desenvolvimento

EAL 5: Projetado e testado semi-formalmente

 Deve-se mostrar a correspondncia entre os requisitos de segurana e
os componentes do programa

EAL 6: Projetado e testado de forma verificada e semi-formal

EAL 7: Projeto e testes formalmente verificados

Atividade

Analisar
a
documentao
http://www.commoncriteriaportal.org.

do

Common

Criteria

Bibliografia

Gasser, Morrie. Building A Secure Computer System. New York, 1998.

Gollmann, Dieter. Computer Security. West Susex, 2005.

http://www.commoncriteriaportal.org