Académique Documents
Professionnel Documents
Culture Documents
Os 10 Sec
Os 10 Sec
Internes Externes
Systmes dExploitation
Protection et Scurit Didier Verna
didier@lrde.epita.fr http://www.lrde.epita.fr/didier
1/26
Gnralits Authentication des utilisateurs Attaques Internes Externes Mcanismes de protection Modles formels
2/26
Protection = scurit
Systmes dExploitation Didier Verna E PITA Gnralits Authentication Attaques
Internes Externes
Remarque : Les problmes de protection et scurit ne sadressent plus quaux concepteurs de systmes, mais aussi aux programmeurs et aux utilisateurs.
4/26
Intrusions
Passives (du ptit curieux au vrai espion) Actives (du ptit malin au vrai voleur) Non humaines (virus, vers etc.)
5/26
Authentication = identication
Systmes dExploitation Didier Verna E PITA Gnralits Authentication Attaques
Internes Externes
Outils
Connaissances utilisateur : identicateur, mot de passe, phrase de passe etc. Possessions utilisateur : cl, carte magntique, carte puce, smart card (8bit, 4MHz, 16K ROM, 8K EEPROM, 512b RAM, 9600bps) etc. Attributs utilisateur : empreinte digitale, rtinienne, vocale, signature etc., tout en restant psychologiquement acceptable pour les usagers.
Contre-mesures
Tout enregistrer Protection par callback Piger le systme
7/26
Faiblesses
Exposition intentionnelle : Transfert un tiers, postit etc. Exposition accidentelle : Surveillance visuelle, vido, informatique Dcouverte par test : connaissance de lutilisateur (mots de passe trop vidents : 80%), force brute (dictionnaires)
Mesures prventives
Interdire les mots de passe trop simples Changer les mots de passe intervalles rguliers Encrypter les transmissions Stocker et cacher les formes encryptes Le silence est dor
8/26
Attaques internes
Systmes dExploitation Didier Verna E PITA Gnralits Authentication Attaques
Internes Externes
Login spoong : vrai-faux cran de login. Seule protection : forcer une squence clavier non rcuprable (ex. CTRL-ALT-DEL) Bombe logique : se dclenche par absence dintervention Porte de contournement : (backdoor, trapdoor, passer par derrire ). Contourner les procdures normales de scurit pour un utilisateur prcis.
10/26
Dfauts de programmation : avec des langages non srs (ex. dbordements de buffers en C) Dfauts de conception :
Unix :
lpr avait une option pour effacer les chiers aprs impression etc. ln -s /etc/passwd core.
TENEX : (DEC-10). Craquage de mots de passe en 128n au lieu de 128n (callback utilisateur sur les dfauts de page)
11/26
Attaques externes
Systmes dExploitation Didier Verna E PITA Gnralits Authentication Attaques
Internes Externes
Virus : fragment de code intgr dans un programme lgitime. Reproduction par contamination dautres programmes. Aucun antivirus universel : les antivirus voluent en mme temps que les virus. Vers : programme autonome et auto-reproducteur. Consommation (voire puisement) des ressources systmes. Dissmination travers les rseaux informatiques.
12/26
Virus
Systmes dExploitation Didier Verna E PITA Gnralits Authentication Attaques
Internes Externes
13/26
Excutables : virus de remplacement (crasent des programmes avec eux-mmes), virus parasites (sattachent des programmes, en tte, en queue, ou dans des cavits). Rsidents : cach en RAM en permanence. Redirection de trap, attendre un exec etc. Boot sector : excuts avant mme le chargement du systme. Point de dpart frquent des virus rsidents. Pilotes : chargs ofciellement par le systme, excuts en mode noyau. Macros / scripts : VB dans Ofce, ELisp dans Emacs etc. Transmission par mail croissante. Peu de qualications requises. Source : contaminent les sources plutt que les excutables.
Propagation
Systmes dExploitation Didier Verna E PITA Gnralits Authentication Attaques
Internes Externes
Freewares, sharewares sur le web Floppies, zips, cls U SB etc. Internet, L AN etc. Mails news (attachements, carnets dadresses) Plugins pour les navigateurs etc.
Scanners : comparaison de tous les excutables avec une base de donnes. Mises jour rgulire.
Recherche oue (plus coteuse, risque de fausses alarmes).
Prserver les dates originales des chiers infects, leur longueur (compression), se diffrencier des bases de donnes (encryption) La procdure de dcryptage ne peut pas tre encrypte Virus polymorphes (moteur de mutation)
Vricateurs dintgrit : calcul (puis comparaison) de sommes de contrle partir dun tat sain
craser les sommes avec les nouvelles Encrypter les sommes (avec une cl externe)
Le vers de Morris
Systmes dExploitation Didier Verna E PITA
Attaque rsh Attaque finger (buffer overflow) Attaque sendmail (option debug) Hook
Requ
Attaque mots de passe
te d
e ver
s
Vers
Protection
Machine infecte
Modles formels
Lanc le soir du 2 Novembre 1988, dtect pour cause de DoS, solutions proposes le 3, neutralis en quelques jours. rtm fait la une du New York Times cause dun ami etc. Polmiques autour de sa condamnation, cration du C ERT (Computer Emergency Response Team).
16/26
Modlisation
Systmes dExploitation Didier Verna E PITA Gnralits Authentication Attaques
Internes Externes
18/26
Dnitions
Droit daccs : paire (objet / ensemble de droits) (O, {D1 , D2 , . . .}) Domaine : ensemble de droits daccs {DA1 , DA2 , . . .}
Remarques
Les domaines ne sont pas forcment disjoints Chaque processus sexcute dans un domaine
19/26
Ralisation de domaines
Systmes dExploitation Didier Verna E PITA Gnralits Authentication Attaques
Internes Externes
Domaine = Utilisateur : les objets auxquels on peut accder dpendent de lutilisateur qui y accde. Commutation de domaine au changement dutilisateur.
Unix : Bit setuid (root) : indique un ventuel changement didentit pour les accs (privilgis).
Domaine = Processus : les objets auxquels on peut accder dpendent du processus qui y accde. Commutation de domaine la commutation de contexte. Domaine = Procdure : les objets auxquels on peut accder correspondent aux variables utilises par la procdure. Commutation de domaine chaque appel de procdure.
Multics : 7 domaines de protection organiss en anneaux (par quantit de privilges).
20/26
Matrice de droits
Systmes dExploitation Didier Verna E PITA Gnralits Authentication Attaques
Internes Externes
Dnition
Matrice domaine / objet [Di , Oj ] contenant les droits Domaine dexcution dun processus choisi par le systme dexploitation Droits (Di , Oj ) spcis par les utilisateurs
Entres particulires
Commutation de domaine : les domaines sont vus comme des objets Modication de droits : les entres (Di , Oj ) sont vues comme des objets
21/26
Complte : table globale en mmoire. Grande taille, matrice creuse. Par colonne : ACL (Access Control List). Pour chaque objet : liste de paires domaines (utilisateurs) / droits non vides. Extension par listes de droits par dfaut. Par ligne : Capacits de domaines . Pour chaque domaine (processus) : liste de paires objets / droits non vides.
22/26
Rions un peu
Systmes dExploitation Didier Verna E PITA Gnralits Authentication Attaques
Internes Externes
Orange Book
Classication du Dpartement Amricain de la Dfense (7 niveaux de scurit) Windows obtient 0/7 Unix obtient 2/7
24/26
Scurit multi-niveau
Systmes dExploitation Didier Verna E PITA Gnralits Authentication Attaques
Internes Externes
Ide : Contrle daccs sous lgide du systme plutt que des utilisateurs (rgulation du ot dinformation plutt que de linformation elle-mme). Scurit : Bell / La Padula
Un processus ne peut lire des objets qu niveau infrieur ou gal au sien Un processus ne peut crire des objets qu niveau suprieur ou gal au sien
Intgrit : Biba
Un processus ne peut crire des objets qu niveau infrieur ou gal au sien Un processus ne peut lire des objets qu niveau suprieur ou gal au sien
25/26
Covert channels
La fuite dinformation est toujours possible. . .
Systmes dExploitation Didier Verna E PITA Gnralits Authentication Attaques
Internes Externes
1 = while (1) ; , 0 = sleep () ; (D)Vrouillage,test dexistence de chier Rquisition / relchement de priphriques Stganographie etc.
26/26