Bài giảng môn Hệ điều hành - Chương 9: An ninh hệ thống

1An ninh hệ
thống
Chương 9
9.1 Môi trường an ninh hệ
thống 
9.2 Cơ sở
về
mật mã hóa 
9.3 Xác nhận người dùng 
9.4 Tấn công từ
nội bộ
9.5 Tấn công từ
bên ngoài 
9.6 Các cơ chế
bảo vệ
9.7 Các Hệ
thống tin cậy 
2Môi trường an ninh dữ
liệu
 Các mối ₫e dọa
Các mục tiêu an ninh dữ
liệu và
các mối ₫e dọa
Mục tiêu Mối ₫e dọa
Bảo mật dữ
liệu Phô
bày dữ
liệu
Toàn vẹn dữ
liệu Sửa bậy, làm lộn xộn
Sẵn sàng Từ
chối phục vụ
3Các tác nhân bất hợp pháp
Các loại tác nhân bất hợp pháp thông thường :
1.
Tò mò vô tình của người không chuyên.
2.
Sự
rình mò của người bên trong hệ
thống
3.
Cố
gắng tống tiền
4.
Tình báo thương mại hay quân sự
4Sự
mất dữ
liệu bất ngờ
Các nguyên nhân thông thường :
1.
Hoạt ₫ộng của trời ₫ất
-
hỏa hoạn,
lụt lội,
chiến tranh
2.
Lỗi phần cứng hay phần mềm
-
CPU hư, disk hư, chương trình có
lỗi
3.
Lỗi con người
-
nhập sai,
gắn băng/₫ĩa sai
5Căn bản về
mật mã hóa 
(Cryptography)
Mối quan hệ
giữa dữ
liệu rõ (plaintext) và
dữ
liệu mật (ciphertext)
6•
Thay thế
từng ký tự
—
mỗi ký tự ₫ược thay thế
bằng ký tự
khác nhờ
bảng 
ánh xạ.
•
Với 1 khóa mật biến trước, 
—
dễ
dàng tìm ₫ược khóa giải mật.
•
Còn ₫ược gọi là
mật mã hóa ₫ối xứng.
Mật mã hóa dùng khóa bí
mật
7Mật mã hóa dùng khóa bí
mật 
(Public-Key)
•
Mỗi user chọn cặp khóa : khóa công khai / khóa bí
 mật.
—
phân phối khóa công khai cho mội người biết.
—
giữ
kín khóa bí
mật
•
Khóa công khai là
khóa ₫ể
mật mã hóa
—
khóa bí
mật là
khóa ₫ể
giải mật.
8Các hàm 1 chiều
•
Hàm ₫ược ₫ặc tả
bởi công thức phụ
thuộc x, sao cho 
với x xác ₫ịnh :
—
dễ
dàng tính ₫ược y = f(x)
•
Nhưng nếu biết y 
—
thì
thực tế, không thể
tính ₫ược x.
9Chữ ký ₫iện tử
•
chữ ký ₫iện tử
của 1 user trên 1 document là
chuỗi byte 
có ₫ược từ
qui trình thực hiện a.
•
User gởi document + chữ
ký của mình trên document 
₫ó ₫ể
chứng thực.
(b)
10
Xác nhận người dùng 
(User
Authentication)
Về
nguyên tắc, xác nhận người dùng phải nhận dạng 
₫ược :
1.
cái gì ₫ó mà user cần xác nhận biết.
2.
cái gì ₫ó mà user cần xác nhận có.
3.
cái gì ₫ó mà user cần xác nhận là
cái ₫ó.
Xác nhận user là
công việc cần phải làm trước khi cho 
phép người dùng truy cập hệ
thống.
11
Xác nhận dùng
Passwords
(a) Login thành công
(b) Login
bị
từ
chối ngay sau khi nhập tên user
(c) Login
bị
từ
chối sau khi nhập password
12
Xác nhận dùng Passwords
•
1 tình huống mà
cracker login thành công do 
username+ password quá
dễ
13
Xác nhận dùng Passwords
The use of salt to defeat precomputation of 
encrypted passwords
Salt Password
,
,
,
,
14
Xác nhận dùng ₫ối tượng vật lý
•
Card từ
—
magnetic stripe cards
—
chip cards: stored value cards, smart cards
15
Xác nhận dùng sinh trắc học
A device for measuring finger length.
16
Các biện pháp ₫ối phó
với cracker
•
Hạn chế
thời gian user thực hiện login.
•
Gọi lại tự ₫ộng tới số
vừa ₫ang ký.
•
Hạn chế
số
lần cố
gắng login (3).
•
Có database lưu mọi login
•
Xem việc nhập name=password
như 1 cái bẩy
—
chương trình login cảnh báo cho nhân viên an 
ninh biết.
17
An ninh hệ ₫iều hành
 Trojan Horses
•
là chương trình free và ₫ể cho người dùng cả
tin dễ
dàng 
tiếp cận.
—
nhưng có
chứa code thực hiện ₫iều tai hại nào ₫ó.
•
₫ặt version khác của tiện ích phổ
dụng trên máy tính của 
nạn nhân.
—
lừa người dùng chạy chương trình này.
18
Nhạy theo trình login
(a) Màn hình login thật
(b) Màn hình login giả
19
Bom luận lý
•
Người của công ty viết ứng dụng :
—
tiềm tàng chứa code gây hại.
—
chạy OK
miễn sao họ
nhập password
₫ặt biệt hàng 
ngày.
—
nếu người lập trình này rời công ty, không có 
password ₫ặc biệt cho nó, ứng dụng sẽ
chạy code 
gây hại.
20
Cửa sổ
bẩy
(a) Code bình thường.
(b) Code
có
1 cửa sổ
bẩy.
21
Làm tràn/cạn buffer
• (a) Situation when main program is running
• (b) After program A called
• (c) Buffer overflow shown in gray
22
Các tấn công vào hệ
thống
Các tấn công ₫iển hình :
•
Xin bộ
nhớ, không gian ₫ĩa, băng rồi chỉ ₫ọc.
•
Thử
gọi các ₫iểm nhập không có.
•
Chạy login rồi ấn nút DEL, RUBOUT, hay
BREAK
•
Thử
hiệu chỉnh các cấu trúc phức tạp của hệ
thống.
•
Thử
làm những việc ₫ược yêu cầu không nên làm.
•
Thuyết phục người lập trình thêm cửa sổ
bẩy vào hệ
 thống.
•
Giả
quên password và
nhờ
admin giúp tìm password.
23
Các sai lầm về
an ninh nổi tiếng
The TENEX – password problem
(a) (b) (c)
24
Các nguyên tắc thiết kế
về
an ninh
1.
Nên ₫ể
thiết kế
hệ
thống là
việc công công.
2.
Mặc ₫ịnh nên chỉ
cho tối ₫a n lần truy xuất (3)
3.
Kiểm tra thểm quyền hiện hành
4.
Gán process quyền ưu tiên thấp nhất có
thể
5.
Cơ chế
bảo vệ
nên :
-
₫ơn giản
-
₫ồng nhất
-
trong cấp thấp nhất của hệ
thống
6.
Sơ ₫ồ
an ninh nên chấp nhận ₫ược về
mặt tâm lý
25
An ninh mạng
•
Mối ₫e dọa từ
ngoài
—
code ₫ược gởi tới máy mục tiêu.
—
code ₫ược thi hành ở ₫ó, thực hiện ₫iều tai hại.
•
Cá
mục tiêu của người viết virus
—
lây lan nhanh
—
khó
phát hiện
—
khó
giết
•
Virus = ₫oạn chương trình có
thể
tự
nhân bản
—
ghép code của nó
vào chương trình khác.
—
và thường làm ₫iều tai hại.
26
Các kịch bản tai hại của virus
•
Thư ₫en
•
Từ
chối dịch vụ
khi virus chạy
•
Làm hại phần cứng thường xuyên
•
Mục tiêu nhắm vào máy ₫ối thủ
:
—
làm hại
—
tình báo
•
Các gian trá
hèn hạ
trong nội bộ
công ty :
—
phá
hoại các file của nhân viên khác.
27
Cách virus hoạt ₫ộng
(1)
•
Virus thường ₫ược viết bằng
assembly.
•
rồi ₫ược chèn vào ứng dụng khác.
—
dùng công cụ ₫ược gọi là
“dropper”
•
Virus ngủ cho ₫ến khi ứng dụng chạy
—
nó
sẽ
tiêm nhiễm qua các ứng dụng khác.
—
và
có
thể
thi hành ₫oạn code phá
hoại của nó.
28
Cách virus hoạt ₫ộng (2)
Hàm search() 
cho phép duyệt 
tìm ₫ệ
quy các 
file khả
thi trên 
Linux.
Virus dùng hàm 
search() và
có
 thể
tiểm nhiễm 
vào bất kỳ
file 
khả
thi nào trên 
máy.
29
Cách virus hoạt ₫ộng (3)
a. chương trình khả
thi gốc.
b. với virus chèn vào ở ₫ầu file.
c. với virus chèn vào cuối file.
d. với
virus chèn vào các chỗ
trống trong chương trình.
30
Cách virus hoạt ₫ộng (4)
a. sau khi virus ₫ã chiếm ngắt và
vector bẩy của hệ
thống.
b. sau khi OS chiếm lại ₫ược ngắt máy in.
c. sau khi virus
phát hiện mất ₫iều khiển trên ngắt máy in và
 chiếm lại.
31
Cách virus lây lan
•
Virus ₫ược ₫ặt ở
chỗ
dễ ₫ược copy nhất.
•
Khi ₫ược copy, virus :
—
tiêm nhiễm vào các file trên các thiết bị
chứa tin
—
và
cố
gắng lây lan tiếp sang ₫ường mạng.
•
Ghép vào e-mail sạch nào ₫ó.
—
khi ₫ược xem, virsu dùng
mailing list ₫ể
nhân bản.
32
Các kỹ
thuật Antivirus
 &
Anti-Antivirus
(a) Chương trình gốc
(b) Chương trình bị
nhiễm
(c) Chương trình bị
nhiễm và
bị
nén
(d) Virus ₫ã mật mã hóa
(e) virus
₫ược nén với code nén bị
mật mã hóa.
33
Các kỹ
thuật Antivirus 
& Anti-Antivirus
Những thí
dụ
về virus ₫a hình (polymorphism)
các ₫oạn code trên ₫ều miêu tả
cùng 1 virus.
34
Các kỹ
thuật Antivirus 
& Anti-Antivirus
•
Kiểm tra tính toàn vẹn.
•
Kiểm tra hành vi.
•
Tránh virus
—
dùng HĐH sạch
—
chỉ
cài ứng dụng "shrink-wrapped"
—
dùng ứng dụng diệt virus.
—
không click chuột trên các attach của e-mail.
—
backup thông tin thường xuyên
•
Phục hồi khi bị
virus tấn công
—
dừng máy,
boot lại từ ₫ĩa sạch, chạy trình diệt 
virus.
35
Sâu
Internet
•
Gồm 2 ứng dụng :
—
bootstrap ₫ể
tải sâu lên mạng
—
bản thân sâu
•
Đầu tiên Sâu ẩn mình
•
rồi tự
nhân bản lên các máy mới.
36
Mobile Code (1) Sandboxing
(a) Memory divided into 1-MB sandboxes
(b) One way of checking an instruction for validity
37
Mobile Code (2)
Applets can be interpreted by a Web browser
38
Mobile Code (3)
How code signing works
39
Java Security (1)
• A type safe language
– compiler rejects attempts to misuse variable
• Checks include …
1. Attempts to forge pointers
2. Violation of access restrictions on private class 
members
3. Misuse of variables by type
4. Generation of stack over/underflows
5. Illegal conversion of variables to another type
40
Java Security (2)
Examples of specified protection with JDK 1.2
41
Protection Mechanisms 
Protection Domains (1)
Examples of three protection domains
42
Protection Domains (2)
A protection matrix
43
Protection Domains (3)
A protection matrix with domains as objects
44
Access Control Lists (1)
Use of access control lists of manage file access
45
Access Control Lists (2)
Two access control lists
46
Capabilities (1)
Each process has a capability list
47
• Cryptographically-protected capability
• Generic Rights
1. Copy capability
2. Copy object
3. Remove capability
4. Destroy object
Capabilities (2)
Server Object Rights f(Objects, Rights, Check)
48
Trusted Systems 
Trusted Computing Base
A reference monitor
49
Formal Models of Secure Systems
(a) An authorized state
(b) An unauthorized state
50
Multilevel Security (1)
The Bell-La Padula multilevel security model
51
Multilevel Security (2)
The Biba Model
• Principles to guarantee integrity of data
1. Simple integrity principle
• process can write only objects at its security level or lower
2. The integrity * property
• process can read only objects at its security level or higher
52
Orange Book Security (1)
• Symbol X means new requirements
• Symbol -> requirements from next lower category 
apply here also
53
Orange Book Security (2)
54
Covert Channels (1)
Client, server and 
collaborator processes
Encapsulated server can 
still leak to collaborator via 
covert channels
55
Covert Channels (2)
A covert channel using file locking
56
Covert Channels (3)
• Pictures appear the same
• Picture on right has text of 5 Shakespeare plays
– encrypted, inserted into low order bits of color values
Zebras
Hamlet, Macbeth, Julius Caesar
Merchant of Venice, King Lear