SI 04-051 Sicurezza della Base di Dati Mariagrazia Fugini Barbara Pernici Politecnico di Milano Sistemi Informativi 2004-2005.

Presentazione sul tema: "SI 04-051 Sicurezza della Base di Dati Mariagrazia Fugini Barbara Pernici Politecnico di Milano Sistemi Informativi 2004-2005."— Transcript della presentazione:

1

2 SI 04-051 Sicurezza della Base di Dati Mariagrazia Fugini Barbara Pernici Politecnico di Milano Sistemi Informativi 2004-2005

3 SI 04-052 Argomenti Problemi di sicurezza e requisiti Politiche di sicurezza, DAC/ MAC Tipi di controlli e modelli per le basi dati Architettura di un DBMS con caratteristiche di sicurezza

4 SI 04-053 Requisiti di protezione delle bd Protezione da accessi impropri (letture) Protezione da inferenza Integrità della bd:  Protezione da modifiche improprie  Integrità operativa dei dati (concurrency manager, locking back up e recovery)  Integrità semantica (vincoli di integrità) Accountability e auditing (log) Autenticazione utente Individuazione e Gestione protetta di dati sensitibili Protezione multilivello (in ambienti militari/governativi) Confinamento: per evitare trasferimento di informazione lungo canali autorizzati (es. scambio file) canali di memoria canali covert (di cui non è palese l’esistenza)

5 SI 04-054 Controlli sui dati 1 ) Controlli di flusso: da oggetto X (autorizzato) a oggetto Y (non autorizzato) eseguite in sequenza: READ X, WRITE Y trasferiscono informazione dall’oggetto X all’oggetto Y 2) Controlli di inferenza accesso indiretto SELECT X FROM r WHERE Y = value Rivela che esistono n-tuple in r che verificano la condizione Y= value Se utente non è autorizzato su Y, riesce comunque a leggere il data set Y dati correlati z = t * k con t,k visibili, z non visibile z può essere inferito tramite la relazione aritmetica ‘*’ dati mancanti conoscere il nome di un oggetto anche senza poterne vedere il contenuto Inferenza Statistica: prevenuta mediante perturbazione dati controllo sulle query (sulle dimensioni del query set)

6 SI 04-055 Procedure di Controllo Politiche di Sicurezza richiesta di accesso Regole di Accesso accesso negato accesso permesso modifica della richiesta 3) Controlli di accesso

7 SI 04-056 Controlli di accesso: politiche Insieme di regole per limitare gli accessi:  Pattern di Regola Policies: privilegio minimo (need-to-know) privilegio massimo (per favorire scambio di informazioni, es. in ambienti di ricerca – Unix è nato così) amministrazione centralizzata o decentralizzata (ownership degli utenti) amministrazione gerarchica decentralizzata/ autorizzazione cooperativa (sono richieste autorizzazioni congiunte per esguire operazioni, principio del binding of duties) politiche di delega dei privilegi (in sistemi discrezionali, tramite operazione GRANT) Sistemi aperti vs chiusi (quasi tutti sono chiusi)

8 SI 04-057 richiesta di accesso esiste una regola che autorizza l’accesso? sìno accesso permesso accesso negato Regole di Accesso accessi autorizzati Controllo accessi: sistema chiuso

9 SI 04-058 esiste una regola che nega l’accesso? nosi accesso permesso accesso negato Regole di Accesso accessi negati richiesta di accesso Controllo accessi: sistema aperto

10 SI 04-059 Controllo di accesso discrezionale Gli utenti amministrano i dati che possiedono (concetto di proprietario) Il proprietario dei dati può autorizzare (GRANT) altri utenti all’accesso Il proprietario può definire il tipo di accesso da concedere ad altri (lettura, scrittura, esecuzione) Accessi selettivi (basati su nome, contenuto, parametri di sistema, storia, aggregazione di dati)

11 SI 04-0510 Controllo di accesso discrezionale Richiesta di accesso Regole di autorizzazione La richiesta è conforme alle regole di autorizzazione? no sì Accesso negato il predicato P della regola è soddisfatto? no sì Accesso negato Accesso autorizzato

12 SI 04-0511 Controllo di accesso mandatorio Per basi di dati con dati sensitivi (es., governative, militari) DAC non è sufficiente (per esempio, non si puà controllare il flusso da oggetto X a oggetto Y) Informazioni vitali, diversi livelli di sensitività, controlli sul flusso di dati e sul rilascio di dati, controlli sugli utenti Attacchi sofisticati da parte di utenti determinati (e.g., Cavalli di Troia) Politiche basate su classificazione di dati e utenti: Multilevel Access Control (MAC)

13 SI 04-0512 Controllo di accesso mandatorio Classificazione dei dati (livello di sensitività) Classificazione dei soggetti (clearance) Classe di sicurezza: Ordinamento (parziale) tra le classi di sicurezza (relazione domina) I meccanismi di sicurezza devono garantire che tutti i soggetti abbiano accesso solo ai dati per cui possiedono la clearance appropriata (regole soggetti-oggetti) Non si possono propagare privilegi (No Grant)

14 SI 04-0513 Controllo di accesso mandatorio Richiesta di accesso Assiomi di sicurezza Classi di sicurezza La richiesta è conforme di soggetti/oggetti agli assiomi della politica mandatoria ? sì no Accesso autorizzato Accesso negato

15 SI 04-0514 MAC: Classificazione Livelli di classificazione (Sensitività dati e clearance utenti): Unclassified, Confidential, Secret, Top Secret Categorie:  es. Nuclear, NATO, Intelligence  es. Produzione, Personale, Engineering TS S C U (Secret, {Nuclear, Intelligence}) (Secret, {Nuclear}) (Confidential, {Nuclear}) Legenda: è contenuto in

16 SI 04-0515 Sistemi mandatori: esempio Livelli di classificazione : 0 = Unclassified 1 = Confidential 2 = Secret 3 = Top Secret Categorie: Nuclear, Nato, Intelligence Produzione, Personale, Engineering, Amministrazione (per m aree, 2 m possibili categorie) Relazione di ordinamento parziale sulle Security Classes (SC) : SC = (A,C) con A livello di classificazione, C categoria date SC = (A,C) e SC’ = (A’,C’) SC <= SC’ iff A<= A’ e C in  C’ Esempi: (2, Nuclear) <= (3,(Nuclear,Nato)) verificata (2, (Nuclear,Nato) <= (3,Nato) non verificata

17 SI 04-0516 Tipi di controllo accessi alle bd

18 SI 04-0517 R Accesso basato sul nome EMP PERSONNEL MANAGER MAILROOM CLERK namesalarymanagerdept B10k Jcomp A eval skill g netw 20kJfin s acc 15kHcompm PC D 18kJ adminm payroll

19 SI 04-0518 Accesso basato sul contenuto EMP VISTE John può vedere solo gli impiegati del reparto 50 GRANT SELECT ON D50 TO John CREATE VIEW D50 (Codice, Nome,Qualifica) AS SELECT Codice, Nome, Qualifica FROM EMP WHERE Codice_Reparto=50; JOHN

20 SI 04-0519 Accesso basato sul tipo di accesso

21 SI 04-0520 MODELLI DI SICUREZZA

22 SI 04-0521 Modelli di sicurezza per i dati Modelli discrezionali  propagazione privilegi  ownership (grant/revoke) Modelli mandatori  soggetti  oggetti  classificazione e etichettatura

23 SI 04-0522 DISCREZIONALI: BASATI SU MATRICE DI ACCESSO  MATRICE DI ACCESSO  ACL, CAPABILITIES  MODELLI BASATI SUI RUOLI MANDATORI: MODELLI PER SISTEMI MULTILIVELLO  BELL-LA PADULA (per sistemi operativi)  SEA-VIEW (per basi di dati)

24 SI 04-0523 Modello a matrice di accesso Basato su Matrice A[s,o] = p con  s soggetto (programma, processo,utente)  o oggetto (programma,file,area di memoria centrale)  p privilegio di accesso (read,write,execute,call) insieme dei soggetti e oggetti possono essere non disgiunti pensato per i sistemi operativi; matrice è sparsa (occupa memoria), per le bd servono anche condizioni di accesso (es. per vincoli sul contenuto)

25 SI 04-0524 Matrice di accesso: implementazione ACL  ogni colonna della matrice di accesso è memorizzata con l’oggetto corrispondente a quella colonna (molto efficiente: ACL viene aperta con l’oggetto, es. File) Capability  ogni riga della matrice di accesso è memorizzata con il soggetto corrispondente a quella riga (ogni soggetto ha un insieme di capabilities, o ticket di autorizzazione Tabella (triple, quadruple, in genere n-uple)  generalmente utilizzato in DBMS

26 SI 04-0525 Classe di sistemi :  contenenti dati a diversi livelli di sensitività  che permette l'accesso contemporaneo ai dati da parte di utenti con diverse autorizzazioni (clearances) e need-to-know  che impedisce agli utenti accessi non autorizzati in base a regole di confronto livello/clearance Nati in ambienti militari o security-critical, oggi sono in fase di ricerca avanzata per applicazioni industriali e commerciali e per sistemi di comunicazioni SISTEMI MULTILIVELLO

27 SI 04-0526 Mitre Corp. 73-74 stati-transizioni entità : divise in set astratti di soggetti e oggetti proprietà formali o assiomi che descrivono stati sicuri e transizioni che conservano la sicurezza Sistema = (S,O,X) + funzione F che associa clearance a soggetti (F s ), classificazione agli oggetti (F o ) e livello di sicurezza corrente di un soggetto (F c ) BELL-LA PADULA

28 SI 04-0527 Definizioni Stato del sistema si dice sicuro se i soli modi di accesso permessi dei soggetti sugli oggetti sono conformi alla POLITICA di sicurezza Tipi di accesso: read only, append, execute, read-write Determinare se un modo di accesso x è permesso = confrontare clearance del soggetto s con classificazione dell'oggetto o, e determinare se s ha l'autorizzazione per il modo x -- > fatto matematicamente quindi si hanno sistemi formalmente verificabili

29 SI 04-0528 Simple Security (SS) Property (per la lettura): uno stato soddisfa la proprietà SS se, per ogni soggetto s che ha accesso READ, la clearance di s domina la classificazione dell'oggetto o: (s,o,x) soddisfa la proprietà SS relativa a F se x=READ e F s (s) domina F o (o) Condensata in No Read Up

30 SI 04-0529 Star (*) Property (confinement property): per la scrittura  un s non può avere accesso WRITE a un o a meno che la classificazione di o sia >= livello di sicurezza corrente di s: (s,o,x) è permessa se x=WRITE e F c (s) <= F o (o)  s non può avere accesso READ/WRITE a un oggetto o a meno che la classificazione di o eguagli il livello di sicurezza corrente del soggetto: (s,o,x) è permessa se x=READ-WRITE e F c (s) = F o (o) Si condensa in No Write Down

31 SI 04-0530

32 SI 04-0531 Progetto di DBMS sicuri DBMS vs. SO  granularità oggetti protetti  correlazioni semantiche dei dati  metadati  molteplicità di tipi di dati  oggetti statici e dinamici  transazioni (multilivello in MAC)  ciclo di vita dei dati

33 SI 04-0532 Progetto di DBMS sicuri Meccanismi di sicurezza nei DBMS: requisiti  diverse granularità  diversi modi di accesso e tipologie di controllo (covert channels, controlli di inferenza, controlli di flusso)  polinstanziazione in MAC  autorizzazione dinamica  uniformità dei meccanismi  assenza di back doors  prestazioni ragionevoli

34 SI 04-0533 Sicurezza nei DBMS Regole di accesso Protezione e gestione delle autorizzazioni nei DBMS  Meccanismi di sicurezza nei DBMS  Autorizzazioni in RDBMS  Basi di dati multilivello  Architetture di DBMS sicuri

35 SI 04-0534 Componenti delle regole di accesso Autorizzatori:  owner (appropriato per ambienti con bd separate)  funzione di controllo (appropriato per bd centralizzata) Soggetti:  utenti (user profiles) amministratori e programmatori appl.vi  gruppi o classi  transazioni o applicativi se l’utente è in più gruppi e/o usa varie applicativi --> soggetto = {USER_ID,GROUP_ID} oppure {USER_ID,APPL_ID} Oggetti:  scelta della granularità è cruciale (efficacia/efficienza) es: tabella, colonna, tupla, elemento (solo in update)  occorre proteggere anche gli schemi  transazioni e programmi anche come oggetti

36 SI 04-0535 accesso Transazioni come Soggetti/Oggetti

37 SI 04-0536 Esempi di regole di accesso Modello a 3 componenti: nato per SO, esteso alle bd Modello a 4 componenti: vincoli dipendenti dal contenuto subj obj right constraint mgr EMP ALL = mgr of NAME NAME READ NOT mgr of NAME ADDRESS employee NAME READ,UPDATE employee=NAME AGE ADDRESS NAME READ mgr(NAME)= AGE mgr(employee) ADDRESS

38 SI 04-0537 Modello a 4 componenti constraint: espresso mediante protection view il modello fornisce:  controllo dell’accesso dipendente dal nome  controllo dell’accesso dipendente dal contenuto per le basi dati mancano:  controlli su amministrazione del set di regole di acceso  delega dei privilegi di accesso

39 SI 04-0538 Regole di accesso per le bd Modello a 5 componenti: prop-rule: nessuna propagazione: solo privilegio USE propagazione incondizionata (UP): privilegi USE e PROPAGATE propagazione limitata (BP): orizzontale/verticale problema della modifica delle regole di accesso (REVOCA)

40 SI 04-0539 Authorization Table gtor gtee obj right constraint prop rule creator creator EMP ALL NO UP creator mgr EMP ALL =mgr(NAME) BP mgr employee NAME READ mgr(NAME) BP AGE =mgr(employee) ADDRESS creator employee NAME READ employee=NAME NO AGE UPDATE ADDRESS

41 SI 04-0540 Sicurezza e DBMS: DAC e MAC Autenticazione dell’utente (anche mediante il SO) DAC  concessione/revoca di privilegi, ownership sui dati della BD  accesso dipendente dal nome/contenuto/tipo di accesso  accesso dipendente dal contesto (in combinazione con SO) MAC  protezione e gestione di dati multi-livello (in combinazione con SO) e delle etichette  Trusted Computing Base (TCB) raggruppa tutti i meccanismi che realizzano le politiche di sicurezza MAC (concetto di Reference Monitor)

42 SI 04-0541 Regole e Autorizzazioni Modalità di specifica di autorizzazioni di accesso ai dati nella BD:  regole di accesso  nel profilo utente  nella descrizione dell’oggetto Meccanismi per la specifica di autorizzazioni:  Query Language /Data Manipulation Language (DML) del DBMS  Data Definition Language (DDL) del DBMS  Comandi di SO

43 SI 04-0542 Regole e Autorizzazioni In RDBMS  GRANT INSERT, SELECT ON EMP TO John  Viste: EMP(Codice,Nome,Codice_Reparto,Mansione,Qualifica) CREATE VIEW D50(Codice,Nome,Qualifica) AS SELECT Codice,Nome,Qualifica FROM EMP WHERE Codice_Reparto=50 GRANT SELECT ON D50 TO John

44 SI 04-0543 Regole e Autorizzazioni In pacchetti add-on come RAC-F PERMIT Employee-ID(John) Nel DDL del DBMS  clausola di controllo accesso associata alla dichiarazione degli elementi dello schema RECORD NAME IS Emp … ACCESS-CONTROL LOCK FOR GET IS ‘nome_lock’

45 SI 04-0544 Regole e Autorizzazioni Nel Query Language In RDBMS con DDL,DML,QL unificati tipo SQL Nel profilo utente  ‘SIGN-ON PROFILE’  associare a ogni utente un ‘PROFILE SEGMENT’ per transazioni modi di accesso  usare poi facilities per la manipolazione di profili

46 SI 04-0545 Query modification GRANT SELECT ON EMP TO John WHERE Stipendio<1500 John SELECT * FROM EMP DBMS SELECT * FROM EMP WHERE Stipendio < 1500

47 SI 04-0546 DAC in DBMS relazionali: sintassi delle regole amministrative GRANT ON TO [WITH GRANT OPTION] GRANT TO [IDENTIFIED BY passwd] GRANT RUN ON TO [WITH GRANT OPTION] REVOKE ON FROM REVOKE FROM REVOKE RUN ON FROM ::= SELECT | INSERT | UPDATE | DELETE | ALTER | INDEX ::= CONNECT | RESOURCE | DBA ::= user-ID | GROUP nomegruppo | PUBLIC | ALL

48 SI 04-0547 DAC in DBMS: ruoli Concetto di ruolo  le autorizzazioni sono associate al ruolo  gli utenti sono autorizzati a ricoprire il ruolo  SQL3 GRANT lista permessi ON Tabella TO Nomeruolo GRANT Nomeruolo TO Utente GRANT Nomeruolo TO Nomeruolo REVOKE Nomeruolo FROM Utente Flessibilità nella gestione di autorizzazioni, aderenza alla struttura organizzativa

49 SI 04-0548 Esempio Oracle In Oracle:  soggetti: utenti, gruppi, ruoli gruppo PUBLIC ruoli definiti dall’amministratore (comando GRANT) organizzazione gerarchica dei ruoli (GRANT sui ruoli) comando SET ROLE per assegnazione di ruoli ad applicazioni (abilitazione attraverso password)  oggetti: BD, tabelle, viste, cataloghi, procedure, etichette a livello di relazione

50 SI 04-0549 Oracle  modi di accesso: select,insert,delete,update,alter, drop, index, reference, execute  privilegi: connect: collegamento alla BD e esecuzione di operazioni autorizzate su tabelle resource: creazione di tabelle e concessione di autorizzazioni ad altri DBA: tutti i privilegi (anche creazione di user account)

51 SI 04-0550 Oracle  audit: comando per l’amministratore; audit trail (SO/DB)  amministrazione delle autorizzazioni: decentralizzata qualunque utente può essere autorizzato a creare una tabella utente che crea tabella ne è il proprietario il proprietario ha tutti i privilegi e può concedere (GRANT) privilegi sulla tabella eventualmente con GRANT OPTION solo il proprietario può cancellare la tabella

52 SI 04-0551 Autorizzazioni dinamiche: problema della revoca Ogni utente che possiede un privilegio P con GO su tabella T può revocare P Un utente autorizzato può revocare solo le autorizzazioni a lui concesse ------> problema: autorizzazioni concesse con GO richiedono REVOCA RICORSIVA (cascading) Revoca di P su T all’utente Y da parte dell’utente X ---------------> è come se tutte le autorizzazioni per P su T concesse da X a Y non fossero mai state concesse Uso di timestamp associati alle autorizzazioni revocate

53 SI 04-0552 Oracle: Viste Proprietario della vista V è chi l’ha creata (es., utente B) Il proprietario può concedere accessi selettivi (controllo accessi basato sul contenuto) IF B possiede privilegio P (con GrantOption= su tutte le tabelle T i usate in V THEN B può concedere P su V (con GrantOption) ad altri unteti U i AND (successivamente revocare P) Problemi:  differenti privilegi su diversi sotto-insiemi dei dati di una tabella --> viste diverse  INSERT e UPDATE su viste difficili da gestire

54 SI 04-0553 Oracle: Viste Esempio  B ha privilegio READ su EMP con GO e definisce la Vista r&d DEFINE VIEW r&d (Codice, Nome, Qualifica) AS SELECT Codice,Nome,Qualifica FROM EMP WHERE Reparto = “RicercaSviluppo” ==>  ==> C può eseguire SELECT su r&d anche se non ha READ su EMP  REVOKE READ ON EMP FROM B ==> REVOKE READ ON r&d FROM B REVOKE READ ON r&d FROM C

55 SI 04-0554 Regole di accesso in DBMS MAC Simple Security property (NO READ UP)  Un soggetto S è autorizzato ad accedere in lettura a un oggetto O solo se L(S) >=  L(O) *-property (NO WRITE DOWN)  Un soggetto S è autorizzato ad accedere in scrittura a un oggetto O solo se L(S) <= L(O) Queste regole, combinate, impediscono flussi di dati tra soggetti “high” e “low”

56 SI 04-0555 Implementazione di protezione in DBMS MAC Accesso controllato ai dati multi-livello (TCB) Memorizzazione e gestione delle etichette di classificazione Etichette a vari livelli:  livello di relazione  livello di attributo  livello di record (tupla)  livello di elemento (singolo dato)  memorizzazione: 1. direttamente nella BD 2. nella BD in forma cifrata 3. in una BD separata gestita da un filtro VARIANO LE PRESTAZIONI

57 SI 04-0556 Basi di dati multi-livello Regole per la classificazione degli elementi nella BD Multi-Level Relation (MLR) R(A 1,C 1,...,A n,C n, T C )

58 SI 04-0557 2.21 Esempio di relazione multilivello Name CName Department CDepartment Salary Csalary TC Bob S Dept1 S 10KS S Ann S Dept2 S 20KTS TS Sam TS Dept2 TS 30KTS TS

59 SI 04-0558 2.22 a) Istanza Secret Name CName Department CDepartment Salary Csalary TC Bob S Dept1 S 10KS S Ann S Dept2 S --S S

60 SI 04-0559 2.22 b) Istanza TopS Name CName Department CDepartment Salary Csalary TC Bob S Dept1 S 10KS S Ann S Dept2 S 20KTS TS Sam TS Dept2 TS 30KTS TS

61 SI 04-0560 Architetture di DBMS Sicuri

62 SI 04-0561 Architetture di DBMS sicuri I DBMS sicuri operano secondo 2 modalità:  SYSTEM HIGH  MULTILEVEL SYSTEM HIGH tutti gli utenti sono autorizzati al livello di sicurezza più alto revisione manuale dei dati prima del rilascio da parte di un responsabile ==> vantaggio: uso di tecnologia di DBMS commerciali svantaggio: costi/tempi addizionali MULTILEVEL MODE Trusted subject architecture Woods Hole architectures:  Integrity Lock  Kernelized  Replicated =====> USO DI DBMS Trusted e Untrusted

63 SI 04-0562 Architetture di DBMS sicuri: Trusted Subject Architecture high user low user UNTRUSTED UNTRUSTED FRONT-END FRONT-END TRUSTED DBMS TRUSTED OS DATABASE (dbms & non dbms data)

64 SI 04-0563 Architetture di DBMS sicuri: Woods Hole Architecture high user low user UNTRUSTED UNTRUSTED FRONT-END …. FRONT-END TRUSTED FRONT-END (REFERENCE MONITOR) UNTRUSTED DBMS DATABASE

65 SI 04-0564 Architetture di DBMS sicuri: Integrity Lock Architecture high user low user UNTRUSTED UNTRUSTED FRONT-END …. FRONT-END TRUSTED FILTER CRYPTOGRAPHIC UNIT APPEND CHECK STAMP QUERY STORE RESPONSE UNTRUSTED DBMS DATABASE