ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΚΟΙΝΩΝΙΑ ΤΗΣ ΠΛΗΡΟΦΟΡΙΑΣ (Μηχανισμοί Ελέγχου Προσπέλασης) Καλλονιάτης Χρήστος Επίκουρος Καθηγητής Τμήμα Πολιτισμικής Τεχνολογίας και Επικοινωνίας, Πανεπιστήμιο Αιγαίου http://www.ct.aegean.gr/people/kalloniatis
Περίληψη Περιεχόμενα 1(3) Δεδομένης της ανάγκης προστασίας των ψηφιακών δεδομένων από μη εξουσιοδοτημένους χρήστες είναι απαραίτητη κάποια γλώσσα έκφρασης της επιθυμητής πολιτικής ελέγχου προσπέλασης των υπολογιστικών πόρων, καθώς και συγκεκριμένων μηχανισμών για την εφαρμογή και παρακολούθηση της πολιτικής αυτής. Αρχικά περιγράφονται τα βασικά χαρακτηριστικά της έννοιας του Ελέγχου Προσπέλασης καθώς και η συσχέτιση του όρου με την προστασία ενός υπολογιστικού συστήματος. 2
Περίληψη Περιεχόμενα 2(3) Στη συνέχεια παρουσιάζεται η βασική εννοιολογική θεμελίωση των όρων που έχουν καθιερωθεί για την περιγραφή των μηχανισμών ελέγχου προσπέλασης. Η ενότητα Λειτουργίες Προσπέλασης (access operations) επικεντρώνεται στην περιγραφή των λειτουργιών που υποστηρίζουν τα διάφορα υπολογιστικά συστήματα για την προσπέλαση των πόρων τους, με έμφαση στις σημαντικές διαφοροποιήσεις που προκύπτουν στις επιμέρους υλοποιήσεις τους σε διαφορετικά συστήματα 3
Περίληψη Περιεχόμενα 3(3) Ακολουθεί η περιγραφή των πλέον διαδεδομένων μηχανισμών ελέγχου προσπέλασης και συγκεκριμένα του μοντέλου του Πίνακα Ελέγχου Προσπέλασης, των Λιστών Ελέγχου Δικαιωμάτων Προσπέλασης και των Λιστών Δικαιωμάτων. Η παρουσίαση ολοκληρώνεται με συνοπτικά συμπεράσματα ανακεφαλαίωσης 4
Εισαγωγή 1(4) Ο όρος Έλεγχος Προσπέλασης αφορά τους συγκεκριμένους μηχανισμούς που υλοποιεί κάποιο υπολογιστικό σύστημα, με σκοπό να προστατεύσει από μη εξουσιοδοτημένη προσπέλαση τα δεδομένα και τους μη διαμοιράσιμους πόρους, οι οποίοι επηρεάζουν την ασφάλεια πόρων του συστήματος και είναι αποθηκευμένα στη μνήμη, στους καταχωρητές ή σε οποιοδήποτε άλλο τμήμα του. Με τον τρόπο αυτό τα υπολογιστικά συστήματα προσπαθούν να προστατεύσουν τόσο την ακεραιότητα όσο και την εμπιστευτικότητα των δεδομένων που ανακτούν, αποθηκεύουν ή γενικότερα επεξεργάζονται. 5
Εισαγωγή 2(4) Οι μηχανισμοί ελέγχου προσπέλασης είναι άμεσα εξαρτημένοι από τις συγκεκριμένες λειτουργίες προσπέλασης που υποστηρίζουν τα λειτουργικά συστήματα. Τα παραδοσιακά λειτουργικά συστήματα που υποστηρίζουν πολλούς ταυτόχρονους χρήστες προσφέρουν διαφορετικούς γενικούς τρόπους προσπέλασης στους διαθέσιμους πόρους, που όμως είναι κοινοί για όλες τις κατηγορίες χρηστών και ανεξάρτητοι του τύπου των δεδομένων. 6
Εισαγωγή 3(4) Τα σύγχρονα λειτουργικά συστήματα ακολουθούν ένα διαφορετικό μοντέλο καθώς προσφέρουν λειτουργίες προσπέλασης που είναι προσανατολισμένες στις συγκεκριμένες ανάγκες κάθε ανεξάρτητου χρήστη. Στόχος μιας πολιτικής ασφάλειας είναι ο προσδιορισμός των «επιτρεπτών καταστάσεων», ενώ οι μηχανισμοί ελέγχου προσπέλασης, σε συνδυασμό με άλλους μηχανισμούς ασφάλειας, προστατεύουν το σύστημα από μετάβασή του σε «μη-επιτρεπτή κατάσταση» 7
Εισαγωγή 4(4) Ο έλεγχος προσπέλασης αφορά τους μηχανισμούς που υλοποιεί κάποιο υπολογιστικό σύστημα με σκοπό να προστατεύσει από μη-εξουσιοδοτημένη προσπέλαση τα δεδομένα εκείνα, τα οποία επηρεάζουν την ασφάλεια του συστήματος και είναι αποθηκευμένα στη μνήμη ή σε άλλο τμήμα του. 8
Εννοιολογική Θεμελίωση 1(5) Ο όρος προσπέλαση υποδηλώνει ότι υπάρχει κάποιο υποκείμενο (subject) που προσπαθεί να προσπελάσει κάποιο αντικείμενο (object) αξιοποιώντας κάποια λειτουργία προσπέλασης (access operation) που προσφέρει το υπολογιστικό σύστημα. Υποκείμενο Αίτηση Προσπέλασης Ελεγκτής Αιτήσεων Αντικείμενο 9
Εννοιολογική Θεμελίωση 2(5) Ο όρος υποκείμενο αντιπροσωπεύει τους χρήστες και τις διεργασίες ενός συστήματος. Ο όρος αντικείμενο αντιπροσωπεύει τα αρχεία και άλλους υπολογιστικούς πόρους όπως μνήμη, εκτυπωτές κ.λπ. Κάθε οντότητα του υπολογιστικού συστήματος δεν εντάσσεται αποκλειστικά σε μια από τις παραπάνω κατηγορίες, καθώς ανάλογα με τις εκτελούμενες λειτουργίες μπορεί να δρα ως υποκείμενο (ενεργή οντότητα) αιτείται προσπέλασης σε κάποιον πόρο ή ως αντικείμενο (παθητική οντότητα). 10
Εννοιολογική Θεμελίωση 3(5) Συνεπώς είναι δυνατόν να προσδιοριστούν: Οι ενέργειες που επιτρέπεται να εκτελέσει κάποιο υποκείμενο Οι ενέργειες που επιτρέπεται να εκτελεστούν σε κάποιο αντικείμενο Στις ενότητες που ακολουθούν θα αναφερθούμε σε: Ένα σύνολο υποκειμένων S (χρήστες, διεργασίες) Ένα σύνολο αντικειμένων O που σχετίζονται με την κατάσταση προστασίας του συστήματος Ένα σύνολο λειτουργιών προσπέλασης Α 11
Εννοιολογική Θεμελίωση 4(5) Ο ιδιοκτήτης ενός αντικειμένου έχει τη δυνατότητα να τροποποιεί τα δικά του δικαιώματα και να εκχωρεί ή να ανακαλεί δικαιώματα προσπέλασης σε/από άλλα υποκείμενα. Ο διαχειριστής ενός συστήματος θα μπορούσε να θεωρηθεί ως ιδιοκτήτης όλων των αντικειμένων, καθώς μπορεί να τα προσπελάσει ανεξάρτητα από τα δικαιώματα που του έχουν εκχωρηθεί από τους ιδιοκτήτες. Εξασθένιση Προνομίων (principle of attenuation of privilege): Ένα υποκείμενο δε θα πρέπει να διαθέτει δυνατότητα εκχώρησης, σε άλλο υποκείμενο, δικαιωμάτων που δεν κατέχει. 12
Εννοιολογική Θεμελίωση 5(5) Ο καθορισμός και ο έλεγχος των τρόπων εκχώρησης δικαιωμάτων προσπέλασης, καθώς και των τρόπων που τα υποκείμενα μπορούν να προσπελάσουν κάποια αντικείμενα, υλοποιείται μέσω της πολιτικής ασφάλειας. Ποιος είναι υπεύθυνος για τον καθορισμό της πολιτικής ασφάλειας? Οι Ιδιοκτήτες των υπολογιστικών πόρων (Πολιτική Διακριτικού Ελέγχου Προσπέλασης - DAC Discretionary Access Control) Κεντρική απόφαση σε επίπεδο συστήματος (Πολιτική Υποχρεωτικού Ελέγχου Προσπέλασης MAC Mandatory Access Control) 13
Λειτουργίες Προσπέλασης Κάθε υπολογιστικό σύστημα υποστηρίζει συγκεκριμένες λειτουργίες για την προσπέλαση των πόρων του, όπως: Βασικές λειτουργίες ανάγνωσης/εγγραφής της μνήμης Κλήσεις μεθόδων, σε αντικειμενοστραφή συστήματα κ.λπ. Οι διαφοροποιήσεις των λειτουργιών προσπέλασης μεταξύ υπολογιστικών συστημάτων είναι σημαντικές. Υπάρχουν περιπτώσεις λειτουργιών που σε εξωτερικούς παρατηρητές εμφανίζονται ταυτόσημες, ενώ στη πράξη υλοποιούνται διαφορετικά σε κάθε υπολογιστικό σύστημα 14
Λειτουργίες Προσπέλασης Τρόποι Προσπέλασης Σε βασικό επίπεδο, ένα υποκείμενο μπορεί να παρατηρήσει ή τροποποιήσει κάποιο αντικείμενο. Ορίζονται δύο τρόποι προσπέλασης (access modes): Παρατήρηση (observe): Ανάγνωση των περιεχομένων του αντικειμένου Τροποποίηση (alter): Τροποποίηση των περιεχομένων του αντικειμένου Αν και η πλειονότητα των πολιτικών ελέγχου προσπέλασης θα μπορούσαν να εκφραστούν μέσω των δύο αυτών τρόπων προσπέλασης, το πρόβλημα είναι ότι η περιγραφή μιας τέτοιας πολιτικής είναι εξαιρετικά δύσκολο να συσχετιστεί με τις εφαρμογές στις οποίες αναφέρεται. Προκύπτει λοιπόν η ανάγκη για ευρύτερο φάσμα λειτουργιών προσπέλασης 15
Λειτουργίες Προσπέλασης Δικαιώματα Προσπέλασης του μοντέλου Bell-LaPadula Σε επόμενο επίπεδο πολυπλοκότητας κατατάσσονται τα δικαιώματα προσπέλασης του Bell- LaPadula μοντέλου ασφαλείας που είναι: Εκτέλεση (Execute) Προσθήκη (Append) Ανάγνωση (Read) Εγγραφή (Write) Η συσχέτισή τους με τους δύο βασικούς τρόπους προσπέλασης είναι: Εκτέλεση Προσθήκη Ανάγνωση Εγγραφή Παρατήρηση Χ Χ Τροποποίηση Χ Χ 16
Λειτουργίες Προσπέλασης Χαρακτηριστικά Προσπέλασης του ΛΣ Multics 1(2) Το λειτουργικό σύστημα Multics (Multiplexed Information and Computing Service) διαφοροποιεί τα χαρακτηριστικά προσπέλασης για τα τμήματα δεδομένων και τους καταλόγους. Συγκεκριμένα, για τα τμήματα δεδομένων ορίζονται τα: Ανάγνωση Εγγραφή Εκτέλεση ενώ για τους καταλόγους τα: Κατάσταση Προσθήκη Εύρεση Αλλαγή 17
Λειτουργίες Προσπέλασης Χαρακτηριστικά Προσπέλασης του ΛΣ Multics 2(2) Η συσχέτιση των χαρακτηριστικών προσπέλασης του λειτουργικού συστήματος Multics με τα δικαιώματα προσπέλασης του μοντέλου Bell- LaPadula παρουσιάζεται στον παρακάτω πίνακα: Multics Bell-LaPadula Multics Bell-LaPadula Τμήματα Δεδομένων Κατάλογοι Ανάγνωση Ανάγνωση Κατάσταση Ανάγνωση Εκτέλεση Εκτέλεση, Κατάσταση, Εγγραφή Ανάγνωση Αλλαγή Ανάγνωση, Εγγραφή Προσθήκη Προσθήκη Εγγραφή Εγγραφή Προσθήκη Εύρεση Εκτέλεση 18
Λειτουργίες Προσπέλασης Λειτουργικό Σύστημα UNIX 1(2) Ένα τυπικό παράδειγμα είναι ο μηχανισμός ελέγχου προσπέλασης του ΛΣ UNIX που υποστηρίζει τρεις λειτουργίες προσπέλασης: Ανάγνωση: Ανάγνωση κάποιου αρχείου Εγγραφή: Εγγραφή σε κάποιο αρχείο Εκτέλεση: Εκτέλεση ενός προγράμματος αρχείου Οι προαναφερόμενες λειτουργίες διαφέρουν από αυτές που ορίζει το μοντέλο Bell-LaPadula. Για παράδειγμα, στο Unix η λειτουργία εγγραφής δε σημαίνει ότι αυτομάτως κάποιος αποκτά και δικαίωμα ανάγνωσης του αντικειμένου. 19
Λειτουργίες Προσπέλασης Λειτουργικό Σύστημα UNIX 2(2) Όταν οι λειτουργίες προσπέλασης αναφέρονται σε καταλόγους, τότε το νόημα τους διαφοροποιείται: Ανάγνωση: Ανάγνωση των περιεχομένων του καταλόγου Εγγραφή: Δημιουργία νέου αρχείου ή μετονομασία ενός υπάρχοντος αρχείου στον κατάλογο Εκτέλεση: Αναζήτηση στον κατάλογο Το UNIX δεν υποστηρίζει ξεχωριστή λειτουργία για Διαγραφή, καθώς την υλοποιεί μέσω της λειτουργίας Εγγραφή στο γονικό κατάλογο 20
Λειτουργίες Προσπέλασης Λειτουργικό Σύστημα Windows NT 1(2) Το λειτουργικό σύστημα Windows NT για την υλοποίηση μηχανισμών ελέγχου προσπέλασης αξιοποιεί τις παρακάτω Άδειες Προσπέλασης: Ανάγνωση Εγγραφή Εκτέλεση Διαγραφή Αλλαγή Άδειας Προσπέλασης Αλλαγή Ιδιοκτησίας Υποστηρίζονται νέες λειτουργίες για την αλλαγή των δικαιωμάτων προσπέλασης (Αλλαγή Άδειας Προσπέλασης και Αλλαγή Ιδιοκτησίας) 21
Λειτουργίες Προσπέλασης Λειτουργικό Σύστημα Windows NT 2(2) Οι λειτουργίες για τη διαχείριση των δικαιωμάτων προσπέλασης ενός υποκειμένου, συνήθως ονομάζονται: Εκχώρηση (Grant) και Ανάκληση (Revoke), όταν τα δικαιώματα του υποκειμένου τροποποιούνται από κάποιον τρίτο Επιβολή (Assert) και Απάρνηση (Deny), όταν το ίδιο το υποκείμενο αλλάζει τα δικαιώματά του 22
Πίνακας Ελέγχου Προσπέλασης 1(9) Το μοντέλο του Πίνακα Ελέγχου Προσπέλασης (Access Control Matrix Model) είναι το πλέον ακριβές για την περιγραφή μιας Κατάστασης Προστασίας ενός υπολογιστικού συστήματος. Συγκεκριμένα, προσδιορίζει τα δικαιώματα κάθε υποκειμένου σε σχέση με όλα τα αντικείμενα του συστήματος. Το συγκεκριμένο μοντέλο προτάθηκε από τον B. Lampson και βελτιώθηκε από τους G. Graham και P. Denning. 23
Πίνακας Ελέγχου Προσπέλασης 2(9) Τα δικαιώματα προσπέλασης απεικονίζονται μέσω ενός Πίνακα Μ = (M so ) s S, o O όπου M so Α Ο όρος M so που είναι υποσύνολο του συνόλου των λειτουργιών προσπέλασης Α που υποστηρίζονται από το σύστημα, καθορίζει όλα τα δικαιώματα - λειτουργίες προσπέλασης που το υποκείμενο s μπορεί να εκτελέσει στο αντικείμενο ο. Συνεπώς οι καταστάσεις προστασίας του εν λόγω συστήματος αποδίδονται από την ομάδα (S, O, M) 24
Πίνακας Ελέγχου Προσπέλασης 3(9) Ο Πίνακας που ακολουθεί απεικονίζει την κατάσταση προστασίας για ένα σύστημα με μία διεργασία Δ, ένα χρήστη Χ, δύο αρχεία και ένα σύνολο λειτουργιών προσπέλασης Α = {Ανάγνωση, Εγγραφή, Εκτέλεση, Προσθήκη}. Διεργασία Δ Ανάγνωση Εγγραφή Αρχείο 1 Αρχείο 2 Διεργασία Δ Χρήστης Χ Ανάγνωση Ανάγνωση - Εγγραφή - Εκτέλεση Ανάγνωση Χρήστης Χ Προσθήκη Ανάγνωση Εγγραφή Ανάγνωση - Εγγραφή - Εκτέλεση 25
Πίνακας Ελέγχου Προσπέλασης 4(9) Η διεργασία Δ έχει δικαίωμα Ανάγνωσης και στα δύο αρχεία και Εγγραφής μόνο στο αρχείο 1. Ο χρήστης Χ έχει δικαίωμα Προσθήκης στο αρχείο 1 και Ανάγνωσης στο αρχείο 2. Επίσης η διεργασία Δ έχει δικαίωμα επικοινωνίας και συγκεκριμένα Ανάγνωσης δεδομένων από το χρήστη Χ, ενώ ο χρήστης Χ μπορεί να επικοινωνήσει με τη διεργασία Δ Εγγράφοντας δεδομένα. Ενδιαφέρον παρουσιάζει το γεγονός ότι η διεργασία Δ και ο χρήστης Χ αντιμετωπίζονται τόσο ως υποκείμενα (γραμμές του πίνακα) όσο και ως αντικείμενα (στήλες του πίνακα). 26
Πίνακας Ελέγχου Προσπέλασης 5(9) Το ακριβές νόημα των λειτουργιών προσπέλασης - δικαιωμάτων που απαντώνται σε έναν Πίνακα Ελέγχου Προσπέλασης, εξαρτάται από τον τρόπο υλοποίησής τους από το συγκεκριμένο σύστημα στο οποίο αναφέρονται. Συνεπώς ο Πίνακας Ελέγχου Προσπέλασης αποτελεί ένα αφηρημένο μοντέλο της κατάστασης προστασίας κάποιου συστήματος, το οποίο αποκτά πρακτική σημασία μόνον αν μελετηθεί αναφορικά με κάποιο συγκεκριμένο υπολογιστικό σύστημα, για το οποίο είναι γνωστοί και λεπτομερώς καταγεγραμμένοι οι τρόποι υλοποίησης των υποστηριζόμενων λειτουργιών προσπέλασης. 27
Πίνακας Ελέγχου Προσπέλασης 6(9) Τα αντικείμενα που εμφανίζονται σε έναν Πίνακα Ελέγχου Προσπέλασης είναι, συνήθως, αρχεία και διεργασίες. Παρόλα αυτά, θα μπορούσαν χωρίς κανένα πρόβλημα να είναι και μηνύματα που ανταλλάσσουν κάποιες διεργασίες μεταξύ τους, ή ακόμη και υπολογιστικά συστήματα. Ακολουθεί ένα παράδειγμα ενός Πίνακα Ελέγχου Προσπέλασης για τρία συστήματα ενός τοπικού δικτύου. Το σύνολο των λειτουργιών προσπέλασης, Α, αφορά το πρωτόκολλο επικοινωνίας που χρησιμοποιείται στο τοπικό δίκτυο και περιλαμβάνει τις λειτουργίες: ftp (δυνατότητα προσπέλασης του συστήματος χρησιμοποιώντας το πρωτόκολλο ftp), nfs (δυνατότητα προσπέλασης του συστήματος χρησιμοποιώντας το πρωτόκολλο nfs) και mail (δυνατότητα αποστολής και λήψης ηλεκτρονικών μηνυμάτων χρησιμοποιώντας το πρωτόκολλο SMTP). 28
Πίνακας Ελέγχου Προσπέλασης 7(9) Κόμβος 1 Κόμβος 2 Κόμβος 3 Κόμβος 1 ftp ftp Κόμβος 2 ftp, nfs, mail ftp, nfs, mail Κόμβος 3 ftp, mail ftp, nfs, mail Το υποκείμενο Κόμβος 1 είναι ένα υπολογιστικό σύστημα, το οποίο δεν είναι προσπελάσιμο από άλλα συστήματα του τοπικού δικτύου, ενώ εκείνο μπορεί να προσπελάσει τα συστήματα Κόμβος 2 και Κόμβος 3 μέσω του πρωτοκόλλου ftp. Το σύστημα Κόμβος 2 προσφέρει υπηρεσίες nfs σε κάποιους κόμβους του δικτύου που όμως δεν περιλαμβάνουν τον Κόμβο 1 και τον Κόμβο 3. Αντίστοιχα, ο Κόμβος 3 προσφέρει nfs υπηρεσίες σε κάποια ομάδα υπολογιστών στην οποία συμπεριλαμβάνεται και ο Κόμβος 2. Επίσης, τα συστήματα Κόμβος 2 και Κόμβος 3 μπορούν να ανταλλάξουν ηλεκτρονικά μηνύματα και να επικοινωνήσουν μέσω ftp. 29
Πίνακας Ελέγχου Προσπέλασης 8(9) Σε πιο χαμηλό επίπεδο, ο Πίνακας Ελέγχου Προσπέλασης μπορεί να αξιοποιηθεί για τη μοντελοποίηση γλωσσών προγραμματισμού. Στην περίπτωση αυτή, ως αντικείμενα νοούνται οι μεταβλητές, ενώ ως υποκείμενα οι διάφορες ρουτίνες (procedures, functions και modules). Για παράδειγμα, ας θεωρήσουμε ένα πρόγραμμα το οποίο περιλαμβάνει δύο συναρτήσεις shift-left και shiftright για την αριστερή και δεξιά ολίσθηση, αντιστοίχως, των περιεχομένων μιας τοπικής μεταβλητής του προγράμματος. Επίσης υποθέτουμε ότι υπάρχει μία τρίτη ρουτίνα shift-variable, από την οποία γίνονται οι κλήσεις των shift-left και shift-right και ότι το σύνολο των λειτουργιών προσπέλασης είναι A = { <, >, κλήση} όπου < και > αναπαριστούν το δικαίωμα εκτέλεσης αριστερής και δεξιάς ολίσθησης αντιστοίχως και κλήση το δικαίωμα κλήσης κάποιας συνάρτησης 30
Πίνακας Ελέγχου Προσπέλασης 9(9) Ο Πίνακας Ελέγχου Προσπέλασης για το προαναφερόμενο παράδειγμα ακολουθεί: Τοπική Μεταβλητή Shift-left Shift-Right Shift-left < Shift-Right > Shift-variable κλήση κλήση 31