12. Sicherheit. A, B3, B2, B1, C2, C1, D sicher unsicher. Betriebssysteme, Sommer 2005, Verteilte Systeme, Universität Ulm, M.

Transkript

1 12. Sicherheit 12.1 Einleitung Ziel: Schutz vor Fehlern & Eindringlingen. Objekt: passive Ressource (z.b. Datei) Subjekt: aktive Einheiten (Proz. & Benutzer) Sicherheit: Fähigkeit eines BS, für seine Objekte Vertraulichkeit & Integrität zu garantieren. Anfordernungen: - nur berechtigte Subjekte dürfen mit Objekten arbeiten. - Subjekte müssen sich zunächst authentisieren. - Zugriffe sollen protokollierbar sein. A, B3, B2, B1, C2, C1, D sicher unsicher Orange Book (DoD) def. Klassen für die Sicherheit von Computersystemen: - A: Verified Design, B3: Security Domains, B2: Structured Protection, - B1: Labeled Security Protection, C2: Controlled Access Protection, - C1: Discretionary Security Protection, D: Minimal Protection. 288

2 12.2 Zugangskontrolle Nur bestimmte Subjekte dürfen das System nutzen. Voraussetzung für die Nutzung ist eine: - Identifikation (Angabe, welcher Nutzer) und - Authentisierung (Nachweis, der Nutzerangabe). Nicht Aufgabe des BS-Kerns, sondern durch Systemprozeß. Authentisierung durch: Paßwort, Chipkarte oder biometrische Merkmale. NT u. Linux verwenden einen Benutzernamen zusammen mit einem Paßwort. Passwörter in Unix: Verschlüsselung sofort nach Passworteingabe: - Vergleich mit Passwortdatei. - niemand (inkl. root) sieht Passwörter im Klartext. - aber Verschlüsselungsalgorithmus ist bekannt Angriff per trial and error mit Wörterbuch Probleme früherer Versionen: - Passwortdatei (/etc/passwd) für Benutzer lesbar Angriff: Datei kopieren und Ausprobieren. - jetzt getrennte Speicherung der Passwörter in nicht lesbarer Shadow-Datei (/etc/shadow). 289

3 12.3 Zugriffskontrolle Zugriffsmatrix Zuordnung von Benutzerrechten und Objekten in einer Matrix: - Matrix nur dünn besetzt, - Einträge sind sehr dynamisch A R RW RW B R RWX R C R X Alternativen: - Zugriffskontrollisten (access control lists). - Berechtigungslisten (capability lists). D R R 290

4 " " " " " " " " ' % $ Zugriffskontrollisten Engl. Access Control Lists. Zugriffsmatrix: Speicherung & Verarbeitung nach Spalten. Sicherheitsmanager prüft Berechtigung eines Subjektes bei Zugriff auf Obj. Verwendet in Windows NT/2000 und Unix. Bewertung: + Überblick beim Objekt, + Rechte leicht widerrufbar, (- Delegation von Rechten umständlich.)!!!! # # # #!!!! Beispiel: Windows NT Arbeitet mir Zugriffskontrollisten. Sicherheitstoken besteht aus 128-Bit IDs. & 291

5 Berechtigungslisten Engl. Capabilities. Zugriffsmatrix: Speicherung & Verarbeitung nach Zeilen. Beim Zugriff auf Obj. muß Subjekt die passende Berechtigung vorweisen. Berechtigungen müssen separat geschützt werden. Bisher nur in der Forschung verwendet (z.b. Hydra). Bewertung: + kompletter Überblick beim Subjekt + Delegation von Rechten einfach - Rechte schwierig widerrufbar 292

6 12.4 Fallstudie: IA32 Protected Mode Intel Protected Mode Adressierung Segmentierung & Paging kombinierbar: GDTR LDTR Segmentselektor Virtuelle 32 Bit Adresse Lokale Deskriptortabelle Globale Deskriptortabelle Segment-Basis + Lineare Adresse CR3 Page Directory Deskriptor- Deskriptor- Deskriptor- Page tabelle Tables tabelle tabelle Page + Physikalische Adresse! 293

7 Arbeitsregister ab i386 Arbeitsregister verknüpft mit best. Segmentregister, aber umsteuerbar. Für Anwendungsprogramme SS ESP SP zugänglich, CS EIP IP Funktionsbezogene Arbeitsregister: DS EAX AX AL - Stack, Code, EBX BX BL - Daten, Extra-Daten, - Flags (mit IO-Privilege Level). ECX CX CL EDX DL DX ES FS GS ESI EDI EBP Eflags SI DI BP Flags 294

8 Steuer- & Kontrollregister Verwendung: - Erw. Adressierung im Protected Mode, - Zugriffsschutz & Maschinenzustand - Prozessorsteuerung (Control [0..3]).. Segmentregister bzw. -selektor hält einen Index in die globale oder die lokale Deskriptortabelle. Gleichzeitig mit dem Segmentregister wird implizit der Segmentdeskriptorcache geladen. Dabei geschehen unter Umständen mehrere Hauptspeicherzugriffe. Auch für aktuelles Task State Segment und lokale Deskriptortabelle werden Deskr. gepuffert/cached. SS CS DS ES FS GS TR LDTR IDTR GDTR CR0 CR1 CR2 CR3 SS-Basis/-Limit CS-Basis/-Limit DS-Basis/-Limit Segment- Deskriptor- ES-Basis/-Limit caches FS-Basis/-Limit GS-Basis/-Limit TSS-Basis/-Limit LDT-Basis/-Limit IDT-Basis/-Limit GDT-Basis/-Limit Debug, Test 295

9 Segmentdeskriptorcache ist nicht zugreifbar. 4(5) Kontrollregister: CR0 CR1 CR2 CR3 CR4 PG... PE, WP, CD, NW reserviert Lin. Pagefault-Adresse PageDirectory Adr. CPU Erweiterungen CR0: - PG: Paging an/aus - PE: Protected Mode an/aus - WP: Write Protected auf Page-Ebene. - CD: Cache Disable Cache evt. spülen - NW: Not Write Through Writes puffern. 296

10 Segmentselektoren Originaldeskriptoren in lokaler oder globaler Deskriptortabelle. Schutzfunktion bei Segmentierung: - Protection Level (0..3)=(privileged.. non-priv.) - Zugriffsmodus (exec, read, write ), - Segmentlänge im Deskriptor. Die alten Segmentregister arbeiten im PM als 16 Bit Segmentselektoren: - Tabellenindex: 13-Bit max Segmente - jeweils in lokaler bzw. globaler Deksriptortabelle. Privilegierungscode: - Requested Privilege Level (RPL) im Selektorargument, - Current Privilege Level (CPL) im akt. Codesegment, - Descriptor Privilege Level (DPL) im Deskriptor. Falls RPL > CPL wird RPL verwendet, also weniger Rechte. Tabellenindex LDT GDT Requ. Priv. Level

11 Deskriptor für Applikationssegmente Applikationssegment, S-Bit=true. Granularität der Länge: - 1 Byte / 4K Page. 32 Bit oder 16 Bit Instruktionen & Adressen. Beim Zugriff auf ausgelagertes Segment Granularität erfolgt ein Interrupt an OS. 32/16 Bit, Bem.: Segment darf geladen Reserve, werden, falls CPL <= DPL. OS use, Present, DPL: 0-3, Application-Deskr., Typ Basis Limit

12 Kennung für Applikationssegmente Bit#11=true (EXE-Bit): Code - Codesegment, darf ausgeführt werden, - darf auch gelesen werden, falls Bit9=true (W/R), - falls Bit#10=true (conforming), ist Ausführung durch ein unterprivilegiertes Segment gestattet. Bit#11=false (EXE-Bit): Data - Datensegment, nicht ausführbar, - schreiben erlaubt, falls Bit9=true (W/R), Bit#8=true (Access-Bit): - dieses Segment wurde benützt, #11: EXE (code/not data) - verwendet für Speicher- #10: E/C (downward,conforming), auslagerungsstrategie. #9: W/R (write data, read code), #8: A (accessed). 1 Typ 299

13 Zugriffsschutz Zugang zur privilegierteren Ebene nur über ein Gate: - Call, Trap, Interrupt, Task (TSS) - Ausnahme: Conforming Deskriptors. Vier Privilegierungsebenen möglich: 3: Anwendungsprogramme, 2: Laufzeitumgebungen, GUI... 1: Gerätetreiber, 0: Kernel Privilegierungscode: - Current Privilege Level (CPL) im akt. Codesegment (RPL Bits im cs-register). - Requested Privilege Level (RPL) im Selektor, zum Abschwächen von CPL. - Descriptor Privilege Level (DPL) im jeweiligen Deskriptor. - IOPL (2-Bits) in EFlag-Register: legen fest welche Privilegstufe zum Ausführen von I/O-Befehlen notwendig ist. Privilegierte Instruktionen nur im Ring-0 ausführbar (z.b. mov cr3, 0x4711). Verletzungen führen zu einer General Protection Fault. 300

14 System-Segmente - Gates Call-Gate Deskriptor (Typ = 12): - beschreibt den Einsprung in eine geschützte Routine, - normalerweise in einem anderen Segment (far call), - DPL definiert benötigte Privilegstufe für Gate, - referenziert Zielseg. mit höherer Privilegstufe, - ändert kurzzeitig die Privilegierungsebene, - evt. mehrere Gates pro Code-Segment, - Stack wird umgeschaltet (siehe TSS), - kopiert bis zu 128 Parameterbytes (DWcnt). present, DPL, typ12 Zieloffset Zielsegment # Zieloffset DWcnt 301

15 Interrupt-Gate Deskriptoren (Typ = 14): - Beschreibt den Einsprung in eine Interruptroutine, - 8 Byte Einträge in der Interrupt-Deskriptortabelle, - IDT-Basis/Limit geladen über LIDT-Instruktion, present, privilege, typ14/15 Zieloffset Zielsegm ent # Zieloffset Weitere Trap Gate & LDT Segmentdeskriptor. 302

16 Beispiel: Systemaufruf per Call Gate - Code Segment K hier non-conforming. - falls conforming Bit gesetzt, würde CPL nicht angepasst. Selektor B RPL=3 Code Segment A CPL=3 max(cpl,rpl) <= Gate DPL? Call Gate B DPL=3 CPL>DPL CPL wird durch Gate auf 0 gesetzt Code Segment K DPL=0 RPL kann durch Software geändert werden: - dient der freiwilligen Abschwächung Privilegstufe = max(cpl, RPL). - Falls BS-Code die Segmente von Anwendungen verwendet, sollte der zugehörige RPL mit dem ARPL Befehl sicherheitshalber immer geprüft und ggf. anpasst werden. - Sonst wird evt. ein Index auf einen Ring-0 Selektor auf dem Stack übergeben, um unerlaubten Zugriff zu erlangen mit ARPL kann dies verhindert werden. - Bem.: cs-register nur per FAR-Jump änderbar CPL nicht manipulierbar. 303

17 System-Segment für Taskwechsel Task-Gate Deskriptor (Typ = 5): - zur Unterstützung eines Taskwechsels (Register sichern), - referenziert ein Task-State Segment (TSS), - evtl. mehrere Task-Gates für ein TSS, - enthält Privilegierungsstufe. present, privilege, typ=5 Tables TSS Zielsegment # Ein Task-Switch erfolgt bei einem: - Interrupt oder Exception, falls zugehöriger IDT-Eintrag auf Task-Gate verweist. - Far-Call, Far-Jump mit Task-Gate als Sprungzielselektor, - IRET von. nested Task. 304

18 Task-State Segment Deskriptor (Typ = 9/11): - enthält aktuellen/geretteten Prozessorzustand (TSS), - Segmentsel. für lokale Deskriptortab. (optional), - Basisadresse für Seitentabellendirectory, - Stacks der Privilegierungstufen 0,1,2, - aktuell sichttbare Prozessorregister, - Zugriffsmaske für die E/A-Ports, - inaktives/aktives TSS Typ=9/11. (Task darf nicht sich selbst rufen). - PrevTSS: Link zum alten TSS. NT-Bit in EFlags zeigt Gültigkeit an. NT=0 nur bei Top-Level Task. Schritte beim Taskwechsel: - Kontext in aktuellem TSS sichern (aktuelles TSS steht in TR-Register), - neuen Kontext aus dem Ziel-TSS laden (identifiziert durch Task Gate Deskriptor). - TR Register mit neuem TSS laden. Task-State Segment IO-Bitmap IO-Permission Bitmap OS Zeux Register Stacks 0,1,2 Task-Register PrevTSS TSS-Base TSS-Limit 305

19 Bemerkungen Windows NT & Linux nutzen viele IA32 Features nicht - nur zwei Ringe: Kernel-Mode (Ring-0) und User-Mode (Ring-3) - Segmentierung zur Trennung von Kern und Anwendungen: - User-Mode: 0-3 GB (privat) - Kernel-Mode 3-4 GB (shared) - jeweils zwei Segmente (Code und Daten) ausreichend. - Systemaufruf per Interrupt-Gate: o Segmente wechseln, o Daten werden bei einem Systemaufruf von Hand umkopiert, o User-Segmente werden im Kern nicht verwendet, 4 GB 3 GB o Seitentabellen werden nicht umgeschaltet TLB & Cache nicht spülen. 0 virtueller Adreßraum Kern User 306

20 12.5 Angriffsformen Ziel: Versuch, bestimmten Programmcode in Rechtebereich auszuführen, in dem das nicht vorgesehen war. Einschleusen von: - kompletten Programmen, - Code in Quellprogrammen, - Code in ausführbaren Dateien, - Code während der Programmausführung. Einschleusen von kompletten Programmen Vorgehen: Komplettes Programm so platzieren, dass Rechteinhaber X es (bewusst oder unbewusst) startet und ausführt. Bewusste Ausführung durch Rechteinhaber: - Attraktives Prg. anbieten, das Rechteinhaber ggf. selbst auf den Rechner überträgt und dort ausführt. - "Trojanisches Pferd": Erbringt möglicherweise die erwartete Leistung, enthält aber zusätzlich Codeteile, die Manipulationen vornehmen. - Gegenmaßnahmen kaum möglich. 307

21 Unbewusste Ausführung: - Platzierung so, dass der Rechteinhaber das Prg. unbewusst an Stelle eines anderen Prgs. ausführt. - Z.B. Mißbrauch der PATH-Umgebungsvariable. - Gegenmaßnahmen kaum möglich. Platzierung in Daten: - Nutzung von "Makro"-Mechanismen: in Daten einbettbare Programme, die bei Bearbeitung der Daten ausgeführt werden. "Makroviren". - Die meisten weltweiten Virusangriffe der letzten Jahre waren Makroviren. - Gegenmaßnahme: Makros deaktivieren. Einschleusen von Code in Quellprogrammen Programmquelle modifizieren oder erweitern. Relativ einfach und verwendbar für unterschiedl. Zielplattformen. Voraussetzung: Zugang zur Programmquelle. Z.B. best. Eingabe wird speziell behandelt erlaubt Programmierer später Zugang zu allen Systemen, die das Programm einsetzen. Maßnahme: Begutachtung des Quellcodes durch mehrere Programmierer. 308

22 Ausführbare Dateien modifizieren Ausführbares Programm modifizieren oder erweitern. Voraussetzung: Schreibzugriff auf Programmdatei und gewisse Kenntnisse über Struktur des ausführbaren Programms. Prinzip der klassischen "Viren". Maßnahme: Virenscanner. Einschleusen von Code während der Programmausführung Programmcode modifizieren oder erweitern im Hauptspeicher, während Programm durch Prozess ausgeführt wird. Voraussetzung: Zugang zum Codebereich des Prozesses im Hauptspeicher. Normalerweise nur Datenbereich zugänglich. In gewissen (fehlerhaften) Fällen aber auch Codebereich. Gegenmaßnahme: Prävention durch korrekte sichere Programmierung. 309

23 12.6 Zusammenfassung Zugangskontrolle: Identifikation + Authentisierung. Zugriffskontrollisten: - Speicherung der Rechte von Subjekten am Objekt, - verwendet in Linux und Windows XP. Protected Mode: - Segmentselektor (Index in GDT/LDT), - Deskriptoren für Applikationen: Code, Data (R/W) & Descriptor Privilege Level (DPL), - Deskriptoren für System-Segmente: o Gates: Übergang zw. Ringe, z.b. JMP, CALL oder INT; haben ebenfalls DPL. - Current Privilege Level (CPL) im aktuellen Codesegment-Selektor, - Deskriptor-Zugriff nur erlaubt, falls CPL<=DPL, - privilegierte Instruktionen nur im Ring-0 zulaessig. Systemaufruf bei Linux & Windows XP per Interrupt-Gate: - Segmente wechseln (User-Segmente werden im Kern nicht verwendet), - Daten werden bei einem Systemaufruf von Hand umkopiert (getrennte Adressräume), - Seitentabellen werden nicht umgeschaltet TLB & Cache nicht spülen. 310