CHINESE WALL

Claudia Salomone

1

Università G.D’Annunzio

Chieti-Pescara

CHINESE WALL

Claudia Salomone

2

Sommario

 Sicurezza

 Chinese Wall



Classificazione delle informazioni



Regole di lettura



Regole di scrittura

 Confronto con BLP model

 Confronto Clark-Willson model

 Alcune applicazioni del modello

Claudia Salomone

3

Sicurezza

Gli obiettivi di una politica di sicurezza sono:

 Confidenzialità: impedire l’accesso non autorizzato e il furto delle informazioni.

 Integrità: impedire le modificazioni delle informazioni .

 Autenticazione : assicurare che gli utenti siano

effettivamente chi dichiarino di essere

Claudia Salomone

4

Le politiche di sicurezza più importanti sono:

DAC(Discretionary Access Control): gli utilizzatori possono concedere o revocare gli accessi ai propri oggetti;

MAC(Mandatory Access Control): le decisioni di accesso sono prese basandosi su etichette sicure di oggetti e soggetti. Le etichette sono assegnate

esternamente e non sono determinate dal

proprietario.

Claudia Salomone

5

MAC

Ci sono diverse tipologie di modelli MAC:

Confidentiality: BLP

Integrity: Biba, Clark-Wilson

Hybrid: ChineseWall

Claudia Salomone

6

Chinese Wall

Claudia Salomone

7

CHINESE WALL

 La politica di sicurezza Chinese Wall è un modello ibrido: in quanto,

combina elementi di DAC e MAC

 Politica usata in ambito commerciale

 E’ stata presentata da Brewer a Nash

nel 1989

Claudia Salomone

8

CHINESE WALL

 La politica di sicurezza della Muraglia Cinese è una politica di sicurezza che garantisce la confidenzialità e l’integrità delle informazioni attraverso regole di lettura e scrittura.

 L’idea base: controllare il flusso di dati tra aziende

concorrenti, limitando l’accesso alle informazioni riservate di una data compagnia da parte di consulenti finanziari.

Ovvero impedire che sorgano conflitti d’interesse.

Claudia Salomone

9

Conflitti di interesse…

C’è conflitto di interesse quando un soggetto compie

un’azione che potrebbe produrre un vantaggio per l’attore dell’azione stessa.

Esempio: Borsa e società di investimento

In tale contesto l‘obiettivo del modello è

evitare che il consulente rappresentando

due clienti con finalità differenti tra loro

possa trovarsi in un conflitto d’interesse…

Claudia Salomone

10

…segue

… lo scopo è impedire che il singolo consulente possa

accedere a informazioni riservate di due società operanti nello stesso settore (COI class), evitando che:

 il suddetto soggetto sia indotto ad abusare di tale conoscenza per profitto personale,

 e che generi,conseguentemente, un disservizio per i clienti .

Claudia Salomone

11

…segue

La politica di sicurezza Chinese Wall distingue pertanto le informazioni in due aree:

Insider area contenente informazioni riservate sulla società, al quale possono accedere solo alcuni soggetti (unsanitized date).

Public area contenente informazioni che le società

distribuiscono obbligatoriamente e quindi

accessibili a tutti, ad es. l’annuale rendiconto

degli stackholder (sanitized date).

Claudia Salomone

12

Quindi, la Muraglia Cinese funge da barriera per il

passaggio delle informazioni confidenziali e riservate.

Claudia Salomone

13

Classificazione delle informazioni

All’interno della muraglia tutte le informazioni riservate sono archiviate gerarchicamente in 3 livelli:

-Al livello più basso, troviamo gli OGGETTI -Nel livello intermedio, si posizionano i CD (Company dataset)

-Al livello più alto, le c.d COI (Conflict Of

Interest ) class.

Claudia Salomone

14

…In particolare

OGGETTI: files contenenti singoli dati delle società. Ad ogni oggetto è associato il nome della CD al quale si riferisce e il nome della COI class al quale la CD appartiene.

CD: tutti gli oggetti che si riferiscono ad una data società vengono raggruppati insieme in un database.

COI: tutte le CD delle società in concorrenza tra loro

vengono raggruppate insieme e costituiscono la c.d.

Classe di conflitti d’interesse.

Claudia Salomone

15

Classificazione dei dati/Oggetti

Claudia Salomone

16

esempio

Per convenzione assumiamo che:

O: indica gli oggetti,ognuno dei quali appartiene esattamente O a una COI class;

Y: le CD;Y

X: le COI class

e immaginiamo che il nostro sistema contenga le informazioni di tre società, Banca A, Banca B e Compagnia petrolifera A, avremo che:

Claudia Salomone

17

 Y può riferirsi alla Banca A, la Banca B o la Compagnia

petrolifera A, cioè può contenere tutti gli oggetti riguardanti una di queste tre aziende;

 Ci sono due classi di conflitto d’interesse, una per le la

banche (contenente i dataset della Banca A e della Banca B) e una per la compagnia petrolifera (contenete il dataset dalla Compagnia A), cioè X può essere “Banca” oppure

“Compagnia petrolifera”.

Claudia Salomone

18

Sicurezza semplice

L’idea base della politica della Muraglia Cinese consiste nel far in modo che le persone entrino in possesso di informazioni che non siano in conflitto con quelle già possedute dallo stesso (i soggetti per poter accedere alle informazioni non devono essere dalla parte sbagliata del muro).

“Tale politica è un mix di scelte libere e di controlli obbligatori”

Regole di accesso:

Regole di lettura

Regole di scrittura

Claudia Salomone

19

Regole di lettura

Regola di Lettura: Un Soggetto S puo’ leggere un oggetto O se:



O e’ nello stesso Dataset di uno gia’ letto da S, sono cioè all’interno del muro



O appartiene a una Classe di COI diversa in cui S non ha ancora letto alcuna informazione

Bank A Bank A

C o n su le nte C o n su le nte Bank B Bank B

Oil A Oil A R R X X ^{R R}

R R

Claudia Salomone

20

Info Info

Bank A

Bank A Oil A Oil A

Info Info

Bank B Bank B

Info Info

Oil B Oil B

COI 1 COI 1

Insieme di tutti gli oggetti Insieme di tutti gli oggetti

Info

Oil A Oil A

COI 3 COI 3

Info Info Info

Bank C Bank C = John = John

Info

Bank A Bank A

COI 1

COI 1 COI 3 COI 3

Regole di lettura

Claudia Salomone

21

…segue

 Inizialmente un soggetto può liberamente scegliere a quali dataset accedere,ad es. Banca A;

 Un soggetto può accedere al più ad un CD in ogni COI class,e questo perché, nel momento in cui egli entra in possesso di alcune informazioni in una COI class, si crea un muro intorno a tutti gli altri dati che sono nella stessa COI class (che sono quindi, in conflitto tra loro).

 Da ciò deriva che, gli unici altri dati che il soggetto può leggere nella stessa COI class sono quelli contenuti nello stesso dataset dell’oggetto già letto.

Claudia Salomone

22

 Il numero minimo di soggetti che potranno accedere ad ogni dato in una COI class è dato dal numero delle CD che vi

fanno parte.

Esempio: database del modello Chinese Wall

Banca A

a

Banca B

b

Banca C

c

Comp.A

d

Comp.B

e

Classe COI Banca Classe COI Comp.petrolifera

Claudia Salomone

23

Regole di scrittura

Regola di Scrittura: Un Soggetto S puo’ scrivere un oggetto O se:



S puo’ leggere O in base alla regola di lettura



Non e’ stato letto alcun oggetto appartenente ad un

Dataset diverso a quello contenente O

Claudia Salomone

24

Regole di Scrittura

Info

Info Info

Bank A Bank A

Oil A Oil A

COI 1

COI 1 COI 3 COI 3

Insieme di tutti gli oggetti Insieme di tutti gli oggetti

Info

Oil A Oil A

COI 3 COI 3

Bank A Bank A

COI 1 COI 1

ABC ABC ABC ABC

= John

COI 1 COI 1

Bank A

Bank A

Claudia Salomone

25

Sanitized Information …

•Brewer and Nash riconoscono la necessità che gli analisti hanno di dover confrontare le informazioni riservate a loro disposizione con quelle relative alle altre società.

•Chiaramente il problema sorge se l’accesso per alcune aziende è vietato dalle regole di sicurezza

semplice (un utente non potrà mai confrontare i dati di due aziende che si trovano nella stessa COI class, ad es. Compagnia petrolifera A e Compagnia

petrolifera B, e neppure i dati della Banca A con

quelli della Compagnia petrolifera A se egli ha

avuto precedentemente accesso ai dati della

Compagnia B).

Claudia Salomone

26

…sanitized information

Queste limitazioni possono essere rimosse se si usa una forma purificata per le informazioni richieste La forma purificata delle informazioni funge da

maschera per la società, ha infatti, lo scopo di

evitare che si scopra l’identità della società alla

quale le informazioni si riferiscono.

Claudia Salomone

27

esempio

Supponiamo che due soggetti John e Jane possano entrambi accedere ai dataset dell’esempio precedente,(Compagnia petrolifera A,

Compagnia petrolifera B e Banca A), in particolar modo che:

 John ha accesso (R) alla Compagnia A e acceso (W) alla Banca A

 Jane può accedere alla Compagnia B e alla Banca A

Jane può leggere indirettamente le informazioni della

Compagnia A, anche se ciò dovrebbe essere vietato perché c’è conflitto d’interesse tra la Compagnia A e la

Compagnia B. Violazione indiretta della Muraglia Cinese..

Claudia Salomone

28

Evitare e le violazioni indirette

aumentando le condizioni di sicurezza semplice, *- property, sostenendo che:

L’accesso scritto è permesso solo se:

1. L’accesso è permesso dalle semplici regole di

sicurezza, ovvero,la condizione che permette ad

un soggetto S di leggere l’oggetto O;

Claudia Salomone

29

• Per tutti gli oggetti non purificati O’, il soggetto S può leggere O’ solo se appartiene alla CD dell’oggetto a cui ha avuto accesso precedentemente CD(O’)=CD(O).

2. quindi, nessuno oggetto può essere letto se appartiene al

dataset di una compagnia diversa per il quale l’accesso

scritto è stato richiesto e se contiene informazioni non

purificate.

Claudia Salomone

30

Nell’esempio sopra John può accedere alla CD della

Comp.A e a quella della Banca A,quindi la condizione 1 è verificata. Cmq, assumendo che la CD della Comp.A

contiene oggetti non purificati, perché John possa accedervi la condizione 2 è falsa.

Da ciò, deriva che John non può scrivere nel CD BancaA

Claudia Salomone

31

…segue

Data questa regola possiamo provare che:

Che il flusso delle informazioni non purificate è limitato all’interno della propria Company dataset,mentre le

informazioni purificate possono comunque circolare liberamente attraverso il sistema.

Questa regola è analoga alle proprietà delle regole di sicurezza

definite nel modello BLP. Perciò chiameremo le regole del

modello della muraglia cinese come property security

Claudia Salomone

32

Confronto con BLP model

In entrambi i modelli la composizione e gli attributi di

sicurezza degli oggetti e le regole per l’accesso rispettano le condizioni della sicurezza semplice e la *-property, pur

avendo differenze fondamentali tra loro.

Claudia Salomone

33

Caratteristiche BLP

 OGGETTO:

- BLP non richiede che gli oggetti siano archiviati gerarchicamente

all’interno di una CD e di una COI class; esige invece, una struttura per gli attributi degli oggetti(etichettatura sicura) della forma (class , [cat]) dove:



Classe = Tipo di Informazione (Pubblica,Riservata…)



Cat = Categoria del dato

Claudia Salomone

34

 SOGGETTO:

-Nel modello BLP ai soggetti sono assegnate delle etichette sicure,mentre nel modello della Muraglia Cinese no.

La forma delle etichette è del tipo (clear, [NKT]), dove:



Classe = Massima Classe dei dati che il soggetto e’

abilitato a leggere



NTK = “Need to know” somma delle categorie di oggetti a cui viene permesso l’accesso

Caratteristiche BLP

Claudia Salomone

35

Differenze

 Vedremo che le regole di scrittura/lettura nel modello BLP non impongono l’accesso ai dati in base alle informazioni alle quali il

soggetto aveva avuto precedentemente accesso, ma dalla sicurezza degli attributi degli oggetti in questione .

 BPL non ha la nozione di “accessi passati”, centrale invece nel modello di controllo CW.

 Non tiene traccia dei cambiamenti:

Es.Susan si ammala e Anna deve prendere il suo posto, nel BLP non possiamo sapere se Susan può farlo

Claudia Salomone

36

…segue

Fissa per ogni coppia (COI,CD) del Chinese Wall un’ unica categoria BLP

BLP effettua una classificazione per le informazioni purificate e una per quelle non purificate

Etichetta ogni oggetto contenente informazioni non purificate

con l’etichetta (x,y) e con l’etichetta (x’,y’) la categoria BLP

dei dataset purificati

Claudia Salomone

37

Composizione degli oggetti in

BLP

Claudia Salomone

38

Tutte le combinazioni di categorie con al piu’ un dataset per Tutte le combinazioni di categorie con al piu’ un dataset per ogni Classe di COI

ogni Classe di COI

Es: • Utente John NTK= {1,2,3} Utente John NTK= {1,2,3}

• Utente Jane NTK= {4,2,3} Utente Jane NTK= {4,2,3}

Possibili NTK “Need to Know”:

Possibili NTK “Need to Know”:

Claudia Salomone

39

Sicurezza semplice

L’accesso è garantito solo se:

Regola di Lettura: Un Soggetto S puo’ leggere un oggetto O se:



La classe del soggetto e’ maggiore della classe dell’oggetto



Il NTK del soggetto include la categoria dell’oggetto

Claudia Salomone

40

*-property

Regola di Scrittura: Un Soggetto S puo’ scrivere un oggetto se:



La classe dell’oggetto di output e’ maggiore di quella di input



La categoria dell’oggetto su cui scrivere (output)

contiene tutte le categorie degli oggetti di input

Claudia Salomone

41

Problemi di BLP

 Non risponde a particolari esigenze tipiche del mondo commerciale

 Non viene mantenuta la discrezionalita’ nella scelta dei dataset da leggere:

-Nel CW un soggetto può inizialmente accedere liberamente ad alcuni oggetti;

- BLP comprime gli oggetti a cui un soggetto può accedere. Altrimenti si viola il principio

del CW

Claudia Salomone

42

Confronto con Clark -Wilson

Applicazioni: sistema di sicurezza militare;

sistema di sicurezza commerciale

Tale modello separa le operazioni in sottoparti che sono eseguite obbligatoriamente da persone diverse.

Tale modello definisce un insieme di regole con l’obiettivo di

conservare l’integrità dei dati, come la convalida, la verifica e il controllo d’accesso. Poiché il modello CW considera solo

l’accesso controllato esso non può emulare il modelloClark-

Wilson completamente.

Claudia Salomone

43

Clark-Wilson

La regola d’accesso richiede un controllo basato su una prestabilita

relazione del tipo (utente,programma,oggetto) nel quale relazionare un utente, un programma e gli oggetti che il programma può

consultare a beneficio dell’utente, nelle diverse CD

-Se, uno considera che il soggetto e il processo sono intercambiabili allora una singola persona può utilizzare più processi per accedere agli oggetti di più CD nella stessa COI class; violazione CW.

-mentre, richiedendo che il soggetto sia un persona ben precisa ed

includendo tutti i processi da lui eseguiti, la CW è coerente con il

modello Clark-Wilson

Claudia Salomone

44

ALCUNE

APPLICAZIONI

Claudia Salomone

45

Applicazioni CW

 Politica della Muraglia Cinese per la sicurezza di un Workflow decentralizzato: p roblema del conflitto di interessi che può sorgere tra aziende concorrenti quando l’esecuzione del flusso lavorativo viene decentrallizato

 Approccio della Muraglia Cinese nel WWW per

la sicurezza nel commercio elettronico.

Claudia Salomone

46

Workflow decentralizzato

L’approccio utilizzato consiste nell’individuare oggetti sensibili in grado di manipolare il flusso del lavoro e

contenenti informazioni tali che, se portate a conoscenza di

una data organizzazione o azienda, potrebbero proporla alla

concorrenza.

Claudia Salomone

47

…work flow

 Soggetto, S: Agenti responsabili dell’esecuzione dei task

 Oggetto, O : Input/output di un task, dipendenze del Workflow Regola lettura:Un soggetto S può leggere e valutare un oggetto O se non

e’ sensibile per S oppure se nel Workflow non esiste un altro soggetto S’

in conflitto di interessi con S

Regola scrittura:Un soggetto S non è abilitato a costruire dei Self,

partizioni del flusso di lavoro, con oggetti sensibili che sono in Conflitto di interessi nel workflow

Claudia Salomone

48

CW nel WWW

Per realizzare la politica di sicurezza Chinese Wall in Internet dobbiamo utilizzare delle etichette che contengono

informazioni sull’identità dell’utilizzatore e sugli oggetti aquali egli ha avuto accesso precedentemente. Per fare ciò, abbiamo bisogno di meccanismi che provvedono

all’autenticazione e autorizzazione dell’utente nel WWW.

Claudia Salomone

49

Meccanismi di autenticazione

Gli standards più comuni sono:

Basic Authentication: è inclusa nel protocollo HTTP. L’ utente deve identificarsi attraverso un USER-ID e una

PASSWORD quando richiedono un documento protetto.

Digest Access Authentication: è un’estensione del protocollo HTTP, sviluppatosi per integrare i difetti del precedente modello.

SSL(Secure Socket Layer):è il protocollo proposto dalla

Netscape progettato per fornire la cifratura e l’autenticazione

fra un client Wed e un server Web.

Claudia Salomone

50

Basic Authentication

Claudia Salomone

51

SSL…

 È la base del protocollo di sicurezza dello strato di

trasporto(TLS). Può essere considerato come uno strato che giace tra lo strato dell’applicazione e quello di trasporto.

 L’SSL fornisce le seguenti caratteristiche:

autenticazione del server SSL, permette ad un utente di confermare l’identità del server.

autenticazione del client SSL,permette ad un server di confermare l’identità di un utente.

una sessione SSL cifrata, nella quale tutte le informazione inviate fra browser e server sono cifrate al software di

spedizione (browser o server Web) e decifrate dal software

di ricezione

Claudia Salomone

52

handshake

C’è una fase di handshake tra il client e il server che serve ad autenticare il server e a generare una chiave simmetrica

condivisa. Tale fase consiste di messaggi attraverso i quali i soggetti concordano le preferenze di crittografia,affinché si accordino sull’algoritmo a chiave simmetrica che dovranno usare, l’invio del certificato dal server al browser che ha un

elenco di CA possibili,.. alla fine della fase di handshake si crea

un “canale sicuro” su cui poter comunicare.

Claudia Salomone

53

…segue

Claudia Salomone

54

autorizzazioni

Un requisito necessario per stabilire la connessione tra client e server è il possesso di un certificato chiamato CA(Certification authority).

Nella fase di handshake se il browser non ha nel suo elenco tale certificato l’accesso alla compagnia è negato.

La ragione per cui tale certificato può rappresentare le regole di una politica di sicurezza CW è rappresentata dal fatto che ad es:

Il numero di serie dei certificati invalidi sono pubblicati nella

Lista dei Certificati Revocati, client e server;

Claudia Salomone

55

Limiti dell’SSL nel e-commerce

L’SSL non era stato pensato per operazioni di e-commerce,ma per la comunicazione sicura tra client e server,quindi ha una

progettazione generica che non soddisfa tutte

le caratteristiche richieste in tale settore.

Claudia Salomone

56

Bibliografia

Articolo” The Chinese Wall Security Policy” The Chinese Wall Security Policy D.Brewer e Dr. M. Nash

Articolo” Articolo” Lattice-Based Enforcement of Chinese Walls” Lattice-Based Enforcement of Chinese Walls”

Ravi S.Sandhu Ravi S.Sandhu

“A Chinese Wall Security Model for Decentralized Workflow Systems”

P. Mazzoleni