Claudia Salomone
1
Università G.D’Annunzio
Chieti-Pescara
CHINESE WALL
Claudia Salomone
2
Sommario
Sicurezza
Chinese Wall
Classificazione delle informazioni
Regole di lettura
Regole di scrittura
Confronto con BLP model
Confronto Clark-Willson model
Alcune applicazioni del modello
Claudia Salomone
3
Sicurezza
Gli obiettivi di una politica di sicurezza sono:
Confidenzialità: impedire l’accesso non autorizzato e il furto delle informazioni.
Integrità: impedire le modificazioni delle informazioni .
Autenticazione : assicurare che gli utenti siano
effettivamente chi dichiarino di essere
Claudia Salomone
4
Le politiche di sicurezza più importanti sono:
DAC(Discretionary Access Control): gli utilizzatori possono concedere o revocare gli accessi ai propri oggetti;
MAC(Mandatory Access Control): le decisioni di accesso sono prese basandosi su etichette sicure di oggetti e soggetti. Le etichette sono assegnate
esternamente e non sono determinate dal
proprietario.
Claudia Salomone
5
MAC
Ci sono diverse tipologie di modelli MAC:
Confidentiality: BLP
Integrity: Biba, Clark-Wilson
Hybrid: ChineseWall
Claudia Salomone
6
Chinese Wall
Claudia Salomone
7
CHINESE WALL
La politica di sicurezza Chinese Wall è un modello ibrido: in quanto,
combina elementi di DAC e MAC
Politica usata in ambito commerciale
E’ stata presentata da Brewer a Nash
nel 1989
Claudia Salomone
8
CHINESE WALL
La politica di sicurezza della Muraglia Cinese è una politica di sicurezza che garantisce la confidenzialità e l’integrità delle informazioni attraverso regole di lettura e scrittura.
L’idea base: controllare il flusso di dati tra aziende
concorrenti, limitando l’accesso alle informazioni riservate di una data compagnia da parte di consulenti finanziari.
Ovvero impedire che sorgano conflitti d’interesse.
Claudia Salomone
9
Conflitti di interesse…
C’è conflitto di interesse quando un soggetto compie
un’azione che potrebbe produrre un vantaggio per l’attore dell’azione stessa.
Esempio: Borsa e società di investimento
In tale contesto l‘obiettivo del modello è
evitare che il consulente rappresentando
due clienti con finalità differenti tra loro
possa trovarsi in un conflitto d’interesse…
Claudia Salomone
10
…segue
… lo scopo è impedire che il singolo consulente possa
accedere a informazioni riservate di due società operanti nello stesso settore (COI class), evitando che:
il suddetto soggetto sia indotto ad abusare di tale conoscenza per profitto personale,
e che generi,conseguentemente, un disservizio per i clienti .
Claudia Salomone
11
…segue
La politica di sicurezza Chinese Wall distingue pertanto le informazioni in due aree:
Insider area contenente informazioni riservate sulla società, al quale possono accedere solo alcuni soggetti (unsanitized date).
Public area contenente informazioni che le società
distribuiscono obbligatoriamente e quindi
accessibili a tutti, ad es. l’annuale rendiconto
degli stackholder (sanitized date).
Claudia Salomone
12
Quindi, la Muraglia Cinese funge da barriera per il
passaggio delle informazioni confidenziali e riservate.
Claudia Salomone
13
Classificazione delle informazioni
All’interno della muraglia tutte le informazioni riservate sono archiviate gerarchicamente in 3 livelli:
-Al livello più basso, troviamo gli OGGETTI -Nel livello intermedio, si posizionano i CD (Company dataset)
-Al livello più alto, le c.d COI (Conflict Of
Interest ) class.
Claudia Salomone
14
…In particolare
OGGETTI: files contenenti singoli dati delle società. Ad ogni oggetto è associato il nome della CD al quale si riferisce e il nome della COI class al quale la CD appartiene.
CD: tutti gli oggetti che si riferiscono ad una data società vengono raggruppati insieme in un database.
COI: tutte le CD delle società in concorrenza tra loro
vengono raggruppate insieme e costituiscono la c.d.
Classe di conflitti d’interesse.
Claudia Salomone
15
Classificazione dei dati/Oggetti
Claudia Salomone
16
esempio
Per convenzione assumiamo che:
O: indica gli oggetti,ognuno dei quali appartiene esattamente O a una COI class;
Y: le CD;Y
X: le COI class
e immaginiamo che il nostro sistema contenga le informazioni di tre società, Banca A, Banca B e Compagnia petrolifera A, avremo che:
Claudia Salomone
17
Y può riferirsi alla Banca A, la Banca B o la Compagnia
petrolifera A, cioè può contenere tutti gli oggetti riguardanti una di queste tre aziende;
Ci sono due classi di conflitto d’interesse, una per le la
banche (contenente i dataset della Banca A e della Banca B) e una per la compagnia petrolifera (contenete il dataset dalla Compagnia A), cioè X può essere “Banca” oppure
“Compagnia petrolifera”.
Claudia Salomone
18
Sicurezza semplice
L’idea base della politica della Muraglia Cinese consiste nel far in modo che le persone entrino in possesso di informazioni che non siano in conflitto con quelle già possedute dallo stesso (i soggetti per poter accedere alle informazioni non devono essere dalla parte sbagliata del muro).
“Tale politica è un mix di scelte libere e di controlli obbligatori”
Regole di accesso:
Regole di lettura
Regole di scrittura
Claudia Salomone
19
Regole di lettura
Regola di Lettura: Un Soggetto S puo’ leggere un oggetto O se:
O e’ nello stesso Dataset di uno gia’ letto da S, sono cioè all’interno del muro
O appartiene a una Classe di COI diversa in cui S non ha ancora letto alcuna informazione
Bank A Bank A
C o n su le nte C o n su le nte Bank B Bank B
Oil A Oil A R R X X R R
R R
Claudia Salomone
20
Info Info
Bank A
Bank A Oil A Oil A
Info Info
Bank B Bank B
Info Info
Oil B Oil B
COI 1 COI 1
Insieme di tutti gli oggetti Insieme di tutti gli oggetti
Info
Oil A Oil A
COI 3 COI 3
Info Info Info
Bank C Bank C = John = John
Info
Bank A Bank A
COI 1
COI 1 COI 3 COI 3
Regole di lettura
Claudia Salomone
21
…segue
Inizialmente un soggetto può liberamente scegliere a quali dataset accedere,ad es. Banca A;
Un soggetto può accedere al più ad un CD in ogni COI class,e questo perché, nel momento in cui egli entra in possesso di alcune informazioni in una COI class, si crea un muro intorno a tutti gli altri dati che sono nella stessa COI class (che sono quindi, in conflitto tra loro).
Da ciò deriva che, gli unici altri dati che il soggetto può leggere nella stessa COI class sono quelli contenuti nello stesso dataset dell’oggetto già letto.
Claudia Salomone
22
Il numero minimo di soggetti che potranno accedere ad ogni dato in una COI class è dato dal numero delle CD che vi
fanno parte.
Esempio: database del modello Chinese Wall
Banca A
a
Banca B
b
Banca C
c
Comp.A
d
Comp.B
e
Classe COI Banca Classe COI Comp.petrolifera
Claudia Salomone
23
Regole di scrittura
Regola di Scrittura: Un Soggetto S puo’ scrivere un oggetto O se:
S puo’ leggere O in base alla regola di lettura
Non e’ stato letto alcun oggetto appartenente ad un
Dataset diverso a quello contenente O
Claudia Salomone
24
Regole di Scrittura
Info
Info Info
Bank A Bank A
Oil A Oil A
COI 1
COI 1 COI 3 COI 3
Insieme di tutti gli oggetti Insieme di tutti gli oggetti
Info
Oil A Oil A
COI 3 COI 3
Bank A Bank A
COI 1 COI 1
ABC ABC ABC ABC
= John
COI 1 COI 1
Bank A
Bank A
Claudia Salomone
25
Sanitized Information …
•Brewer and Nash riconoscono la necessità che gli analisti hanno di dover confrontare le informazioni riservate a loro disposizione con quelle relative alle altre società.
•Chiaramente il problema sorge se l’accesso per alcune aziende è vietato dalle regole di sicurezza
semplice (un utente non potrà mai confrontare i dati di due aziende che si trovano nella stessa COI class, ad es. Compagnia petrolifera A e Compagnia
petrolifera B, e neppure i dati della Banca A con
quelli della Compagnia petrolifera A se egli ha
avuto precedentemente accesso ai dati della
Compagnia B).
Claudia Salomone
26
…sanitized information
Queste limitazioni possono essere rimosse se si usa una forma purificata per le informazioni richieste La forma purificata delle informazioni funge da
maschera per la società, ha infatti, lo scopo di
evitare che si scopra l’identità della società alla
quale le informazioni si riferiscono.
Claudia Salomone
27
esempio
Supponiamo che due soggetti John e Jane possano entrambi accedere ai dataset dell’esempio precedente,(Compagnia petrolifera A,
Compagnia petrolifera B e Banca A), in particolar modo che:
John ha accesso (R) alla Compagnia A e acceso (W) alla Banca A
Jane può accedere alla Compagnia B e alla Banca A
Jane può leggere indirettamente le informazioni della
Compagnia A, anche se ciò dovrebbe essere vietato perché c’è conflitto d’interesse tra la Compagnia A e la
Compagnia B. Violazione indiretta della Muraglia Cinese..
Claudia Salomone
28
Evitare e le violazioni indirette
aumentando le condizioni di sicurezza semplice, *- property, sostenendo che:
L’accesso scritto è permesso solo se:
1. L’accesso è permesso dalle semplici regole di
sicurezza, ovvero,la condizione che permette ad
un soggetto S di leggere l’oggetto O;
Claudia Salomone
29
• Per tutti gli oggetti non purificati O’, il soggetto S può leggere O’ solo se appartiene alla CD dell’oggetto a cui ha avuto accesso precedentemente CD(O’)=CD(O).
2. quindi, nessuno oggetto può essere letto se appartiene al
dataset di una compagnia diversa per il quale l’accesso
scritto è stato richiesto e se contiene informazioni non
purificate.
Claudia Salomone
30
Nell’esempio sopra John può accedere alla CD della
Comp.A e a quella della Banca A,quindi la condizione 1 è verificata. Cmq, assumendo che la CD della Comp.A
contiene oggetti non purificati, perché John possa accedervi la condizione 2 è falsa.
Da ciò, deriva che John non può scrivere nel CD BancaA
Claudia Salomone
31
…segue
Data questa regola possiamo provare che:
Che il flusso delle informazioni non purificate è limitato all’interno della propria Company dataset,mentre le
informazioni purificate possono comunque circolare liberamente attraverso il sistema.
Questa regola è analoga alle proprietà delle regole di sicurezza
definite nel modello BLP. Perciò chiameremo le regole del
modello della muraglia cinese come property security
Claudia Salomone
32
Confronto con BLP model
In entrambi i modelli la composizione e gli attributi di
sicurezza degli oggetti e le regole per l’accesso rispettano le condizioni della sicurezza semplice e la *-property, pur
avendo differenze fondamentali tra loro.
Claudia Salomone
33
Caratteristiche BLP
OGGETTO:
- BLP non richiede che gli oggetti siano archiviati gerarchicamente
all’interno di una CD e di una COI class; esige invece, una struttura per gli attributi degli oggetti(etichettatura sicura) della forma (class , [cat]) dove:
Classe = Tipo di Informazione (Pubblica,Riservata…)
Cat = Categoria del dato
Claudia Salomone
34
SOGGETTO:
-Nel modello BLP ai soggetti sono assegnate delle etichette sicure,mentre nel modello della Muraglia Cinese no.
La forma delle etichette è del tipo (clear, [NKT]), dove:
Classe = Massima Classe dei dati che il soggetto e’
abilitato a leggere
NTK = “Need to know” somma delle categorie di oggetti a cui viene permesso l’accesso
Caratteristiche BLP
Claudia Salomone
35
Differenze
Vedremo che le regole di scrittura/lettura nel modello BLP non impongono l’accesso ai dati in base alle informazioni alle quali il
soggetto aveva avuto precedentemente accesso, ma dalla sicurezza degli attributi degli oggetti in questione .
BPL non ha la nozione di “accessi passati”, centrale invece nel modello di controllo CW.
Non tiene traccia dei cambiamenti:
Es.Susan si ammala e Anna deve prendere il suo posto, nel BLP non possiamo sapere se Susan può farlo
Claudia Salomone
36
…segue
Fissa per ogni coppia (COI,CD) del Chinese Wall un’ unica categoria BLP
BLP effettua una classificazione per le informazioni purificate e una per quelle non purificate
Etichetta ogni oggetto contenente informazioni non purificate
con l’etichetta (x,y) e con l’etichetta (x’,y’) la categoria BLP
dei dataset purificati
Claudia Salomone
37
Composizione degli oggetti in
BLP
Claudia Salomone
38
Tutte le combinazioni di categorie con al piu’ un dataset per Tutte le combinazioni di categorie con al piu’ un dataset per ogni Classe di COI
ogni Classe di COI
Es: • Utente John NTK= {1,2,3} Utente John NTK= {1,2,3}
• Utente Jane NTK= {4,2,3} Utente Jane NTK= {4,2,3}
Possibili NTK “Need to Know”:
Possibili NTK “Need to Know”:
Claudia Salomone
39
Sicurezza semplice
L’accesso è garantito solo se:
Regola di Lettura: Un Soggetto S puo’ leggere un oggetto O se:
La classe del soggetto e’ maggiore della classe dell’oggetto
Il NTK del soggetto include la categoria dell’oggetto
Claudia Salomone
40
*-property
Regola di Scrittura: Un Soggetto S puo’ scrivere un oggetto se:
La classe dell’oggetto di output e’ maggiore di quella di input
La categoria dell’oggetto su cui scrivere (output)
contiene tutte le categorie degli oggetti di input
Claudia Salomone
41
Problemi di BLP
Non risponde a particolari esigenze tipiche del mondo commerciale
Non viene mantenuta la discrezionalita’ nella scelta dei dataset da leggere:
-Nel CW un soggetto può inizialmente accedere liberamente ad alcuni oggetti;
- BLP comprime gli oggetti a cui un soggetto può accedere. Altrimenti si viola il principio
del CW
Claudia Salomone
42
Confronto con Clark -Wilson
Applicazioni: sistema di sicurezza militare;
sistema di sicurezza commerciale
Tale modello separa le operazioni in sottoparti che sono eseguite obbligatoriamente da persone diverse.
Tale modello definisce un insieme di regole con l’obiettivo di
conservare l’integrità dei dati, come la convalida, la verifica e il controllo d’accesso. Poiché il modello CW considera solo
l’accesso controllato esso non può emulare il modelloClark-
Wilson completamente.
Claudia Salomone
43
Clark-Wilson
La regola d’accesso richiede un controllo basato su una prestabilita
relazione del tipo (utente,programma,oggetto) nel quale relazionare un utente, un programma e gli oggetti che il programma può
consultare a beneficio dell’utente, nelle diverse CD
-Se, uno considera che il soggetto e il processo sono intercambiabili allora una singola persona può utilizzare più processi per accedere agli oggetti di più CD nella stessa COI class; violazione CW.
-mentre, richiedendo che il soggetto sia un persona ben precisa ed
includendo tutti i processi da lui eseguiti, la CW è coerente con il
modello Clark-Wilson
Claudia Salomone
44
ALCUNE
APPLICAZIONI
Claudia Salomone
45
Applicazioni CW
Politica della Muraglia Cinese per la sicurezza di un Workflow decentralizzato: p roblema del conflitto di interessi che può sorgere tra aziende concorrenti quando l’esecuzione del flusso lavorativo viene decentrallizato
Approccio della Muraglia Cinese nel WWW per
la sicurezza nel commercio elettronico.
Claudia Salomone
46
Workflow decentralizzato
L’approccio utilizzato consiste nell’individuare oggetti sensibili in grado di manipolare il flusso del lavoro e
contenenti informazioni tali che, se portate a conoscenza di
una data organizzazione o azienda, potrebbero proporla alla
concorrenza.
Claudia Salomone
47
…work flow
Soggetto, S: Agenti responsabili dell’esecuzione dei task
Oggetto, O : Input/output di un task, dipendenze del Workflow Regola lettura:Un soggetto S può leggere e valutare un oggetto O se non
e’ sensibile per S oppure se nel Workflow non esiste un altro soggetto S’
in conflitto di interessi con S
Regola scrittura:Un soggetto S non è abilitato a costruire dei Self,
partizioni del flusso di lavoro, con oggetti sensibili che sono in Conflitto di interessi nel workflow
Claudia Salomone
48
CW nel WWW
Per realizzare la politica di sicurezza Chinese Wall in Internet dobbiamo utilizzare delle etichette che contengono
informazioni sull’identità dell’utilizzatore e sugli oggetti aquali egli ha avuto accesso precedentemente. Per fare ciò, abbiamo bisogno di meccanismi che provvedono
all’autenticazione e autorizzazione dell’utente nel WWW.
Claudia Salomone
49
Meccanismi di autenticazione
Gli standards più comuni sono:
Basic Authentication: è inclusa nel protocollo HTTP. L’ utente deve identificarsi attraverso un USER-ID e una
PASSWORD quando richiedono un documento protetto.
Digest Access Authentication: è un’estensione del protocollo HTTP, sviluppatosi per integrare i difetti del precedente modello.
SSL(Secure Socket Layer):è il protocollo proposto dalla
Netscape progettato per fornire la cifratura e l’autenticazione
fra un client Wed e un server Web.
Claudia Salomone
50
Basic Authentication
Claudia Salomone
51
SSL…
È la base del protocollo di sicurezza dello strato di
trasporto(TLS). Può essere considerato come uno strato che giace tra lo strato dell’applicazione e quello di trasporto.
L’SSL fornisce le seguenti caratteristiche:
autenticazione del server SSL, permette ad un utente di confermare l’identità del server.
autenticazione del client SSL,permette ad un server di confermare l’identità di un utente.
una sessione SSL cifrata, nella quale tutte le informazione inviate fra browser e server sono cifrate al software di
spedizione (browser o server Web) e decifrate dal software
di ricezione
Claudia Salomone
52
handshake
C’è una fase di handshake tra il client e il server che serve ad autenticare il server e a generare una chiave simmetrica
condivisa. Tale fase consiste di messaggi attraverso i quali i soggetti concordano le preferenze di crittografia,affinché si accordino sull’algoritmo a chiave simmetrica che dovranno usare, l’invio del certificato dal server al browser che ha un
elenco di CA possibili,.. alla fine della fase di handshake si crea
un “canale sicuro” su cui poter comunicare.
Claudia Salomone
53
…segue
Claudia Salomone
54
autorizzazioni
Un requisito necessario per stabilire la connessione tra client e server è il possesso di un certificato chiamato CA(Certification authority).
Nella fase di handshake se il browser non ha nel suo elenco tale certificato l’accesso alla compagnia è negato.
La ragione per cui tale certificato può rappresentare le regole di una politica di sicurezza CW è rappresentata dal fatto che ad es:
Il numero di serie dei certificati invalidi sono pubblicati nella
Lista dei Certificati Revocati, client e server;
Claudia Salomone
55
Limiti dell’SSL nel e-commerce
L’SSL non era stato pensato per operazioni di e-commerce,ma per la comunicazione sicura tra client e server,quindi ha una
progettazione generica che non soddisfa tutte
le caratteristiche richieste in tale settore.
Claudia Salomone
56