Catégories
conférences

C&ESAR 2011 – Politiques de sécurité de l’information & Monitoring associé

par Radoniaina Andriatsimandefitra – Supelec.

L’idée c’est d’établir une politique de sécurité pour les flux d’information pour pouvoir monitorer les usages fait des données utilisateurs.

Le système de contrôle des flux d’information se base sur un marquage des informations et des processus accédant aux informations. Ainsi, si un process lit des informations on considère qu’il hérite des contraintes de la donnée lue, et donc si elle est protégée, il ne pourra pas la partager avec un processus qui n’a pas le droit d’y accéder. Ce système repose sur Blare, une solution développée par Supélec.

Une implémentation de Blare à été faite pour Linux et une autre pour le langage Java.

Les données possèdent donc un iTag : information Tag, et les processsus sont porteur d’un pTag : process tag, renseignant ce à quoi ils ont le droit d’accéder. Ce système vient compléter les politiques de sécurité issues du contrôle d’accès fichier Unix en y ajoutant un contrôle au niveau des flux d’information. Ce qui évite, par exemple, la fuite de données par un processus privilégié dont on exploiterait les défauts pour obtenir un accès à une donnée sensible.

Blare est basé sur LSM : Linux Security Module, une API de hooking des fonctions du noyau qui est utilisé notamment par SELinux. Bien-sûr, une telle approche à un coût pour le système, chaque appel système surveillé subit un overhead. L’espace mémoire kernel supplémentaire est de 0,47% grace à l’utilisation de LSM. Coté overhead sur les opérations, on observe une augmentation de 8% du temps d’exécution, soit 30ms supplémentaires par opération effectuée.

La politique définie à été mise à l’épreuve en utilisant Skype et Skypwned. L’ajout d’une nouvelle application implique de nouveaux conteneurs et donc de nouvelles informations, ce qui nécessite une nouvelle politique de sécurité pour ce composant et ses fichiers/conteneurs.

On a ensuite droit à une démo montrant la mise en oeuvre de l’attaque, et la levée de l’alerte par l’IDS Blare.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *