Covert Exploit e il modello MAC di Bell-LaPadula

4

Sto avvolgendo la mia attenzione sul Mandatory Access Control (MAC) e sul ben noto modello Bell-LaPadula. Una limitazione menzionata con questo modello è lo sfruttamento di canali nascosti. L'unico esempio che ho imparato riguarda Dimensione oggetto del database :

  • L'oggetto con spazio libero aggiunge o rimuove i dati
  • Il soggetto a bassa clearance controlla il modello delle variazioni di dimensioni.
  • L'ampiezza di banda del canale nascosto può essere aumentata usando più oggetti

Tuttavia, non capisco né il vantaggio di questo esempio per un utente malintenzionato, né il modo in cui viene eseguito. Capisco come funzionano i canali nascosti in generale, ma non capisco perché è particolarmente evidenziato come una trappola di questo metodo MAC - forse, al contrario del modello Biba?

La mia domanda quindi richiede una spiegazione di come i canali nascosti sono sfruttati in un database usando il modello Bell-LaPadula - con forse una spiegazione dell'esempio relativo o la spiegazione di un esempio migliore.

    
posta Jonathan 08.05.2012 - 17:07
fonte

1 risposta

8

Se comprendo correttamente la tua domanda, il punto che viene mostrato nel tuo esempio è che anche senza accesso diretto in lettura ai dati scritti, puoi creare canali segreti che potrebbero teoricamente perdere informazioni.

Dire che sono una spia e sono riuscito a ottenere un'elevata autorizzazione di sicurezza con accesso ai dati Top-Secret . Voglio in qualche modo copiare questi dati e inviarli al mio governo. Con un sistema di sicurezza BLP posso solo scrivere i dati su , il che significa che non posso provare a scrivere i dati e abbassarne il livello di sicurezza. Allo stesso modo, la mia piccola collaboratrice spia (con autorizzazione di sicurezza Secret ) non può leggere i dati che sono stati scritti (su Top-Secret ).

Il canale nascosto che può essere stabilito qui secondo il tuo esempio, ha una forma simile a un attacco canale laterale . Diciamo che il collaboratore nel campo della sicurezza Secret non può leggere i dati, ma può accedere ai meta-dati memorizzati sui file o sulle tabelle del database in cui sono archiviate le informazioni top-secret . Questi dati potrebbero essere poco classificati, poiché non contengono alcuna informazione confidenziale reale. La spia su top-secret può costruire un modello di modifiche ai dati, che a sua volta decodifica in un messaggio nascosto.

Come semplice esempio, diciamo che hanno concordato codice morse e che la colonna A cambia nel database tabella == punto; modifiche alla colonna B == trattino; La spia può creare una sequenza di scritture sulle tabelle, che verranno decodificate dal collaboratore al livello inferiore in un messaggio. Tutto il collaboratore al livello di autorizzazione inferiore ha bisogno di accedere ai timestamp delle modifiche alle colonne A e B nella tabella. Questo (dati di timestamp) di per sé di solito può essere considerato non classificato , o certamente scontato come privo di valore di sicurezza reale.

    
risposta data 09.05.2012 - 10:15
fonte

Leggi altre domande sui tag