Analisis Sistem Pembatasan Akses Wajib untuk Oracle DBMS

Makalah ini dikhususkan untuk analisis sistem pembatasan akses wajib untuk Oracle DBMS. Akibatnya, beberapa saluran kebocoran ditemukan.

 

Untuk banyak sistem informasi berbasis DBMS seringkali menjadi masalah untuk menerapkan pembatasan akses, yang memperhitungkan nilai informasi. Biasanya penting untuk sistem informasi skala besar yang digunakan oleh pemerintah atau perusahaan (yaitu sistem informasi geografis atau sistem manajemen dokumen). Sistem seperti itu biasanya menyiratkan model akses wajib. Salah satu fitur dari model wajib adalah pencegahan penurunan nilai informasi yang disengaja atau tidak disengaja berkat kontrol aliran informasi. Model akses wajib diimplementasikan dengan memberi label semua subjek dan objek yang termasuk dalam sistem pembatasan akses.

 

Oracle DBMS saat ini merupakan salah satu DBMS industri yang paling kuat dan populer. Mulai dari versi Oracle9i, komponen Oracle Label Security (OLS) diimplementasikan, yang memungkinkan untuk mengatur akses wajib ke data yang disimpan. OLS adalah seperangkat prosedur dan batasan yang dibangun ke dalam kernel basis data, yang memungkinkan penerapan kontrol akses tingkat rekaman. Untuk mengaktifkan OLS, Anda perlu membuat kebijakan keamanan yang berisi sekumpulan label. Setiap kali kebijakan ini dibuat, kebijakan ini harus diterapkan ke tabel yang dilindungi dan pengguna harus menerima hak atas label yang sesuai.

Analisis untuk kemungkinan saluran kebocoran informasi rahasia tampaknya menarik untuk sistem yang ditinjau.

Kami menawarkan algoritma analisis umum berikut dari model akses wajib yang diterapkan.

1) Jenis objek akses ditentukan menurut dokumentasi yang diterbitkan dan investigasi DBMS (misalnya, tabel, string, atau kolom).

2) Perintah SQL dianalisis dalam hal bagaimana pengguna dapat memodifikasi objek akses.

3) Beberapa objek dengan tingkat kerahasiaan yang berbeda dibuat untuk setiap jenis objek akses.

4) Beberapa akun pengguna (subjek akses) dibuat dengan hak akses wajib yang berbeda.

5) Urutan kueri SQL terbentuk, yang dieksekusi dengan hak pembatasan akses wajib yang berbeda dan objek dengan tingkat kerahasiaan yang berbeda. Menurut analisis pelaksanaan query ini adalah mungkin untuk membangun model akses, dan untuk membuat kesimpulan apakah sistem memiliki kerentanan, yang dapat menyebabkan kebocoran atau korupsi informasi rahasia.

Mari kita pertimbangkan objek akses di OLS. Ini adalah catatan tabel, yang memiliki label unik. Sering tersirat bahwa tabel adalah objek akses di OLS karena kebijakan keamanan diterapkan ke tabel. Namun tabel tidak memiliki label sendiri; mereka hanya berisi baris berlabel.

Operasi SQL dasar berikut menangani catatan individual:

- CREATE – pembuatan rekor baru;

- SELECT – membaca record yang ada;

- UPDATE – modifikasi dari record yang ada;

- DELETE – penghapusan record.

Eksperimen kami terdiri dari urutan kueri yang dipanggil oleh pengguna dengan hak akses wajib yang berbeda ke objek dengan tingkat kerahasiaan yang berbeda. Eksperimen ini memungkinkan untuk membangun model akses wajib OLS ke catatan. Kami mendefinisikan dua variabel: I dan J. I adalah nilai label objek. Nilai I yang lebih kecil menunjukkan tingkat kerahasiaan yang lebih tinggi (nilai 0 sesuai dengan "sangat rahasia"). J adalah nilai tingkat akses subjek.

Model tersebut dapat disajikan dalam tampilan formal berikut:

1. BUAT \ PILIH \ UPDATE \ DELETE, j = i

2. PILIH, j i

Model akses wajib pada level record tersebut cukup tepat dan memenuhi kriteria model keamanan Bell-La Padula. Jadi OLS bekerja dengan benar pada tingkat catatan tabel.

Namun, selain record sebagai representasi dari data yang disimpan, pengguna dapat berinteraksi dengan representasi data lain, yang tidak terpengaruh oleh kebijakan akses wajib. Tabel adalah contoh dari objek tersebut. Pengguna memang dapat memodifikasi struktur tabel, yaitu menambahkan bidang baru, mengubah nama, dan memodifikasi tipe data. OLS kehilangan kemampuannya untuk bekerja dengan baik pada level tabel.

Misalnya, pengguna dengan hak wajib yang lebih tinggi memiliki hak untuk membuat bidang baru dalam tabel. Nama bidang mungkin rahasia itu sendiri, dan mekanisme OLS tidak mencegah operasi ini. Pengguna dengan hak akses yang lebih rendah selalu memiliki kemungkinan untuk menanyakan nama semua bidang.

Misalnya, bidang baru dibuat dengan nama new_password_xxx (di mana xxx adalah informasi rahasia) dengan sql-query berikut:

ALTER TABLE user1.test_table ADD (new_password VARCHAR2(30));

Jika pengguna lain yang tidak memiliki hak wajib menjalankan kueri berikut (SELECT * FROM user1.test_table; ), dia mendapatkan kumpulan data kosong, namun semua nama bidang user1.test_table diekspos kepadanya. Seperti yang ditunjukkan di atas, nama kolom dapat berisi informasi rahasia.

Operasi yang ditunjukkan dalam contoh membuat saluran dupleks pertukaran data antara subjek dengan hak akses yang lebih tinggi dan lebih rendah, dan karena itu dapat menyebabkan kebocoran informasi rahasia.

Dalam masalah tersebut di atas, iniModel akses wajib yang diterapkan di Oracle tidak lengkap, dan fakta ini memungkinkan untuk bertukar informasi rahasia tanpa kontrol dari sistem akses wajib, yang menurunkan nilai informasi.

Anda juga dapat membaca tentang metode aktual otentikasi tanda tangan keyboard biometrik dari situs kami