Detecting Privilege Escalation with Temporal Braid Groups

Il paper propone l'uso dell'esponente di Lyapunov di Burau come sonda algebrica all'interno dei componenti fortemente connessi di un grafo temporale dei permessi cloud per discriminare tra regimi di rischio dispersi e focalizzati, dimostrando che tale approccio non abeliano supera i limiti delle statistiche tradizionali per l'automazione della classificazione e della remediation.

L'essenziale

Immagina di dover proteggere un enorme castello digitale (il Cloud) dove migliaia di persone e robot (le identità) hanno chiavi diverse per aprire porte diverse. Il problema non è solo vedere quali chiavi hanno oggi, ma capire come si muovono e cambiano domani.

Questo articolo, scritto da Christophe Parisel, è come una nuova lente di ingrandimento matematica per prevedere se qualcuno sta per rubare tutte le chiavi del castello o se è solo un errore di distrazione.

Ecco la spiegazione semplice, passo dopo passo, usando delle metafore.

1. Il Problema: Due tipi di "Scivoli" pericolosi

Immagina che le autorizzazioni nel cloud siano come una serie di scivoli in un parco giochi.

• Gli "Oscillatori" (Sicuri): Sono come altalene. Su e giù, su e giù. Se un utente sale, poi scende. Non c'è pericolo di accumulare potere.
• I "Ratchet" (Pericolosi): Sono scivoli a spirale che vanno solo verso l'alto. Una volta che qualcuno inizia a scivolare, non può tornare indietro. Il rischio è che finiscano in cima al castello con tutte le chiavi.

Il documento dice: "Ok, abbiamo trovato gli scivoli pericolosi (i Ratchet). Ma come facciamo a sapere quanto sono pericolosi e come fermarli?"

2. La Vecchia Soluzione (Contare le cose): Il "Contapassi"

Fino ad ora, i guardiani del castello usavano un metodo semplice: contare.

• "Quante volte è salito uno scivolo?"
• "Quante porte ha aperto in salita?"

Questo metodo è come contare i passi di una persona. Se fa 100 passi in salita, pensi che sia pericoloso. Ma c'è un trucco: questo metodo è "stupido" (in termini matematici, è Abeliano). Non capisce l'ordine delle cose.

• L'analogia: Immagina di camminare in una stanza. Se fai 10 passi avanti e 10 indietro, il contapassi dice "20 passi". Ma se fai 10 passi avanti e poi 10 passi indietro in un ordine diverso, potresti finire in un punto completamente diverso. Il contapassi non se ne accorge.

3. La Nuova Soluzione: Le "Treccie" (Braids)

L'autore propone di non contare solo i passi, ma di guardare come le persone si intrecciano mentre camminano.
Immagina di avere 6 persone che camminano su uno scivolo. Se si incrociano in un certo modo, le loro strade si "intrecciano" come le trecce di un capello.

• La Trecce Matematica: In matematica, c'è un modo per misurare quanto una treccia è "aggrovigliata". Se le persone si incrociano in modo ordinato, la treccia si scioglie (è sicura). Se si incrociano in modo caotico e imprevedibile, la treccia si stringe e diventa un nodo impossibile da sciogliere (pericolosa).

Questo "aggrovigliamento" è chiamato Esponente di Lyapunov. È un numero che ci dice: "Quanto velocemente questa situazione sta diventando un caos irreversibile?"

4. La Scoperta Magica: Il "Contapassi" è Cieco

L'articolo dimostra una cosa incredibile: nessun contapassi semplice può mai prevedere quanto sarà aggrovigliata la treccia.

• L'esperimento: Hanno preso quasi 50.000 scenari reali.
• Il risultato: Il vecchio metodo (contare i passi) sbagliava spesso. A volte diceva "Pericolo!" quando non c'era, e altre volte diceva "Tutto sicuro!" quando invece c'era un nodo mortale.
• Perché? Perché il vecchio metodo non vede l'ordine. Due scenari possono avere lo stesso numero di passi in salita, ma uno è un nodo sicuro (le persone si annullano a vicenda) e l'altro è un disastro (le persone si aiutano a salire). Solo la "Trecce" (il nuovo metodo) vede la differenza.

5. I Due Tipi di Pericolo (e come risolverli)

Grazie a questa nuova lente, il documento divide i pericoli in due categorie, come due tipi di incidenti stradali:

A. Il "Tubo Stretto" (Regime Focused)

• Cosa succede: Tutti i pericoli passano attraverso un unico punto stretto (come un imbuto).
• L'analogia: È come se tutti i ladri dovessero passare attraverso una sola porta.
• La soluzione: È facile! Basta cambiare il codice della serratura di quella porta (cambiare le autorizzazioni di un utente). Il pericolo svanisce.

B. Il "Groviglio Indistruttibile" (Regime Dispersed)

• Cosa succede: Ci sono centinaia di percorsi diversi che si intrecciano in modo caotico. Non c'è un unico punto debole.
• L'analogia: È come un groviglio di spaghetti dove ogni filo è collegato a tutti gli altri. Non importa quale filo tagli, il nodo rimane.
• La soluzione: Cambiare le serrature non serve a nulla. Bisogna ricostruire il castello: togliere o spostare muri e porte (cambiare la struttura stessa del sistema). È un lavoro molto più difficile.

6. Perché è importante?

Prima, i sistemi di sicurezza dicevano: "Attenzione, c'è troppo traffico!" e facevano confusione.
Ora, con questo metodo:

1. Sappiamo se il problema è solo un errore di configurazione (facile da risolvere).
2. O se è un difetto di architettura (serve ricostruire).

In sintesi

Immagina di essere un medico.

• Il vecchio metodo era come contare la febbre: "Ha 39 gradi, è grave!" (ma forse è solo un colpo di sole).
• Il nuovo metodo (le Treccie) è come fare una risonanza magnetica: vede dove sta il problema.
  • Se è un piccolo ascesso (Focused), ti dà un antibiotico (cambia le password).
  • Se è un tumore diffuso (Dispersed), ti dice che serve un'operazione chirurgica complessa (cambia la struttura del sistema).

Questo articolo ci insegna che per proteggere il futuro del Cloud, non basta contare le cose; dobbiamo capire come le cose si intrecciano nel tempo.

Sommario tecnico

Ecco un riassunto tecnico dettagliato del paper "Detecting Privilege Escalation with Temporal Braid Groups" di Christophe Parisel, presentato in italiano.

1. Il Problema

La postura di sicurezza di un'identità cloud (in particolare le identità non umane, NHI) non è determinata da un singolo snapshot dei permessi, ma dalla sua traiettoria temporale completa. Due identità possono possedere gli stessi permessi oggi ma divergere domani: una potrebbe evolvere verso un accesso irreversibile (un "ratchet" o scatto), mentre l'altra oscilla entro un envelope limitato.

Il problema centrale è distinguere tra due regimi di rischio all'interno dei componenti fortemente connessi (SCC) che contengono percorsi di escalation:

1. Ratchet Focalizzati: L'escalation avviene attraverso pochi percorsi; le cancellazioni non commutative moderano la crescita spettrale. Sono risolvibili tramite la riassegnazione dei permessi (WAR).
2. Ratchet Dispersi: Topologia ricca di hub con molteplici percorsi di escalation indipendenti; le cancellazioni sono minime e la crescita è esponenziale. Richiedono interventi strutturali (modifica della topologia del grafo).

Le statistiche tradizionali Abeliane (conteggio degli archi, flusso netto di privilegi, tassi di attivazione dei "gate") falliscono nel distinguere questi due regimi perché non possono catturare le cancellazioni non commutative che avvengono quando l'ordine temporale degli eventi di escalation cambia.

2. Metodologia

Il paper propone un framework basato sulla teoria dei gruppi di trecce (Braid Groups) e sulla dinamica temporale dei grafi.

A. Costruzione del Grafo e Camminatori

• SCC come Ratchet: Si analizzano solo gli SCC che contengono almeno un arco diretto (irreversibile).
• Walkers NHI: Si simulano $n$ camminatori indipendenti che eseguono camminate casuali sull'SCC.
• Ordinamento delle Strand: Ad ogni epoca, i camminatori sono ordinati in base al loro valore di "norma WAR" (privilegio). Questo ordine definisce le "strand" (fili) del gruppo di trecce.

B. Condizione di Gate e Iniezione di Trecce

• Gate Condition: Se due camminatori adiacenti (per rango di privilegio) attraversano entrambi archi diretti ascendenti nello stesso epoca, si innesca un "gate".
• Parola di Iniezione: Quando il gate si attiva, viene iniettata una parola nel gruppo di trecce $B_n$. Il paper seleziona specificamente la parola mista $\sigma_i^2 \sigma_{i+1}^{-1}$.
  • Questa scelta è cruciale: ha un raggio spettrale elevato ($2+\sqrt{3} \approx 3.732$) e, grazie all'esponente negativo, permette cancellazioni spettrali tra eventi consecutivi in epoche diverse. Le statistiche Abeliane non possono rilevare queste cancellazioni.

C. Rappresentazione di Burau ed Esponente di Lyapunov (LE)

• Rappresentazione di Burau: Ogni generatore della treccia viene mappato in una matrice intera (specializzazione $t=-1$).
• Esponente di Lyapunov (LE): Si calcola il tasso di crescita esponenziale del raggio spettrale del prodotto delle matrici accumulate durante la camminata.
  • $LE = \lim_{T \to \infty} \frac{1}{T} \log \|B(T)\|$.
  • Un LE alto indica un regime Disperso (crescita esponenziale, rischio critico).
  • Un LE basso indica un regime Focalizzato (crescita moderata da cancellazioni, rischio gestibile).

3. Contributi Chiave

1. Risultato di Impossibilità (Teorema 6.2):
   Viene dimostrato matematicamente che nessuna statistica Abeliana (conteggio degli archi, flusso netto, tassi di attivazione) può determinare l'Esponente di Lyapunov. Le statistiche Abeliane sono "cieche" all'ordine temporale e alle cancellazioni non commutative.

   • Esempio strutturale: Un ciclo diretto contribuisce esattamente zero al "Directed WAR Sum" (DWS) per qualsiasi assegnazione di privilegi, ma può generare una crescita esponenziale nel gruppo di trecce se gli archi del ciclo sono ascendenti.

2. Classificazione a Due Regimi:
   L'LE definisce una soglia (mediante il valore mediano del corpus) che separa i ratchet in:

   • Focalizzati: Richiedono riassegnazione dei privilegi (WAR).
   • Dispersi: Richiedono chirurgia topologica (aggiunta/rimozione di archi).

3. Esperimento di Mescolamento (Shuffling):
   Un esperimento empirico su 469 coppie (SCC, WAR) mostra che riordinare casualmente le iniezioni di trecce (eliminando la correlazione temporale) aumenta significativamente il raggio spettrale. Questo prova che l'ordine temporale reale produce cancellazioni sistemiche che le statistiche contanti non vedono.

4. Limiti Inferiori per Topologie a Hub:
   Vengono forniti limiti teorici per il tasso di attivazione dei gate in SCC con hub centrali, dimostrando che certi topologie sono inevitabilmente nel regime disperso.

4. Risultati Empirici

Il framework è stato validato su un corpus di 1.000 topologie SCC e 49.972 coppie (SCC, WAR).

• Discordanza delle Metriche: Il 5,7% delle coppie mostra una discrepanza tra la classificazione basata su Burau LE e quella basata sul tasso di attivazione Abeliano.
  • Casi FD (Focalizzati per Burau, Dispersi per Abeliano): Il tasso Abeliano genera falsi allarmi (over-calls) perché ignora le cancellazioni non commutative.
  • Casi DF (Dispersi per Burau, Focalizzati per Abeliano): Il tasso Abeliano fallisce nel rilevare rischi reali (under-calls), specialmente in presenza di cicli diretti dove il flusso netto è zero ma l'escalation è attiva.
• Correlazione: Dopo aver controllato per il tasso di attivazione, l'LE temporale mantiene una correlazione parziale significativa con la struttura del deployment ($r = 0,175$, $p < 10^{-3}$), mentre la controparte Abeliana collassa a $r = 0,001$ ($p = 0,98$).
• Precisione: L'uso di aritmetica intera esatta (Python) evita problemi di overflow numerico che affliggerebbero implementazioni in floating point a causa della crescita esponenziale delle matrici.

5. Significato e Implicazioni Operative

• Superamento dei Limiti Statistici: Il paper dimostra che la sicurezza cloud non può essere valutata solo contando i permessi o il flusso netto. La struttura non commutativa delle interazioni temporali è un indicatore di rischio fondamentale e irriducibile.
• Pipeline di Remediation:
  • Il framework propone una pipeline a due livelli:
    1. Filtro Topologico (Primorial Invariant): Identifica gli SCC sicuri (oscillatori) vs. quelli a rischio (ratchet).
    2. Filtro Non-Abeliano (Burau LE): Classifica i ratchet in Focalizzati o Dispersi per guidare l'intervento corretto.
• Guida all'Azione:
  • Se il sistema è Focalizzato, l'operatore deve riassegnare i privilegi per rompere l'allineamento ascendente.
  • Se il sistema è Disperso, la riassegnazione dei privilegi è inutile; è necessario modificare la topologia del grafo dei permessi (rimuovere hub o archi).
• Validità Teorica: L'uso della rappresentazione di Burau (sebbene non fedele per $n \ge 5$, ma sufficiente per fornire un limite inferiore conservativo) offre un ancoraggio teorico solido per la rilevazione di rischi che sfuggono ai metodi statistici convenzionali.

In sintesi, il paper introduce un nuovo paradigma per la sicurezza delle identità cloud, spostando l'analisi da metriche statiche o contabili a un'analisi dinamica basata sulla teoria dei gruppi, capace di rilevare pattern di escalation complessi e nascosti che le statistiche tradizionali non possono vedere.