Le rôle de la confiance dans le degré de sécurité d'ordinateur


  Share  
|

Le rôle de la confiance est crucial à l'arrangement la nature du degré de sécurité d'ordinateur. Les articles présentent des théories et des mécanismes pour analyser et augmenter le degré de sécurité d'ordinateur, mais tous les théories ou mécanismes se reposent sur certaines prétentions. Quand quelqu'un comprend les prétentions ses politiques de sécurité, mécanismes, et les procédures se reposent dessus, elle aura un arrangement très bon de la façon dont efficace ces politiques, mécanismes, et procédures sont. Examinons les conséquences de cette maxime.

Un interface gestionnaire reçoit une pièce rapportée de sécurité pour le logiciel d'exploitation de son ordinateur. Elle l'installe. A-t-elle amélioré la sécurité de son système ? Elle a en effet, donné l'exactitude de certaines prétentions :

  1. Elle suppose que la pièce rapportée est venue du fournisseur et n'a pas été trifouillée en transit, plutôt que d'un attaquant essayant de la duper dans installer une pièce rapportée fausse qui ouvrirait réellement des trous de sécurité.

  2. Elle suppose que le fournisseur a examiné la pièce rapportée complètement. Les fournisseurs sont souvent sous la pression considérable de publier des pièces rapportées rapidement et de les examiner parfois seulement contre une attaque particulière. La vulnérabilité peut être plus profonde, cependant, et d'autres attaques peuvent réussir. Quand quelqu'un a libéré une exploit d'un code du logiciel d'exploitation du fournisseur, le fournisseur a libéré une pièce rapportée corrigeante en 24 heures. Malheureusement, la pièce rapportée a ouvert un deuxième trou, un il était bien plus facile exploiter que. La prochaine pièce rapportée (libérée 48 heures plus tard) a fixé les deux problèmes correctement.

  3. Elle suppose que l'environnement de l'essai du fournisseur correspond à son environnement. Autrement, la pièce rapportée peut ne pas fonctionner comme prévu. Comme exemple, la pièce rapportée d'un fournisseur a par le passé remis à zéro des propriétés des executables à la racine d'utilisateur. À quelques installations, les procédures d'entretien ont exigé que ces executables soient possédés par le casier d'utilisateur. La pièce rapportée du fournisseur a dû être défaite et fixée pour la configuration locale. Cette prétention couvre également des conflits possibles entre différentes pièces rapportées, aussi bien que les pièces rapportées qui sont en conflit entre eux (tel que des pièces rapportées des différents fournisseurs du logiciel que le système emploie).

  4. Elle suppose que la pièce rapportée est installée correctement. Quelques pièces rapportées sont simples pour installer, parce qu'elles sont les dossiers simplement exécutables. D'autres sont complexe, exigeant de l'interface gestionnaire de modifier les propriétés network-oriented, ajoutent un utilisateur, modifient le contenu d'un enregistrement, donnent des droits à un certain ensemble d'utilisateurs, et puis rechargent le système. Une erreur dans n'importe laquelle de ces étapes pourrait empêcher la pièce rapportée de corriger les problèmes, de même que pourrait une contradiction entre les environnements dans lesquels la pièce rapportée a été développée et dans ce que la pièce rapportée est appliquée. En outre, la pièce rapportée peut prétendre exiger des privilèges spécifiques, quand en réalité les privilèges sont inutiles et en fait dangereux

Ces prétentions sont assez à niveau élevé, mais infirmantes n'importe lequel d'entre elles des marques la pièce rapportée un problème potentiel de sécurité.

Les prétentions surgissent également à beaucoup de niveau plus bas. Considérez la vérification formelle, une panacée d'oft-espionner pour des problèmes de sécurité. L'aspect important est que la vérification formelle fournit une preuve mathématique formelle qu'un programme donné P est correctthat est, donné réglé des entrées i, j, k, le programme P produira le rendement X que ses spécifications exigent. Ce niveau d'assurance est des programmes les plus existants plus grands que fournissent, et par conséquent font à P un programme souhaitable. Supposez que un programme sécurité-connexe S a été formellement vérifié pour le logiciel d'exploitation O. Quelles prétentions seraient faites quand il a été installé ?

  1. La vérification formelle de S est correctthat est, la preuve n'a aucune erreur. Puisque la vérification formelle se fonde sur les tireurs d'epreuves automatisés de théorème aussi bien que l'analyse humaine, les tireurs d'epreuves de théorème doivent être programmés correctement.

  2. Les prétentions faites dans la vérification formelle de S sont correctes ; spécifiquement, les conditions préalables se tiennent dans l'environnement dans lequel le programme doit être exécuté. Ces conditions préalables sont typiquement données aux tireurs d'epreuves de théorème aussi bien que le programme S. Un aspect implicite de cette prétention est que la version de O dans l'environnement dans lequel le programme doit être exécuté soit identique que la version de O employée pour vérifier S.

  3. Le programme sera transformé en exécutable dont les actions correspondent à ceux indiquées par le code source ; en d'autres termes, le compilateur, l'éditeur de liens, le chargeur, et toutes les bibliothèques sont corrects. Une expérience avec une version du logiciel d'exploitation d'UNIX démontré comment dévaster un compilateur calé pourrait être, et les attaquants ont remplacé des bibliothèques avec d'autres qui a exécuté des fonctions additionnelles, augmentant de ce fait la sécurité risque.

  4. Le matériel exécutera le programme comme prévu. Un programme qui se fonde sur des calculs de virgule flottante donnerait des résultats incorrects sur quelques morceaux d'unité centrale de traitement d'ordinateur, indépendamment de n'importe quelle vérification formelle du programme, dû à une paille dans ces morceaux. De même, un programme qui se fonde sur des entrées de matériel suppose que les conditions spécifiques causent ces entrées

Le point est que n'importe quel politique, mécanisme, ou procédé de sécurité est fondée sur les hypothèses qui, s'incorrectes, détruisent la superstructure sur laquelle il est établi. Les analystes et les concepteurs (et les utilisateurs) doivent soutenir ceci à l'esprit, parce qu'à moins qu'ils comprennent ce que la politique, le mécanisme, ou le procédé de sécurité est basée dessus, ils sautent d'une prétention sans garantie à une conclusion incorrecte.

c'est un article supplémentaire par Meden Reece


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions