Die Rolle des Vertrauens in der Computer-Sicherheit


  Share  
|

Die Rolle des Vertrauens ist zum Verstehen der Natur der Computersicherheit entscheidend. Artikel stellen Theorien und Einheiten für das Analysieren und das Erhöhen von von Computersicherheit dar, aber alle mögliche Theorien oder Einheiten stehen auf bestimmten Annahmen still. Wenn jemand die Annahmen versteht, ihre Sicherheit politischen Richtlinien, Einheiten, und Verfahren stehen an still, hat sie ein sehr gutes Verständnis von, wie wirkungsvoll jene politischen Richtlinien, Einheiten und Verfahren sind. Lassen Sie uns die Konsequenzen dieser Maxime überprüfen.

Ein Systemverwalter empfängt einen Sicherheit Flecken für Betriebssystem ihres Computers. Sie bringt es an. Hat sie die Sicherheit ihres Systems verbessert? Sie hat in der Tat, die Korrektheit bestimmter Annahmen gegeben:

  1. Sie nimmt, daß der Flecken vom Verkäufer kam und nicht mit in Durchfahrt abgegeben wurde, anstatt von einem Angreifer an, der versucht, sie in das Anbringen eines gefälschten Fleckens zu betrügen, der wirklich Sicherheit Bohrungen öffnen würde.

  2. Sie nimmt an, daß der Verkäufer den Flecken gänzlich prüfte. Verkäufer sind häufig unter beträchtlichem Druck, Flecken schnell herauszugeben und sie nur gegen einen bestimmten Angriff manchmal zu prüfen. Die Verwundbarkeit kann tiefer sein, jedoch und andere Angriffe können folgen. Als jemand eine Großtat von einem Betriebssystemcode des Verkäufers freigab, gab der Verkäufer einen behebenden Flecken in 24 Stunden frei. Leider öffnete der Flecken eine zweite Bohrung, eine, die weit einfacher auszunutzen war. Der folgende Flecken (freigegeben 48 Stunden später) regelte beide Probleme richtig.

  3. Sie nimmt an, daß das Testklima des Verkäufers ihrem Klima entspricht. Andernfalls kann der Flecken möglicherweise nicht arbeiten, wie erwartet. Als Beispiel stellte der Flecken eines Verkäufers einmal Besitze von executables zur Benutzerwurzel zurück. An etwas Installationen erforderten Wartung Verfahren, daß diese executables durch das Benutzersortierfach besessen werden. Der Flecken des Verkäufers mußte für die lokale Konfiguration annuliert werden und geregelt werden. Diese Annahme umfaßt auch mögliche Konflikte zwischen unterschiedlichen Flecken, sowie Flecken, die miteinander widersprechen (wie Flecken von den unterschiedlichen Verkäufern von Software, die das System verwendet).

  4. Sie nimmt an, daß der Flecken richtig angebracht wird. Einige Flecken sind einfach anzubringen, weil sie einfach vollziehbare Akten sind. Andere sind der Komplex und erfordern den Systemverwalter, netzorientierte Eigenschaften zu rekonfigurieren, addieren einen Benutzer, ändern den Inhalt eines Registers, geben Rechte zu irgendeinem Satz Benutzern und laden dann das System neu. Eine Störung in irgendwelchen dieser Schritte könnte verhindern, daß der Flecken die Probleme behebt, wie eine Unbeständigkeit zwischen den Klimas, in in denen der Flecken entwickelt wurde und könnte, in welchen der Flecken angewendet wird. Ausserdem kann der Flecken behaupten, spezifische Privilegien zu erfordern, wenn in der Wirklichkeit die Privilegien und tatsächlich gefährlich nicht notwendig sind

Diese Annahmen sind ziemlich hochqualifiziert, aber, ungültig erklärend irgendwelche von ihnen Marken der Flecken ein mögliches Sicherheit Problem.

Annahmen entstehen auch auf einem viel untereren Niveau. Betrachten Sie formale Überprüfung, eine oft-kündigen Panazee für Sicherheit Probleme. Der wichtige Aspekt ist, daß formale Überprüfung einen formalen mathematischen Beweis liefert, daß ein gegebenes Programm P correctthat ist ist, gegeben von den Eingängen I, J, k irgendwie eingestellt, das Programm P produziert den Ausgang x, den seine Spezifikation erfordert. Dieses Niveau der Versicherung ist grösser, als die meisten vorhandenen Programme liefern und P ein wünschenswertes Programm folglich bilden. Nehmen Sie an, daß ein Sicherheit-in Verbindung stehendes Programm S formal für das Betriebssystem O überprüft worden ist. Welche Annahmen würden gebildet, als es angebracht wurde?

  1. Die formale Überprüfung von S ist correctthat ist, der Beweis hat keine Störungen. Weil formale Überprüfung auf automatisierten Theorem Provers sowie menschliche Analyse beruht, müssen die Theorem Provers richtig programmiert werden.

  2. Die Annahmen, die in der formalen Überprüfung von S gebildet werden, sind korrekt; spezifisch halten die Vorbedingungen im Klima, in dem das Programm durchgeführt werden soll. Den Theorem Provers diese Vorbedingungen werden gewöhnlich sowie das Programm S eingezogen. Ein impliziter Aspekt dieser Annahme ist, daß die Version von O im Klima, in dem das Programm durchgeführt werden soll, dieselbe wie die Version von O verwendet, um S zu überprüfen ist.

  3. Das Programm wird in ein vollziehbares umgewandelt dessen Tätigkeiten denen entsprechen, die durch das Quellenprogramm angezeigt werden; das heißt, sind der Compiler, das Verknüpfungsprogramm, die Ladevorrichtung und alle mögliche Bibliotheken korrekt. Ein Experiment mit einer Version des UNIX Betriebssystems zeigte, wie, einen in Ordnung gebrachten Compiler zu verwüsten sein könnte, und Angreifer haben Bibliotheken mit anderen ersetzt, die zusätzliche Funktionen durchführten, dadurch sieerhöhen sieerhöhen Sicherheit Gefahren.

  4. Die Kleinteile führen das Programm durch, wie beabsichtigt. Ein Programm, das auf Gleitkommaberechnungen beruht, würde falsche Auswirkungen auf einige Computer CPU Späne, unabhängig davon jede formale Überprüfung des Programms, infolge von einem Fehler in diesen Spänen erbringen. Ähnlich nimmt ein Programm, das auf Eingängen von den Kleinteilen beruht an, daß spezifische Bedingungen jene Eingänge verursachen

Der Punkt ist, daß jede mögliche Sicherheit Politik, Einheit oder Verfahren auf Annahmen basiert, die, wenn falsch, den Überbau zerstören, auf dem es errichtet wird. Analytiker und Entwerfer (und Benutzer) müssen dieses im Verstand tragen, weil, es sei denn sie verstehen, was die Sicherheit Politik, die Einheit oder das Verfahren an basiert, sie springen von einer unbefugten Annahme zu einer fehlerhaften Zusammenfassung.

dieses ist ein Artikel, der von Meden Reece hinzugefügt wird


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions