Red Hat zamierza certyfikować kolejną wersję Red Hat Enterprise Linux na zgodność ze standardem EAL4. Partnerzy na pewno się ucieszą. Klienci także, pytanie tylko, czy będą choćby odrobinę bardziej bezpieczni.

Red Hat, producent jednej z najpopularniejszych dystrybucji systemu Linux, postanowił połączyć swoje siły z IBM i firmą Trusted Computer Solutions (TCS), by następna wersja Red Hat Enterprise Linux (RHEL) posiadała najwyższy certyfikat bezpieczeństwa dostępny dla komercyjnych systemów informatycznych. Evaluation Assurance Level 4 (EAL4) jest uznawany za najwyższy standard bezpieczeństwa - akceptowany przez wiele rządów i firm, tak jak certyfikat ISO.

Dla Red Hat i jego partnerów certyfikacja EAL4 dla RHEL to inicjatywa ważna biznesowo - bez certyfikatu RHEL nie może być brany pod uwagę w żadnych przetargach dla agencji rządowych w USA, a na pewno część z nich chciałaby skorzystać z takiej opcji - nawet jeśli tylko w celu obniżenia cen innych proponowanych im rozwiązań. Co na certyfikacji RHEL na zgodność z EAL4 zyskają natomiast tak zwani zwykli klienci?

Kryteria bardzo ogólne

Będące podstawą EAL tzw. ogólne kryteria w wolnym tłumaczeniu (Common Criteria) nie gwarantują bezpieczeństwa - są tylko zbiorem ogólnikowych zasad, które muszą być przestrzegane. O tym, że standard ten, a w zasadzie jego rzeczywista wartość praktyczna, może nas zmylić, świadczy fakt, że Microsoft Windows 2000 uzyskał ten certyfikat (EAL4) w 2003 r., co nie przeszkadza mu być wysoce podatnym na wiele ataków hakerskich i wirusów. Żadne oprogramowanie open source nigdy nie uzyskało statusu EAL4 - z jednym chlubnym wyjątkiem: Suse Linux (Novell), także przy pomocy strony IBM, uzyskał certyfikat EAL4+.

Na tych dwóch systemach lista certyfikowanych rozwiązań open source się kończy. Czy oznacza to, że koszty certyfikacji przerastają możliwości finansowe dostawców? Publikowanie EAL jako standardu i nazywanie go najwyższym standardem bezpieczeństwa tworzy sytuację, w której małe dystrybucje - w praktyce wcale nie mniej bezpieczne niż certyfikowane - pozostają bez możliwości "konkurencji" z dystrybucjami mającymi wsparcie komercyjnych tuzów. Pytanie, czy jako grupy/projekty nieformalne będą o nie kiedykolwiek zabiegać.

Bez wielkich oczekiwań

Czy RHEL z EAL4 przyniesie nam cokolwiek więcej, niż bogatą dokumentację? Red Hat informuje, że na pewno pojawią się zaprojektowane przez IBM ulepszenia w jądrze systemu, a także pełna implementacja SE Linux (Security Enhanced Linux), czyli zaawansowane mechanizmy kontroli uprawnień procesów. Niestety, aspektów technicznych, takich jak SE Linux czy innych nowych zabezpieczeń działających na poziomie jądra systemu, nie można uznać za zabezpieczenie absolutne.

Twórcy większości dystrybucji, nawet tych bezsprzecznie bardzo bezpiecznych, obawiają się absolutnych stwierdzeń w rodzaju "najbezpieczniejszy system". Wysoka jakość myślenia o bezpieczeństwie emanuje z nich często znacznie dobitniej niż z tego, co można znaleźć w korporacyjnych wersjach Suse Linux lub Red Hat Linux. Wystarczy przyjrzeć się funkcjom zabezpieczeń w polskiej dystrybucji PLD Linux Distribution. Pokora zawsze popłacała - jej brak prowokował hakerów do sprawdzenia, czy deklaracja na pewno odpowiada prawdzie.

Jak zareaguje scena? Najprawdopodobniej nie zrobi nic. Liczba ataków na systemy Red Hat i tak jest kilkakrotnie większa, niż na inne dystrybucje Linuxa. Zainteresowanie tą dystrybucją nie wzrośnie jeszcze bardziej - smutna prawda jest taka, że każdy, kto zaczyna tworzyć wirusy dla Linuxa lub chce włamywać się na serwery, zaczyna od Red Hata. Przy okazji, o ile ataki wirusowe są uniwersalne i zwykle kierowane do szerokiej gamy dystrybucji, o tyle tak rootkity (tylne wejścia), które można znaleźć w Internecie, prawie w 100% są przeznaczone dla systemów Red Hat.

Powtarza się tutaj kazus Windows - cel jest wystarczająco popularny, by nie interesować się pozostałymi. To jest cena za popularność wynikającą z łatwości instalacji, mnogości funkcji, łatwości administracji, słowem - wygody. Taką cenę od lat płaci Microsoft i Red Hat z pewnością zgodziłby się płacić jeszcze większą, byle osiągnąć status taki jak firma z Redmond.

Moda na bezpieczeństwo

Nie można zapomnieć, że certyfikat EAL informuje nas, że "nie powinniśmy instalować w certyfikowanym środowisku nieznanego oprogramowania". Takie oprogramowanie to takie, które nie jest certyfikowane na zgodność z EAL4, a więc ogromna większość oprogramowania biznesowego. Przekładając to na język biznesowy, można powiedzieć, że jeżeli posiadamy certyfikowany system operacyjny i chcemy zainstalować na nim nową aplikację do obsługi księgowości, łamiemy zasady bezpieczeństwa według standardu EAL4! Tyle że gdyby nawet aplikacja była certyfikowana, nikt nie gwarantuje nam, że całość na pewno będzie bezpieczna. Common Criteria to certyfikacja na zgodność funkcjonalności z dokumentacją i zestaw rad.

Nowa wersja RHEL na pewno zaowocuje nowymi problemami - przynajmniej w przypadku mniej doświadczonych administratorów, którzy jedynie doglądają, a nie w pełni konfigurują serwery. Certyfikat EAL4 nakłada konieczność utrzymania bardzo bogatej dokumentacji, co i jak powinien zrobić administrator, by zabezpieczyć swój system. Już samo uruchomienie systemu typu SE Linux wymaga odpowiedniego przeszkolenia. Trzeba przecież umieć w pełni świadomie stworzyć politykę bezpieczeństwa, stworzyć grupy o sensownie ułożonych uprawnieniach - to nie jest coś, co można zrobić wyłącznie na podstawie dokumentacji - do tego trzeba mieć szerszą wiedzę i teoretyczną i praktyczną.

Wiele firm i instytucji woli mieć system certyfikowany, niż "zwykły". Przykładem może być Wlk. Brytania, w której popyt na wiedzę fachową i rozwiązania po zamachach bombowych wyraźnie się ożywił. Szczególnie w sektorze publicznym Anglicy potrzebują dziś setek, jeśli nie tysięcy specjalistów ds. audytów sieci. Być może Red Hat zdecydował się na certyfikację, wierząc, że poprawi tym samym swoje szanse w przetargach, w których bez wysiłku wygrywa dziś Novell z Suse Linux certyfikowanym na poziomie EAL4+.

Można by nawet argumentować, że certyfikacja EAL została stworzona tylko i wyłącznie z myślą o utrzymaniu pozycji dużych dostawców dla rynków rządowych i wielkich kontraktów. Gdyby przejrzeć listę rozwiązań certyfikowanych na zgodność z EAL, widać same wielkie koncerny, takie jak HP, IBM, Novell. Będą tacy, którzy wybiorą certyfikowane rozwiązania głównie ze względu na certyfikat, inni zaś wybiorą je dlatego, że to one będą certyfikowane dla określonej aplikacji bądź sprzętu. Duzi dostawcy będą gwarantować klientom wyższą jakość i lepszą obsługę, klienci zaś, szukając wygody, będą skłonni za to zapłacić. I trudno mieć do nich o to pretensje.

EAL to nie wszystko

Mówiąc o EAL4 jako wyznaczniku standardów bezpieczeństwa oprogramowania, trzeba mówić o rzeczywistych korzyściach, ale jednocześnie o jego oczywistych niedopowiedzeniach i uogólnieniach. Firma sprzedająca korporacyjne produkty nie może nam zagwarantować bezpiecznego systemu - bez względu na to, jak wysoki certyfikat uzyskała. Bezpieczeństwo systemu zależy zawsze w największej mierze od kwalifikacji administratora oraz świadomości i postawy użytkowników.

EAL wskazuje jedynie kierunki tworzenia i konfigurowania zabezpieczeń, podpowiada dobre praktyki, ale certyfikatu na zgodność z EAL nie można uznać za gwarancję bezpieczeństwa. Kluczową sprawą, jak się wydaje, jest jasne określenie przeznaczenia systemu, a następnie wykonanie konfiguracji dla tego właśnie zastosowania z pomocą specjalisty. Ludzi potrafiących zabezpieczyć systemy zgodnie z regułami sztuki jest w kraju relatywnie niewielu - na pewno jest ich znacznie mniej, niż osób potrafiących bardzo sprawnie zarządzać i administrować serwerami - to dwie całkiem różne dziedziny i trzeba sobie z tego zdawać sprawę.

To prawda, że rozwiązania takie jak SE Linux, Grsec, Xarmor i inne, dają lepsze pole do manewru, ale dają je specjalistom, którzy wiedzą, co z nimi zrobić. Certyfikacja na zgodność z EAL czy jakimkolwiek innym standardem spełnia tu jedynie rolę pomocniczą, a nie decydującą. Gdy pojawi się kryzys, certyfikat będzie bez znaczenia, a gwarancja bezpieczeństwa, tak dobrze wyglądająca na slajdach, okaże się ułudą.