System w kamizelce
- Paweł Krawczyk,
- 29.03.2004
Można to sprawdzić, logując się do jednego z wielu publicznie dostępnych w Internecie serwerów testowych z systemem Security Enhanced Linux (SEL). Na ich witynach podane są hasła użytkownika root, aby można było się zalogować z uprawnieniami administratora. Szybko można się zorientować, że w porównaniu z kontami innych użytkowników konto root w systemach typu trusted - co wygląda dość egzotycznie - nie obejmuje zbyt wielu przywilejów.
Ależ, oczywiście, posiada je, lecz ich wykorzystanie jest blokowane przez moduł decyzyjny SEL. Bezpieczny system bierze pod uwagę uprawnienia rzeczywiście przyznane kontu root, a nie fakt posiadania przez konto identyfikatora "0", co akurat w systemach Unix ma szczególne znaczenie DAC, MAC, RBAC...
Zasada dobrowolnej kontroli dostępu - Discretionary Access Control (DAC) jest znana większości systemów operacyjnych. Koncepcja DAC przewiduje, że użytkownik sam określi zakres swoich praw do zasobu - ostateczna decyzja jest pozostawiana właścicielowi zasobu. Takie podejście jest jednak sprzeczne z logiką działania wielu organizacji, w których końcowi użytkownicy systemów informatycznych nie są właścicielami przetwarzanych informacji. Innymi słowy, zakłada się, że zasady dostępu do informacji określa instytucja, a nie jej szeregowi pracownicy.
Informacje o klasyfikacji danego zasobu powinny być przenoszone razem z nim, a wymuszanie ich stosowania powinno być obowiązkowo narzucane przez system informatyczny, a nie pozostawiane dobrej woli pracownika. Taką politykę realizują w systemach trusted mechanizmy Mandatory Access Control (MAC). Każdy zasób ma etykietę, określającą zasady dostępu do niego. Zasady te są wymuszane przez system informatyczny niezależnie od zamiarów czy widzimisię użytkownika.
W większości organizacji uprawnienia dostępu do zasobów informatycznych są ściśle powiązane z funkcją/rolą, jaką osoba w niej pełni. Jeśli ktoś pracuje w dziale księgowości, ma dostęp do informacji księgowych określonego poziomu. W przypadku roli handlowca niezbędne zasoby będą obejmować głównie cenniki i aktualne stany magazynowe. Te same informacje będą całkowicie zbędne osobie pracującej jako serwisant. Taka konstrukcja systemu uprawnień - zwana Role Based Access Control (RBAC) - oznacza dostęp do danych wynikający z pełnionej funkcji.
To kolejna fundamentalna zasada "utwardzanych" systemów.
Wielki Brat nie śpi
W systemach przetwarzających informacje w sposób zaufany nie ma miejsca na "przypadkowy" dostęp do danych albo na dostęp "z ciekawości". Aby zapobiec nieuprawnionemu dostępowi, wszystkie wykonywane w systemie operacje są skrupulatnie i w sposób niewidoczny dla użytkowników rejestrowane. Służą do tego dwa rodzaje mechanizmów.
Pierwszy z nich to monitor naruszeń dostępu odnotowujący jedynie fakt zaistnienia naruszenia reguły bezpieczeństwa i nic ponadto. Przykładowo, pani z recepcji ośrodka zdrowia usiłuje dostać się do danych o pacjencie, do których dostęp ma tylko lekarz specjalista.
Druga kategoria obejmuje mechanizmy, które na bieżąco śledzą i rejestrują każdą operację wykonywaną na zastrzeżonych danych. Pozwala to na wychwycenie anomalii, np. gdy osoba posiadająca klauzulę dopuszczenia do informacji na pewnym poziomie próbuje uzyskać dostęp do rekordu lub dokumentu, który nie jest potrzebny do wykonywanej pracy.
Ten problem ćwiczymy ostatnio na własnym podwórku. Niedawne zarzuty Głównego Inspektora Ochrony Danych Osobowych wobec systemu Poltax dotyczyły głównie właśnie braku rejestracji dostępu szeregowych pracowników urzędów skarbowych do informacji poufnych, jakimi są dane podatników.
Kto jest godny zaufania
Systemy typu trusted są wykorzystywane praktycznie tylko przez tych, którym prawo lub polityka instytucji nie pozostawia innego wyboru. Z systemów zaufanych korzystają zatem przede wszystkim organizacje podlegające ustawom analogicznym do polskiej Ustawy o ochronie informacji niejawnych oraz instytucje rządowe. Teoretycznie zakres podmiotów, które powinny przetwarzać informacje w sposób zgodny ze standardami systemów zaufanych, jest znacznie szerszy.
Z prawnego, a także zdroworozsądkowego punktu widzenia z systemów typu trusted powinny korzystać wszystkie firmy i instytucje przetwarzające dane osobowe. Jest jednak inaczej. Zdarzające się wciąż kradzieże dużej liczby numerów kart kredytowych ze sklepów internetowych sugerują, że w wielu przypadkach te ściśle poufne informacje są przetwarzane przez systemy ogólnego przeznaczenia, a na dodatek słabo zabezpieczone.
To pokazuje, że w dziedzinie bezpieczeństwa pewien przymus jest konieczny. Bo choć, obiektywnie rzecz biorąc, bezpieczeństwo jest pożądane, w codziennej praktyce jego zachowywanie nie jest ani łatwe, ani przyjemne. Nie chodzi tu wcale o zawiłości techniczne, lecz przed wszystkim o konieczność poświęcenia czasu i wysiłku na precyzyjne określenie uprawnień potencjalnych użytkowników, ich wzajemnych relacji, kierunków przepływu informacji między nimi oraz stopnia ich tajności. To najtrudniejszy krok - potem już idzie jak z płatka.
Trusted Solaris jest dostępny zarówno dla platform SPARC, jak i x86. W latach 2002-2003 system został certyfikowany na wysoki poziom EAL4+ wg europejskiej klasyfikacji ITSEC, a wcześniej na poziom B1 wg amerykańskiego standardu Orange Book.