Kan Windows styre missiler? Certificering af software 1
Dette er første del af to blogindlæg om certificering af software. Du kan læse det andet blogindlæg her.
I denne artikel hævder Dan Klein, der jo var key note på Open Source Days, at det offentlige skal lægge mindre vægt på at træne brugerne i sikker adfærd og i stedet arbejde mod certificering af software.
Men hvordan er det nu lige, det er med certificering af software?
Bell-LaPadula Ligesom det amerikanske forsvar gav os det, som senere blev til Internet, var det også det amerikanske forsvar, der lagde grunden til det, som efterhånden er blevet en international standard for evaluering af sikkerhed.
I 1970?erne var det amerikanske forsvar bekymret for sikkerheden i deres mainframe-systemer, hvor der i stigende grad blev opbevaret klassificerede data. Resultatet blev den første matematiske model (Bell-LaPadula) for en sikkerhedspolitik, der kunne håndtere information og brugere, som var klassificeret på flere niveauer.
Bell-LaPadula-modellen sikrer, at information, der fx er klassificeret 'Hemmelig' ikke kan læses af brugere, der kun er sikkerhedsgodkendt til 'Fortrolig'. Samtidig sikrer modellen, at en bruger med klassifikationen 'Tophemmelig' ikke kan kompromittere tophemmelig information ved fx utilsigtet at overføre oplysninger til tekster, der har et lavere klassifikationsniveau. Med andre ord regulerer modellen brugernes adgang til at læse på et højere niveau, end deres egen sikkerhedsgodkendelse tillader, samt deres adgang til at skrive til et niveau, der er under deres egen sikkerhedsgodkendelse.
Bell-LaPadula er en fortrolighedsmodel, der regulerer informationsflowet.
Orange Book
Da modellen var på plads, manglede det amerikanske forsvar et regelsæt for vurdering af modellen. Det blev til Trusted Computer System Evaluation Criteria (TCSEC), der siden naturligt nok er blevet kaldt Orange Book efter farven på bogens omslag.
Orange Book bruges til at undersøge, dels om styresystemer og applikationer har de sikkerhedsegenskaber, som leverandøren hævder, samt dels som et sammenligningsgrundlag for købere af de enkelte undersøgte produkter. Endelig kan leverandører bruge specifikationerne som udviklingsgrundlag i forbindelse med frembringelsen af ny produkter.
Orange Book opererer med fire sikkerhedsniveauer: D (minimal), C 1-2 (discretionary), B 1-3 (mandatory) og A (verfied), hvor er A det højeste. D tildeles produkter, der er blevet undersøgt, men som ikke levede op til de ønskede krav. C 1-2 tildeles produkter, der bl.a. anvender adgangskontrol efter et skøn. Microsoft NT blev tildelt C1, da der var tvivl om, hvorvidt data ikke blev tilstrækkeligt slettet efter brug, hvilket er et af kravene for C2. B 1-3 tildeles produkter, der bl.a. anvender tvungen adgangskontrol og som er baseret på Bell-LaPadula-modellen. A er den højeste vurdering. Der er ikke den store forskel på fx B3 og A, men produktet undersøges mere struktureret og efter strengere regler.
Orange Book dækker produkter, der ikke er koblet sammen med andre computere, og den er derfor i perioden 1985-2000 blevet suppleret af et framework for sikring af netværk kaldet Trusted Network Interpretation (TNI), der blev kendt som Red Book.
I praksis var det selvfølgelig utilfredsstillende, og da Orange Book lægger sig så tæt op af Bell-LaPadula, som jo er en militær model for informationsflow, har der løbende været en række tiltag til nyere modeller for certificering af software. Andet blogindlæg om certificering af software.
Kommentarer (7)
On December 02, 1999, the US Government announced that Microsoft Windows NT Server and Workstation 4.0 had completed a successful evaluation at the C2 level according to the Trusted Computer System Evaluation Criteria (TCSEC). The TCSEC, more familiarly known as the "Orange Book", is perhaps the best-known governmental evaluation process for IT systems. C2 is widely acknowledged to be the highest evaluation rating that can be achieved by a general-purpose operating system.
-
0 -
0
Og C2 kun kan vurderes på maskiner, der ikke er forbundet til noget andet (ud over strøm velsagtens). Specielt ikke et netværk.
-
0
-
0
Det er jo ikke meget andet end en måde til at beskrive hvilke mål for sikkerhed et produkt har. Det kan også være meget godt, og man ved at et produkt med en lav rating ihvertfald ikke er optimalt.
Men det hele falder jo til jorden lige så snart der opstår et sikkerhedshul.
Hvordan certificerer man sig ud af problemer med sikkerhedshuller?
-
0
-
0
En certificering er i pricippet bare en uafhængig vurdering af hvorvidt noget lever op til bestemte standarder. Det står vel i standarden hvordan man behandler bugs??
-
0
-
0
Jeg husker også noget om at godkendelsen var betinget af at diskettedrevet i maskinen var fjernet/blokeret.
-
0
-
0
Som jeg læser Jesper Laisen artikkel, kan Windows ikke styre misiler. Jeg går ud fra, at det kræver godkendelse, til mindst sikkerhedsniveau A.
Med hensyn til at sikre mod sikkerhedshuller, kan dette ikke umiddelbart gøres, hvis du "bare" får noget windows eller linux kode. Her, skal du have styr på selve processen, at frembringe koden, og sikre at specifikationerne opfylder standarden, ikke er gennemhullede, tilstrækkeligt simple beskrevne, og tilstrækkeligt mange hold, skal arbejde uafhængigt, og komme til ensartede konklussioner. Det kan opnås på flere måder, men du har behov for, at styre selve frembringelsen af softwaren.
-
0
-
0
C2 kan fint bruges på maskiner med netværk.
Det var blot Microsoft der smarte som de var havde begrænset HVAD der skulle testes, og bagefter kunne man med ro i stemmen sige "NT blev certificeret C2" og sælge det.
Problemet med C2, som iøvrigt er erstattet med Common Criteria er at man selv vælger hvad der skal certificeres, og hvis kunden så senere vælger at implementere en anden konfiguration - er det ikke en certificeret konfiguration.
HVIS man tillagde certificeringerne nogen vægt ville Windows aldrig være indført i det danske militær ;-)
-
0
-
0
