ЭПИЦЕНТРЫ
Питер Коффи
Питер Коффи
Судя по планам выпуска Solaris 10, фундаментальные средства безопасности прокладывают себе путь на массовый рынок. Чуть меньше года назад я писал, что привязные ремни не всегда были стандартным элементом автомашин, но сегодня мы рассматриваем их как одно из основных средств безопасности. Приятно отметить, что подобная эволюция теперь набирает силы в области информационных технологий широкого применения, что фундаментальные средства защиты и обеспечение надежности выходят за пределы прежних специальных сфер использования и внедряются на платформах массового спроса.
Речь идет об обещании выпустить до конца этого года операционную систему Sun Solaris 10. Я побеседовал с вице-президентом и директором по технологии программного обеспечения Sun Джоном Фаулером, выступившим на организованной компанией встрече на высшем уровне (Sun Software Summit).
Когда Фаулер заявил, что основанные на ролях права занимают главное место в концепции безопасности Sun, я поинтересовался, означает ли это, что в будущих версиях платформы Sun не будет пресловутой уязвимости Unix-систем, связанной с ипостасью "пользователь-бог", т. е. пользователь, которому предоставлены полный контроль над системой и доступ ко всем ее ресурсам.
Фаулер немедленно подтвердил, что в Solaris 10 по умолчанию не предусматривается корневой пользователь. "Мы больше не веруем в бога", - сказал Фаулер, использовав употребленное мною слово. Это вызвало смех, и он поспешил поправиться. Отбросив теологические проблемы, он пояснил: "Мы больше не верим в корневого пользователя".
Фаулер и другие представители Sun (с ними я разговаривал на той же встрече) дали понять, что это только один из признаков конвергенции массовой Solaris и Trusted Solaris, которая более десяти лет поставлялась клиентам, озабоченным проблемой безопасности.
Доверительные (trusted) системы отличаются тем, что избирательно выделяют частичные привилегии на использование определенных ресурсов. Я всегда считал несколько странным применение термина "доверительный" к системам, которые скорее можно назвать не заслуживающими доверия. Полагаю, причины этого коренятся в различии между системами с подлинным разделением ресурсов и функционирующими в так называемом режиме системного уровня в целом (system high), когда всему персоналу предоставлен доступ к высшему уровню информации, которая обрабатывается, хранится или передается системой. Когда инфраструктура надежно разделяет ресурсы, нет необходимости предъявлять ко всем пользователям одинаково высокие требования.
В редакции eWeek доверительные системы пользуются хорошей репутацией. Во время нашего третьего международного соревнования по безопасности OpenHack, состоявшегося немногим более трех лет назад, разграничение доступа к файлам и сети на уровне ядра впервые за время проведения этих состязаний не позволило ни одному из атакующих взломать систему.
Примечательно, что некоторые атакующие в ходе OpenHack-3 использовали уязвимости уровня приложения, чтобы получить права администратора, но доверительные платформы, установленные на этих испытаниях, не предоставляли неограниченных прав. Таким образом, атакующие не сумели воспользоваться своими полномочиями администратора, чтобы получить доступ к информационным ресурсам, названным нами "сокровищами короны", что было условием для получения приза.
Фаулер в своем выступлении отметил, что избирательные привилегии такого рода быстро становятся не просто хорошей практикой, но и обязательным элементом при проектировании информационных систем масштаба предприятия. "Вспомните закон Сербейнса - Оксли и HIPAA*1, - сказал он. - Вы не должны позволять системным администраторам получать доступ к данным. Иначе люди не поймут вас".
_____
* Принятый в 2002 г. после скандалов с корпорациями Enron и WorldCom закон Сербейнса - Оксли (Sarbanes - Oxley Act) установил сроки и правила хранения деловой информации в фирмах.
HIPAA (Health Insurance Portability and Accountability Act, 1996 г.) нормирует процесс обмена электронными данными, безопасность и конфиденциальность информации о здоровье пациентов. - Прим. пер.
Многие пользователи ПК знают, что имеет в виду Фаулер. Обычно я пытаюсь устанавливать приложения на машинах под Windows 2000, используя только полномочия привилегированного клиента, а не администратора. Многие из этих попыток терпят крах, хотя операционная система и предоставляет такую возможность. Исполняемые на ряде платформ приложения уровня предприятия требуют особых привилегий для записи в системные папки или в реестр. Это распахивает дверь для атакующих, если им удается получить такие привилегии.
Но, как я уже говорил, положение улучшается. Apple Macintosh OS X, как и будущая Solaris 10, не имеет корневого пользователя в конфигурации по умолчанию. Microsoft включила в .Net Framework механизмы, позволяющие разработчикам приложений гораздо яснее и точнее определять права, которые должны - или не должны - предоставляться их приложениям.
Разработчики учатся концентрировать внимание на том, что необходимо, а не пытаться перечислить, что запрещено. Пользователи информационных технологий приучаются смотреть на ремни безопасности как на стандартное оборудование.
С редактором по технологиям Питером Коффи можно связаться по адресу: peter_coffee@ziffdavis.com.
