╚ßst 15 - CW 25/97

Dostupnost a zodpov∞dnost

Firma Jah∙dka & Bor∙vka pou₧φvß ke sprßv∞ skladu s ovocem a zeleninou slu₧by n∞kolika Φidel kontrolujφcφch teplotu a vlhkost na r∙zn²ch mφstech skladu. K Φemu jφ budou p°esnß m∞°icφ Φidla, kdy₧ v²sledky m∞°enφ nelze hodnotit centralizovan∞, nebo je p°φpadn∞ nelze zjistit v∙bec? K Φemu bude 22 ÜpiΦkov²ch Φidel, pokud je obΦas n∞kdo vypne a nelze zjistit, kdo je vypnul, p°φpadn∞ kdy a odkud?

Podφvejme se na dva v²znamnΘ aspekty bezpeΦnosti, kterΘ se nejevφ p°φliÜ "sexy" v∞hlasn²m odbornφk∙m a kter²m se p°i akademickΘm v²zkumu tudφ₧ nev∞nuje velkß pozornost. Nßsledujφcφ °ßdky vÜak jsou velice v²znamnΘ pro nejednoho sprßvce systΘmu.

Dostupnost

Za prost°edky IT platφme v∞tÜinou "t∞₧kΘ" penφze a tak od nich oΦekßvßme, ₧e skuteΦn∞ umo₧nφ (lepÜφ) zpracovßnφ informacφ. Jen v n∞kter²ch p°φpadech nßm jde o ochranu dat ve smyslu zajiÜt∞nφ d∙v∞rnosti, ve vφce p°φpadech nßs zajφmß integrita dat, ale snad v ka₧dΘm p°φpad∞ vyu₧itφ IT je kritickß dostupnost dat. Odmφtnutφ slu₧by je velmi zßva₧n² ·tok -- a¥ u₧ se jednß o ·plnΘ zabrßn∞nφ autorizovanΘmu p°φstupu nebo o zpo₧d∞nφ Φasov∞ kritick²ch operacφ. Jedna definice struΦn∞ zmi≥uje "neautorizovanΘ zadr₧enφ informacφ nebo zdroj∙, jeho₧ p°φΦinami mohou b²t nßhodnΘ i zßm∞rnΘ operace."

Asi nejv∞tÜφ popularity v tΘto oblasti se dostalo programu Roberta Morrise Jr., kter² v roce 1988 sv²m internetovsk²m Φervem zahltil Internet. Jin² zajφmav² p°φpad zmi≥uje firmu Panix, kterß je jednφm z hlavnφch poskytovatel∙ p°ipojenφ k Internetu v New Yorku. Ta byla na n∞kolik dn∙ doslova "polo₧ena", kdy₧ n∞kdo vyvolal ·tok vysφlßnφm velkΘho mno₧stvφ paket∙ SYN a na ₧ßdnou z odpov∞dφ nereagoval -- tak₧e servery Panixu se sna₧ily synchronizovat a synchronizovat, buffery p°etΘkaly, ostatnφ u₧ivatelΘ se marn∞ sna₧ili p°ipojit. Servery Panixu to nakonec nevydr₧ely.

Je rozumnΘ p°edpoklßdat, ₧e v ·vodu zmi≥ovanou firmu Jah∙dka & Bor∙vka nebude p°i p°enosu informacφ z Φidel ve skladu zajφmat zajiÜt∞nφ d∙v∞rnosti dat, ale primßrn∞ zajiÜt∞nφ dostupnosti dat a sekundßrn∞ zajiÜt∞nφ integrity. Pro zajiÜt∞nφ d∙v∞rnosti by staΦilo "jen" n∞co kryptografie, co ale s dostupnostφ? Tady je t°eba polo₧it si mnoho otßzek a nalΘzt pat°iΦnΘ odpov∞di: Lze s Φidly manipulovat? Lze ohrozit komunikaci Φidel a sφt∞ pro p°enos dat z Φidel? Nelze ohrozit sφ¥ samotnou?

Prof. Roger Needham zmi≥uje v zajφmavΘm Φlßnku (Denial of Service: An Example; Communications of ACM 9/94) odmφtnutφ slu₧by v p°φpad∞ poplaÜn²ch za°φzenφ. Ta jsou Φasto propojena s pultem centrßlnφ ochrany pronajatou (telefonnφ) linkou. Cφlem ·toΦnφk∙-zlod∞j∙ je zabrßnit tomu, aby se signßl z poplaÜnΘho za°φzenφ dostal k ochrannΘ slu₧b∞. Jednφm z nejpou₧φvan∞jÜφch trik∙ je jednoduchΘ poÜkozenφ drßt∙ telefonnφ linky v noci, kdy jsou na mφsto ihned poslßni lidΘ z ochranky i od telefonnφ spoleΦnosti. Ti si obvykle °eknou, ₧e oprava m∙₧e do rßna poΦkat -- zlod∞ji si takΘ poΦkajφ, spoΦφtajφ p°ichßzejφcφ i odchßzejφcφ techniky a pokud nula od nuly pojde, tak objekt bez problΘm∙ vykradou. DalÜφm mo₧n²m ·tokem je vyvolßnφ poplachu na vφce mφstech souΦasn∞, nejlΘpe dokonce vyslßnφ poplaÜnΘho signßlu na vÜech linkßch vedoucφch k ochrance. Ji₧ se takΘ stalo to, ₧e zlod∞ji vyhodili do vzduchu p°φmo ·st°ednu telefonnφch rozvod∙...

Je takΘ jasnΘ, ₧e odmφtnutφ slu₧by m∙₧e b²t vedeno selektivnφm nebo neselektivnφm zp∙sobem. ┌tok neselektivnφm zp∙sobem je v₧dy rozpoznateln² velkou v∞tÜinou u₧ivatel∙ (nap°. vyhozenφ ·st°edny), p°i selektivnφm ·toku je cφlem vybran² u₧ivatel nebo skupina u₧ivatel∙ a nenφ vÜeobecn∞ jasnΘ, ₧e je/byl n∞jak² ·tok realizovßn.

Protiopat°enφ? Detailnφ diskuze by zabrala celΘ Φφslo Computerworldu, v zßsad∞ jsou vÜak dv∞: uΦinit poruchy obtφ₧n²mi a pokud u₧ nastanou, tak o nich vΦas v∞d∞t. Mnohdy pom∙₧e Üifrovßnφ (aby oponent nev∞d∞l, jakou zprßvu Φidlo vyslalo) Φi mechanismy zabra≥ujφcφ anal²ze provozu (traffic analysis). TΘm∞° v₧dy je pot°eba zajistit ochranu integrity, Φasto je ale nutnΘ spolΘhat "jen" na reakce na poruchy. Äßdoucφ je rovn∞₧ dob°e se pojistit. Pro mnohΘ obecn∞jÜφ a "mΘn∞ kritickΘ" aplikace IT je Φasto vhodn²m °eÜenφm spolehlivΘ zßlohovßnφ, ulo₧enφ kopiφ kritick²ch dat v bankovnφch sejfech atd. Dnes takΘ nenφ nijak p°ekvapujφcφ nap°. uklßdßnφ velmi kritick²ch dat (kryptografickΘ klφΦe vrcholn²ch certifikaΦnφch autorit ap.) v bunkrech, zvlßÜtnφch mφstnostech ve skalßch atd. ┌pln∞ zvlßÜtnφ otßzkou jsou problΘmy burz a clearingov²ch st°edisek.

Zodpov∞dnost

Pokud n∞kdo s Φidly manipuloval, je velmi zßhodno v∞d∞t, kdy se tak stalo, kdo byl v danΘ dob∞ ve skladu atd. Zodpov∞dnost (accountability) je vlastnost, kterß v obecnΘm smyslu chybφ nejen mnoh²m Φesk²m politik∙m, ale takΘ bohu₧el ve spoust∞ informaΦnφch systΘm∙. Mo₧nß by takΘ bylo v²sti₧n∞jÜφ °φkat individußlnφ nebo prokazatelnß zodpov∞dnost. ╚asto se zmi≥uje v souvislosti s auditem, kter² ji sice podporuje, ale v ₧ßdnΘm p°φpad∞ tyto dva pojmy nelze spojit rovnφtkem. Formßlnφ definice zodpov∞dnosti v bezpeΦnosti by byla asi: vlastnost, kterß zajiÜ¥uje evidenci udßlostφ spojen²ch s bezpeΦnostφ ve vztahu k u₧ivatel∙m. Tato vlastnost zajiÜ¥uje, ₧e jednotlivΘ akce spojenΘ s urΦitou entitou mohou b²t zp∞tn∞ vysledovßny.

Audit ale slou₧φ takΘ k jin²m v∞cem ne₧ k prosazenφ zodpov∞dnosti -- velmi v²znamn² je pro detekci pr∙niku (intrusion detection), kterß je obvykle zalo₧ena prßv∞ na anal²ze auditnφho zßznamu (audit trail), resp. jeho jednotliv²ch polo₧ek (audit record). Zde panuje ohledn∞ p°esnΘ terminologie znaΦn² zmatek, proto struΦn∞:

* auditovanß udßlost (audit event) -- systΘmem detekovanß akce, kterß m∙₧e vyvolat spuÜt∞nφ a zßpis auditu, pak se jednß o zaznamenanou udßlost;

* auditnφ zßznam (audit trail) -- evidence, kterß umo₧≥uje kontrolu funkΦnosti Φßstφ systΘmu a vyu₧itφ systΘmu;

* polo₧ka auditnφho zßznamu (audit record) -- skupina dat zaznamenanß v auditnφm zßznamu p°i v²skytu zaznamenanΘ udßlosti; polo₧ka auditnφho zßznamu se sklßdß z popisu auditu, z nich₧ ka₧d² mß mno₧inu souvisejφcφch atribut∙ auditu;

* popis auditu (audit description) -- Φßst polo₧ky auditnφho zßznamu, kde je popsßn jeden ze subjekt∙ nebo objekt∙, kterΘ se na n∞jakΘ zaznamenanΘ udßlosti podφlely;

* atribut auditu (audit attribute) -- urΦitß informace o zaznamenanΘ udßlosti nebo o jednom ze subjekt∙ Φi objekt∙, kterΘ se na udßlosti podφlely.

Pokud se tedy zdß, ₧e s Φidly n∞kdo manipuloval, pak je t°eba zjistit, kterß Φidla jsou posti₧ena a prohlΘdnout odpovφdajφcφ popisy auditu. U systΘm∙, kterΘ proÜly nezßvisl²m hodnocenφm bezpeΦnosti podle TCSEC (tzv. Oran₧ovß kniha, o kterΘ bude °eΦ pozd∞ji), je audit podmφnkou u OS hodnocen²ch na C2 a v²Üe. Sßm audit je k niΦemu, kdy₧ se nevyu₧ije pro zjiÜt∞nφ vinφka a hlavn∞ pro zajiÜt∞nφ nßpravy -- jak u posti₧en²ch Φßstφ systΘmu, tak p°i potrestßnφ vinφka a varovßnφ ostatnφm: "Chytnu vßs a dostanete p°es prsty, k nßm do skladu se lozit nevyplatφ!"

Serißl je rovn∞₧ dostupn² na www.idg.cz/computerworld/bvsk/