La seguridad se puede probar, pero hay que entender lo que se demuestra

enlace

  

Nuestra declaración de prueba en lenguaje natural de alto nivel es la siguiente:

     

El código binario del microkernel seL4 implementa correctamente el comportamiento descrito en su especificación abstracta y nada más. Además, la especificación y el binario seL4 satisfacen las propiedades de seguridad clásicas llamadas integridad y confidencialidad.

     

Integridad significa que los datos no se pueden cambiar sin permiso, y confidencialidad significa que los datos no se pueden leer sin permiso.

     

Nuestra prueba incluso va un paso más allá y muestra que los datos no se pueden inferir sin permiso, hasta cierto punto. Se sabe que los llamados canales del lado de la información (también llamados canales ocultos) existen. La prueba solo cubre los canales de inferencia de información que están presentes en el modelo formal: la prueba de confidencialidad cubre todos los canales de almacenamiento en el kernel, pero excluye los canales de tiempo que deben tratarse empíricamente.

Entonces, ¿por qué no todos usan simplemente sel4? (Actualmente, el lugar donde es más probable que se encuentre es en el procesador TrustZone de algunos dispositivos de Apple).

La respuesta es que la prueba solo cubre el kernel, no cualquier software de espacio de usuario que desee ejecutar. No hay un servidor web seguro y probado, por ejemplo, y mucho menos implementaciones de lenguaje para las aplicaciones que desee ejecutar en él. Y también tendrías que probar que tu aplicación web es segura. Desarrollar estas cosas requerirá una gran inversión, que ninguna gran empresa está interesada en hacer.

Los sistemas de alta seguridad generalmente son atacados en la clave y el punto de administración de inicio de sesión

No importa qué tan seguro esté el sistema si su administrador deja su contraseña en pastebin por error. Justo el otro día, vimos a un empleado de TSA publicar una foto de las llaves físicas (físicas) de TSA para candados de equipaje en Twitter, por lo que ahora todos están comprometidos. Contraseñas débiles, contraseñas adivinables, contraseñas almacenadas de forma insegura, tokens de seguridad de hardware incorrectos, huellas dactilares copiadas: todos estos son posibles vectores de ataque.

"Ninguna defensa perfecta es fundamentalmente posible".

En el ajedrez, tienes 64 casillas, 2 personas jugando y un conjunto de reglas inmutables y comúnmente conocidas.

En las infraestructuras de servidores, hay una cantidad incalculable de activos y formas de abordar esos activos, un número desconocido de personas jugando y reglas que cambian constantemente con jugadores que intentan deliberadamente doblar, romper o eludir las reglas.

Considere 2 elementos que demostrarán mi punto: cero días y barras de chocolate .

En primer lugar, los días cero cambian las reglas mientras se juega el juego. Mientras que un lado obtiene el beneficio de este elemento, el otro desconoce la ventaja y es posible que aún sea incapaz de contrarrestar estos ataques, incluso si finalmente se conocen. Cada día cero es una nueva regla que se aplica de manera desigual al juego. Incluso si una "estrategia de seguridad perfeccionada" se puede diseñar y aplicar perfectamente, cero días puede significar que la estrategia se basa en puntos débiles desconocidos que tal vez nunca sean conocidos por el lado defensor.

En segundo lugar, las barras de chocolate pueden hacer más para romper la seguridad de una infraestructura que cualquier otro elemento. Lo que quiero decir es que las personas pueden ser sobornadas o seducidas para que "cambien de lado" y otorguen ventajas al lado opuesto, a veces por algo tan pequeño como una barra de chocolate (según muestran los estudios). Phishing, sobornos, fuga de datos, etc. son parte del lado humano del juego que la tecnología no puede explicar por completo. Mientras haya un humano con poder en la infraestructura, siempre existirá esa debilidad en el sistema.

¿Qué hacer?

En la historia, vemos múltiples situaciones en las que un pequeño intento de defensa fue derrotado por algo pequeño e imprevisto (por ejemplo, las puertas de la Gran Muralla de China se abrieron a una concubina que era un agente doble para los mongoles). El objetivo, como defensores, no es montar la defensa perfecta, sino diseñar una infraestructura resistente y transparente donde los ataques se puedan ver de forma rápida y respondan por completo. No muros más altos, sino milicias más alertas. No cimientos inquebrantables sino una arquitectura reemplazable.

Nadie ha encontrado ninguna razón en particular para creer que haya encontrado tal sistema.

Mencionas el ajedrez, que es un buen juego en una cuadrícula de 8x8. Tenga en cuenta que un servidor moderno es un poco más complicado que eso. En su lugar, vamos a jugar en un tablero de 65536x65536, para hacerlo más realista. Además, en Ajedrez, cuanto más juegas, menos posiciones son posibles. En cambio, un sistema más realista es como Go. Cuanto más juegues, más se entrelazará la posición. Observaré que el juego de Go hace que nuestro trabajo en las computadoras de Ajedrez parezca insignificante.

Conway, alrededor de 1970 o algo así, intentó romper el juego de Go. Encontró que a menudo el tablero parecía dividirse en subjuegos, cada uno de los cuales se jugaba en su espacio para sumar al ganador final. Encontró que la forma en que trabajaban juntos era muy complicada. Como resultado, encontró números surrealistas, un esquema de números que es literalmente más vasto que los números reales que usamos en física. No es broma, en realidad es más fácil predecir el clima a nivel mundial que ganar en Go por dividir y vencer. ¿Podría haber un caso de "ganar" aquí? Quizás. Buena suerte encontrándolo. La única forma de saberlo con certeza es tener en cuenta la junta completa de 65536x65536, todas a la vez.

Kevin Mitnick en uno de sus libros comentó lo siguiente:

  

La única computadora verdaderamente segura es aquella que está desconectada de Internet, apagada, desconectada, almacenada en un búnker de concreto, bajo guardia armada. E incluso entonces, lo revisaría de vez en cuando ".

Este sistema probablemente existe, pero probablemente no lo encontremos

Tenemos muchos algoritmos para usar en Seguridad. Algunos de ellos probablemente sean correctos. Específicamente, algunos de ellos probablemente sean exponencialmente difíciles de romper. De hecho, sabemos que algunos son absolutamente imposibles de romper (un pad de tiempo). El problema es implementación .

La seguridad no se trata de quién es más inteligente. La seguridad es sobre el cuidado del defensor v.s. La inteligencia y creatividad del atacante. Un defensor no tiene que ser brillante si puede seguir un algoritmo con mucho cuidado. Defensa perfecta v.s. La ofensiva perfecta resulta en un vencedor defensivo en tierra de seguridad.

El problema es que los servidores son a menudo máquinas complejas. Usted tiene el sistema operativo y las miradas de programas, y diferentes protocolos y lenguajes de programación y AHH. Es casi imposible tener una seguridad perfecta en ese entorno.

Por otro lado, si un sistema es lo suficientemente simple, un humano probablemente puede hacerlo perfecto. Por ejemplo, tengo un mensaje, $ M $, codificado como un número del 1 al 6. Ahora lanzaré un dado, que será la clave $ K $, y agregaré $ M $ y $ K $ modular $ 6 $ , para obtener el texto cifrado $ C $.

El texto cifrado es $ 5 $. ¿Cuál fue el mensaje?

Este es un ejemplo tan simple que podría considerar todas las posibilidades. Por otro lado, un servidor es bastante complejo.

¿Qué consejo podemos extraer de esto? Manténgalo simple, estúpido. (El principio K.I.S.S.) Aunque es probable que esté fuera de nuestra capacidad humana hacer un servidor perfecto, cuanto más simples sean el servidor y nuestros algoritmos, mejor. Documente su código, hágalo comprensible, hágalo simple. Cada línea de código tiene una razón. Use un sistema operativo simple (Nota: no confunda simplicidad con facilidad de uso. Piense en Arch Linux, no en iOS). Mantenga solo el mínimo de programas. Elige un lenguaje de programación con una definición pequeña, y sin reglas extrañas y demás (te estoy mirando, javascript). Aunque esto no lo hará perfecto, recorrerá un largo camino para hacerte más seguro.

La comparación con el ajedrez es interesante porque muestra lo que no es proteger un sistema. En comparación con el ajedrez, el juego entre los buenos y los malos en seguridad informática no tiene reglas fijas, no sabes quiénes son tus oponentes y puedes ser atacado fuera del tablero de ajedrez. Y si el oponente pierde una figura, puede obtener una nueva mientras que usted no.

• Tiene recursos limitados (tiempo, dinero, conocimiento) para proteger sus sistemas. Los atacantes también tienen recursos limitados, pero si eres un objetivo interesante, habrá suficientes piratas informáticos interesados que, en total, podrían tener más recursos que tú.
• Con estos recursos limitados tienes que asegurar todo. Esto significa cerrar todas las formas posibles (y probablemente desconocidas para usted) / explotación que un atacante podría usar para ingresar. El atacante solo debe encontrar una forma de entrar y usarlo.
• Aparte de eso, tiene un conflicto entre usabilidad y seguridad. Simplemente eche un vistazo al control de acceso con contraseñas, formas de restablecer contraseñas olvidadas, etc. Estas son, por diseño, no son 100% seguras porque son una compensación entre seguridad y usabilidad. Podría mover a todos sus usuarios a métodos más seguros como la autorización de dos factores, certificados de clientes, tarjetas inteligentes, etc., pero estos podrían ser demasiado inconvenientes para los usuarios y perdería clientes. Y tampoco son 100% seguros, solo son más seguros que las contraseñas.
• También tiene un conflicto entre la seguridad y el rendimiento. Cuanto más se analicen todos los datos entrantes para detectar ataques, más lento será. Si bien puede lanzar más hardware al problema, no se escalará linealmente, por lo que tendrá que encontrar un equilibrio entre la velocidad y la profundidad del análisis.
• Y tienes que lidiar con el software que es inseguro. Puede ser de código cerrado, por lo que no puede buscarlo ni repararlo, pero incluso con el código abierto no tiene el tiempo ni la experiencia para descubrir errores o puertas traseras ocultos accidental o deliberadamente. Incluso si tuviera todo el dinero y los mejores expertos que podría obtener por el dinero que tiene un tiempo limitado para realizar la evaluación y el análisis, no se escalará linealmente con la cantidad de expertos (es decir, no ayuda obtener 1000 expertos si hay que analizar 1000 líneas de código, porque estas 1000 líneas no son independientes entre sí).
• Y, finalmente, están las personas que protegen su infraestructura y también tienen acceso a ella. Son humanos, por lo que pueden ser atacados con ingeniería social, sobornados, chantajeados ...

En resumen: mientras que en teoría puede tener recursos ilimitados (tiempo, dinero, conocimiento, hardware rápido ilimitado) para proteger un sistema y solo tiene clientes que son expertos y que prefieren métodos de acceso seguros y convenientes, en realidad usted no 't Siempre habrá una manera de entrar, así que debes estar preparado para ello. No crea que nunca logrará una infraestructura 100% segura, sino que cree una infraestructura que no solo sea robusta contra ataques externos, sino que pueda detectar un compromiso y recuperarse lo más rápido posible. El daño podría estar hecho, pero debería ser limitado.

Supongamos que la seguridad es como el ajedrez

A diferencia de la mayoría de la gente aquí, en realidad sé bastante sobre el ajedrez y lo suficiente sobre seguridad para hacer de esta una respuesta útil.

Si considera el ajedrez, encontrará que:

  

El número de posibilidades es tan grande que ninguna estrategia práctica las cubre todas explícitamente

Por lo tanto, como también vemos en la práctica, el participante más fuerte tiene más probabilidades de ganar. Pero aún así, siempre existe la posibilidad de que una persona fuerte / jugador de computadora pierda a uno (mucho) más débil.

Así que para concluir:

A menos que sepa el movimiento correcto en cada situación posible, no es posible una defensa perfecta

Una defensa perfecta es fundamentalmente posible.

En realidad, soy mediocre en el ajedrez, pero es trivial para mí el estancamiento de los mejores jugadores del mundo e incluso puedo estancarme en las computadoras de juego de ajedrez más rápidas y mejores.

Simplemente me siento en mis manos y espero a que se acabe el tiempo y el gran maestro de ajedrez no puede reclamar una victoria sobre mí.

Del mismo modo, el servidor impenetrable nunca responde a las solicitudes de los clientes y no puede ser derrotado ni por el pirata informático más inteligente.

A pesar de su perfecta seguridad, es totalmente inútil.

La seguridad de la información es fundamentalmente diferente al ajedrez. El ajedrez es un modelo pobre para aplicar a la seguridad de la información, aunque las diferencias entre los dos pueden ser esclarecedoras.

El ajedrez es un juego de información perfecta. Ambas partes saben exactamente dónde están todas las piezas en todo momento. En la seguridad de la información, gran parte de la información está oculta, y una de las partes puede obtener una ventaja al tener más información que la otra. "El más inteligente" no tiene nada que ver con esto.

El ajedrez es un juego donde todas las reglas son conocidas y establecidas. En la seguridad de la información, la existencia de reglas es, en el mejor de los casos, cuestionable. Las "Reglas" se consideran mejor como un entorno y, por lo tanto, como un objetivo móvil.

El ajedrez es un juego de suma cero. En seguridad de la información, todos pueden perder, todos pueden ganar, nadie puede ganar, y ganar y perder no pueden significar nada.

El ajedrez es un juego con dos jugadores. La seguridad de la información tiene múltiples actores con diferentes motivaciones (consulte "no es un juego de suma cero").

El ajedrez tiene una ganancia y una pérdida claramente definidas. Las ganancias son completas, y las pérdidas son completas. La seguridad de la información es mucho más fangosa y en absoluto blanca y negra. El sistema se puede comprometer parcialmente y las pérdidas se mitigan.

Sí. Una infraestructura de servidor nula es fundamentalmente imposible de romper.

Ningún servidor = nada que infringir = fundamentalmente imposible de infringir.

Cualquier otra cosa es fundamentalmente posible de violación.

Obviamente, no existe una solución técnica perfecta para evitar un error humano o evitar que un atacante soborne a su administrador de sistemas. Pero si nos fijamos en el aspecto técnico puramente determinista de esto, entonces la respuesta es (trivial) sí.

Puede ver un sistema conectado a la red como una función. Tiene alguna función que desea calcular, donde las entradas son un estado del sistema y los bits que entran por el cable y las salidas son un nuevo estado del sistema y los bits se envían por el cable. Si la función es computable, entonces hay una implementación del sistema que hará exactamente eso.

El problema es que decidir si un sistema dado computa perfectamente una función es imposible en general, y es imposible determinarlo con certeza en la práctica cuando el comportamiento del sistema es complejo. Por lo tanto, una persona cuyo sistema es realmente impenetrable (de nuevo, desde esta perspectiva técnica limitada) nunca podría estar seguro de ello. A la inversa, alguien que está completamente seguro de la seguridad de un sistema muy complejo, casi seguro mantiene esa creencia de manera irracional.

La verdadera pregunta detrás de esto es más bien: ¿cuántos recursos estás dispuesto a gastar para romper la defensa? ¿Y cuál es el nivel mínimo de seguridad que se puede considerar perfectamente seguro? No hay acceso a lo que es tan nunca? ¿Accediendo a algún dato aleatorio? ¿O solo acceder a los datos que se pueden usar para obtener ganancias se considera una violación?

Para usar tu ejemplo de ajedrez: en algún momento en el futuro, construiremos una computadora que tenga todas las posiciones de todos los juegos de ajedrez posibles. Enfrentarse contra sí mismo probablemente resultará en empates / estancamientos del 100%. Con un conjunto "limitado" de posibles movimientos, esta es una suposición válida de una defensa perfecta.