Чи не настала пора визнати, що ми працюємо на повністю незахищених системах, і що всі спроби виробників підвищити безпеку сучасних універсальних ОС, пов'язані з розширенням вбудованого функціоналу безпеки, не приводять до бажаних результатів!
А.Ю.Щеглов, д.т.н., проф.
ЗАТ «НВП« Інформаційні технології в бізнесі »
www. npp - itb. spb. ru
Останнім часом все частіше з'являються публікації на тему, яка з сучасних ОС безпечніше. Це пов'язано з тим, що безпека сьогодні стає найважливішим споживчим властивістю, як системних засобів, так і додатків. Розробники системних засобів змушені приділяти питанням безпеки все більше уваги, щоб підвищити конкурентну спроможність свого продукту. Але ось що у них при цьому виходить? Що насправді «ховається» за хвалебними деклараціями виробників? Чи має в принципі сенс порівнювати сьогодні між собою безпеку сучасних універсальних ОС різних виробників, а якщо порівнювати, то як? Чи може в принципі бути створена безпечна універсальна ОС?
З чого складається безпеку системного кошти.
Безпека системного кошти в загальному випадку може бути оцінена з двох абсолютно різних (аж ніяк не повністю взаємопов'язаних між собою) позицій. З одного боку, безпеку системного кошти може бути охарактеризована досягається їм рівнем функціональної безпеки - набором функціоналу (коштів, механізмів і т.д.), покликаного вирішувати завдання захисту інформації. Рівень функціональної безпеки можна оцінити, проаналізувавши достатність механізмів захисту, відповідно до умов експлуатації системного кошти, і коректність їх реалізації. Природно, що, як недостатність механізмів, так і некоректність їх реалізації, таять в собі вразливість системного кошти. Зауважимо, що саме рівень функціональної безпеки системного кошти і визначається при його сертифікації за вимогами (в частині виконання відповідного набору вимог) інформаційної безпеки. З іншого боку, в кінцевому рахунку, для споживача інтерес представляє не тільки (а може бути, і не стільки) якась гіпотетична експертна оцінка ефективності механізмів захисту, заснована на аналізі архітектурних рішень, а, саме експлуатаційна безпека системного засоби - реальний рівень безпеки, який забезпечується системним засобом в процесі його практичної експлуатації, тому що тільки на підставі результатів практичного використання кошти і може бути дана об'єктивна оцінка його безпеки. Важливість цієї оцінки обумовлюється і тим, що при її формуванні можуть бути враховані такі параметри ефективності захисту, ніяк не пов'язані з архітектурними рішеннями, як якість розробки системного засобу та його технічної підтримки виробником.
У даній роботі ми акцентуємо свою увагу на питаннях оцінки експлуатаційної безпеки сучасних універсальних ОС.
Підхід до оцінки експлуатаційної безпеки системного кошти.
Як критерій експлуатаційної (реальної) безпеки системного кошти доцільно розглядати коефіцієнт його готовності забезпечувати захист інформації в процесі експлуатації, або ймовірність того, що в будь-який момент часу системне засіб знаходиться в безпечному стані. Тоді в якості основних параметрів захисту слід розглядати інтенсивності відмов і відновлення захисту.
Під «відмовою захисту» будемо розуміти виявлення уразливості системного кошти. Наявність уразливості робить даний засіб незахищеним до моменту усунення її виробником системного кошти.
Під «відновленням захисту» будемо розуміти усунення виробником виявленої уразливості системного кошти. усунення виявленої уразливості відновлює безпеку системного засоби (в припущенні, що дана уразливість одна).
Під «інтенсивністю відмов захисту» будемо розуміти інтенсивність виявлення в системному засобі вразливостей в одиницю часу.
Під «інтенсивністю відновлення захисту» після відмови будемо розуміти інтенсивність усунення в системному засобі вразливостей в одиницю часу (величина, зворотна часу усунення вразливостей).
В даних припущеннях, для оцінки експлуатаційної (реальної, або істинної) безпеки системного кошти може бути побудована математична модель з використанням апарату теорії масового обслуговування (за аналогією з тим, як, наприклад, це робиться в теорії надійності, адже, в кінцевому рахунку, стосовно до засобу захисту інформації, надійність - це властивість даного засобу забезпечувати захист протягом заданого проміжку часу).
Побудуємо модель для кількісної оцінки експлуатаційної безпеки системного кошти.
Припустимо, що виявлення вразливостей - відмов захисту, описується пуассоновским входять потоком (описує найбільш випадкові події, що і має місце на практиці), сумарну інтенсивність якого позначимо, через: 
Приймемо також, що час усунення вразливості - відновлення захисту, має експоненціальне розподіл з інтенсивністю: 
Тепер власне про модель (СМО). Будемо розглядати наступну гіпотетичну ситуацію - будь-яка виявлена уразливість відразу ж прямує на обслуговування (усунення). Ніякої черги неліквідованих вразливостей не утворюється, тобто розглядатимемо систему (СМО) з нескінченним числом обслуговуючих приладів.
Зауваження. Дане припущення дозволяє стверджувати, що моделлю буде описуватися гіпотетично ідеальна (недосяжна) для сучасних ОС ситуація, тобто розрахункові значення будуть не гірші реальних (оцінюємо верхню межу). Справа в тому, що на практиці ситуація одночасного (повністю, або часткового) виправлення розробником кількох вразливостей зустрічається вкрай рідко.
В даних припущеннях, розрахункова формула ймовірності того, що в системі знаходиться рівно n вимог (або присутній n неліквідованих вразливостей) виглядає наступним чином (див. Стор.159 в кн. Т.Сааті. Елементи теорії масового обслуговування та її додатки. - М. : Изд. «РАДЯНСЬКЕ РАДІО», 1965. - 511 с.):
З урахуванням же те, що:
(Тобто в якомусь стані система завжди повинна знаходитися) можемо визначити, що цікавить нас параметр - критерій експлуатаційної безпеки - ймовірність того, що в системі відсутні вимоги n = 0, тобто відсутні неусунуті уразливості, або ймовірність того, що система знаходиться в безпечному стані, за такою досить простою формулою:
Отже, модель ми побудували, тепер з її допомогою проведемо дослідження.
Оцінка рівня експлуатаційної безпеки сучасних універсальних ОС.
Як раніше зазначалося, основними параметрами, використовуваними для оцінки експлуатаційної безпеки системних засобів, є інтенсивності відмов захисту (виявлення вразливостей) і відновлення захисту (усунення вразливостей). Для визначення значень даних параметрів звернемося до двох цікавим дослідження
Перше дослідження, яке ми тут наведемо: «" Критичні дні ": Linux, Mac OS X, Solaris and Windows» опубліковано на сайті www .securitylab.ru 19 червня 2007 року.
Джефф Джонс провів чергове дослідження на тему того, як довго компанії закривають знайдені дірки в своєму ПЗ. Розглядалися такі комерційні операційні системи:
- Apple: Mac OS X, всі версії, виправлені в 2006 році.
- · Microsoft: Windows 2000 (Professional і Server), Windows XP, Windows Server 2003.
- Red Hat: Red Hat Enterprise Linux 2.1, Red Hat Enterprise Linux 3, and Red Hat Enterprise Linux 4.
- Novell: SUSE Linux Enterprise Server 8, SUSE Linux Enterprise Server 9, SUSE Linux Enterprise Server 10, Novell Linux Desktop 9, і SUSE Linux Enterprise Desktop 10.
- Sun: Всі версії Solaris, виправлені в 2006.
У разі, якщо одна уразливість усувалася для різних версій ОС в різний час, то за час усунення вважалося як середнє значення двох дат.
Якщо одна уразливість усувалася в декількох компонентах одного продукту в різний час, то вразливість вважалася усуненою, коли було випущено останнім виправлення. Наприклад, якщо 1 січня з'явилася вразливість в Firefox і Thunderbird в RHEL3, а патч для Firefox був випущений 10 січня, а для Thunderbird 15 січня, то вважалася усуненою, коли було випущено останнім виправлення. Наприклад, якщо 1 січня з'явилася вразливість в Firefox і Thunderbird в RHEL3, а патч для Firefox був випущений 10 січня, а для Thunderbird 15 січня, то вважалася устранненной 15 січня.
В результаті були отримані наступні значення середнього часу усунення вразливостей в різних операційних системах (див. Рис.1).
рис.1
Як видно з графіка, швидше за всіх виправлення випускала компанія Microsoft, якій потрібно в середньому 29 днів для закриття уразливості, а гірше всіх компанія Sun, яка усувала уразливості в середньому за 167 днів.
На наступній діаграмі (див. Рис.2) представлена швидкість усунення критичних вразливостей в різних операційних системах.
рис.2
В кінці Джефф Джонс порівняв швидкість зміни всіх вразливостей в різних операційних системах в порівнянні з 2005 роком, см. Рис.3.
рис.3
Зауважимо, що дані, отримані Джефом, дещо розходяться з дослідженням компанії Symantec , В якому стверджувалося що Microsoft усуває уразливості в середньому за 21 день, Red Hat за 58, Appple Maс OS за 66, а Solaris за 122 дня. Однак порівняння Symantec зачіпає менший період часу - тільки другу половину 2006 року. А в нашому дослідженні, куди важливіше власне порядок цифр.
А ось тепер ми проведемо своє дослідження, і оцінимо, як впливає тривалість усунення вразливостей на експлуатаційну (справжню) безпеку сучасних ОС. З цією метою скористаємося нашою моделлю і оцінимо ймовірність того, що система знаходиться в безпечному стані в припущенні, що за рік виявляється і виправляється тільки одна уразливість. Результати досліджень представлені на рис.4.
Проаналізуємо отриманий результат. Бачимо, що при існуючій інтенсивності виправлення вразливостей в ОС, говорити про яку-небудь безпеки ОС просто не доводиться. Адже навіть при виявленні однією уразливості в рік (а про це сьогодні можна тільки мріяти) до 10% (а це кращі показники для порівнюваних ОС) часу експлуатації ОС буде знаходитися не в безпечному стані.
рис.4
А тепер оцінимо, як впливає на експлуатаційну (реальну) безпеку сучасних ОС інтенсивність виявлення вразливостей. Для цього звернемося до іншого дослідження під гучною назвою «Symantec: Windows - найнадійніша система», також опублікованому на сайті www .securitylab.ru , Але 27 березня 2007 року.
В даному дослідженні стверджується наступне.
Microsoft Windows, незважаючи на всі проблеми з безпекою, є найнадійнішою операційною системою з усіх існуючих, стверджує Symantec.
У другому півріччі 2006 року в системах Windows було знайдено і усунено найменшу кількість вразливостей; компанія в середньому швидше за всіх випускає оновлення безпеки, - йдеться в останньому «Звіті про загрози безпеки інтернету», що виходить двічі на рік.
Затвердження підтверджується порівняльними показниками серед п'яти операційних систем: Windows, Mac OS X, HP-UX, Sun Solaris і Red Hat Linux.
За півроку Microsoft випустила оновлення більш ніж до 39 вразливостей; кожна дірка тривала у відкритому стані в середньому 21 день. На другому місці - Red Hat Linux: 208 вразливостей і середній термін усунення 58 днів. Незважаючи на більшу кількість, ці уразливості були в середньому менш небезпечні, відзначає Symantec. Mac OS X відзначилася 43 уразливими і середнім часом усунення в 66 днів. На уразливості високого ступеня небезпеки у компанії йшло в середньому 37 днів.
Замикають п'ятірку HP-UX та Solaris: 98 дірок і 101 день, і 63 діри і 122 дня відповідно.
Проведемо своє дослідження, і спробуємо визначитися з тим, що ж сьогодні називається найбезпечнішою ОС, який рівень експлуатаційної безпеки вона забезпечує. Для цього скористаємося нашої математичною моделлю і побудуємо залежність зміни ймовірності того, що система знаходиться в безпечному стані, від зміни інтенсивності виявлення вразливостей. За інтенсивність виправлення вразливостей приймемо максимально можливе її значення на порівнюваних безлічі варіантів ОС - інтенсивність виправлення вразливостей компанією Microsoft .. Результати досліджень представлені на рис.5.
рис.5
Розглянемо уважно дані результати, при цьому будемо пам'ятати, що ми говоримо про гіпотетично ідеальних характеристиках - це верхня теоретична межа, реальний стан справ куди гірше. Перш за все, звернемося до червоною пунктирною лінії на рис.5. Цією лінією характеризується такий випадок - ймовірність того, що в будь-який момент часу система знаходиться в безпечному стані становить 0,5, тобто або захищена, або ні. Але ж така експлуатаційна безпека ОС досягається (див. Рис.5) при виявленні лише 8 вразливостей в рік, при середній тривалості їх усунення в межах місяця. Якщо ж за рік в середньому виявляється 20 вразливостей, то ймовірність того, що система знаходиться в безпечному стані, становить уже близько 0,2. Іншими словами, в цьому випадку можна говорити про відсутність будь-якої безпеки подібної системи. Однак нагадаємо про наступне (див. Вище) «... За півроку Microsoft випустила оновлення більш ніж до 39 вразливостей ...» і мова йде про те, що «Windows - найнадійніша система». Чудово!
Мимоволі виникають питання, про яку безпеку в наведених дослідженнях йдеться, що з чим і з якою метою порівнюється. Висновки про те, що одна ОС безпечніше інших, взагалі паразітельни! Напрошується наступна аналогія. Порівняти, з чого краще зробити лобову броню танка, з паперу або з картону, і на підставі проведених досліджень зробити незаперечний висновок, що з картону - безпечніше.
Хотілося б звернути увагу читача ще на одне важливе питання. Нас адже, в кінцевому рахунку, цікавить не безпека ОС, а безпеку комп'ютера. А в цьому випадку ще додадуться і уразливості додатків, мимоволі, перейдемо до обговорення питань функціональної безпеки ОС, тому що вразливість додатки в принципі не повинна позначатися на комп'ютерній безпеці, з урахуванням того, що основні механізми захисту реалізуються на рівні ядра ОС.
І на закінчення ще трохи «свіжої» статистики з сайту www .securitylab.ru , Від 08 жовтня 2007 року. «Корпорація Microsoft в поточному місяці планує опублікувати сім бюлетенів безпеки з описом нових дірок в операційних системах Windows, офісних додатках і браузері Internet Explorer.
Як повідомляється в попередньому повідомленні, чотири з жовтневих бюлетенів будуть містити відомості про критично небезпечних вразливостей, що дозволяють виконати довільний шкідливий код на віддаленому комп'ютері. Дірки, які отримали максимальний рейтинг небезпеки за класифікацією Microsoft, виявлені в новій операційній системі Windows Vista, а також Windows 2000 / ХР і Windows Server 2003. Крім того, Microsoft має намір випустити патчі для критичних вразливостей в офісних додатках, браузері Internet Explorer, програми Outlook Express і поштовому клієнті Windows Mail.
Ще дві дірки в програмних платформах Windows отримали статус важливих. Одна з них теоретично може використовуватися зловмисниками з метою організації DoS-атак, а інша - для імітації сполук. Крім того, ще одна уразливість, охарактеризована важливою, може використовуватися з метою підвищення привілеїв в Windows і Office ».
Чи не настала пора визнати, що ми працюємо на повністю незахищених системах, і що всі спроби виробників підвищити безпеку сучасних універсальних ОС, пов'язані з розширенням вбудованого функціоналу безпеки, не приводять до бажаних результатів!
Але ось що у них при цьому виходить?Що насправді «ховається» за хвалебними деклараціями виробників?
Чи має в принципі сенс порівнювати сьогодні між собою безпеку сучасних універсальних ОС різних виробників, а якщо порівнювати, то як?
Чи може в принципі бути створена безпечна універсальна ОС?