Os Sistemas Confiáveis

Sistemas Confiáveis

Segundo, Tanenbaum sistemas confiáveis são aqueles nos quais os requisitos de segurança são formalmente estabelecidos e cumpridos. O motivo pela qual os sistemas não estão sendo construídos é mais complexo, mas existem duas razões fundamentais. Primeiramente, os sistemas atuais não são seguros, mas os usuários se recusam a deixá-los de lado.

A segunda razão é mais útil, o único modo de construir um sistema seguro é fazê-lo simples. Os recursos do produto são inimigos da segurança. Os projetistas de sistema creem (corretamente ou não) que o que os usuários querem é um número maior de característica. Mas características significam mais complexidade, mais código, mais falhas e mais erros de segurança.

Eis dois exemplos simples: Os primeiros sistemas de correio eletrônico enviavam mensagens como texto ASCII. Eles eram completamente seguros. Uma mensagem ASCII nunca poderia danificar um sistema computacional, então as pessoas tiveram a ideia de expandir o correio eletrônico para incluir outros tipos de documentos como exemplo, arquivos Word, que podem conter programas na forma de macros. Ler esse documento significa executar algum outro programa em seu computador.

O segundo é o mesmo, só que para páginas da Web. Quando a Web consistia apenas em páginas HTML passivas, ela não apresentava maiores problemas de segurança. Agora que muitas páginas da Web contêm programas (applets) que o usuário é obrigado a executar para visualizar o conteúdo, surge uma falha de segurança após a outra. Logo que uma é reparada, outra acontece.

Resumindo, há algumas organizações que acreditam que a segurança é mais importante do que elegantes características novas, o primeiro delas é as organizações militares.

• Base computacional confiável

No mundo da segurança, muitos usuários descrevem sistemas confiáveis em vez de falar sistemas seguros. No cerne de todo sistema confiável está uma TCB (trusted computing base- base computacional confiável) mínima, composta pelo hardware e pelo software necessários para garantir todas as regras de segurança. Se a base computacional confiável  estiver de acordo coma especificação, a segurança do sistema não poderá estar comprometida, independentemente do que estiver errado.

A TCB consiste, em geral, de grande arte do hardware (exceto os dispositivos de E/S que não afetam a segurança), além de uma parte do núcleo do sistema operacional e a maioria ou a totalidade dos programas do usuário que tiverem poderes de superusuário (por exemplo, programas com SETUID de superusuário no UNIX). Entre as funções do sistema operacional que devem fazer parte do TCB estão a criação de processos, o chaveamento de processos, o gerenciamento do mapa de memória e parte do gerenciamento de arquivos e de E/S. Em um projeto seguro, muitas vezes a TCB fica totalmente separada do restante do sistema operacional, com o intuito de minimizar seu tamanho e verificar sua correção.

• Modelo formais de sistemas seguros

Há décadas, Harrison et. al. (1976) identificaram seis operações primitivas na matriz de proteção primitivas que poderiam ser usadas como base para um modelo de qualquer sistema de proteção. Essas operações primitivas são create, object, delete object, create domain, insert right, e remove right. As duas últimas primitivas inserem e removem direitos de elementos específicos da matriz, como assegurar ao domínio 1 a permissão de ler o Arquivo 6.                                Essas seis primitivas   podem ser combinadas em comandos de proteção. São esses comandos de proteção que os programas do usuário podem executar diretamente as primitivas. Por exemplo, o sistema pode ter um comando para criar um novo arquivo, que verificar se o arquivo já existia e, se não, criaria um novo objeto e daria ao proprietário todos os direitos de acesso a ele. Também é possível haver um comando para permitir que o proprietário conceda, a alguém no sistema, a permissão para ler o arquivo, inserindo-se o direito ‘read’ na entrada do novo arquivo em cada domínio.

...