En la subespecialidad de ingeniería de seguridad de la informática , un sistema confiable es aquel en el que se confía hasta cierto punto para hacer cumplir una política de seguridad específica . Esto equivale a decir que un sistema confiable es aquel cuya falla rompería una política de seguridad (si existe una política que se confía en que el sistema hará cumplir).
La palabra "confianza" es fundamental, ya que no tiene el significado que podría esperarse en el uso cotidiano. Un sistema confiable es aquel que el usuario considera seguro de usar y en el que confía para realizar tareas sin ejecutar en secreto programas dañinos o no autorizados; la informática confiable se refiere a si los programas pueden confiar en que la plataforma no sufrirá modificaciones con respecto a lo esperado y si esos programas son inocentes o maliciosos o si ejecutan tareas no deseadas por el usuario.
Un sistema confiable también puede considerarse un sistema de seguridad basado en niveles, en el que se brinda protección y se maneja según diferentes niveles. Esto se encuentra comúnmente en el ámbito militar, donde la información se clasifica como no clasificada (U), confidencial (C), secreta (S), ultrasecreta (TS) y más. Estos también aplican las políticas de no leer ni escribir.
Un subconjunto de sistemas confiables ("División B" y "División A") implementan etiquetas de control de acceso obligatorio (MAC) y, como tal, a menudo se supone que pueden usarse para procesar información clasificada . Sin embargo, esto generalmente no es cierto. Hay cuatro modos en los que se puede operar un sistema seguro de varios niveles: multinivel, compartimentado, dedicado y de alto nivel del sistema. El "Libro Amarillo" del Centro Nacional de Seguridad Informática especifica que los sistemas B3 y A1 solo se pueden usar para procesar un subconjunto estricto de etiquetas de seguridad y solo cuando se operan de acuerdo con una configuración particularmente estricta.
El concepto central de los sistemas de confianza al estilo del Departamento de Defensa de los EE. UU. es la noción de un " monitor de referencia ", que es una entidad que ocupa el corazón lógico del sistema y es responsable de todas las decisiones de control de acceso. Idealmente, el monitor de referencia es
Según los Criterios de Evaluación de Sistemas Informáticos Confiables (TCSEC) de 1983 de la Agencia de Seguridad Nacional de Estados Unidos , o "Libro Naranja", se definió un conjunto de "clases de evaluación" que describían las características y garantías que el usuario podía esperar de un sistema confiable.
La dedicación de una ingeniería de sistemas significativa a minimizar la complejidad (no el tamaño , como se suele decir) de la base informática confiable (TCB, por sus siglas en inglés) es clave para la provisión de los niveles más altos de seguridad (B3 y A1). Esta se define como la combinación de hardware, software y firmware que es responsable de hacer cumplir la política de seguridad del sistema. Parecería surgir un conflicto de ingeniería inherente en los sistemas de mayor seguridad, ya que cuanto menor sea la TCB, mayor será el conjunto de hardware, software y firmware que se encuentra fuera de la TCB y, por lo tanto, no es confiable. Aunque esto puede llevar a los más ingenuos técnicamente a los argumentos de los sofistas sobre la naturaleza de la confianza, el argumento confunde la cuestión de la "corrección" con la de la "confiabilidad".
El TCSEC tiene una jerarquía definida con precisión de seis clases de evaluación; la más alta de ellas, A1, es idéntica en sus características a la B3, y sólo difiere en los estándares de documentación. En cambio, los Criterios Comunes (CC), introducidos más recientemente y que derivan de una combinación de estándares técnicamente maduros de varios países de la OTAN , ofrecen un espectro tenue de siete "clases de evaluación" que combinan características y garantías de una manera no jerárquica y carecen de la precisión y la rigidez matemática del TCSEC. En particular, el CC tolera una identificación muy vaga del "objetivo de la evaluación" (TOE) y apoya -incluso fomenta- una combinación de requisitos de seguridad seleccionados de una variedad de "perfiles de protección" predefinidos. Si bien se puede argumentar que incluso los componentes aparentemente arbitrarios del TCSEC contribuyen a una "cadena de evidencia" de que un sistema implementado aplica correctamente su política de seguridad anunciada, ni siquiera el nivel más alto (E7) del CC puede proporcionar verdaderamente una consistencia y una rigidez análogas del razonamiento probatorio. [ cita requerida ]
Las nociones matemáticas de sistemas confiables para la protección de información clasificada se derivan de dos corpus de trabajo independientes pero interrelacionados. En 1974, David Bell y Leonard LaPadula de MITRE, bajo la guía técnica y el patrocinio financiero del Mayor Roger Schell, Ph.D., del Comando de Sistemas Electrónicos del Ejército de los EE. UU. (Fort Hanscom, MA), idearon el modelo Bell-LaPadula , en el que un sistema informático confiable se modela en términos de objetos (repositorios pasivos o destinos para datos como archivos, discos o impresoras) y sujetos (entidades activas que hacen que la información fluya entre objetos, por ejemplo, usuarios, o procesos del sistema o hilos que operan en nombre de los usuarios). De hecho, el funcionamiento completo de un sistema informático puede considerarse como una "historia" (en el sentido teórico de la serialización) de piezas de información que fluyen de un objeto a otro en respuesta a las solicitudes de dichos flujos de los sujetos. Al mismo tiempo, Dorothy Denning, de la Universidad de Purdue, estaba publicando su tesis doctoral. disertación, que trataba sobre "flujos de información basados en retículas" en sistemas informáticos. (Una "retícula" matemática es un conjunto parcialmente ordenado , caracterizable como un gráfico acíclico dirigido , en el que la relación entre dos vértices cualesquiera "domina", "es dominada por", o ninguna de las dos). Definió una noción generalizada de "etiquetas" que se adjuntan a las entidades, que corresponden más o menos a las marcas de seguridad completas que uno encuentra en documentos militares clasificados, por ejemplo , TOP SECRET WNINTEL TK DUMBO. Bell y LaPadula integraron el concepto de Denning en su histórico informe técnico MITRE, titulado Secure Computer System: Unified Exposition and Multics Interpretation . Afirmaron que las etiquetas adjuntas a los objetos representan la sensibilidad de los datos contenidos en el objeto, mientras que las adjuntas a los sujetos representan la confiabilidad del usuario que ejecuta el sujeto. (Sin embargo, puede haber una diferencia semántica sutil entre la sensibilidad de los datos dentro del objeto y la sensibilidad del objeto en sí).
Los conceptos se unifican con dos propiedades, la "propiedad de seguridad simple" (un sujeto solo puede leer de un objeto que domina [ es mayor que es una interpretación cercana, aunque matemáticamente imprecisa]) y la "propiedad de confinamiento" o "*-propiedad" (un sujeto solo puede escribir en un objeto que lo domina). (Estas propiedades se denominan vagamente "no lectura" y "no escritura", respectivamente). Aplicadas conjuntamente, estas propiedades garantizan que la información no pueda fluir "cuesta abajo" a un repositorio donde destinatarios insuficientemente confiables puedan descubrirla. Por extensión, suponiendo que las etiquetas asignadas a los sujetos sean verdaderamente representativas de su confiabilidad, entonces las reglas de no lectura y no escritura aplicadas rígidamente por el monitor de referencia son suficientes para restringir los caballos de Troya , una de las clases más generales de ataques ( sciz. , los gusanos y virus de los que se informa popularmente son especializaciones del concepto de caballo de Troya).
El modelo Bell-LaPadula técnicamente sólo aplica controles de "confidencialidad" o "secreto", es decir, aborda el problema de la sensibilidad de los objetos y la confianza que conlleva en los sujetos para no revelarlos de forma inapropiada. El doble problema de la "integridad" (es decir, el problema de la precisión, o incluso de la procedencia de los objetos) y la confianza que conlleva en los sujetos para no modificarlos o destruirlos de forma inapropiada, se aborda mediante modelos matemáticamente afines; el más importante de los cuales lleva el nombre de su creador, KJ Biba . Otros modelos de integridad incluyen el modelo Clark-Wilson y el modelo de integridad de programas de Shockley y Schell, "El modelo SeaView" [1]
Una característica importante de los MAC es que están completamente fuera del control de cualquier usuario. El TCB asigna automáticamente etiquetas a cualquier objeto ejecutado en nombre de los usuarios y a los archivos a los que acceden o modifican. En contraste, una clase adicional de controles, denominados controles de acceso discrecional (DAC), están bajo el control directo de los usuarios del sistema. Los mecanismos de protección conocidos, como los bits de permiso (compatibles con UNIX desde fines de los años 60 y, en una forma más flexible y poderosa, con Multics desde antes) y las listas de control de acceso (ACL) son ejemplos conocidos de DAC.
El comportamiento de un sistema confiable se caracteriza a menudo en términos de un modelo matemático. Este puede ser riguroso dependiendo de las restricciones administrativas y operativas aplicables. Estos toman la forma de una máquina de estados finitos (FSM) con criterios de estado, restricciones de transición de estado (un conjunto de "operaciones" que corresponden a las transiciones de estado) y una especificación descriptiva de nivel superior , DTLS (implica una interfaz perceptible por el usuario como una API , un conjunto de llamadas al sistema en UNIX o salidas del sistema en mainframes ). Cada elemento de lo mencionado anteriormente genera una o más operaciones del modelo.
El Trusted Computing Group crea especificaciones destinadas a abordar requisitos particulares de sistemas confiables, incluida la certificación de configuración y el almacenamiento seguro de información confidencial.
En el contexto de la seguridad nacional o interna , la aplicación de la ley o la política de control social , los sistemas confiables proporcionan una predicción condicional sobre el comportamiento de las personas u objetos antes de autorizar el acceso a los recursos del sistema. [2] Por ejemplo, los sistemas confiables incluyen el uso de "sobres de seguridad" en aplicaciones de seguridad nacional y antiterrorismo, iniciativas de " computación confiable " en seguridad de sistemas técnicos y sistemas de puntuación de crédito o identidad en aplicaciones financieras y antifraude. En general, incluyen cualquier sistema en el que
La adopción generalizada de estas estrategias de seguridad basadas en la autorización (donde el estado predeterminado es PREDETERMINADO=DENEGACIÓN) para la lucha contra el terrorismo, el fraude y otros fines está ayudando a acelerar la transformación en curso de las sociedades modernas desde un modelo beccariano nocional de justicia penal basado en la rendición de cuentas por acciones desviadas después de que ocurren [3] a un modelo foucaultiano basado en la autorización, la prevención y el cumplimiento social general a través de una vigilancia preventiva ubicua y un control mediante restricciones del sistema. [4]
En este modelo emergente, la "seguridad" no está orientada a la vigilancia policial, sino a la gestión de riesgos mediante la vigilancia, el intercambio de información, la auditoría , la comunicación y la clasificación . Estos avances han dado lugar a preocupaciones generales sobre la privacidad individual y la libertad civil , y a un debate filosófico más amplio sobre las metodologías adecuadas de gobernanza social.
Los sistemas confiables en el contexto de la teoría de la información se basan en la siguiente definición:
"La confianza es aquello que es esencial para un canal de comunicación pero que no puede transferirse de una fuente a un destino utilizando ese canal"
—Ed Gerck [5]
En la teoría de la información, la información no tiene nada que ver con el conocimiento o el significado; es simplemente lo que se transfiere de la fuente al destino, utilizando un canal de comunicación. Si, antes de la transmisión, la información está disponible en el destino, entonces la transferencia es nula. La información que recibe una parte es aquella que no espera, medida en función de la incertidumbre de la parte en cuanto a cuál será el mensaje.
De la misma manera, la confianza, tal como la define Gerck, no tiene nada que ver con la amistad, los conocidos, las relaciones entre empleados y empleadores, la lealtad, la traición y otros conceptos excesivamente variables. La confianza tampoco se entiende en un sentido puramente subjetivo, ni como un sentimiento o algo puramente personal o psicológico; la confianza se entiende como algo potencialmente comunicable. Además, esta definición de confianza es abstracta, lo que permite que diferentes instancias y observadores en un sistema confiable se comuniquen en base a una idea común de confianza (de lo contrario, la comunicación estaría aislada en dominios), donde todas las realizaciones subjetivas e intersubjetivas de confianza necesariamente diferentes en cada subsistema (hombre y máquinas) pueden coexistir. [6]
En el modelo de la teoría de la información, se consideran en conjunto “la información es lo que no se espera” y “la confianza es lo que se sabe”. Al vincular ambos conceptos, la confianza se considera como “una confianza calificada en la información recibida”. En términos de sistemas confiables, una afirmación de confianza no puede basarse en el registro en sí, sino en información proveniente de otros canales de información. [7] La profundización de estas cuestiones conduce a concepciones complejas de la confianza, que se han estudiado a fondo en el contexto de las relaciones comerciales. [8] También conduce a concepciones de la información en las que la “calidad” de la información integra la confianza o la confiabilidad en la estructura de la información misma y del sistema o sistemas de información en los que se concibe: una mayor calidad en términos de definiciones particulares de exactitud y precisión significa una mayor confiabilidad. [9]
Un ejemplo del cálculo de la confianza es: "Si conecto dos sistemas confiables, ¿son más o menos confiables cuando se toman juntos?". [6]
El IBM Federal Software Group [10] ha sugerido que los "puntos de confianza" [5] proporcionan la definición más útil de confianza para su aplicación en un entorno de tecnología de la información, porque están relacionados con otros conceptos de la teoría de la información y proporcionan una base para medir la confianza. En un entorno de servicios empresariales centrados en la red, se considera que dicha noción de confianza [10] es necesaria para lograr la visión deseada de una arquitectura orientada a servicios y colaborativa.