1 681 Table of Contents 683 976

Sistemas operativos modernos

zando Bell-La Padula, un programador puede preguntar a un conserje acerca de los planes futu­ ros de la compañía, y luego sobrescribir los archivos del presidente que contienen la estrategia corporativa. No todas las compañías se mostrarán entusiastas acerca del uso de este modelo. El problema con el modelo Bell-La Padula es que se desarrolló para guardar secretos, no para garantizar la integridad de los datos. Para garantizar la integridad de los datos necesita­ mos precisamente las propiedades opuestas (Biba, 1977): 1. El principio de integridad simple: un proceso que se ejecuta en el nivel de seguridad k sólo puede escribir objetos de su nivel o de un nivel inferior (no se puede escribir ha­ cia arriba). 2. La propiedad de integridad *; un proceso que se ejecuta en el nivel de seguridad k só­ lo puede leer objetos de su nivel o de un nivel superior (no se puede leer hacia abajo). Juntas, estas propiedades garantizan que el programador podrá actualizar los archivos del con­ serje con información adquirida del presidente, pero no viceversa. Claro que algunas organiza­ ciones quieren tanto las propiedades de Bell-La Padula como las de Biba, pero tales propiedades se oponen de manera directa, así que es difícil lograrlas simultáneamente. 9.7.4 Seguridad de Libro Naranja Con todos estos antecedentes, no deberá sorprendemos que el Departamento de Defensa de Es­ tados Unidos haya invertido algunos esfuerzos en el área de los sistemas seguros. En particu­ lar, en 1985, esa dependencia publicó un documento conocido formalmente como norma DoD 5200.28 del Departamento de Defensa, pero que se conoce más como Libro Naranja por el color de su portada, y que divide los sistemas operativos en siete categorías con base en sus propiedades de seguridad. Aunque esa norma ya fue sustituida por otra (mucho más comple­ ja), sigue siendo una guía útil en cuanto a las propiedades de seguridad. Además, de vez en cuando se encuentra uno con material promocional de fabricantes que aseguran ajustarse a cier­ to nivel de seguridad del Libro Naranja. En la figura 9-32 se presenta una tabla de los requisi­ tos del Libro Naranja. A continuación examinaremos las categorías de seguridad y señalaremos algunos puntos destacados. Es fácil cumplir con el nivel D: no tiene ningún requisito de seguridad. Aquí se juntan to­ dos los sistemas que no han aprobado ni siquiera las pmebas de seguridad mínimas. MS-DOS y Windows 95/98/Me están en el nivel D. El nivel C está pensado para entomos con usuarios que cooperan entre sí. C 1 requiere un sistema operativo en modo protegido, inicio de sesión de usuarios autenticados y que los usua­ rios puedan especificar cuáles archivos pueden ponerse a disposición de otros usuarios y cómo (control de acceso a discreción). También se requieren pmebas de seguridad y documentación mínimas. C2 añade el requisito de que el control de acceso a discreción se aplique en el nivel de usuarios individuales. También se exige que los objetos (por ejemplo, archivos, páginas de me­ moria virtual) entregados a los usuarios se llenen primero con ceros, y se requiere un mínimo de auditoría. El esquema rwx de UNIX satisface C1 pero no C2. Para ello se requiere un es­ quema más complicado, como ACL o un equivalente.

RkJQdWJsaXNoZXIy MjI4NDcx