1 683 Table of Contents 685 976

Sistemas operativos modernos

B3 contiene todas las características de B2 y además debe haber listas de control de acce­ so con usuarios y grupos, debe presentarse una TCB formal, debe haber auditoría de seguridad adecuada y debe incluirse recuperación segura después de caídas. Al requiere un modelo formal del sistema de protección y una demostración de que el mo­ delo es correcto. También requiere una demostración de que la implementación se ajusta al mode­ lo. Los canales encubiertos deben analizarse de manera formal. 9.7.5 Canales encubiertos Todas estas ideas acerca de modelos formales y sistemas demostrablemente seguros suenan muy bien, pero ¿funcionan en verdad? En una palabra: no. Incluso en un sistema con un mo­ delo de seguridad apropiado, cuya seguridad se ha demostrado y que se ha implementado en forma correcta, puede haber fallas de seguridad. En esta sección veremos cómo puede filtrar­ se información hacia afuera aunque se haya demostrado de manera rigurosa que tal filtración es imposible desde el punto de vista matemático. Estas ideas se deben a Lampson (1973). El modelo de Lampson se formuló originalmente desde la perspectiva de un solo sistema de tiempo compartido, pero sus ideas pueden adaptarse a las LANs y a otros entornos multiu­ suario. En su forma más pura, intervienen tres procesos en alguna máquina protegida. El pri­ mer proceso es el cliente, que desea que el segundo, el servidor, efectúe cierto trabajo. El cliente y el servidor no confían del todo uno en el otro. Por ejemplo, la tarea del servidor es ayudar a los clientes a presentar sus declaraciones de impuestos. Los clientes se preocupan por­ que el servidor vaya a registrar en secreto sus datos financieros, por ejemplo manteniendo una lista secreta de quién gana cuánto, lista que después se vendería. El servidor se preocupa por­ que los clientes traten de robar el valioso software fiscal. El tercer proceso es el colaborador, que está conspirando con el servidor para robar, en efecto, los datos confidenciales del cliente. El colaborador y el servidor suelen ser propiedad de la misma persona. Estos tres procesos se muestran en la figura 9-33. El objeto de este ejer­ cicio es diseñar un sistema en el que sea imposible para el proceso servidor filtrar al proceso colaborador la información que ha recibido de manera legítima del proceso cliente. Lampson llamó a éste el problema del confínamiento. Desde el punto de vista del diseñador del sistema, la meta es encapsular o confinar el ser­ vidor de tal forma que no pueda pasar información al colaborador. Utilizando un esquema de matriz de protección, podemos garantizar con facilidad que el servidor no pueda comunicarse con el colaborador escribiendo un archivo al que el colaborador tenga acceso de lectura. Es proba­ ble que también se pueda garantizar que el servidor no pueda comunicarse con el colaborador empleando el mecanismo de comunicación entre procesos del sistema. Por desgracia, podría haber canales de comunicación más sutiles. Por ejemplo, el servidor puede tratar de comunicar un flujo binario de bits como sigue. Para enviar un bit 1, computa in­ tensamente durante un intervalo fijo de tiempo; para enviar un bit O, se desactiva durante el mis­ mo lapso. El colaborador puede tratar de detectar el flujo de bits vigilando en forma minuciosa su propio tiempo de respuesta. En general, obtendrá una mejor respuesta cuando el servidor esté

RkJQdWJsaXNoZXIy MjI4NDcx