Les systèmes s’approchent à mesure que mes systèmes approchent le co-auteur Bruce Davie et je pense à ce que signifie appliquer l’objectif des systèmes à la sécurité, je trouve que je continue de me demander ce que c’est, exactement, une seule question de sécurité en tant que requise système?
Cette question me ramène à une époque avant que la sécurité ne devienne un sujet de nouvelles aussi grand public; Avant que les violations de sécurité ne soient si courantes que nous sommes devenus désensibilisés à la nouvelle d’un autre. Croyez-le ou non, il fut un temps où la sécurité sur Internet n’était pas dans l’esprit du public, et la tâche à accomplir était de sensibiliser les risques de sécurité à Internet.
C’était bien après le Morris Worm a rendu douloureusement évident à quel point un incident de sécurité pourrait avoir un impact. C’était un appel de réveil pour la communauté de la recherche (moi y compris), qui était à l’époque les seuls utilisateurs de Internet sérieux. Cette expérience (et d’autres) a finalement conduit à un effort concerté pour éduquer le public sur la sécurité. Deux opportunités personnelles au milieu des années 2000 pour monter sur une boîte à savon et parler de la sécurité me viennent à l’esprit.
L’écho sur la ligne était si mauvais qu’il était difficile de garder vos esprits sur vous
Le premier était une invitation à être un invité sur Vendredi scientifique d’Ira Flatow. Je n’ai pas été en mesure de reconstruire les détails – il y avait d’autres experts de «l’avenir d’Internet» dans l’émission – mais je me souviens que mon rôle était de parler des risques des incidents de sécurité, et comment nous devions repenser l’architecture Internet de zéro pour le rendre plus sûr. (C’était à un moment où PlanetlabUn centre de recherche sur le réseautage dont j’étais directeur, obtenait beaucoup de couverture médiatique en tant que laboratoire pour réinventaire Internet.)
Mon seul souvenir vivant de l’expérience est que j’ai appelé The Science Friday Show Au-dessus d’une ligne RNIS, terminée par une salle d’enregistrement sonore à Princeton, et l’écho sur la ligne était si mauvais qu’il était difficile de garder votre esprit à votre sujet.
La deuxième occasion a eu lieu lors d’une retraite de développement de Princeton à Pebble Beach. (Dans University Vernacular, «Development» est une entreprise de collecte de fonds et, à Princeton, les professeurs sont parfois invités à parler de leurs recherches lors d’événements auxquels sont assistés par des anciens riches.) Dans ce cas particulier, je me suis associé à Tom Leighton, un ancien et Co -Fondateur d’Akamai, pour parler de la sécurité Internet.
Tom a joué le mauvais flic (racontant à tout le monde les menaces de sécurité exposées par les données recueillies par Akamai) et j’ai joué le bon flic (chercheurs de Princeton à la rescousse, créant un Internet plus sécurisé pour l’avenir). Nous devons avoir fait une impression car, peu de temps après, nous avons été invités à la Maison Blanche à informer le conseiller adjoint de la sécurité nationale sur les risques de sécurité Internet.
Encore une fois, ma mémoire la plus vive concerne les détails les plus banaux – dans ce cas, à quel point le conseiller était petit. Je suis aussi à peu près sûr que nous ne lui disions rien qu’il ne savait déjà.
La sécurité en tant que motivateur
Qu’est-ce que je retire de ces histoires? D’une part, bien que je pense qu’il est important pour les innovateurs d’éduquer et d’informer le public des implications de la technologie qu’ils inventent, il est également clair que nous (chercheurs en informatique, universités qui nous ont utilisé et les agences de financement gouvernementales qui ont fait pression Pour les crédits afin qu’ils puissent financer nos recherches) utilisaient au moins en partie la sécurité pour sa valeur de motivation. Il n’y a rien de tel que la peur pour amener les gens à agir.
C’est définitivement une chose qui est unique sur la sécurité en tant que requise des systèmes: la sécurité est quelque chose qui est facilement compris par le grand public. Mais je me demande si la partie «Nous devons construire en sécurité à partir de zéro» du message a réellement du sens. Cela semble bon – et l’alternative de «boucle de sécurité sur les systèmes existants» était intentionnellement péjorative – mais je ne suis pas sûr que ce soit un objectif significatif.
Une des raisons de douter de ce message – qui est au cœur de la question «ce qui est unique» – est que nous avons réussi à construire des mécanismes de sécurité hautement modulaires qui peuvent être réutilisés par toutes les applications. Kerberos et TLS sont deux excellents exemples. La dernière chose que nous voudrions, c’est que chaque système ou application doit obtenir les détails des protocoles d’authentification complexes, des protocoles de distribution de clés, etc., à droite. Pousser la sécurité “à partir de zéro” ne devrait pas décourager l’utilisation de mécanismes de sécurité modulaires parfaitement capables et préexistants.
Mais je ne considère pas l’isolement (ou son homologue, le partage des ressources) comme une question de sécurité, du moins pas dans la façon dont nous parlons de sécurité aujourd’hui. Les premiers systèmes d’exploitation et les systèmes de fichiers prenaient en charge l’isolement sans considérer directement les vecteurs d’attaque potentiels. L’isolement concernait principalement une allocation équitable des ressources et une utilisation efficace; La dénomination et l’adresse ont été essentielles pour permettre le partage des ressources; et les opérations privilégiées étaient limitées au noyau. Les attaques malveillantes n’étaient généralement pas un «mode de défaillance» considéré. Les questions de conception sur l’isolement, le privilège et le contrôle d’accès ont été exprimées comme des «objectifs positifs» qui pourraient être satisfaits.
Aujourd’hui, si vous deviez construire un système multi-locataire, vous devriez commencer par les mêmes problèmes de conception fondamentale – par exemple, identifiez les directeurs et les ressources concernés et spécifier qui peut accéder à quoi – mais alors vous utiliseriez des mécanismes de sécurité existants pour protéger les Système résultant des attaques connues.
Cela suggère que la connaissance de l’état de l’art dans les mécanismes de sécurité et comment les utiliser est ce que signifie construire en sécurité à partir de zéro. Il s’avère qu’il ne s’agit que d’une balle sur une liste d’un ensemble général de meilleures pratiques, les logiciels exigent que leurs développeurs suivent.
Si vous n’êtes pas familier avec de telles exigences, jeter un œil à Les pratiques du cycle de vie du développement de la sécurité de Microsoft (SDL), qui s’adresse aux développeurs d’applications qui pourraient déployer leurs services sur Azure. Je parie que la plupart des sociétés de logiciels ont des exigences d’ingénierie similaires, sinon plus strictes, pour que leurs propres ingénieurs puissent les suivre. Je parierais également les mesures que chaque entreprise prend pour s’assurer que ces règles sont suivies sont très variables.
La liste est aussi applicable au son ingénierie logicielle en général quant à la sécurité spécifiquement, mais l’existence de listes axées sur la sécurité comme celle-ci me suggèrent que la sécurité est unique d’une manière: la forte incitation négative que le fait de ne pas sécuriser fournit. Les modes de défaillance sont aussi illimités que l’imagination d’un attaquant, faisant de la sécurité un «objectif négatif».
Personnellement, je n’ai jamais trouvé de travail qui implique principalement d’empêcher les mauvaises choses de se produire tout ce qui est satisfaisant, mais comme je l’ai appris de mes expériences de «boîte à savon», c’est une forte motivation. ®
#signifie #construire #sécurité #partir #zéro #registre