Kann man sich wirklich auf ein Unix-System verlassen? Noch 25 Mannjahre bis Unix Sicherheitsstufe B1 erreicht

30.03.1990

Viele Menschen glauben, daß man um ein Unix-System sicher zu machen, nur die kleinen Probleme lösen muß, die diesem Betriebssystem den Ruf eingebracht haben, so durchlässig wie ein Sieb zu sein. Leider ist das Problem schwerwiegender, als daß man es durch einige Retuschen in einem Code lösen konnte. Das Problem erfordert bedeutende Änderungen.

Auf diese Änderungen hat man lange gewartet. Ein Teil des Problems war ebenfalls, daß der Begriff sicher" ohne einen echten Hinweis auf die Qualifikation ungefähr so viel Bedeutung hat wie der Ausdruck "Hochleistung". Bis das US-Verteidigungsministerium (DoD) 1984 ein verwendbares Vokabular in den DoD Trusted Computer Systems Evaluation Criteria (auch Orange Book genannt) geprägt hat, wußte niemand so richtig, wo man anfangen sollte.

Das Orange Book definiert die Funktionen und Sicherheits-Merkmale der DoD-anerkannten Betriebssysteme. Die Einstufung findet in verschiedenen Klassen statt, von C1 (am wenigsten sicher) bis A1 (am sichersten). Eine Abteilung des DoD, das National Computer Security Centre, untersucht vorgestellte Systeme und weist ihnen die entsprechende Klassifizierung zu.

Bei der C-Klasse handelt es sich um mit Sicherheitsfunktionen erweiterte" Systeme. Diese Systeme bieten zwar einen gewissen Schutz, aber können nicht wirklich als "sicher" im eigentlichen Sinn des Wortes betrachtet werden und könnten nicht in gefährdeten Umgebungen eingesetzt werden. Standard-Unix-Systeme fallen wohl , C1, obwohl man in die Klasse hinzufügen muß daß sie nie getestet wurden. Das Erweitern durch weitere Sicherheitsfunktionen (Security Audit Trail) bringt Unix auf die Ebene C2. Im Gegensatz dazu werden die Yiassen B3 und Al als "extrem sicher" eingeschätzt. Aber nur wenige Anwender brauchen diese Sicherheitsebene oder können sie sich leisten. Bleiben B2, "sehr sicher" und B1 "sicher", aber in der Praxis doch nicht ganz so sicher. Die Klasse B1 ist eine gute Basis für Anwender, die einen guten Schutz wollen und B2 wird für solche Anforderungen lange die richtige Lösung sein.

Erwartungen muß man neu überdenken

Unix-Versionen, die sich am orange Book orientieren tauchen bereits am Horizont auf. Ihre Entwicklung dauerte deshalb so langes weil zu Beginn die Anwender nur die sichersten Systeme, also Klasse B3 und A1 verlangten. Diese Systeme waren aber zu teuer und der Markt dafür zu klein, um mehr als nur spezialisierte Anbieter zu interessieren. Heute dagegen scheinen sich die Möglichkeiten der Industrie in diesem Bereich und die kundenseitigen Anforderungen auf der Stufe B1 zu treffen, auf der im Moment viele Aktivitäten unternommen werden.

Praktisch jeder Unix-Anbieter preist, heute seine "sichere"Unix-Version an und verweist auf das Einhalten der Spezifikationen im Orange Book. Es gibt auch starke Bemühungen seitens IEEE Posix, das uneingeschränkt vom National Institute of Standards and Technology unterstützt wird, um am Orange Book orientierte Erweiterungen des aktuellen Posix-Standards zu definieren.

1986 war es Goulds UTX/32S, ein C2-System, das als erstes den kompletten DoD-Bewertungstest durchlief. AT&T Unix System VIMLS soll demnächst als erstes das Prädikat B1 erhalten. Verschiedene weitere Unix-Produkte befinden sich in der Bewertung auf den Ebenen C2 und B1.

Zwei wichtige Systeme versuchen sich an der noch höheren B2-Hürde. Trusted Xenix, von IBM entwickelt, weiterentwickelt und vermerktet von Trusted Information Systems, ist mit viel Sorgfalt entwickelt worden. Der zweite Bewerber ist AT&T Unix System V Version 4.0. Beide kämpfen mit dem sehr schwierigen "Modularitäts-Kriterium" der Ebene B2. B2 erfordert, daß die Software intern "modularisiert" ist, was zumindest eine bedeutende Umstrukturierung des Unix-Kernels erfordert.

Erschwingliche Sicherheit förderte den Vertrieb

Einige große Unix-Hersteller produzieren zur Zeit ihre eigenen sicheren Unix-Systeme. Allerdings ist die Erweiterung um Spezifikationen des Orange Books sehr teuer. Kostenschätzungen von 25 Mannjahren zum Erreichen von B1 scheinen realistisch.

Bis vor zirka einem Jahr eine neue Produktgruppe, die sicheren Unix-"Erweiterungspakete", auf den Markt kamen, konnten es sich nur wenige Anbieter leisten, solche Investitionen angesichts eines unsicheren Marktes zu tätigen. Ein "Erweiterungspaket" besteht aus Code, Dokumentation und weiterem Material, um eine bestimmte Orange Book-Klassifizierung zu erreichen. Diese Pakete, die in Standard-Unix-Systeme integriert werden könnene waren ein wichtiger Faktor bei der Förderung des Vertriebes sicherer Unix-Systeme.

Weil diese Pakete eine bedeutende Erweiterung zu Unix darstellen, richten sie sich eher an Unix-Anbieter als an Endkunden. Die Erweiterungspakete zielen hauptsächlich auf die Stufen C2 und B1 ab, da die Stufe B2 aufgrund des Modularitätskriteriums schwer in einem solchen Paket implementiert werden kann.

Die B2-Systeme worden seiten bleiben

In den nächsten Jahren werden verschiedene große Unix-Anbieter standardisierte sichere Unix-Systeme anbieten, die sich auch am Orange Bock orientieren. C2 wird sich dabei als "Standard" durchsetzen, aber auch ein "positiv, aber noch zuwenig"-Ansatz bleiben. B1 wird ebenfalls verstärkt eingesetzt werden und größere Aufmerksamkeit auf sich ziehen. B2-Systeme werden selten bleiben. B3 und A1 werden weiterhin für extrem spezialisierte Produkte reserviert bleiben.

Die Einbindung der Sicherheitsaspekte wird auch moderne grafische Benutzeroberflächen nicht ausklammern. Die Defense Intelligence Agency hat einen Standard für Graphik-Workstations definiert - Compartemented Mode Workstation - der sich eng an das Orange Book hält und für den bereits mehrere Hersteller Workstation-Produkte entwickeln.

Die Unix-Netzwerksicherheit hängt leider weit zurück. Die meisten in Bewertung befindlichen Unix-Systeme verfügen nur über minimale oder gar keine Netzwerk-Sicherheitsfunktionen. Die Netzwerk-Sicherheit ist ein neueres Gebiet und daher noch schwerer zu bearbeiten. Verwendbare Techniken der Netzwerk-Sicherheit werden langsam in den nächstenjahren entwickelt werden. Eine weitere Entwicklung, die einen großen Schritt in Richtung allgemeine Verwendbarkeit sicherer Unix-Systeme darstellt, aber noch in weiter Ferne liegt, wird die Entwicklung sicherer Anwendungen sein, die auf einem sicheren Betriebssystem aufsetzen. Für solche Anwendungen gibt es zwei potentielle Kategorien.

Eine Kategorie besteht aus Programmen, die über umfangreiche interne Sicherheits-Merkmale verfügen, die mit denen des darunterliegenden Unix-Systems synchronisiert werden können. Kürzliche Ankündigungen über die Zusammenarbeit von Datenbank- und Unix-Anbietern scheinen auf Fortschritte in dieser Richtung zu deuten. Die andere Art sicherer Anwendungen, die benötigt werden, um Unix wirklich sicher zu machen, besteht aus Programmen, die über keine speziellen Sicherheits-Funktionen verfügen, aber so angepaßt werden, daß sie nicht von den starken Sicherheitsfunktionen des Betriebssystems beeinträchtigt werden.

Groß, kräftig und schwerfällig

Die ersten Versionen sicherer Unix-Systeme werden wie Prototyp-Autos zur Unfallsimulation aussehen - groß, kräftig und schwerfällig. Sie werden einen nicht unerheblichen Schutz realisieren, aber sie werden weder wirtschaftlich noch benutzerfreundlich sein und unter Umständen werden sie den Anwender auch nicht dahin bringen, wo er hin möchte. Einige der Defizite können minimiert werden. Eine Möglichkeit ist sicherzustellen, wie weit die Erweiterung mit Sicherheits-Funktionen die Funktionalität desjeweiligen Unix-Systems beeinflussen. Es ist nicht wirklich schwer, ein Unix-System sicher zu machen. Was schwer ist, ist es sicher zu machen, ohne dabei Unix zu verändern. Wenn ein System sicher ist, aber die existierende Software darauf nicht läuft, ist das ganze Vorgehen zwecklos.

Das Orange Book oder ähnliche Standards untersagen keinem Unix-Anbieter, eine weitgehende Abwärtskompatibilität oder volle Unterstützung der Funktionalität und des Handlings eines Unix-Systems anzubieten. Tatsächlich scheinen auch Unix-Foren wie Posix auf dieses Ziel hinzuarbeiten. Das Problem liegt nur darin, daß es einige Unix-Anbieter einfacher finden, Unix-Prozeduren zu entfernen, statt Unix mit neuen Sicherheits-Funktionen lauffähig zu machen.