Более подробную информацию о Брайане Кребсе ищите по ссылкам:
• Брайан Кребс в Twitter: https://twitter.com/briankrebs;
• профиль Брайана Кребс на LinkedIn: https://www.linkedin.com/in/bkrebs.
Вот одна из самых популярных шуток об информационной безопасности: «Если вы хотите безопасный компьютер, то:
• заприте его в шкафу, предварительно вынув сетевую карту;
• выбросите клавиатуру;
• избавьтесь от конечного пользователя».
Популярные компьютерные операционные системы стали более безопасными, чем когда-либо. Они поставляются с довольно безопасными настройками по умолчанию, требуют паролей, автоматически обновляются, шифруют данные и поставляются со множеством других функций. Это не означает, что все они имеют одинаковый уровень безопасности или успех. Тем не менее общий успех достиг того уровня, когда большинство хакеров и вредоносных программ прибегают к социальной инженерии или используют уязвимость, возникшую из-за того, что пользователь своевременно не применил патч.
Это произошло не случайно. Вендорам потребовались годы, если не десятилетия, опыта и анализа, чтобы найти приемлемую грань между слишком безопасной и слишком небезопасной системами. Конечные пользователи просто хотят, чтобы их ОС работали по назначению без особых помех. Если конечному пользователю будет слишком сложно работать с системой, он либо попытается обойти функцию безопасности, отключив ее, либо выберет совершенно другую операционную систему. Многие сотрудники безопасности заведомо уменьшают возможности любой операционной системы, которая принимает не самые надежные, но зато удобные для конечного пользователя, решения. С учетом сказанного, можно догадаться, что есть очень безопасные ОС.
Существует три основных способа защиты ОС: изначально создать ее безопасной и сделать безопасные алгоритмы по умолчанию, повысить безопасность с помощью средств настройки безопасности или следовать рекомендациям по обеспечению безопасности. Большинство современных операционных систем используют все эти методы.
Лучший, а по мнению некоторых, единственный способ получить безопасную операционную систему – создать ее. Она должна быть не только надежно спроектирована, но и иметь соответствующие функции безопасности с настройками по умолчанию. Исследование за исследованием показывают, что большинство конечных пользователей принимают параметры безопасности по умолчанию, поэтому, если такое значение установлено неправильно, это подрывает безопасность.
Международный стандарт оценки и ранжирования безопасности операционной системы известен как общий критерий оценки безопасности информационных технологий, хотя его часто называют единым критерием. Вендоры представляют свои ОС или приложения для оценки по общим критериям, надеясь получить сертификат как определенный уровень оценки гарантии и надежности, который варьируется с возрастающими сложностью и безопасностью от EAL1 до EAL7. Хотя кажется естественным предположить, что все вендоры операционных систем, которые заботятся о безопасности, хотели бы получить самый высокий рейтинг (EAL7), это не так. Уровни EAL5 и выше не только очень трудно заработать, но и, как правило, они требуют операционной системы, которая не всегда хорошо функционирует в реальном мире. Хотите подключиться к Интернету и скачать программу? Вероятно, вы не сделаете этого с системой уровня EAL5 или выше.
EAL5 и более высокие уровни обычно зарабатываются очень специфическими приложениями безопасности (например, смарт-картами, модулями аппаратного хранения и т. д.) или связанными с правительством ОС высокого риска, такими как ракетные системы. Большинство операционных систем, которые мы знаем и любим сегодня, включая конкретные версии Microsoft Windows, Linux, Solaris, AIX и BSD, имеют рейтинг EAL4 или EAL4+ (знак «плюс» указывает на то, что он чуть лучше, чем просто EAL4, но недотягивает до EAL5). Предпринимаются усилия для перехода от рейтингов EAL к так называемым профилям защиты (PP). Более подробную информацию можно найти по ссылке: https://blogs.ca.com/2011/03/11/common-criteria-reforms-sink-or-swim-how-should-industry-handle-the-revolution-brewing-with-commoncriteria/.
Примечание. Насколько мне известно, Apple iOS никогда не проходила традиционный процесс сертификации EAL.
Соответствие более высоким общим критериям EAL или PP не означает, что хакер не может успешно взломать рейтинговую систему, но говорит о сложности процесса. Это также не означает, что нерейтинговая операционная система небезопасна или не будет соответствовать той же сертификации, если пройдет ее.
Соединенные Штаты имеют другой популярный стандарт под знаменем федеральных стандартов обработки информации (FIPS), по которому операционные системы или их части могут быть оценены и сертифицированы. Хотя FIPS (https://www.nist.gov/topics/federal-information-standards-fips) официально относится только к правительству, связанному с компьютерными системами, это уважаемый мировой стандарт. Сертификаты FIPS известны по определенному номеру, например 199-3 или 140-2. FIPS 140-2 применяется к криптографическим процедурам, и представленные продукты могут быть сертифицированы как FIPS 140-2, уровня с 1 по 4, при этом 4 – показатель самой высокой безопасности.
Из-за потребительского спроса большинство вендоров операционных систем и приложений, которые получают общие критерии или сертификацию FIPS, обычно сей факт рекламируют. Некоторые клиенты требуют определенной оценки или рейтинга, прежде чем задумаются о покупке продукта.