Comentarios en: SELinux bloque� proactivamente el bug /proc del kernel Linux

By: SE Linux: seguridad al máximo at Baires Norte Lug

SE Linux: seguridad al máximo at Baires Norte Lug — Fri, 24 Nov 2006 00:22:17 +0000

[...] Ahora como funciona? SE Linux funciona como un modulo en el núcleo. Dando un nivel de abstracción mas alto. Recuerden que la seguridad clásica de *nix es por niveles de usuarios, grupos y derechos de accesos. Donde un usuario puede ejecutar una aplicación a la que tiene derechos y la aplicación se ejecuta con los niveles de acceso que tiene el usuario. Este tipo de seguridad se denomina DAC (Discretionary Access Control). La NSA introdujo un sistema de control tipo MAC (Mandatory Access Control) basado en contextos donde se indica cuando un objeto puede acceder a otro objeto. En este caso el administrador debe definir los derechos para cada usuario que acceda a una aplicaciones que acceda a cualquier objeto del sistema. Para evitar que esta operación sea tediosa se definen roles (Role-Based Access Control,RBAC). Por ejemplo al usuario A le damos derechos para acceder para leer y escribir en los archivos del programa xx, ahora el usuario B solamente necesita lectura y nada mas sobre los mismos archivos. SE Linux funciona como un proceso servidor que se ejecuta como parte del núcleo y evalúa si algo (un proceso o un usuario) dispone de permisos para acceder a un objeto (archivo, dispositivo, etc.). Este mecanismo de control se denomina Type Enforcement (TE). Vamos a suponer que alguien intenta correr un buffer overflow para lograr una escalada de privilegios sobre el programa X, el atacante sólo podrá acceder a los archivos para los cuales el proceso vulnerable esté autorizado por la política del sistema. El atacante NO logrará el control de TODO el sistema. Un ejemplo mas reciente pueden encontrar en el siguiente link, donde se demuestra como SE Linux impidió una escalada de privilegios en la rama 2.6.17: http://www.sahw.com/wp/archivos/2006/07/23/selinux-bloqueo-proactivamente-el-bug-proc-del-kernel-linux/ [...]

By: Felipe Alfaro Solana » Extremadura, software libre, libertad y brecha digital

Wed, 26 Jul 2006 21:01:44 +0000

[...] La primera razón es la económica. En Extremadura desarrollan gnuLinEx, un conjunto de herramientas libres de diverso propósito, como un sistema operativo completamente funcional que incluye un entorno de escritorio gráfico, una suite ofimática — procesador de textos, hoja de cálculo, presentaciones, base de datos, etc. — , software de contabilidad, facturación, etc., apoyándose en productos ya existentes o creando productos nuevos, dando como resultado un todo seguro, gratis, libre y abierto. [...]

By: Sergio Hernando

Sergio Hernando — Mon, 24 Jul 2006 21:24:37 +0000

Ah, pues es muy sencillo hombre. Me cito a m� mismo ;)

Es importante notar aqu� que CC utiliza una graduaci�n de requisitos llamada Evaluation Assurance Levels, normalmente conocidas como EALs, las cuales est�n numeradas del 1 al 7, siendo creciente el n�mero de controles y requisitos a cumplir.

Los niveles altos de EAL NO IMPLICAN necesariamente que el producto sea m�s seguro (por eso el t�tulo tiene la palabra “seguros” entrecomillada), sino que los niveles de seguridad que un desarrollador o usuario proclama tener en su producto han sido analizados de un modo m�s exhaustivo.

La clave de EAL est� en que se certifica lo que el fabricante asegura cumplir, no un est�ndar que mida a todos por el mismo rasero. Consecuencia de esto, al menos para m�, la certificaci�n EAL no vale para comparar sistemas, y much�simo menos, para comparar su seguridad.

By: Felipe Alfaro Solana

Felipe Alfaro Solana — Sun, 23 Jul 2006 22:26:04 +0000

Es por razones como �stas por las que no comprendo muy bien como Windows est� certificado EAL-4 y otros sistemas operativos m�s seguros y mejor dise�ados no, o est�n certificados en un nivel inferior.

Los mecanismos de seguridad mandatoria son, a d�a de hoy, m�s que una realidad en los sistemas UNIX (Trusted Solaris, FreeBSD, Linux, OpenBSD), pero ciencia ficci�n en la “segura” plataforma de Microsoft.