Back in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 '80s, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was an operating system called MS-DOS. This ancient OS, some readers might not even remember it today, had a very simple security model: every application had access to all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user files and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r applications.
Today, over two decades later, overwhelming majority of people still use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very same security model... Why? Because on any modern, mainstream OS, be that Linux, Mac, or Windows, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user applications still have full access to all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's files, and can manipulate all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r user's applications.
Does it mean we haven't progressed anywhere from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS-DOS age? Not quite. Modern OSes do have various anti-exploitation mechanisms, such as ASLR, NX, guard pages (well, Linux has it since last week at least), and even some more.
But in my opinion cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has been too much focus on anti-exploitation, and on bug finding, (and on patching, of course), while almost nothing has been done on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS architecture level.
Does anybody know why Linux Desktops offer ability to create different user accounts? What a stupid question, I hear you saying - different accounts allow to run some applications isolated from user's ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r applications! Really? No! The X server, by design, allows any GUI application to mess with all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r GUI applications being displayed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same X server (on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same desktop). So, what good it is to have a "random_web_browsing" user, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Firefox run under this user account would still be able to sniff or inject keystrokes to all my ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r GUI applications, take screenshots of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, etc...?
[Yes, I know, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user accounts allows also to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretically share a single desktop computer among more than one physical users (also known as: people), but, come on, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days it's that a single person has many computers, and not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way around.]
One might argue that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 progress in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 anti-exploitation, and also safe languages, would make it nearly impossible to e.g. exploit a Web browser in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next few years, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re would be no need to have a "random_web_browsing" user in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place. But, we need isolation not only to protect ourselves when somebody exploits one of our application (e.g. a Web Browser, or a PDF viewer), but also, and perhaps most importantly, to protect from maliciously written applications.
Take summer holiday example: imagine you're a scuba diver - now, being also a decently geeky person, no doubt you will want to have some dive log manager application to store cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 history of your dives on a computer. There are a dozen of such applications on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web, so all you need to do is to pick one (you know, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nicest screenshots), and... well you need to install it on your laptop now. But, hey, why this little, made by nobody-knows-who, dive application should be given unlimited access to all your personal files, work email, bank account, and god-know-what-else-you-keep-on-your-laptop? Anti-exploitation technology would do exactly nothing to prevent your files in this case.
Aha, it would be so nice if we could just create a user "diving", and run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 app under this account. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future, you could throw in some advanced deco planning application into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same account, still separated from all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r applications.
But, sorry, that would not work, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 X server doesn't provide isolation on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUI-level. So, again, why should anybody bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r creating any additional user accounts on a Linux Desktop?
Windows Vista made a little step forward in this area by introducing integrity levels, that, at least cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretically, were supposed to prevent GUI applications from messing with each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y didn't scale well (IIRC cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were just 3 or 4 integrity levels available), and it still isn't really clear if Microsoft treats cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m seriously.
So, why do we have user accounts on Linux Desktops and Macs is beyond me (I guess Mac's X server doesn't implement any GUI-level isolation eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r - if I'm wrong, please point me out to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate reference)?
And we haven't even touched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems that might arise from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker exploiting a bug in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 (over-complex) GUI server/API, or in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 (big fat) kernel (with hundreds of drivers). In order for those attacks to become really interesting (like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Rafal's attack we presented yesterday), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user would have to already be using e.g. different X servers (and switch between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m using Ctrl-Shift-Fn), or some sandboxing mechanisms, such as SELinux sandbox, or, in case of Vista, a scheme similar to this one.
Thursday, August 19, 2010
Subscribe to:
Post Comments (Atom)
15 comments:
There are more than 4 integrity levels in Vista (On Screen Keyboard will run at Medium+X IL etc) The IL's are spaced 0x1000 apart so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is plenty of space for custom levels (I have never actually tried to create a process with a custom level so I'm not sure if it is possible for normal apps to use custom levels at this point or if we have to wait for Win8)
I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 model you're inclining towards might be a true microkernel model, where all system services run isolated in user mode, with all calls passing through a minimized amount of kernel mode code.
There have been attempts to commercialize this model for ages, and some, e.g. QNX, were successful. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a difference between a small embedded system like QNX and a complex desktop GUI OS like Linux and Windows. They tried originally to make NT a microkernel and it was just too slow, and IBM tried to make a microkernel our of OS/2 ("Workplace OS" I think) and it took 40 minutes to boot.
So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 short answer to your question is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re have always been performance trade-offs for this aspect of security and we're only now, with virtualization and multiple cores and gigs of RAM, getting to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point where such isolation might be practical. But not yet mainstream
@Larry: I wrote nothing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post that would even suggest a microkernel model. I only complained about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of isolation on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUI level in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mainstream OSes.
Also, please note that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was _no point_ (at least from security point of view) to have microkernel OSes before 2009, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were no laptops supporting VT-d, and without IOMMU it makes no sense to have this model.
joanna: you wrote "or in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 (big fat) kernel (with hundreds of drivers)" which can seems like you want micro kernels - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y aren´t fat :)
So, you are saying that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re should be some separating of applications.. and user files (informations). That seems logical but if user would have to set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 access to files it could be really annoying ;)
I really like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Android security model. When you install an application, it asks for certain capabilities. Then, when it's installed, it has only those capabilities, and no ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.
I wish that it were more fine-grained, though. For example, a lot of applications request full network access just so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can display some advertisements. Surely we can get more fine-grained than this. Also, it would be nice to install an app, but deny it some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities it requested. However, I can see why Google might be afraid of implementing this, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n users could effectively disable advertisements by disabling network traffic on certain applications.
I also like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 apple sandboxing API. If an application knows that it will never be writing anything to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filesystem, it can set a sandbox profile like "kSBXProfileNoWriteExceptTemporary." Effectively this causes it to drop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability of writing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filesystem forever. Even if you find a way to inject malicious code into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process, you will never be able to write to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filesystem (or at least, not without exploiting anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vulnerability.)
cmccabe@alumni.cmu.edu
At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end, you mentioned SELinux "sandbox". Well, I think SELinux can be used to give you pretty much everything you are asking for (and possibly AppArmor too). The only problem with SELinux securing applications is that AFAIK, you have to compile cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 configuration for every program / user you want to secure - this would be a PITA even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 configuration wasn't so hard to figure out.
I think what might be a happy medium would be for package maintainers to put SELinux configuration changes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir packages so that security is templates for most people.
Of course, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is also a chroot jail which for simple things like bind, web browsers and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likes. This wouldn't work as well for your dive log unless you can export things out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jail (weakening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security model).
Hello,
first of all thanks for a great article. It really made me thinking about how I use my machine every day.
Since I'm a Mac person I did some checking. It turns out that lauching apps from root's or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r-than-current user's shell (via shell command "open") actually makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m running under my account. It's interesting because OS X doesn't allow me to run Firefox as anybody else than bilbo (i.e. my account). I'd have to switch user to ghost (i.e. my secondary account, unprivileged) to do random browsing. Such scheme renders my (bilbo's) desktop unsusable. I don't like it at all.
I haven't checked if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 secondary user's processes can listen to keystrokes, mouse events etc. while being run in a "switched" desktop, but I think I'll craft a small app to do that. Your article really made me thinking.
Once again, thanks :).
"[Yes, I know, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user accounts allows also to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretically share a single desktop computer among more than one physical users (also known as: people), but, come on, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days it's that a single person has many computers, and not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way around.]"
Both scenarios are equally valid, especially in a corporate setting. For example, machines in 'hotdesk' areas my well be shared by multiple users who all have separate accounts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine (likely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are AD accounts but from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 a local machine perspective cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are separate accounts with separate user profiles, user data areas etc.)
And, Citrix/MS Terminal Server solutions are effectively a number of users all logging into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same machine with different user accounts when you think about it.
There are lots of examples where application separation gets really complicated - for example, if I run several word processors, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could all need access to word processing documents on my machine, even those documents that were created in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r word processors on my machine - for example, docs created in MS Word and those created in OpenOffice. Similar situations exist for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r application types such as spreadsheet programs, graphics programs and so forth.
The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r problem of course is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usual 'ease of use'/security trade off. How could such a full segregation security model be implemented between applications and actually make it user friendly?
Finally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security model on most operating platforms requires that I elevate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application installer to 'admin' level so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application can install files in 'system' areas, add entries to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'Registry' and so forth. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point that I as a user have allowed this privilege elevation, it's pretty much 'game over' in any case as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application installer has full access to my machine. Segregation between applications *after* installation cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore doesn't seem to have much point.
I'm not actually offering any solutions eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r but that's only because I'm not sure what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solution is here. Is anything really actually broken here?
@RareCactus:
If an application knows that it will never be writing anything to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filesystem (...)
That assumes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 app is not intentionally malicious, no?
@Shawn: No, SELinux, chroot, and similar Linux/Unix mechanisms DO NOT PROVIDE ISOLATION ON THE GUI LEVEL.
@somebloke: Of course! Requiring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user to run every app's installer as root/admin is a stupidity (as I wrote many years ago here.
Thank you. For stating what seems to me is so obvious, but no-one else in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security / IT industry seems to get. It's not about "removing admin rights" to stop people installing programs, it's about having separate sandboxed rights assigned to each program so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can access only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need ala cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Apple iPhone model. People will always install unknown applications, if only to see what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should not be able to take over an entire system and it's data.
Would it solve this problem to run each app in a different chroot jail?
@Sam: No, no GUI isolation.
Hi Joanna:
Interesting article. While I agree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spirit of your argument I think I disagree with some empirical points that you base it on.
DOS had only one operating mode: (Kernel Mode) and everything that ran could really poke and do anything to any part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system.
The security model in modern desktop operating systems is a Discretionary Access Control (DAC) model. While this still allows users to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir files and data, to say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se systems do not go beyond MSDOS is perhaps a bit too harsh.
There is a clear separation of kernel-space and user-space processes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se modern systems. While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transition between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m may have been kept fairly lax cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 separation is formal and does exist, and can be used to separate users to quite an extent. Interprocess Communications paths within nix like systems (such as Linux and OSX) is well defined. In Windows NT type kernels (NT, Vista, Win7 etc) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel is a microkernel and various components, including IPC run within user-space. An approach that's geared towards rapid development of closely knit applications that provide short-cuts to object embedding etc.
You mentioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that X allows one process to manipulate anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r one. That is not as gross as you make it out to be. A properly configured X environment can and does provide some level of isolation. Not to take away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 argument that it's difficult to configure (X security cookies are still a black art), but to out right say that a mechanism is absent is a bit too severe. Moreover if you look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 history of X, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole idea was to have a dumb display (which would run your X server) that would eventually be able to display multiple applications, and more to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach to display is also DAC. So if John allows access to his DISPLAY to Sally cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n that's John's prerogative, and Sally's good luck.
The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r component is lack of granularity within Security Systems. There is a lot of progress on data-at-rest. File systems support POSIX extended attributes, encryption and more, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a lot of hope cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. The same can be said for data in transit over wire. The main place where security still falls short is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 processing stage (running programs).
However, it’s not for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wont of knowledge. Strong security models have existed for decades that provide sufficient separation of duty, control and isolation to achieve appropriate levels of secrecy, privacy and integrity. Orange Book Mandatory Access Control and Domain Control (not to be confused by Windows Domains) models have been around since about 1984.
Modern systems have variants that at some level provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to enforce security. Security Enhanced Linux, for example, implements cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to enforce various security models including MAC and is part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core kernel. This extended security also encompasses GUI interfaces and interprocess communication cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rein.
Security, especially fine-grain security, comes at a significant price of usability, speed, flexibility and requires user-training and understanding.
My company Trustifier (shameless plug) was founded on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very premiss that high-end security as envisioned in orange book, common-criteria, DIACAP and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like have to be made easy to use in modern distributed heterogenous operating environments.
We have to realise however, that we cannot have it both ways: We cannot collectively turn our noses at security by not learning about it and properly implementing it, and all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 while complain about lack of security. There is security available, it is accessible, and can be used. We just have to own up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that, like anything else worthwhile, it takes time, effort, money and discipline to execute on it.
With Respect, Ahmed.
You might want to look into XACE and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way it integrates SELinux into X11.
It's not perfect, but it lets you bring in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full power of a FLASK/type enforcement MAC to your GUI apps. The trouble, of course, is that writing FLASK/TE policy isn't easy - but it does get you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 isolation from misbehaving apps that you want.
@Ahmed:
Theoretically, most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 points you bring are correct (except for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statement that NT is microkernel based -- it is not, not even in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory). The reality, however, is much different:
1) The usermode/kernel mode separation on Linux and Mac OS X is moot -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user can load whatever kernel module she wants at will (unless you're some hardcore admin that manually recompile kernel with disabled LKM, and a few hardening patches, like /dev/(k)mem removal -- certainly not something that a desktop user should/could do). Vista/W7 tried to made this somehow better by introducing a policy to load only signed kernel modules, but it has been demonstrated several times, that this doesn't work in practice (see e.g. Alex's and mine BH 2007 presentation).
2) I don't agree on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comment about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 X server isolation -- please post an exemplary config that would "properly configur[e] X environment", so that it isolated e.g. my firefox from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r apps. I would love to see one!
3) To cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best of my knowledge, SELinux currently is unable to provide GUI-level isolation. If it was, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n why Dan Welsh (http://danwalsh.livejournal.com/), SELinux developer, would be not using it for his "sandbox -X" utility? He uses a dedicated (nested) X server (Xephyr) to provide GUI-level isolation, from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main X server.
@Farnz:
AFAIK, SELinux's XACE hooks is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re yet (in fact this looks like a dead project), and also see my argument above about why Dan Welsh does not use it for his sandbox.
Post a Comment