timeshare

Pequeno histórico sobre o surgimento das Normas de Segurança

Por Luís Rodrigo de Oliveira Gonçalves*

Desde o início da civilização humana há uma preocupação com as informações e com os conhecimentos atrelados a elas. Inicialmente, esta atenção especial pode ser observada no processo de escrita de alguns povos, como é o caso da antiga civilização egípcia, na qual somente as castas “superiores” da sociedade tinham acesso aos manuscritos da época, e menos pessoas ainda ao processo de escrita dos mesmos. Assim a escrita, por meio de hieróglifos do Egito antigo, representa uma das várias formas utilizadas pelos antigos de protegerem e, ao mesmo tempo, perpetuarem o seu conhecimento.

Contudo, somente na sociedade moderna, com o advento do surgimento dos primeiros computadores, houve uma maior atenção para a questão da segurança das informações. De início, esta preocupação era ainda muito rudimentar, porém com o passar do tempo este processo mudou.

A questão da segurança no âmbito dos computadores ganhou força com o surgimento das máquinas de tempo compartilhado, também conhecidas como computadores “time-sharing”, ou seja, que permitiam que mais de uma pessoa, ou usuário, fizesse uso do computador ao mesmo tempo, processo comum na atualidade, mas que até então não era possível.

O “time-sharing” permitiu que vários usuários pudessem acessar as mesmas informações, contudo este acesso não gerenciado poderia gerar efeitos indesejáveis, tal como: um estagiário pode ter acesso aos dados do presidente da firma. Logo, nasce a necessidade da implementação de ferramentas que implementem o fornecimento de mecanismos para minimizar o problema do compartilhamento de recursos e informações de forma insegura.

Neste período foi então caracterizado o que ficara conhecido como o “problema clássico de computadores”, o qual pode ser resumido na seguinte questão: “Como fazer com que usuários autorizados possam ter acesso a determinadas informações, ao mesmo tempo em que os usuários não autorizados não possam acessá-las?”.

Todavia, a resposta para a pergunta acima não era, e ainda não é, trivial. A primeira resposta, sugerida na época para solucionar o problema foi a construção de um Sistema Operacional (S.O.) melhor, mais aprimorado. Contudo, a sociedade ainda não possuía o conhecimento de como construí-lo.

Assim, em outubro de 1967, nasceu nos Estados Unidos o primeiro esforço para solucionar tal situação. Isto se deu com a criação de uma “força tarefa”, que resultou em um documento intitulado “Security Control for Computer System: Report of Defense Science Boad Task Force on computer Security” [este documento foi editado por W. H. Ware], e representou o início do processo oficial de criação de um conjunto de regras para segurança de computadores, que mais tarde chegaria ao seu cume com a publicação da uma norma internacional de segurança da informação no ano de 2000, que como o nome afirma é de âmbito mundial.

Porém, este esforço não se deu somente por parte do Departamento de Defesa dos Estados Unidos (United States Department of Defense – DoD); a Agência Central de Inteligência (Central Inteligency Agency) também comprou esta briga, e iniciou o desenvolvimento do primeiro Sistema Operacional que implementava as políticas de segurança do DoD, que foi o ADEPT-50.

Em outubro de 1972, J. P. Anderson escreve um relatório técnico denominado: “Computer Security Technology Planning Study”, no qual ele descreve “todos” os problemas envolvidos no processo de se fornecer os mecanismos necessários para salvaguardar a segurança de computadores.

Este documento, combinado com os materiais produzidos por D.E. Bell e por L. J. La Padula, e denominados “Secure Computer Systems: Mathematical Fundations”, “Mathemathical Model” e “Refinament of Mathematical Model”, deram origem ao que ficou conhecido como “Doctrine”. Esta, por sua vez, seria a base de vários trabalhos posteriores na área de segurança.

Paralelamente o Coronel Roger R. Schell, da Força Aérea Americana, que na época trabalhava na Divisão de Sistemas Eletrônicos – EDS (Eletronic System Division – Air Force Systems Command) iniciou o desenvolvimento de várias técnicas e experimentações que levariam ao surgimento do que ficou conhecido como “Security Kernels”, que nada mais é do que os componentes principais para o desenvolvimento de um Sistema Operacional “Seguro”.

Em 1977, o Departamento de Defesa dos Estados Unidos formulou um plano sistemático para tratar do Problema Clássico de Segurança, o qual daria origem ao “DoD Computer Security Initiative” que, por sua vez, desenvolveria  um “centro” para avaliar o quão seguro eram as soluções disponibilizadas.

A construção do “Centro” gerou a necessidade da criação de um conjunto de regras a serem utilizadas no processo de avaliação. Este conjunto de regras ficaria conhecido informalmente como “The Orange Book”, devido a cor da capa deste manual de segurança, e o Coronel Roger Shell foi o primeiro diretor deste centro.

orange-book-small

O processo de escrita do “Orange Book”, conhecido oficialmente como “Trusted Computer Evaluation Criteria – DoD 5200.28-STD”, teve o seu início ainda no ano de 1978. No mesmo ano, a publicação da primeira versão “Draft”, ou rascunho, deste manual, entretanto somente no dia 26 de dezembro de 1985 foi publicada a versão final e atual deste documento.

Graças às operações e ao processo de criação do Centro de Avaliação e do “Orange Book” foi possível a produção de uma larga quantidade de documento “técnicos”, que representaram o primeiro passo na formação de uma norma coesa e completa sobre a segurança de computadores. A série de documentos originados pelo esforço conjunto dos membros do centro é reconhecida pelo nome de “The Rainbow Series”, cujos documentos continuam sendo atualizados largamente, tais documentos são distribuídos gratuitamente pela internet.

security books rainbow series

security books rainbow series

Mesmo que o “Orange Book” seja considerado, atualmente, um documento “ultrapassado”, podemos considerá-lo como o marco inicial de um processo mundial e contínuo de busca de um conjunto de medidas que permitam a um ambiente computacional ser qualificado como seguro.

Esta norma de segurança permitiu e continua permitindo a classificação, por exemplo, do nível de segurança fornecido pelos sistemas operacionais atualmente utilizados, como são os casos do OpenBSD, do FreeBSD, do NetBSD, do Solaris, do AIX, do QNX, dos vários “sabores” de Linux e até mesmo das várias versões do Windows. Com a classificação realizada pelo “Centro” ficou mais fácil comparar as soluções fornecidas pela indústria, pelo mercado e pelo meio acadêmico de uma forma geral, o que não era possível até então.

Outro fator a ser lembrado é que o “Orange Book”, dentro de sua “formalidade”, permite, de uma maneira simples e coesa, especificar o que deve ser implementado e fornecido por um software, para que ele seja classificado em um dos níveis de “segurança” pré-estipulados, permitindo assim que este também seja utilizado como fonte de referência para o desenvolvimento de novas aplicações e para o processo de atualização ou refinamento de aplicações já existentes e em uso.

Logicamente podemos concluir que o processo de busca de soluções para os problemas de segurança em ambientes computacionais envolve a necessidade do desenvolvimento de padrões, os quais serão tanto utilizados no apoio à construção de sistemas computacionais “seguros” como para a avaliação dos mesmos. A existência de uma “Norma” permite o usuário tomar conhecimento do quão protegidas e seguras estarão as suas informações, possibilitando ao mesmo uma ferramenta que irá auxiliar a escolha de uma solução. Do ponto de vista dos profissionais técnicos, eles passarão a possuir uma ferramenta comum de trabalho, evitando assim que cada equipe tenha para si um padrão desconexo das demais equipes, dificultando aos clientes a melhor escolha.

O “The Orange Book” representou o marco “zero”, do qual nasceram vários padrões de segurança, cada qual com a sua filosofia e métodos proprietários, contudo visando uma padronização mundial. Houve um esforço para a construção de uma nova norma, mais atual e que não se detivesse somente na questão da segurança de computadores, mas sim na segurança de toda e qualquer forma de informação.

***************

Nota: Entre 2001 e 2005 trabalhava no Bicbanco e era responsável pela infraestrutura e segurança da instituição. Uma das minhas atribuições era identificar as melhores práticas (NIST, DoD, etc) e adequá-las para uso do Bicbanco. Neste processo, achei este texto da Módulo Security e acabei salvando localmente (tenho mais de 1TB de material em disco).

Este texto não está mais no site da Módulo, mas cito aqui as referências e data do post:

Módulo Security

Módulo Security