home *** CD-ROM | disk | FTP | other *** search
/ Usenet 1994 October / usenetsourcesnewsgroupsinfomagicoctober1994disk2.iso / std_unix / archive / text0004.txt < prev    next >
Encoding:
Text File  |  1994-03-07  |  5.4 KB  |  201 lines
  1. Submitted-by: nick@usenix.org (Nicholas M. Stoughton)
  2.  
  3.                USENIX Standards Report Editor
  4.  
  5.    Nicholas M. Stoughton <nick@usenix.org>, Report Editor
  6.  
  7.  
  8. POSIX.6: Security Extensions
  9.  
  10.  
  11. Lynne Ambuel <ambuel@dockmaster.mcsc.mil> reports on the
  12. January 10-14, 1994 meeting in Irvine, Ca.:
  13.  
  14. Introduction
  15.  
  16. As a first time snitch, I would like to indulge you with my
  17. thoughts on standards - from a security geek's point of
  18. view.  The general subjects include the peculiarities of
  19. information security and those who live by it, various
  20. activities taking place, and the status of the POSIX
  21. security working group (previously known as P13.6).  Other
  22. issues may creep into the discussion, but everything will
  23. relate (no matter how obscurely) to these greater issues.
  24.  
  25. A Different Animal
  26.  
  27. Computer Security specialists are used to being called names
  28. like `different,' `special,' and even `strange.' Although
  29. some might take offense, I must agree with the
  30. characterization.  Computer security really is a different
  31. animal.  While most software designers and developers can
  32. kick back once their code does what it is supposed to do, we
  33. have just started - the important part is what the code also
  34. does _n_o_t do.  For other applications, added functionality
  35. brings cheers from users - more bells and whistles are
  36. always better.  We add functionality and our users cringe -
  37. more restrictions.  If we are real good, no one will notice
  38. we have added more while our counterparts fly banners with
  39. their latest new features.  Is it any wonder we can't get no
  40. respect?
  41.  
  42. In the standards world, we are treated in a similar fashion.
  43. We in the POSIX Security Working Group (P13.6) have the
  44. unenviable job of policing the work of other POSIX groups to
  45. be sure that gaping security holes are not mandated in the
  46. standards.  That makes us lots of friends.  We add
  47. interfaces that have sweeping effects on well-established
  48. sets of interfaces.  We change those pillars of POSIX
  49. interfaces and utilities to accommodate our added features.
  50. And, our job never ends.  As new standards are developed we
  51. continue to study them for the impact on the security of
  52. POSIX-conformant systems.  We have just started looking at
  53. what security means when systems are interconnected.  The
  54. concepts of user identification and authentication and data
  55. markings becomes remarkably complex once it is taken out of
  56. a single system and spread throughout a network.  Let's say
  57.  
  58.  
  59.  
  60.  
  61.  
  62.  
  63.  
  64.  
  65.  
  66.  
  67.  
  68. - 2 -
  69.  
  70.  
  71.  
  72. that we have a lot of work to do in getting standards that
  73. both meet the needs of the market and protect the
  74. information of those using the end product, whether or not
  75. they know they want it protected.
  76.  
  77. The Great Thing About Standards is There Are So Many To
  78. Choose From
  79.  
  80. Not so many years ago computer standardization was a a
  81. foreign and even ridiculous thought.  In the eighties,
  82. however, we started moved toward a more friendly world and
  83. everyone wanted to talk to everyone in the same language.
  84. Organizations that previously held design and implementation
  85. information excruciatingly close soon started sharing these
  86. gems freely.  Security joined right in.  Standards were
  87. written for what security should be in systems, first in
  88. individual countries and then in international cooperation.
  89. The utopian view is that someday (soon) there will be a
  90. single security standard for the globe.  In addition,
  91. several working groups were formed to look at
  92. standardization of security interfaces, utilities, and data.
  93. Some were folded into others.  Others sprouted and are still
  94. separate.  These efforts continue with limited coordination
  95. between the groups.  The problem with these parallel groups
  96. is that, in these times of downsizing, organizations send
  97. fewer representatives.  This means that each of the groups
  98. have trouble making progress on their standards due to lack
  99. of resources.  If these groups would pool their resources
  100. substantive progress might be made, and there would be one
  101. accepted standard instead of a handful of incomplete ones.
  102.  
  103. Progress of POSIX Security Working Group
  104.  
  105. Now that you have indulged my whinings about dwindling
  106. resources I can tell you what we have accomplished.  A third
  107. ballot of the five initial security options for POSIX.1
  108. (access control lists, mandatory access control labels,
  109. information labels, audit and fine-grained privileges) is
  110. being distributed as you read.  However, it is about four
  111. months behind schedule due to loss of half of the ballot-
  112. resolution team.  In addition, we have identified several
  113. interface areas that we need to tackle in order to complete
  114. a set of security interfaces for portable applications
  115. (identification and authentication, administration and
  116. portable formats of security attributes, cryptography, and
  117. network security interfaces).  Alas, we have been unable to
  118. make any headway in these new areas because we cannot seem
  119. to get enough organizations to submit proposals, nor can we
  120. reach critical mass of people willing to do the work.
  121.  
  122.  
  123.  
  124.  
  125.  
  126.  
  127.  
  128.  
  129.  
  130.  
  131.  
  132.  
  133.  
  134. - 3 -
  135.  
  136.  
  137.  
  138. Sigh - What's a chair to do?  Flood the Internet with calls
  139. for participation and proposals?  Done it.  Personal appeals
  140. to ex-members?  Done it.  Complain and wallow in self-pity?
  141. Done it.  Get mad and stomp around some Marriott?  Done it.
  142. Ignore the problem and act like fifty new attendees will
  143. show up?  Done it.  Continue the work and make progress, no
  144. matter how slow?  Doing it - for as long as it takes.
  145.  
  146.  
  147.  
  148.  
  149.  
  150.  
  151.  
  152.  
  153.  
  154.  
  155.  
  156.  
  157.  
  158.  
  159.  
  160.  
  161.  
  162.  
  163.  
  164.  
  165.  
  166.  
  167.  
  168.  
  169.  
  170.  
  171.  
  172.  
  173.  
  174.  
  175.  
  176.  
  177.  
  178.  
  179.  
  180.  
  181.  
  182.  
  183.  
  184.  
  185.  
  186.  
  187.  
  188.  
  189.  
  190.  
  191.  
  192.  
  193.  
  194.  
  195.  
  196.  
  197.  
  198.  
  199. Volume-Number: Volume 34, Number 6
  200.  
  201.