home *** CD-ROM | disk | FTP | other *** search

---

/ Hackers Toolkit v2.0 / Hackers_Toolkit_v2.0.iso / HTML / archive / Rainbow / ncsc / lblue2ncsc.txt

< prev

next >

Wrap

Text File  |  1999-11-04  |  43KB  |  824 lines

---

1. A GUIDE to UNDERSTANDING OBJECT REUSE in
2. TRUSTED SYSTEMS
3.  
4. Patrick R. G r, Jr. July 1992
5. Director
6. National Computer Security Center
7.  
8.  
9. Table of Contents
10.  
11.      FOREWORD 
12.      ACKNOWLEDGMENTS 
13.      1 INTRODUCTION 
14.           1.1 BACKGROUND 
15.           1.2 PURPOSE 
16.           1.3 SCOPE 
17.           1.4 CONTROL OBJECTIVE 
18.      2 OVERVIEW OF PRINCIPLES 
19.           2.1 THE TCSEC OBJECT REUSE REQUIREMENT 
20.           2.2 PURPOSE OF THE OBJECT REUSE REQUIREMENT 
21.           2.3 APPLICABILITY OF THE OBJECT REUSE REQUIREMENT 
22.           2.4 SUMMARY 
23.      3 IMPLEMENTATION CONSIDERATIONS FOR OBJECT REUSE 
24.           3.1 CONSIDERATIONS FOR PRIMARY STORAGE OBJECTS 
25.           3.2 FIXED MEDIA METHODS 
26.           3.3 REMOVABLE MEDIA METHODS 
27.           3.4 MANAGEMENT OF REMOVABLE MEDIA 
28.           3.5 SUMMARY 
29.      GLOSSARY 
30.      REFERENCES 
31.  
32.  
33.  
34. NCSC-TG-018 
35. Library No. 5-223,170 
36. Version 1 
37.  
38. FOREWORD
39.  
40. A Guide to Understanding Object Reuse in Trusted Systems provides a
41. set of good practices related to object reuse. We have written this
42. guideline to help the vendor and evaluator communities understand the
43. requirements for object reuse as described in the Department of Defense
44. Trusted Computer System Evaluation Criteria. In an effort to provide
45. guidance, we make recommendations in this technical guideline that are not
46. requirements in the Criteria.
47.  
48. The Object Reuse Guide is the latest in a series of technical guidelines
49. published by the National Computer Security Center. These publications
50. provide insight to the Trusted Computer System Evaluation Criteria
51. requirements for the computer security vendor and technical evaluator. The
52. goal of the Technical Guideline Program is to discuss each feature of the
53. Criteria in detail and to provide the proper interpretations with specific
54. guidance.
55.  
56. The National Computer Security Center has established an aggressive
57. program to study and implement computer security technology. Our goal is
58. to encourage the widespread availability of trusted computer products for
59. use by any organization desiring better protection of its important data.
60. One way we do this is by the Trusted Product Evaluation Program. This
61. program focuses on the security features of commercially produced and
62. supported computer systems. We evaluate the protection capabilities
63. against the established criteria presented in the Trusted Computer System
64. Evaluation Criteria. This program, and an open and cooperative business
65. relationship with the computer and telecommunications industries, will
66. result in the fulfillment of our country's information systems security
67. requirements. We resolve to meet the challenge of identifying trusted
68. computer products suitable for use in processing information that requires
69. protection.
70.  
71. I invite your suggestions for revising this technical guideline. We will
72. review this document as the need arises.
73.  
74. ACKNOWLEDGMENTS
75.  
76. The National Computer Security Center extends special recognition and
77. acknowledgment to James Anderson, COL Rayford Vaughn (USA), and Rick
78. Siebenaler as authors of this document. Patricia R. Toth is recognized for
79. the development of this guideline, and Capt. James A. Muysenberg (USAF) is
80. recognized for its editing and publication.
81.  
82. We wish to thank the many members of the computer security community who
83. enthusiastically gave their time and technical expertise in reviewing this
84. guideline and providing valuable comments and suggestions.
85.  
86. 1 INTRODUCTION
87.  
88. 1.1 BACKGROUND
89.  
90. The principal goal of the National Computer Security Center (NCSC) is to
91. encourage the widespread availability of trusted computer systems. In
92. support of this goal the NCSC created a metric, the DoD Trusted Computer
93. System Evaluation Criteria (TCSEC) [2], against which computer systems
94. could be evaluated.
95.  
96. The TCSEC was originally published on 15 August 1983 as CSC-STD-001 -83.
97. In December 1985 the Department of Defense adopted it, with a few changes,
98. as a Department of Defense Standard, DoD 5200.28-STD. DoD Directive
99. 5200.28, Security Requirements for Automated Information Systems (A 155)
100. [4], requires the TCSEC be used throughout the Department of Defense. The
101. TCSEC is the standard used for evaluating the effectiveness of security
102. controls built into DoD ASs.
103.  
104. The TCSEC is divided into four divisions: D, C, 19, and A. These divisions
105. are ordered in a hierarchical manner, with the highest division (A) being
106. reserved for systems providing the best available level of assurance and
107. security. Within divisions C and 19 are subdivisions known as classes,
108. which are also ordered in a hierarchical manner to represent different
109. levels of security in these divisions.
110.  
111. 1.2 PURPOSE
112.  
113. This document is written to help vendors and evaluators understand the
114. object reuse requirement. It also provides guidance to vendors on how to
115. design and incorporate effective object reuse mechanisms into their
116. systems. Some examples for accomplishing object reuse are provided in this
117. document, but they are not the only way to meet the requirement. Nor are
118. the recommendations supplementary requirements to the TCSEC. The only
119. measure of TCSEC compliance is the TCSEC itself.
120.  
121. 1.3 SCOPE
122.  
123. This guideline discusses the object reuse requirement applicable to the
124. trusted computing bases (TClBs) found in classes C2 through Al. Although
125. it is directed toward object reuse, this guideline also addresses other
126. TCSEC requirements that tend to strengthen the assurance for the correct
127. performance of object reuse. 
128.  
129. 1.4 CONTROL OBJECTIVE
130.  
131. The general control objective for object reuse is specified in the TCSEC.
132. It was originally obtained from DoD Directive 5200.28 (April `78 version)
133. which has now been modified and reissued (March `88) but still embodies
134. the spirit of the original requirement. It requires automated information
135. systems (AISs) processing classified information to, "with reasonable
136. dependability, prevent:
137.  
138.      a. Deliberate or inadvertent access to classified material by
139.      unauthorized persons . . . ."[2, page 59]
140.  
141. The word "unauthorized" in the above objective is deserving of further
142. explanation. Certainly one must assume that strong Identification and
143. Authentication (I & A) mechanisms ensure that users are authorized to be
144. on the system prior to the need for object reuse controls. However, the
145. object reuse mechanisms are designed to ensure that the authorized user of
146. the system does not obtain residual information from system resources.
147.  
148. In this guideline, "classified" means any information requiring protection
149. or authorization to access. The disclosure arising from the absence of an
150. object reuse mechanism is considered inadvertent (assuming all other TCSEC
151. requirements are in place and working properly).
152.  
153. 2 OVERVIEW OF PRINCIPLES
154.  
155. Object reuse is defined by A Guide to Understanding Data Remanence in
156. Automated Information Systems as:
157.  
158.      "The reassignment to some subject of a storage medium (e.g., page
159.      frame, disk sector, magnetic tape) that contained one or more
160.      objects. To be securely reassigned, no residual data can be available
161.      to the new subject through standard system mechanisms." [1 ]
162.  
163. The object reuse requirement of the TC$EC is intended to assure that
164. system resources, in particular storage media, are allocated and
165. reassigned among system users in a manner which prevents the disclosure of
166. sensitive information.
167.  
168. The requirement ultimately derives from observations made during the early
169. penetration testing experiences (circa 1969-1973) that systems typically
170. did not clear a user s working memory (often called "scratch space") when
171. the user completed a session. Thus, when memory was reassigned to another
172. user, the information placed in it by the previous user was now available
173. to the new owner of the scratch space. Often, the disclosure was
174. inadvertent: the second user had not intended to obtain the information
175. suddenly made available. However, it also meant that a malicious (or just
176. curious) user could browse (or "scavenge") through the system, obtaining
177. scratch space and looking for items of interest (the equivalent of
178. rummaging through the trash). Depending upon the details of the system
179. architecture and operating system, a browser could more or less control
180. whose work space was being accessed. Although the problem was first noted
181. as one involving primary storage (or main memory), it clearly extends to
182. secondary storage as well; removable media (such as tapes and removable
183. disks) and disk space must be allocated such as to prevent one user s
184. information from inadvertently becoming available to others as system
185. storage resources are shared among system users.
186.  
187. In short, with effective object reuse mechanisms in place, a penetrator is
188. prevented from obtaining information through browsing attacks (e.g.,
189. logging onto the system as a user and browsing). Object reuse does not
190. necessarily protect against physical attacks on the storage medium,
191. especially using sophisticated equipment and methods (e.g., taking a
192. degaussed disk pack and trying to read residual information from the
193. platters). Protection against physical attacks are addressed by A Guide to
194. Understanding Data Remanence in Automated Information Systems [1].
195.  
196. 2.1 THE TCSEC OBJECT REUSE REQUIREMENT
197.  
198. The object reuse requirement first appears at class C2 (controlled access
199. protection) and remains unchanged through class Al (verified protection).
200. Although the requirement remains unchanged, the assurance of proper
201. implementation increases as the class increases.
202.  
203.      The requirement is:
204.      "All authorizations to the information contained within a storage
205.      object shall be revoked prior to initial assignment, allocation or
206.      reallocation to a subject from the TCB's pool of unused storage
207.      objects. No information, including encrypted representations of
208.      information, produced by a prior subject's actions is to be available
209.      to any subject that obtains access to an object that has been
210.      released back to the system." [2, page 15]
211.      The term "storage object" is defined as:
212.      "An object that supports both read and write accesses." [2, page 116]
213.  
214. The intent of the object reuse requirement is stated in the second
215. sentence of the requirement above ("No information . . . produced by a
216. prior subject's actions is to be available to any subject that obtains
217. access to an object that has been released back to the system.")
218. Rephrased, the purpose is to prevent a user who is allocated storage from
219. accessing information put there by a previous user (ignoring, for the
220. moment, explicit sharing). It also has the side effect of preventing a
221. user from accessing information he puts into a storage object which is
222. released to the system and then reallocated to him.
223.  
224. The requirement does not specify how to perform object reuse. It allows
225. the designer some leeway in implementation. An obvious approach is to
226. clear the storage, either upon deallocation or at allocation. Either
227. method is acceptable in meeting the requirement, although there are
228. tradeoffs to consider when making this choice. These issues are discussed
229. later in this guideline. However, the designer can use an approach which,
230. in effect, guarantees that the current "owner' of the storage can only
231. access what he has written (e.g., preventing the reading beyond the
232. end-of-file mark on a tape or in a disk block). Thus, the wording of the
233. requirement recognizes the existence of different implementation
234. strategies which accomplish the same end.
235.  
236. The first sentence of the requirement ("All authorizations to the
237. information contained within a storage object shall be revoked....") means
238. that once a storage object is given to a user, no subject can have access
239. to the information which had been (or may still be) in that object. "All
240. authorizations to the information contained within a storage object shall
241. be revoked...." does not equate to "no subject can have access to that
242. object's contents."Nor does it equate to revoking the authorization
243. attributes (e.g., read, write, execute or append) assigned to information
244. within a storage object. Why? Because if the vendor chooses to clear the
245. storage object "prior to initial assignment, allocation or reallocation,"
246. he has revoked "all authorizations to the information contained within
247. [the] storage object." The focus is on the information ---not the storage
248. object, not the attributes.
249.  
250. Does object reuse require the revocation of authorization attributes
251. (e.g., read, write, execute or append) assigned to information within a
252. storage object before it is assigned or allocated? It depends upon the
253. particular implementation. Suppose a system uses memory segments with
254. read, write, execute, and append attributes encoded into descriptors. If
255. the information in the segment has been overwritten, there is no need to
256. clear the descriptor unless the descriptor is considered part of the
257. storage object or is itself a storage object which is released to the
258. system. If the descriptor is considered a storage object or part of one,
259. the attributes are information subject to the object reuse requirement. In
260. both cases, the system could overwrite the old attributes with the new
261. user's attributes. Or it could remove all attributes at deallocation.
262. Either way, clearing the attributes only assures that granting access to a
263. pooled storage object (in this case, a segment) does not implicitly give
264. access to any data previously contained in the object. The information
265. within the storage object must still be protected from the new owner.
266.  
267. Consider the case when a parent process initiates one or more subordinate
268. processes, each having access to a file owned by the parent. Suppose the
269. parent process deletes the file, and the file space (disk space, for
270. example) is returned to the system's resource pool. Does proper object
271. reuse also require the removal of the subordinate processes' access
272. permissions to the file space upon deallocation? No, the requirement
273. allows the system to leave the access set to the parent and/or the
274. offspring processes, but only tO those proCesses. This guarantees that no
275. other processes can access the information in the workspace until the
276. proper procedures are followed. The requirement does not say "revoke
277. authorizations at deallocation of storage objects" ---the requirement does
278. not care if access is continued to be allowed to the process that caused
279. the information to appear in the storage object before the object is
280. reassigned. In other words, a subject could retain effective access to an
281. object that had been returned to the "free pool" until that object was
282. reallocated. (Note: We can think of no reason for, nor an actual
283. implementation of, the above approach. We mention it only to make a
284. point.)
285.  
286. Strictly speaking, the TCSEC object reuse requirement only applies to
287. storage objects accessible by untrusted users of an AIS. However, the
288. system designer may choose to ensure that internal Security relevant data
289. structures are also properly cleared when reusing the internal object.
290. This internal data structure clearing may occur via explicit action of the
291. Trusted Computing Base (TCB), or it may be implicit via a complete
292. overwrite with new TCB data.
293.  
294. An example which illustrates these issues is shown using Table 1. In this
295. example, a segmented memory system provides for virtual storage to system
296. users, using a segment map table (SMT) to maintain segment control
297. information. Control of access to the storage object (i.e., memory
298. segment) is effected by setting the appropriate access attributes to 1
299. (access permitted) or 0 (access not permitted). Thus, an SMT description
300. pertaining to a segment allocated to subject 51 for read/write access
301. would reflect an attribute coding of R = 1, W = 1, IE = 0, and A = 0 (or
302. 1100).
303.  
304. To satisfy the TCSEC object rouse requirement, the TCB must perform
305. several different actions with respect to the segment and the SMT. The TCB
306. must ensure that the segment is accessible only through known, TCB
307. controlled, mechanisms such as the SMT. This assures the invocation of the
308. TCB whenever an access decision must be made. The TCB must not permit
309. access (by a new subject) to the segment until the segment is specifically
310. allocated to a subject. The TCB must ensure the segment is clear (i.e.,
311. contains no residual data) either by explicitly clearing the segment at
312. allocation, clearing the segment at deallocation, or completely over-
313. writing the segment with new data which the subject assigned the segment
314. is permitted to access in the assigned mode. The TCB must also ensure the
315. clearing of any residual control information (i.e., internal TCB data
316. structure) before reallocating
317.  
318. Table 1:  SEGMENT MAP TABLE DESCRIPTION
319. -----------------------------------------------------------------------------------
320. Resident     Secondary                  Attribute                   Real
321. Bit               Storage       Length                                 Address
322. Address                                       R    W    E    A
323. -----------------------------------------------------------------------------------
324.                                                                                      
325. -----------------------------------------------------------------------------------
326.  
327. the segment (if the control information is contained within a storage
328. object). For example, if SMTs are considered storage objects, the TCB must
329. ensure the clearing of any secondary SMT entries for a segment.
330.  
331. 2.2 PURPOSE OF THE OBJECT REUSE REQUIREMENT
332.  
333. As stated in section 1.3, the object reuse requirement is primarily
334. designed to satisfy DoD Directive 5200.28 which requires that "Classified
335. information and sensitive unclassified information shall be safeguarded at
336. all times while in AIS's. Safeguards shall be applied so that such
337. information is accessed only by authorized persons . . . .,` [4, page 3]
338. Without this requirement, storage objects could become an information
339. transfer channel between disjoint users as the system reassigns the
340. objects upon user request. Assurance must be provided that no data in any
341. storage object is accessible upon allocation of that object---even if the
342. object is reallocated to the subject having had the most recent access
343. right to it.
344.  
345. 2.3 APPLICABILITY OF THE OBJECT REUSE REQUIREMENT
346.  
347. The TCSEC object reuse requirement applies to all storage objects defined
348. by an AIS that are protected by its TCB. The set of storage objects often
349. referred to by a user may be (and likely are) different from the set of
350. physical objects that the system must apply the object reuse requirement
351. to. Whereas the user tends to focus on files or memory space, for example,
352. the system implements these abstract or user-visible objects through the
353. use of real objects such as disk blocks, memory pages or segments,
354. records, bytes, and bits. When a user deletes a file, the system must
355. translate the deallocation of the virtualized file into the deallocation
356. of the corresponding control and data blocks that actually implement the
357. file. A consequence of clearing the physical structures of residual data
358. must be the clearing of the abstract object. Some common physical objects
359. include those items listed in Table 2.
360.  
361.                      CPU Registers
362.                 Floating Point Co-processor
363.                        Registers
364.                       Cache Memory
365.                      Physical Memory
366.                     Disk Blocks/Sectors
367.                 Magnetic Tape Blocks/Sectors
368.                        Floppy Disk
369.  
370. Table 2:  Common Physical Objects
371.  
372.  
373. Storage objects are virtualized into objects that are visible to system
374. users. Some common user objects are discussed in the following section,
375. along with a description of the storage objects used to implement the
376. object.
377.  
378. User Object - Object Implementation
379.  
380. Virtual Memory - Virtual memory is implemented using structures similar to
381. the SMT shown in Figure 1, and physical memory segments and pages. The TCB
382. maintains the structures defining the allocation of physical memory to
383. users. Virtual segments and pages correspond to the physical segments and
384. pages when the virtual memory is mapped into physical memory. Otherwise,
385. the virtual memory resides in a temporary storage area of a physical disk
386. drive or other secondary media.
387.  
388. Files - Files are typically an abstraction of virtual memory and disk
389. blocks or sectors. When a file is not being accessed, it is commonly
390. stored on a physical disk drive. The file is defined by a control block
391. which stores the security critical information of the file and identifies
392. the data blocks corresponding to the file. The control and data blocks are
393. physically resident on the disk drive and are maintained by the TCB. When
394. the file is being accessed, all or part of the file is mapped into the
395. virtual address space (virtual memory) of the process (subject) accessing
396. the file.
397.  
398. Directories - Directories are a special type of file that contains
399. information regarding files. Directories reflect the names of files, and
400. upon referring to a specific filename, the directory provides information
401. to the TCB regarding the physical disk location of the file control block.
402.  
403. Virtual Tape Drives - Tapes drives are generally available to users in one
404. of two fashions: allocating the entire tape drive to a user, or providing
405. access to the tape drive through files (as if the tape drive were a disk
406. drive). When a tape drive is completely allocated to a user, the user can
407. utilize the tape drive in whatever manner desired, so long as the system
408. security policy is adhered to. When a tape drive is accessed through
409. files, the TCB maintains the information relevant to properly protect the
410. files from unauthorized access. This requires the TCB to maintain control
411. and data block information, just as is maintained for files on disk
412. drives.
413.  
414. The object reuse requirement applies to the storage objects defined on an
415. AIS system. But, as is seen in the previous discussion regarding the
416. implementati0ff of virtual objects, it is essential to consider completely
417. what storage objects are used to define the system's objects. By carefully
418. considering this visible object - storage object correspondence the system
419. designer ensures the fulfillment of the object reuse requirement in the
420. AIS system.
421.  
422. Reference [5] proposes a reasonable methodology in conducting an object
423. reuse study. This process is paraphrased here as a representative guide of
424. how one might approach the problem during system development.
425.  
426. Step 1: Identify system objects by focusing on the system documentation
427. that completely describes the TCB interface. This will contain the vast
428. majority of the needed information. If a model exists for the system's
429. security policy, the objects should be contained within it. If not, the
430. remaining system documentation and its architecture should be useful in
431. developing a list of object types.
432.  
433. Step 2: Determine what system level objects are used to create the
434. user-visible objects identified in step 1 above. This is the critical step
435. in the methodology and may represent the greatest amount of analysis. Done
436. correctly, this step determines the bounds of the study. The analysis
437. requires an indepth understanding of the specific operating system
438. involved and knowledge of exactly how user objects are represented.
439.  
440. Step 3: For each identified component, determine how the system initially
441. creates, recognizes, allocates, and deallocates it and returns it for
442. system use. Inherent in this procedure is the need to verify that the
443. requirements originally stated for object reuse processing are met for
444. initialization/allocation or allocation/deallocation, and that the two are
445. equal. The remaining steps provide this assurance.
446.  
447. Step 4: Examine each system object's initialization routine to ensure that
448. the requirements of object reuse are being met when an object is added to
449. the system. That is, ensure it contains no residual information.
450.  
451. Step 5: Examine the allocation/deallocation routines to ensure that the
452. requirement to remove residual information has been met.
453.  
454. Step 6: Identify all the system operations used to allocate/deallocate
455. objects and ensure that each invokes the object reuse mechanisms necessary
456. to provide the required protection listed in steps three through five
457. above. (Note ---do not forget operations that "only" extend, shorten, or
458. move objects, as these are also allocation/deallocation operations worthy
459. of scrutiny.)
460.  
461. Step 7: Ensure that the free pool of objects itself is protected so that
462. unpurged objects cannot be accessed and read prior to their reallocation.
463. If the system chooses to implement object reuse upon reallocation, there
464. may be a lengthy period of vulnerability where the object with residual
465. information is stored in the free pool. The free pool must guarantee
466. protection of the information so it remains secure until purged prior to
467. reallocation.
468.  
469. Object reuse is essential for all storage objects available in an AS, but
470. an examination of those objects listed in Table 2 reveals that not all
471. such objects are always under TCB control. For example, the TCB can
472. completely control the ability to access data stored in physical memory
473. but cannot protect data stored on magnetic tapes and floppy disks which
474. have been removed from the system. These removable media are subject to
475. mistakes made by operators, and the media may be removed by system users
476. and accessed using off-site equipment. In either of these cases, the TCB
477. does not protect the data stored on the media and must rely to some extent
478. upon physical, procedural, or other controls to ensure that data is not
479. inappropriately accessed or altered. These controls must be discussed in
480. the Trusted Facility Manual for the system. These classes of objects are
481. depicted in Figure 2, where the cache and main memory is normally always
482. under TCB control, the non- removable (fixed) media is usually under TCB
483. control, and removable media is often not under TCB control.
484.  
485. 2.4 SUMMARY
486.  
487. Object reuse mechanisms ensure system resources are allocated and
488. reassigned among authorized AIS users in a way which prevents the leak of
489. sensitive information. Object reuse does not necessarily protect against
490. physical attacks on the storage medium. Without specifying how to do it,
491. the TCSEC object reuse requirement applies to classes C2 through A1, with
492. increasing assurance of proper execution as the class increases. The
493. requirement concerns storage objects accessible by untrusted users of an
494. AS; it covers all TCB protected storage objects of an AIS. However, the
495. system designer may clear internal security relevant data structures also.
496. The system must translate the deallocation of virtualized files into the
497. deallocaton of the corresponding control and data blocks actually
498. implementing the files. A result of clearing the physical structures is
499. the clearing of the abstract object. All storage objects require object
500. reuse, but all objects are not always under TCB control. Storage objects
501. may or may not correspond to the objects visible to users. Additionally,
502. some storage objects may need administrative, procedural support to ensure
503. the performance of object reuse.
504.  
505. Figure 2: STORAGE OBJECT CONTROL
506.  
507. Removable Media
508. Fixed Media
509. Main Memory - Real & Virtual
510. Cache Memory
511.  
512. Fully Under TCB Control
513. Usually Under TCB Control
514. Often Not Under TCB Control
515.  
516. 3 IMPLEMENTATION CONSIDERATIONS FOR OBJECT
517. REUSE
518.  
519. 3.1 CONSIDERATIONS FOR PRIMARY STORAGE OBJECTS
520.  
521. Automated Information Systems (ASS) rely upon a collection of primary
522. memory to support the execution of programs. Object reuse on primary
523. storage objects is under the control of the AIS's TCB. The TCB is directly
524. responsible for allocating the primary storage objects, placing data into
525. the objects, and determining when to perform object reuse. The physical
526. memory provides virtual memory for user program execution. When the
527. physical memory is allocated to a user, the TCB must ensure that the
528. memory page contains no residual data. This can be done by purging the
529. memory page with an overwriting technique. For efficiency purposes the
530. designer may wish to use a procedure that overwrites and destroys residual
531. data with the new data being swapped in on behalf of a new subject (in
532. lieu of overwriting with a fixed or random pattern of bits). An important
533. part of this technique is for the system designer to demonstrate that, in
534. all circumstances, the residual data is overwritten prior to the
535. allocation of memory to the incoming subject. Since page frames in main
536. memory are of fixed size and data being swapped in or out is not likely to
537. be an exact fit, it is incumbent upon the designer to ensure all physical
538. page frame space is overwritten (e.g., using a fixed or random pattern of
539. zeros and/or ones to purge the memory from the end of the data being
540. swapped in to the end of the physical page frame).
541.  
542. One must not forget to handle registers. A common error made by system
543. designers is to forget to clear registers that are new to the product or
544. infrequently used by system programmers (e.g., floating point co-processor
545. registers).
546.  
547. Cache memory may present a slightly different set of considerations. If a
548. file is deleted by its owner and portions of the file are retained in
549. cache memory, a later request for information contained in the cache may
550. be honored even though the file no longer exists (unless proper design
551. safeguards are established). This is especially true if the second request
552. occurs very soon after file deletion.
553.  
554. When primary memory is removed from the system (e.g., for maintenance or
555. repair), it is subject to the same considerations discussed later for
556. removable media.
557.  
558. 3.2 FIXED MEDIA METHODS
559.  
560. In addition to primary storage objects, many AISs rely on fixed media to
561. contain data for temporary (e.g., buffer or inactive page frame) or long
562. term storage (e.g., file retention). This media may be a fixed disk, the
563. memory in a terminal, and so on. The system designer must identify all
564. physical objects (i.e., blocks, bytes, words) that reside on this media
565. which are used to represent the more abstract objects the user considers
566. (i.e., files, records, programs).
567.  
568. Data is typically stored and retrieved from these kinds of media through
569. the use of several control mechanisms ---each of which might be a storage
570. object in its own right. For example, if a fixed disk or drum is used to
571. provide a backing store capability for a paging system, there are likely
572. several objects associated with the fixed media that will have object
573. reuse requirements. The physical data blocks themselves must be paged
574. between usages, but in addition to this obvious requirement, one must also
575. consider purging the associated entry for the page in the system's page
576. management table and also purging directory information that resides on
577. the media itself.
578.  
579. In all cases, the TCB's ability to fully assure object reuse processing
580. must be demonstrated. This is normally accomplished as discussed earlier
581. in this guideline, through the identification of all objects (and their
582. components) and an examination of each of the routines that control
583. initialization, allocation, and deallocation. As with primary memory,
584. fixed media which is removed from the system is subject to the same
585. considerations discussed later for removable media.
586.  
587. To ensure the system is started in an initially-secure state, the fixed
588. reusable medium must be initialized to an appropriate condition. Clearly,
589. the extent Of the initialization depends on the type of fixed storage
590. objects involved: main memory storage units must be initialized each time
591. a trusted system is started up, while longer-term storage (e.g., disks)
592. would have to be initialized only on first startup or perhaps as part of a
593. recovery process after a system failure.
594.  
595. One can design systems and their attached devices (printers, terminals,
596. etc.) that have residual memory to be cleared with a command issued by the
597. main processor's TCB. However, for open architectures, there is little
598. that can be done from a TCB to (re)initialize the equipment for
599. reallocation. One technique that works with some equipment is to power it
600. off, then on. However, such practice is hard on the equipment and is
601. sometimes not possible without modifying the equipment, or providing
602. TCB-controlled power (outlets) for the equipment. The more likely approach
603. for connected terminal equipment having its own processing capability is
604. to ensure the terminal device itself enforces the object reuse
605. requirement.
606.  
607. 3.3 REMOVABLE MEDIA METHODS
608.  
609. This section discusses some possible implementation approaches that could
610. be the basis for an object reuse mechanism for removable (or removed)
611. media. Removable media represents a special case because it can physically
612. be removed from the system. This means that it no longer comes under TCB
613. controls and thus the automated object reuse procedures must be augmented
614. by physical and procedural controls described in the Trusted Facility
615. Manual.
616.  
617. First, any of the methods used for fixed medium systems can be used. As in
618. the fixed storage class, it is important to overwrite in complete physical
619. allocation units (e.g., sectors, clusters, blocks, tracks, cylinders). The
620. actual allocation units are operating system dependent.
621.  
622. As an example, one logical method may apply to tape storage. If the system
623. being rated has no 1/0 commands accessible to users that can force the
624. reading of a tape beyond an end-of-file (IEOF) mark, the TCB can write an
625. EOF mark at the beginning of all `scratch' tapes. Of course, the question
626. is what informs the TCB that a scratch tape is being introduced to the
627. system. As will be seen below, this is a specific instance of a more
628. general question of how to reintroduce removable media to the control of
629. the TCB.
630.  
631. In general, overwriting storage is feasible if the amount of storage to be
632. overwritten is relatively small, and the overwriting is relatively fast.
633. Thus, for most `main memory' usage, overwriting is feasible. It is also
634. feasible for diskettes and other small removable disk media, such as disk
635. cartridges, especially if a multiprogrammed daemon owned by the TCB
636. performs the overwriting.
637.  
638. If real-time overwriting is not feasible (a case for most large removable
639. storage media), then some off-line method is indicated. Only two physical
640. methods appear suitable: degaussing (demagnetizing) and independent
641. off-line overwriting. This guideline cannot recommend any specific
642. degausser, although Government- approved degaussers are available. One
643. commercially available model can completely degauss up to 10 tapes, or a
644. removable disk, in one operation (which takes less than 30 seconds).
645. Degaussers that have been approved to degauss classified tapes or disks
646. are listed on the NSA Degausser Products List [3]. The actual procedures
647. used for degaussing are beyond the scope of this guideline because they
648. again are not processes a TCB can control.
649.  
650. On-line overwriting is a method the TCB could control, possibly by not
651. releasing a tape for removal or reallocation until its entire length is
652. overwritten. However, the performance impact of using on-line overwrite
653. alone is so onerous that it is not a practical solution. Perhaps an
654. efficient method of handling off-line overwrite is to dedicate a small
655. computer system to that function, with one or more tape or disk drives to
656. hold the medium being prepared for reuse. If off-line overwriting is done,
657. there is a lingering concern over whether the overwrite is complete. Even
658. if off-line overwriting is an extension of the object reuse mechanism, one
659. may have to verify the overwrite mechanism always overwrote the entire
660. medium.
661.  
662. 3.4 MANAGEMENT OF REMOVABLE MEDIA
663.  
664. The problem with off-line object reuse preparation is not with the method
665. used to eliminate the residue from previous use, but the management of the
666. reintroduction to the TCB of media that was degaussed or overwritten. From
667. the TCB's perspective, it must know it is allocating an object (storage
668. medium) that has been properly processed for reuse. In the case of the
669. fixed media, the TCB itself largely has total control of the process, and
670. the design verification process assures that the TCB only allocates from
671. properly processed reusable objects.
672.  
673. With removable media, the TCB must be informed in some manner that a new
674. or reprocessed (degaussed or off-line overwritten) storage object is being
675. introduced into the allocable storage object pool. Further, since there
676. may be an arbitrary time lapse between a medium being accepted for reuse
677. and its actual reuse, the TCB needs some way to identify removable storage
678. objects that have been accepted for reuse. This is certainly a candidate
679. for incorporation into the system's Trusted Facility Manual.
680.  
681. Clearly, something like the ". . . mechanism by which the TCB and an
682. authorized user reliably communicate . . "to designate the single level of
683. information being imported or exported via single-level communications or
684. 1/0 devices could be adapted to allow an operator to reliably inform the
685. TCB that a new or reprocessed removable medium is being reintroduced into
686. the pool of allocable storage objects. At the lower classes the mechanism
687. might be the operator's console. At higher level classes, it might be a
688. variant on the Trusted Path mechanisms between users and the TCB.
689.  
690. How the TCB identifies the removable storage object as being accepted for
691. reuse is again a detail that is very system-dependent. It could range from
692. TCBreadable physical identification numbers recorded on the medium being
693. entered into a TCB-managed and -controlled inventory file, to the TCB
694. magnetically (or optically) recording on the medium an encrypted serial
695. number which it also keeps in the inventory of available allocable storage
696. objects.
697.  
698. If degaussing is used as the off-line process to prepare a removable
699. storage object for reuse, it is likely the operating system must prepare
700. it for use by writing timing tracks or sector addresses and by performing
701. other low-level formatting of the medium without which the medium can not
702. be used by the system. This may be sufficient assurance that the TCB has a
703. chance to identify the storage object. However, the TCB must still
704. maintain the inventory of allocable storage objects and assure that only
705. previously accepted storage objects are allocated. As a consequence, it is
706. recommended that formatting of degaussed media is done as a separate
707. function not associated with reentering the medium into the pool of
708. allocable storage objects, and the acceptance and identification process
709. be completely separate from any media preparation required by the system.
710.  
711. While there is no requirement to apply such a technique to all removable
712. media, the notion of economy of mechanism suggests it would be easier to
713. understand if all removable reusable storage is handled in the same way.
714.  
715. 3.5 SUMMARY
716.  
717. An AIS's TCB controls object reuse on storage media (primary storage,
718. fixed media, and removable media). Demonstrate the TCB's ability to assure
719. proper object reuse by identifying all physical objects on this media
720. which represent abstract user objects and by examining the routines
721. controlling initialization, allocation, and deallocation. To ensure an
722. initially-secure state for the system, initialize the media to an
723. appropriate condition. Physical and procedural controls augment the
724. automated object reuse procedures of storage media (even primary memory
725. and fixed media) removed from the system and, thus, from TCB controls.
726.  
727. If real-time overwriting of removable storage is not practical, overwrite
728. it off-line or degauss it. Dedicating a small computer system to overwrite
729. storage off-line is an efficient method. When degaussing is used, do not
730. connect media formatting with reentering the media into the pool of
731. allocable storage objects. Separate the acceptance and identification
732. process from media preparation. Handle all removable storage the same way.
733. Incorporate this into the system's Trusted Facility Manual.
734.  
735. Managing the reintroduction of media to the TCB is a problem with off-line
736. object reuse preparation. The TCB must know it is ailocating a properly
737. processed object. For fixed media, the TCB largely controls the process,
738. and design verification assures that the TCB allocates properly processed
739. objects. With removable media, the TCB is told when new or reprocessed
740. storage objects are put into the storage object pool. How this is done is
741. very system-dependent.
742.  
743. GLOSSARY
744.  
745. ASSURANCE
746.  
747.      A measure of confidence that the security features and architecture
748.      of an automated information system accurately mediate and enforce the
749.      security policy.
750.  
751. AUTHORIZATION
752.  
753.      The granting of access rights to a user, program, or process.
754.  
755. BROWSING
756.  
757.      The act of searching through storage to locate or acquire information
758.      without necessarily knowing of the existence or the format of the
759.      information being sought.
760.  
761. OBJECT
762.  
763.      A passive entity that contains or receives information. Access to an
764.      object potentially implies access to the information it contains.
765.      Examples of objects are: records, blocks, pages, segments, files,
766.      directories, directory trees, programs, bits, bytes, words, fields,
767.      processors, video displays, keyboards, clocks, printers, and network
768.      nodes.
769.  
770. SCAVENGING
771.  
772.      Searching through residue (i.e., objects and/or their components) to
773.      acquire unauthorized data.
774.  
775. STORAGE ELEMENT
776.  
777.      The hardware (e.g., main memory, disk sectors, magnetic tape) used to
778.      store data that is accessible to a user's programs.
779.  
780. STORAGE OBJECT
781.  
782.      An object that supports both read and write accesses.
783.  
784. SUBJECT
785.  
786.      An active entity, generally in the form of a person, process, or
787.      device, that causes information to flow among objects or changes the
788.      system state. Technically, a process/domain pair.
789.  
790. TRUSTED COMPUTING BASE (TCB)
791.  
792.      The totality of protection mechanisms within a computer system
793.      ---including hardware, firmware, and software ---the combination of
794.      which is responsible for enforcing a security policy. A TCB consists
795.      of one or more components that together enforce a unified security
796.      policy over a product or system. The ability of a TCB to correctly
797.      enforce a security policy depends solely on the mechanisms within the
798.      TCB and on the correct input by system administrative personnel of
799.      parameters (e.g.1 a user's clearance level) related to the security
800.      policy.
801.  
802. REFERENCES
803.  
804. 1. A Guide to Understanding Data Remanence in Automated
805.      Information Systems, NCSC-TG-025, National Computer Security
806.      Center, September 1991. 
807. 2.Department of Defense Trusted Computer System Evaluation
808.      Criteria, DoD 5200.28-STD, National Computer Security Center,
809.      December 1985. 
810. 3."NSA Degausser Products List," Information Systems Security
811.      Products and Services Catalogue, National Security Agency,
812.      published quarterly. 
813. 4.Security Requirements for Automated Information Systems
814.      (AISs), DoD Directive 5200.28, Department of Defense, 21 March 1988.
815. 5.Wichers, David R., "Conducting an Object Reuse Study,"
816.      Proceedings of the 13th National Computer Security Conference, VoI.
817.      II, pp. 738-747. 
818.  
819.  
820.  
821.  
822.  
823.  
824.