Open Source Security Strategy

(Le texte en français suit la version en anglais.)

Draft Statement of Rationale: "Open Source Security Strategy".

Information technology security refers to a system's degree of assurance, integrity (i.e. free from tampering), privacy, confidentiality, auditability, reliability (i.e. free from 'bugs' in code, design and architecture), trustworthiness, authorization controls and availability, as well as the supplier's issue response methodology and performance.

Software security can be enhanced through open source transparency. Certainly, obscurity does not prevent determined individuals from finding vulnerabilities. The open source approach enables you, the customer, to assign supplier-independent experts to:

- Conduct your own security audits of the implemented security policies, the logical architecture of systems, and programming code, right down to the level of running systems line-by-line through tests and debuggers to validate each process or calculation.

- Link system components from multiple suppliers, both open source and proprietary, to achieve architecture management for 'whole systems' (composability);

- Adapt solutions to suit your organization's priorities;

- Engage open scientific peer review with your allies in industry, academia and the public sector, backed by 24X7 issue-management, knowledge-sharing and emergency response;

- Strip away from applications the unnecessary features or functions that could be exploited, or that could hide rogue code ("Trojan horses");

- Manage large software systems effectively with individual modules that are not very complex, and for which dependencies are well documented;

- Avoid being held hostage by the patch release methodology and schedule of any single vendor.

The free/libre and open source business model carries a strong incentive towards the engagement of fully-documented, vendor-neutral international standards. Standards are defined by the WTO Agreement on Technical Barrier to Trade http://www.wto.org/english/docs_e/legal_e/17-tbt.pdf . Auditable conformance with standards strengthens information technology security by reducing uncertainty.

Since the architecture and programming code of 'mature' open source software is collaboratively created by multiple suppliers, it tends to be well documented, so that when 'deep bugs' are found (i.e. architectural level), they can be closed quickly through the pooling of resources and efforts. Open source communities can further improve security by more effectively structuring their peer review processes.

The essential logic of the Open Source Security Strategy is straightforward. "Bad guys" don't honour "non-disclosure agreements" or any "corporate handbook on values and ethics". They have access to the source code for both proprietary and open source systems. Motivated, persistent, and often even paid, they find vulnerabilities and may also write exploits or proof of concept code to demonstrate their find, whether the source code is open or proprietary. They use vulnerabilities against you, and sell the information to their friends. "Good guys" are your friends, and help you find and patch the vulnerabilities in the process of conducting their own security audits. This is why you want independent vendor-neutral scientific peer review of software code by good guys, not just bad guys. This is practical when software code is published under www.opensource.org or www.gnu.org certified open source or free software licenses.

Origins:

The initial wiki-published draft of this statement was the outcome of an earlier draft that was discussed and refined in a public panel discussion during "GTEC 2003 Experts Panel: Understanding Open Source Security Strategy" was held 2:00-3:00 pm, Tuesday 7 October, in the Westin Hotel, Ottawa, Canada. http://www.gtecweek.com.

Participants on the panel included:

Mike Chawrun, Vice-Chair, CAC/JTC1/SC27 (IT Security Techniques). JTC 1 is the Joint Technical Committee of the International Organization of Standardization, and the International Electrotechnical Commission which deals with IT standardization in the international arena. SC 27 is one of JTC 1's more active committees developing standards for IT security. Mike is the vice-chair of Canada's mirror committee of SC 27, and works as a Crypto Standards Specialist at the federal government's Communication Security Establishment (CSE).

Eugen Bacic, MCS, Chief Scientist, Cinnabar Networks Inc. Eugen Bacic heads up Cinnabar Networks' Research and Development division. He has been a leading designer of information security technology for nearly two decades, including early research on firewalls, public key cryptography, trusted audit, network and infrastructure security, malicious software detection, composable systems, policy engines, and security criteria. Before joining Cinnabar, Eugen founded Texar Corporation, a security policy company, and was Sr. InfoSec Research Scientist at the Communications Security Establishment.

Michael Richardson, Project Technical Lead, FreeS/WAN www.freeswan.org Michael Richardson has worked on system software and network stacks for over ten years: SunOS, BSDi, NetBSD and Linux. He spent a number of years building firewalls, then virtual private networks (VPNs) to connect them, then silicon to implement VPNs. Returning in summer 2001 from the depths of such specialization, Michael has been a member of the Linux FreeS/WAN team ever since.

Peter Graner, Enterprise Architect, Red Hat Corporation. Pete Graner started his U.S. Military career as a communications and crypto analyst. During his 16 year tenure, he gained experience on nearly every Unix variant as a programmer or systems engineer. After leaving the military he joined Presearch Inc. For seven years he worked as a software engineer on web-based military intelligence analysis systems and software. In 1999 he was promoted to Senior Scientist responsible for R&D and future systems. Later as a consultant for Sun Microsystems, Pete was responsible for building Solaris & Linux architectures for various U.S. Government agencies. Today, Pete is an Enterprise Architect with Red Hat Inc. were he leads various projects within the U.S. Defense Department and Civilian agencies.

Moderator: Joseph Potvin jpotvin@pwgsc.gc.ca Manager, Enterprise Architecture IT Standards, Architecture and Security Sector, Telecommunications and Informatics Program, Public Works and Government Services Canada (PWGSC), Government of Canada.

Le texte en fran�ais:

�nonc� de justification : Strat�gie de s�curit� � Logiciels libres

L�expression � s�curit� informatique � fait r�f�rence au degr� d'assurance, d'int�grit� (c.-�-d. non trafiqu�), de protection, de confidentialit�, de fiabilit� (c.-�-d. sans bogue au niveau du code, de la conception et de l�architecture), de confiance et de disponibilit� d'un syst�me, ainsi qu'� la m�thodologie et au rendement de son fournisseur.

La s�curit� des logiciels peut �tre am�lior�e gr�ce � la transparence du code source ouvert. Il est �vident que le fait de tout camoufler n'emp�che pas des personnes d�termin�es � trouver des failles. L'approche bas�e sur le code source ouvert ou logiciel libre permet aux clients d'affecter des experts ind�pendants dans le but d'effectuer les t�ches suivantes :

- Mener leurs propres v�rifications de s�curit� des politiques effectives en mati�re de s�curit�, de l'architecture logique des syst�mes, ainsi que du code de programmation, y compris les essais et le d�bogage �tape par �tape afin de valider chaque processus ou calcul.

- Relier des composantes du syst�me de diff�rents fournisseurs, qu'elles soient de type code source ouvert ou propri�taire, afin de pouvoir g�rer l'architecture de syst�mes entiers (composabilit�).

- Adapter des solutions en fonction des priorit�s de leur organisation.

- Recourir aux constats scientifiques des pairs de l'industrie, des universitaires et du secteur public, en plus de b�n�ficier d�un acc�s permanent en temps r�el aux probl�mes d�cel�s, au partage du savoir et � de l�aide en cas d�urgence.

- Retirer des applications informatiques les fonctions ou caract�ristiques facultatives qui pourraient �tre exploit�es ou utilis�es pour cacher du code ind�sirable (chevaux de Troie).

- G�rer d'importants syst�mes logiciels de fa�on efficace avec des modules individuels peu complexes dont les d�pendances sont bien document�es.

- �viter d'�tre prisonnier de la m�thodologie et des �ch�anciers des versions des routines d'un seul fournisseur.

Le mod�le d'affaire des solutions libres � code source ouvert favorise grandement la conformit� aux normes internationales bien document�es et neutres � l'�gard des fournisseurs. L'Accord sur les obstacles techniques au commerce de l'OMC http://www.wto.org/french/tratop_f/tbt_f/tbtagr_f.htm d�finit le concept de norme. La possibilit� de v�rifier la conformit� aux normes, qui permet de fournir plus d'assurance, augmente ainsi la s�curit� informatique.

Comme l'architecture et le code de programmation des logiciels libres r�sultent de la collaboration de plusieurs fournisseurs, ils sont habituellement bien document�s. Ainsi, lorsque des bogues � profonds � sont d�cel�s (c.-�-d. au niveau de l'architecture), ils peuvent �tre �limin�s rapidement gr�ce aux ressources et aux efforts mis en commun. Les collectivit�s de d�veloppement des logiciels libres peuvent accro�tre la s�curit� en structurant leurs processus d'examen par les pairs de la fa�on la plus efficace possible.

La logique essentielle de la strat�gie des logiciels libres en mati�re de s�curit� est simple. Les � m�chants � ne respectent jamais les ententes de non-divulgation ou tout autre guide organisationnel sur les valeurs et l'�thique. Ils ont acc�s au code source autant pour les syst�mes propri�taires que pour ceux � code source ouvert. Ils sont motiv�s et tenaces, et sont souvent m�me pay�s. Ils peuvent trouver des failles et r�diger des m�thodes d'acc�s illicites ou un code de validation de principe qui fait la d�monstration de leur d�couverte, que le code source soit exclusif ou ouvert. Ils utilisent les failles contre vous et vendent l'information � leurs amis. Les � bons � sont vos alli�s et vous aident � trouver et � �liminer les vuln�rabilit�s dans le cadre de leur processus de v�rification de s�curit�. C'est pourquoi un examen par les pairs scientifique, ind�pendant et non li� � un fournisseur du code logiciel doit �tre men� par les � bons �, et non seulement les � m�chants �. Cette pratique est utile lorsque le code du logiciel est publi� sous une licence certifi�e par www.opensource.org ou www.gnu.org.

Source

La pr�sente �bauche de l'�nonc�, d'abord publi�e dans un wiki, est bas�e sur une �bauche pr�alable qui a �t� discut�e et modifi�e � la suite d�une discussion publique portant sur la strat�gie de s�curit� du logiciel libre. Cette discussion a eu lieu pendant l'�dition 2003 de GTEC, le mardi 7 octobre, de 14 h � 15 h, � l'h�tel Westin Hotel � Ottawa, au Canada. http://www.gtecweek.com.

Au nombre des participants du groupe de discussion

Mike Chawrun, vice-pr�sident, Comit� consultatif canadien/JTC1/SC27 (Techniques de s�curit� de la TI). JTC 1 est le comit� technique mixte de l'Organisation internationale de normalisation, et la Commission �lectrotechnique internationale, qui s'occupe des normes de TI � l'�chelle internationale. SC 27 est l'un des comit�s de JTC 1 les plus actifs et il �labore des normes de s�curit� de la TI. Mike est le vice-pr�sident du comit� canadien �quivalent au SC 27 et travaille comme sp�cialiste des normes de chiffrement au Centre de la s�curit� des t�l�communications (SCT) du gouvernement f�d�ral.

Eugen Bacic, scientifique en chef, Cinnabar Networks Inc. Eugen Bacic est responsable de la division de recherche et d�veloppement de Cinnabar Networks. Il fait partie des leaders de la conception de technologies de s�curit� de l'information depuis pr�s de 20 ans, et a travaill� notamment aux premi�res recherches sur les pare-feu, au chiffrement de cl�s publiques, � la v�rification valid�e, � la s�curit� du r�seau et de l'infrastructure, � la d�tection de logiciels malveillants, aux syst�mes compos�s, aux moteurs de politique, ainsi qu'aux crit�res de s�curit�. Avant de travailler � Cinnabar, Eugen a fond� Texar Corporation, une entreprise de politique sur la s�curit�, et a occup� un poste de scientifique principal en s�curit� de l'information au CST.

Michael Richardson, chef de projet technique, FreeS/WAN www.freeswan.org. Michael Richardson travaille � des logiciels syst�mes et des r�seaux group�s depuis plus de dix ans : SunOS, BSDi, NetBSD et Linux. Il a construit des pare-feu pendant plusieurs ann�es. Il a ensuite �labor� des r�seaux priv�s virtuels (RPV) pour les relier, avant de travailler avec le silicium afin de mettre sur pied des RPV. Depuis l'�t� 2001 et la fin de ses travaux sp�cialis�s, Michael fait partie de l'�quipe Linux FreeS/WAN.

Peter Graner, architecte d'entreprise, Red Hat Corporation. Pete Graner a d�but� sa carri�re dans l'arm�e am�ricaine comme analyste des communications et du chiffrement. Pendant ses 16 ann�es au sein de l'arm�e, il a acquis de l'exp�rience sur presque toutes les variantes Unix � titre de programmeur ou d'ing�nieur syst�me. Apr�s avoir quitt� l'arm�e, Pete Graner travaille pendant sept ans � Presearch Inc. comme ing�nieur logiciel sur des syst�mes et des logiciels Web d'analyse de renseignements militaires. En 1999, il est promu au poste de scientifique principal responsable de la recherche et du d�veloppement et des syst�mes de l'avenir. Plus tard, � titre de consultant pour Sun Microsystems, Pete devient responsable de l'�laboration des architectures Solaris et Linux pour diverses agences du gouvernement am�ricain. Aujourd'hui, il est un architecte d'entreprise � Red Hat Inc. Il est responsable de diff�rents projets pour le minist�re de la d�fense des �tats-Unis et diverses agences civiles.

Mod�rateur : Joseph Potvin jpotvin@tpsgc.gc.ca Membre de l'�quipe de gestion, Architecture de l'entreprise, Unit� des normes et de la s�curit� Secteur des normes, du g�nie et de la gestion de projets Direction g�n�rale des services d'infotechnologie Travaux publics et Services gouvernementaux Canada, gouvernement du Canada.

Comments:

You reference integrity as (i.e. free from 'bugs' in both code and architecture), whereas I believe integrity in an IT Security context also refers to ensuring that the content of messages sent between users or system components is not modified by those not authorized to modify it. (Bruce Catley)
EditText of this page (last edited January 30, 2009)
FindPage by searching (or browse LikePages or take a VisualTour)