Курс лекций для студентов специальности 050501 Профессиональное обучение (по отраслям) специализация Программное обеспечение вт и ас

Вид материалаКурс лекций

Содержание


Раздел 3 Обеспечение информационной безопасности на уровне предприятия
Главным условием
Вирусы Сетевые черви
Доктора – ревизоры
Копирование информации
Изменение алгоритмов
Навязывание определенных видов работ
6.2 Модели воздействия программных закладок на компьюторы
Модель «искажение».
Статическое искажение
Динамическое искажение
Примеры троянцев
3. Модель «уборка мусора».
4. Модель «наблюдение».
5. Модель «компрометация».
6.3 Защита от программных закладок
6.3.1 Защита от внедрения программных закладок
6.3.2 Выявление внедренной программной закладки
Качественные и визуальные признаки
Признаки, выявляемые с помощью средств тестирования и диагностики
...
Полное содержание
Подобный материал:
1   ...   5   6   7   8   9   10   11   12   ...   19

Раздел 3 Обеспечение информационной безопасности на уровне предприятия




Тема 6. Защита программного обеспечения

6.1 Характеристика вредоносных программ


Любая ПК-система предполагает использование программных средств разного назначения в едином комплексе. Например, система автоматизированного документооборота: ОС, СУБД, телекоммуникационные программы, текстовые редакторы, антивирусы, криптографические средства, средства аутентификации и идентификации пользователей.

Главным условием правильно функционирования такой ИС является обеспечение защиты от вмешательства в процесс обработки информации тех программ, присутствие которых в ИС нежелательно.

Среди подобных программ – вирусы и программные закладки.

Вирусы
  1. Сетевые черви: по сети через почту, ICQ, ссылок на зараженные файлы
  2. Классические компьютерные вирусы: загрузка при запуске определенной компьютерной программы:

По среде обитания:
    • Файловые
    • Загрузочные
    • Макровирусы (скрипты).

По способу заражения:
  • Перезаписываемые – запись кода в файл вместо его содержимого.
  • Паразитические – изменяют содержимое, но полностью или частично заражают (перенос части текста файла в конец, в начало, а свой код переносится в освободившееся место).

По степени воздействия:
  • Уменьшают объем оперативной памяти, в архивах, дублируют информацию.
  • Опасные.
  • Очень опасные: стирание информации, порча железа.

Методы защиты

Резервное копирование.

Разграничение доступа.

Программы:
  • Детекторы (обнаруживают зараженные файлы по комбинации байтов в файле).
  • Доктора (лечат, возвращают в исходное состояние области диска).

Ревизоры: вычисление контрольной суммы, длины файла.

Доктора – ревизоры: используют заранее сохраненную информацию о состоянии файла.


Программные закладки

Закладка не размножается, имеет цель. Программная закладка (ПЗ) – вредоносная программа может выполнять хотя бы одно из перечисленных действий:
  1. Вносить произвольное искажение в коды программы (закладка первого типа).
  2. Переносить фрагменты информации из одних областей памяти в другие, ОЗУ (закладка второго типа).
  3. Искажать выводимую на внешние устройства или в каналы связи информацию, полученную в результате работы других программ (закладка третьего типа).

Программные закладки можно классифицировать по методу внедрения в ИС:
  1. Программно – аппаратные закладки, ассоциированные со средствами компьютера (среда обитания BIOS).
  2. Загрузочные закладки, связанные с программой начальной загрузки, которая располагается в загрузочных секторах.
  3. Драйверные закладки.
  4. Прикладные закладки, связанные с прикладным программным обеспечением общего назначения (текстовые редакторы, утилиты, антивирусные мониторы).
  5. Исполняемые закладки, связанные с исполняемыми программами, пакетными файлами, файлами ОС.
  6. Закладки-имитаторы интерфейс которых совпадает с интерфейсом известных служебных программ, требующих ввода конфиденциальной информации (ключи, пароли, кодов кредитных карточек).
  7. Замаскированные закладки, которые маскируются под программные средства оптимизации ПК (архиваторы, дисковые дефрагментаторы), под игровые и другие развлекательные программы.

Чтобы программная закладка нанесла вред, процессор должен приступать к исполнению команд, входящих в состав кода ПЗ. Это возможно при соблюдении следующих условий:
  1. Закладка должна попасть в оперативную память компьютера до той программы, которая является целью воздействия закладки.
  2. Работа программной закладки, находящейся в оперативной памяти, начинается при выполнении некоторых условий, которые называются активизирующими

Существуют 3 основных группы деструктивных действий, которые могут осуществляться ПЗ:
  1. Копирование информации пользователя ИС (паролей, кодов, доступа ключей, конфиденциальных электронных документов), находящихся в оперативной или внешней памяти системы.
  2. Изменение алгоритмов функционирования системы, прикладных и служебных программ. Например, внесение изменений в программу разграничения доступа может привести к тому, что она разрешит вход в систему всем без исключения пользователям вне зависимости от правильности введенного пароля.
  3. Навязывание определенных видов работ. Например, блокирование записи на диск при удалении информации, при этом информация, которую требуется удалить, не уничтожается и может быть впоследствии скопирована злоумышленником.

У всех программных закладок есть важная общая черта, они обязательно выполняют операцию записи в оперативную или внешнюю память системы. При отсутствии данной операции никакого негативного воздействия ПЗ оказать не может.

6.2 Модели воздействия программных закладок на компьюторы

  1. Модель «перехват»: Внедряется в ПЗУ, системное или прикладное программное обеспечение и сохраняет всю или выбранную информацию, вводимую с внешних устройств в систему или выводимую на эти устройства в скрытую области памяти локальной или удаленной информационной системы.

Данная модель может быть двухступенчатой:
  • на первом этапе сохраняются только имена и начала файла;
    • на втором этапе накопленные данные анализируются злоумышленником, и выбирается нужная информация для принятия решения о конкретных объектах дальнейшей атаки.

Данная модель может быть эффективно использована, например, при атаке на защищенную WinNT . После старта WinNT, на экране появляется приглашение – нажать Ctrl+Alt+Delete. После их нажатия загружается динамическая библиотека MSGINA.DLL, осуществляющая прием паролей и выполнение процедуры аутентификации. Если злоумышленник заменяет библиотеку MSGINA.DLL на нужную ему библиотеку (для этого необходимо просто добавить специальную строку в реестр ОС WinNT и указать местоположение свой библиотеки), то модифицируется ввод и проверка пароля, т.е. подсистема контроля за доступом.
  1. Модель «искажение». Программные закладки изменяют информацию, которая записывается в память системы, либо подавляет (инициирует) возникновение ошибочных ситуаций в ИС.

Можно выделить статическое и динамическое искажение

Статическое искажение происходит один раз, при этом параметры программной среды модифицируются, чтобы впоследствии в ней выполнялись нужные злоумышленнику действия. Например, вносятся изменения в файл AUTOEXEC.BAT, которые приводят к запуску заданной программы прежде, чем будут запущены другие программы.

Специалисты ФАПСИ выявили ПЗ: злоумышленник изменил в исполняемом .exe модуле проверки ЭЦП. строку «Подпись не корректна» на строку «Подпись корректна». В результате перестали фиксироваться документы с неверной ЭЦП, а, следовательно, стало возможно вносить любые изменения в электронные документы уже после того, как их подписания ЭЦП.

Динамическое искажение заключается в изменении каких-либо параметров системы или прикладных процессов при помощи заранее активированных закладок.

Динамическое искажение можно условно разделить на: искажение на входе, когда на обработку попадает уже искаженная информация; искажение на выходе, когда искажается информация, отображаемая для восприятия человеком, или предназначенная для работы других программ.

Практика показала, что именно программы реализации ЭЦП особенно подвержены влиянию ПЗ типа «динамическое искажение». Существует 4 способа воздействия ПЗ на ЭЦП:
  1. Искажение входной информации – ПЗ изменяет поступивший на подпись документ.
  2. Искажение результата проверки истинности ЭЦП (вне зависимости от результатов проверки цифровую подпись объявляют истинной).
  3. Навязывание длины электронного документа – программе ЭЦП предъявляется документ меньшей длины, чем на самом деле, и в результате подпись ставится только под частью исходного документа.
  4. Искажение самого алгоритма цифровой подписи.

В рамках модели «искажение» реализуются такие ПЗ, действия которых основано на инициировании или подавлении сигнала о возникновении ошибочных ситуаций в ИС, тех которые приводят к отличному от нормального завершению исполняемой программы.

Например, для инициирования статической ошибки на устройствах хранения информации создается область, при обращении к которой (запись, чтение, форматирование) возникает ошибка, что может затруднить или блокировать некоторые нежелательные для злоумышленника действия системы или прикладных программ (например, не позволяет осуществить корректно уничтожение конфиденциальной информации на жестком диске.

При инициировании динамической ошибки для некоторой операции генерируется сообщение о ложной ошибке, например «Модем занят». Или при прочтении одного блока длиной 512 байт может установиться соответствующий флажок для того, чтобы не допустить прочтения второго и последующего блоков и в итоге подделать подпись под документом._______________________

Разновидностью программной закладки модели «искажение» являются программы, которые получили название «троянский конь» (ТК) или «троянец».

Троянец является частью другой программы с известными пользователю функциями, которая способна в тайне от него выполнять некоторые дополнительные действия с целью причинения ему определенного ущерба.

Например, программа форматирования не является троянской, но если пользователь, выполняя некоторую программу, совершенно не ждет, что она отформатирует его жесткий диск.

Троянской можно считать любую программу, которая в тайне от пользователя выполняет некоторые нежелательные для него действия: определение регистрационных номеров программного обеспечения, установленного на компьютере; досоставления списка каталогов на жестком диске и т.д. А сама троянская программа может маскироваться под текстовый редактор, сетевую утилиту или любую другую, которую пользователь пожелает установить на своем компьютере.

Троянские программы пишут программисты с целью получения доступа к конфиденциальным данным (пароли, счета и т.д) и приведения в нерабочее состояние компьютерной системы.

Примеры троянцев: Программа PC Cyborg предлагала предоставить информацию о борьбе со СПИДом, а проникнув на компьютер, отсчитывала 90 перезагрузок, а затем прятала все каталоги и шифровала файлы. Программа AOLGOLD рассылалась по e-mail в заархивированном виде с сопроводительным письмом, в котором говорилось, что ее предоставляет компания America On line (AOL – крупнейший Итернет-провайдер) для повышения качества предоставляемых услуг. В архиве был файл Install.bat, пользователь, запустивший этот файл стиралт все файлы из с:\ , с:\ windows.

Такие программы пишут, как правило, подростки, одержимые страстью к разрушительству.

Есть троянские программы, написанные профессионалами, они не разрушают, а собирают информацию. Обнаруживаются они, как правило, случайно. Такие программы продаются, распространяются через Интерне и распространяемую через Интернет, попала троянская программа, которая обосновалась в утилите fping. При первом же запуске модифицированной утилиты в файл /etc/passwd добавлялась запись для пользователя с именем suser, который мог войти в систему и получить там права администратора.

Троянские программы можно отыскать где угодно, однако самыми подозрительными на предмет присутствия троянцев являются бесплатные или условно бесплатные программы, скачанные через Интернет или купленные на пиратских дисках.

3. Модель «уборка мусора». Работа с конфиденциальными электронными документами обычно сводится к последовательности следующих манипуляций с файлами: создание, хранение, коррекция, уничтожение. Для защиты конфиденциальной информации обычно применяется шифрование. Основная угроза исходит не от использования нестойких алгоритмов шифрования и плохих криптографических ключей, а от обыкновенных текстовых редакторов и БД, применяемых для коррекции конфиденциальных документов. Важно помнить, что при записи отредактированной информации меньшего размера в тот же файл, где хранилась исходная информация, образуются так называемые «хвостовые» кластеры, которые не подвергаются воздействию программ шифрования, но и остаются незатронутыми даже средствами гарантированного стирания и удаления.

Распространенные средства гарантированного стирания файла предварительно записывают на его место константы или случайные числа и только после этого удаляют файл стандартными методами. Однако даже такие средства оказываются бессильными против программных закладок, которые нацелены на то, чтобы увеличить количество остающихся в виде «мусора» фрагментов конфиденциальной информации. Из хвостовых кластеров можно извлечь до 80% информации, а через 10 суток – 25-40%

ПЗ может инициировать системную ошибку, пометив один или несколько кластеров из цепочки, входящей в файл, меткой «сбойный». В результате при удалении файла средствами ОС или средствами гарантированного уничтожения , та его часть, что размещена в «сбойных» кластерах останется нетронутой и впоследствии может быть восстановлена с помощью стандартных утилит.

4. Модель «наблюдение». ПЗ встраивается в сетевое или телекоммуникационное программное обеспечение. Такое программное обеспечение всегда находится в постоянной активности, внедреннаяв него ПЗ можно следить за всеми процессами обработки информации и осуществлять установку или удаление других программных закладок.

5. Модель «компрометация». Модель типа «компрометация» позволяет получать доступ к информации, перехваченной другими ПЗ. Например, инициируется постоянное обращение к такой информации, приводящее к росту соотношения сигнал/шум . А это облегчает перехват побочных излучений данной компьютерной системы и позволяет эффективно выделять сигналы, сгенерированные закладкой из общего фона излучений, исходящих от оборудования.

6.3 Защита от программных закладок


Задача защиты от ПЗ включает три подзадачи
  1. не допустить внедрение ПЗ в компьютерную систему;
  2. выявить внедренную программную закладку;
  3. удаление внедренной программной закладки.

Как видно, эти задачи сходны с задачами защиты от компьютерных вирусов.

Задача решается с помощью средств контроля за целостностью запускаемых системных и прикладных программ, а также за целостностью хранимой в ИС информации и за критическими для функционирования системы событиями. Однако эти средства действенны, если сами не подвержены ПЗ, которые могут выполнять следующие действия:
  • навязывать конечные результаты контрольных проверок;
  • влиять на процесс считывания информации и запуск программ, за которыми осуществляется контроль.



6.3.1 Защита от внедрения программных закладок


Универсальными средствами защиты от внедрения ПЗ является создание изолированного компьютера. Компьютер называется изолированным, если выполняется следующие условия:
  1. на нем установлена система BIOS, не имеющая закладок;
  2. ОС проверена на наличие ПЗ;
  3. достоверно установлена неизменность BOIS и ОС для данного сеанса;
  4. на компьютере не запускались другие программы, кроме уже прошедших проверку на наличие ПЗ;
  5. исключен запуск проверенных программ в каких-либо иных условиях кроме изолированного ПК.

Для определения степени изолированности компьютера используется модель ступенчатого контроля. Сначала проверяется:
  • нет ли изменений в BIOS;
  • затем считываются загрузочный сектор диска и драйверы ОС, которые также анализируются на предмет внесений в них несанкционированных изменений;
  • запускается с помощью ОС монитор контроля вызовов программы, который следит, за тем, чтобы в компьютере запускались только проверенные программы.

Интересный метод борьбы с внедрением ПЗ может быть использован в информационной банковской системе, в которой циркулируют только документы. Чтобы не допустить проникновение ПЗ через каналы связи, в этой системе не допускается прием никакого исполняемого кода. Для распознавания события типа «Получен исполняемый код» или «Получен текстовый документ» применяется контроль за наличием в файле запрещенных символов.

6.3.2 Выявление внедренной программной закладки


Необходимо выявить признаки присутствия кода ПЗ в компьютерной системе. Признаки могут быть качественными и визуальными; обнаруживаемые средствами тестирования и диагностики.

Качественные и визуальные признаки: отклонение в работе программы; изменяется состав и длины файлов. Программа работает слишком медленно или слишком быстро заканчивает свою работу или совсем перестает запускаться

Например, пользователи пакета шифрования и ЭЦП «Криптоцентр» заметили, что подпись ставится слишком быстро. Исследования экспертов ФАПСИ показали, что внедрена ПЗ, которая основывалась на навязывании длины файла. Пользователи пакета «Криптон» забили тревогу, что скорость шифрования по криптографическому алгоритму ГОСТ 28147-89 возросла в 30 раз.

Признаки, выявляемые с помощью средств тестирования и диагностики, характерны как для ПЗ, так и для компьютерных вирусов. С инициированием статической ошибки на дисках хорошо справляется Disk Doctor из Norton Utilities. А средства проверки целостности данных типа ADINF позволяют успешно выявлять изменения, вносимые в файлы ПЗ.

Как выявить троянца:

Программные средства, предназначенные для защиты от троянцев, используют согласование объектов. В качестве объектов – файлы, каталоги. Согласование позволяет ответить на вопрос, изменились ли файлы и каталоги с момента последней проверки. Берется резервная копия файла и его атрибуты сравниваются с атрибутами файла на диске:

- время;

- размер;

- контрольная сумма;

- получение хэш-функции файла.

Для вычисления контрольной суммы есть специальные утилиты sum, но и контрольную сумму можно подделать. Более надежным является одностороннее хэширование файлов.

Алгоритмы: МД4, МД5, SНA.

Вычисление ХЭШ – значения файлов хранятся в специальной БД, которая является самым уязвимым местом {в ОС Unix - TRIPWIRE}

Пользователю предлагается хранить эту БД на съемном носителе и запирать в сейф.

Программное средство eSafe фирмы Aladdin Knowledge Systems для Windows cостоит из 3 частей:
  1. Антивирус VisuSafe
  2. Брандмауэр
  3. Модуль защиты компьютерных ресурсов.

Брандмауэр контролирует весь трафик. Для защиты компьютерных ресурсов используется модель «песочницы» - специальной изолированной области памяти.

Все автоматически загружаемые из Internet Java Applet, ActiveX попадают в «песочницу».

Карантинный период наблюдения может быть от 1 о 30 дней. Все данные о поведении программ заносятся в журнал регистрации. Далее принимается решение: разрешить загрузку данной программы или нет.

Способ удаления ПЗ зависит от метода внедрения.

Если это программно-аппаратная закладка, то – перепрограммировать ПЗУ. В других случаях – удалить вместе весь программный код и найти новую версию программы.

6.4 Клавиатурные шпионы


Виды 1.Имитаторы. 2.Фильтры. 3.Заместители.

6.4.1 Имитаторы


Злоумышленник внедряет в ОС модуль, который предлагает пользователю зарегистрироваться для входа в систему. Имитатор сохраняет введенные данные в определенной области памяти. Инициируется выход из системы и появляется уже настоящее приглашение. Для надежной защиты от имитаторов необходимо:
  1. Чтобы системный процесс, который получает от пользователя идентификатор и пароль, имел свой рабочий стол.
  2. Переключение на регистрационное окно рабочего стола аутентификации должно происходить абсолютно незаметно для прикладных программ.



6.4.2 Фильтры


Фильтрыохотятся за всеми данными, которые вводятся с клавиатуры. Самые элементарные фильтры сбрасывают перехваченный ввод на жесткий диск или в другое нужное место.

Фильтры являются резидентными программами, перехватывающими одно или несколько прерываний, связанных с обработкой клавиатурных сигналов. Эти прерывания возвращают информацию о нажатой клавише, которая анализируется фильтрами на предмет выявления данных, имеющих отношение к паролю пользователя.

Любой клавиатурный русификатор – это самый простой фильтр. Его не трудно доработать,чтобы он еще выполнял действия по перехвату пароля.

Для защиты от фильтров необходимо выполнение 3 условий:
  1. Во время ввода пароля не разрешать переключения раскладки клавиатуры (срабатывает фильтр).
  2. Конфигурировать цепочку программных модулей, участвующих в работе с паролем пользователя может только системный администратор.
  3. Доступ к файлам этих модулей имеет только системный администратор.

6.4.3 Заместители


Заместители полностью подменяют собой программные модули, отвечающие за аутентификацию пользователей. Такие закладки могут быть созданы для работы в многопользовательских системах.

Заместители полностью берут на себя функции подсистемы аутентификации, поэтому они должны выполнять следующие действия:
  1. подобно вирусу внедриться в один / несколько файлов системы;
  2. использовать интерфейсные связи между программными модулями подсистемы аутентификации для встраивания себя в цепочку обработки введенного пользователем пароля.

6.5 Парольные взломщики


Это специальные программы, которые служат для взлома ОС. Атаке подвергается системный файл ОС, содержащий информацию о ее легальных пользователях и их паролях:

Взломщику желательно перекачать этот файл себе. Берутся далее слова из словаря и шифруются с помощью того же известного алгоритма и сравниваются с зашифрованным паролем в системном файле.

Парольные взломщики используют символьные последовательности автоматически генерируемые из определенного набора символов. Словарь: чередование строчных и прописных букв. Содержит неск тыс. символьных слов:

T = 1/S * ∑Ni (i=1, L)

N – число символов в наборе

L – предельная длина пароля

S – количество проверок в секунду (зависит от быстродействия ПК).

T – максимальное время для взлома пароля.


Взлом парольной защиты системы UNIX

etc/passwd

bill:5-d35

d35 – зашифрованный пароль (шифруется процедурой Cript, ключ к которой – пароль пользователя).

Если злоумышленник имеет доступ к парольному файлу, он может скопировать его на свой ПК и воспользоваться взломщиком.

Защита:

Пользователям предлагается применять сильные пароли, а в качестве критерия стойкости – проверить, есть ли этот пароль в парольном словаре, а также рекомендуется использовать затенение (***) при записи в файл passwd, а парольный файл прятать в другом месте.


Взлом парольной защиты Windows

Все учетные записи хранятся в БД SAM (Security Account Manager). Эта база представляет один из кустов системного реестра. Доступ к SAM запрещен для всех пользователей.

Информация в SAM хранится в зашифрованном виде в виде двух 16-тибайтных строк. Используются различные методы для шифрования. Из символьного пароля получается 16-тибайтная последовательность. Данная последовательность шифруется по алгоритму DES. Результат шифрования хранится в SAM. Ключ – относительный идентификатор пользователя (RID).


Система безопасности в Windows Vista

Она содержит множество новых средств обеспечения безопасности, которые призваны повысить защищенность ПК:
  1. Предупреждение о появлении новых обновлений систем безопасности и установка их на компьютер.
  2. Собственный брандмауэр Vista обеспечивает защиту от хакеров, вирусов и компьютерных червей.
  3. Windows Defender защищает систему от шпионских программ.
  4. Средство удаления вредоносных программ MSRT периодически выполняет поиск распространенных вирусов на ПК.