Раздел7_11_2
.pdf
7МОДЕЛИ БЕЗОПАСНОСТИ ОСНОВНЫХ ОС
(Сост. Никонов А.В.)
7.5 Методика проектирования защищаемого фрагмента компьютерной системы
Она реализуется в четыре этапа.
ЭТАП А. Первоначально необходимо убедиться в выполнении
условий корректности или абсолютной корректности для субъек-
тов, участвующих в порождении ИПС.
Эти субъекты могут быть локализованы на уровне программно-аппаратных компонентов ЭВМ (программы ПЗУ, загрузчики операционных сред), либо на уровне операционной среды.
Проверка условий корректности субъектов выполняется за два шага:
1) доказывают корректность субъектов программно-
аппаратного уровня, где понятие «модуль» обозначает реализацию объекта-источника.
Совокупность субъекта, порождённого из объекта-источника, и все-
го множества ассоциированных с ним объектов в течение всего време-
ни его существования, обычно называют ПРОЦЕССОМ (или задачей,
заданием).
2) Далее определяют состав программных средств базовой вычислительной среды (операционную среду, программные средства сер-
виса, программы поддержки дополнительного оборудования).
ЭТАП Б. Убеждаются в корректности субъектов базового набора программных средств (наиболее трудоёмкий этап). При этом в со-
ставе ПО системы не должно быть целого класса возможностей (инструментальных):
– возможности изменения состояния одних субъектов дру-
гими(напр., изменение содержимого ОЗУ);
– возможности инициирования и прекращения выполнения процессов нестандартным образом (помимо механизмов операционной
среды).
Также, при реализации МБС и МБО на стационарной фазе функ-
ционирования системы, в любых субъектах, замкнутых в ИПС,
должны отсутствовать операции порождения потоков Stream к объектам более высокого уровня.
УСЛОВИЕ 5: обобщенно, приведённые выше требования к
базовому набору ПО формулируются требованиями к субъектному наполнению ИПС, а именно:
а) ДЛЯ ПОДДЕРЖАНИЯ ИПС в течение всего времени активности системы достаточно, чтобы в состав ПО,
инициированного в ИПС, не входили функции порождения субъектов и прекращения их работы (КРОМЕ ЗАРАНЕЕ ПРЕДОПРЕДЕЛЕННЫХ ПРИ РЕАЛИЗАЦИИ МБС) И,
б) НЕ СУЩЕСТВОВАЛО ВОЗМОЖНОСТИ ВЛИЯНИЯ на среду со стороны любого выполняемого процесса, А ТАКЖЕ
в) НЕ ИНИЦИИРОВАЛИСЬ ПОТОКИ к объектам более высокого уровня.
Например, прекращение существования МБС означает нарушение условия замкнутости среды, а прекращение существования МБО – допустимость потоков подмножества N, т. е. несанкционированный доступ.
ЭТАП В. Проектируют и разрабатывают программные или аппа-
ратно-программные средства защиты в системе, а затем их тести-
руют. Этот шаг подразумевает проектирование и реализацию в заданном мно-
жестве субъектов МБС и МБО.
ЭТАП Д. «Замыкают» весь комплекс ПО, включая и средства защиты, в изолированную программную среду.
Таким образом, механизм замкнутой программной среды преду-
сматривает формирование строго фиксированного списка программ, разрешённых системе для запуска.
При этом необходимо обеспечить выполнение следующих условий и
требований:
а)«запрещено всё, что явно не разрешено»; б)указание полных путей доступа к исполняемым файлам; в)запрет модификации(защита от подмены) файлов;
д)формирование списка по журналам регистрации; е)наличие «мягкого режима работы»: в этом режиме опции не
прописаны по умолчанию и относятся только к явно отмеченным выпол-
няемым файлам.
??????????????????????????????????????????????????
7.6 Контроль целостности объекта
Для достоверного контроля неизменности объекта (т. е. с вероят-
ностью ошибки, равной нулю) необходимо убедиться в полном тожде-
ствепроверяемого объектаиобразца.
Для этого образец должен содержать не менее информации, чем
проверяемый объект. Значит, объект–образец должен быть, как мини-
мум, одинаковой длины с проверяемым. На практике такой подход применим с ограничениями (для объектов малого объёма типа программ ПЗУ или загрузчиков ОС).
Поэтому для контроля целостности применяют другие объекты,
содержащие информацию, ЗАВИСЯЩУЮ от содержания контролируемого объекта, но значительно меньшего объема, вычисленную при помощи специального класса функций (типа «хэш-функций» от англ.
hash – <мешанина>).
Но в этом случае процесс установления неизменности объекта становится вероятностным.
Хэш-функция [5] должна обладать свойством – быть однона-
правленной: быть нетрудоёмкой при прямом вычислении, а обращение
функции должно быть вычислительно-трудоёмким (с экспоненциаль-
ным ростом трудоёмкости).
Другое свойство – задача поиска двух различных сообщений с од-
ним и тем же значением хэш-функции должна быть вычислительно трудоёмкой.
Ситуация, в которой два различных сообщения «склеиваются» по значению хэшфункции называется коллизией.
Третье требование к хэш-функции – число бит в её выходном зна-
чении должно быть фиксированным и не зависеть от длины исход-
ного сообщения.
Результат вычисления хэш-функции часто называют «дайджест сообще-
ния» (messagedigest) или «цифровой отпечаток пальца» (digital fingerprint).
То есть, это односторонняя функция Н, применяемая к сообще-
нию произвольной длины М и возвращающая значение h = H(M)
фиксированной длины m. При этом хэш-функция должна обладать указанными выше тремя свойствами.
Обычно для построения хэш-функций используют функцию сжатия, которая выдаёт значение длины m при заданных входных данных большей длины n. Входами функции сжатия являются блок сообщения и выход функции на предыдущем шаге. Выход представляет собой хэшзначение всех блоков до текущего момента. Хэш-значение блока Мi равно
hi f Mi ,hi 1 .
Это хэш-значение вместе со следующим блоком сообщения становится входом функций сжатия. Конечный результат – хэш-значение последнего блока.
Примером изначальных хэш-функций м. б. функции MD4 и MD5 (MD – Message Digest), разработаны Ривестом. Их алгоритм вычисления даёт 128-
битовое значение-результат.
Федеральный стандарт США использует алгоритм вычисления функции
SHA (Secure Hash Algoritm), используемый в реализации цифровой подписи. Для
входного сообщения длиной не более 264 битов он выдаёт 160-битовый результат .
В стандарте России ГОСТ Р 34.11–94 разработана хэш-функция, выдаю-
щая 256-битовоезначение.
Поэтому нельзя говорить о гарантированных свойствах системы, поскольку неизменность объекта гарантируется лишь с неко-
торой вероятностью, не равной единице; она зависит от свойств хэш-
функций, применяемых для контроля целостности. Поэтому говорят не о контроле неизменности объекта, ао контроле целостностиобъекта.
Таким образом, в процедуре контроля неизменности участвуют
ОБЪЕКТ КОНТРОЛЯ, образцовый объект(ЕГО ХЭШ-ЗНАЧЕНИЕ) и субъект, реализующий хэш-функциюипроводящий сравнение.
Качество контроля целостности (КЦ) определяется выполнением
условий.
1 При наличии объекта F и алгоритма H, преобразуют объект Fв некоторый объект М, представляемый словом того же языка, но меньшей длины.
Тогда, если искать по известному объекту М = H(F) другой объект G, не тождественный F, но такой, что М = H(G), то это должно
являться задачей с высокой трудоёмкостью, не менеезаданной ТН.
2 Объект М должен быть недоступен для изменения. Он под-
лежит защите и средство защиты должно иметь конкретное значение прочно-
сти.
3 Длина объекта М должна обеспечивать условную вероятность нахождения ДВУХ объектов F1 и F2 (не тождественных
между собой, но значения хэш-функции от которых равны), не более заданнойРН.Здесь F1 и F2 – объекты из множества возможных.
Таким образом, при условии недоступности хэш-значения для изменения и доступности для изменения объекта-источника, трудоёмкость нарушения ИПС с КЦ объектов-источников (то есть возможность породить субъект из объ- екта-источника, нетождественного исходному субъекту) совпадает с ТН .
При однократной попытке инициировать субъект из случайно равновероятно выбранного объекта-источника, вероятность нарушения ИПС (успеш-
ное порождение субъекта) непревышает РН.
То есть, «качество» ИПС определяется свойствами хэш-
функцииН(значениями величин ТН иРН).
7.6.1 Метод «безопасной загрузки» («ступенчатого контроля»)
Таким образом, МЕТОД «БЕЗОПАСНОЙ ЗАГРУЗКИ» (или «сту-
пенчатого контроля») заключается в постепенном установлении
неизменности компонентов программно-аппаратной среды.
В нём:
а) сначала проверяется неизменность программ ПЗУ и при положительном исходе, через них считывается загрузочный сектор и драйверы ОСи их неизменность также проверяется.
Кроме того, проверяется целостность объекта, определяющего последовательность активизации компонентов;
б) через функции чтения проверенной ОС инициируется кон-
троль порождения процессов(реализация МБС);
в) инициируется процесс доступа к объектам, который и завершает проектирование гарантированно защищённой системы.
В отличие от «доступа », «доступность» (availability) означает, что система (приложение или файл данных) должна быть готова к использованию, когда к ней предпринимаются по-
пытки доступа. Доступность часто обозначают термином «24х7» («двадцать четыре – семь»), который означает, что система должна быть доступной авторизованным пользователям 24 ч в сутки 7 дн в неделю.
Видно, что первоначально активизируются субъекты аппаратнопрограммного уровня (программы ПЗУ), а затем эти субъекты порождают из объектов-источников данного уровня субъекты уровня операционной среды.
Эти,в свою очередь,делятся на два подуровня:
а) нижний – субъекты-первичные – загрузчики ОС (работают с информацией уровня секторов);
б) верхний – субъекты-драйверы (порождаемые субъектамипервичными загрузчиками из объектов секторов), работающие с
объектами уровня «файл»(последовательность секторов).
На этапе перехода от субъектов-загрузчиков к субъектамдрайверам происходит переход к другой декомпозиции системы на объекты, и эта иерархия действует в любойсистеме.
Например, для архитектуры IBMPC заданы этапы активизации субъектов:
а) тестирование; б) инициализация таблицы векторов прерываний и поиска расширений
BIOS(при их наличии, на их передаётся управление);
в) в память считывается первый сектор дискеты (винчестера) и управление предаётся на него (образуется код загрузчика);
д) код загрузчика считывает драйверы ОС; е) интерпретируются файлы конфигурации;
ж) подгружается командный интерпретатор и выполняется файл автозапуска.
При реализации ИПС на неё возлагается функция контроля за-
пусков программи контроля целостности.
Существует проблема контроля действительных данных, так как информация представляется по-разному на разных уровнях
(внедрённый в систему субъект может предъявлять системе контроля другие данные вместо реально существующих (STELS-вирусы).
УСЛОВИЕ 6 (достаточное условие чтения действительных
данных):
если субъект, обслуживающий процесс чтения данных, содер-
жал только функции тождественного отображения данных на ассо-
циированные объекты-данные любого субъекта, инициирующего по-
ток чтения,
и целостность объекта-источника для этого субъекта
зафиксирована,
то при его последующей неизменности чтение с ис-
пользованием порождённого субъекта будет чтением действи-
тельных данных.
Естественно, что чтение действительных данных возможно с вероятностью, определяемой алгоритмом КЦ.
А субъект контроля неизменности объектов должен быть активен уже на этапе работы субъектов аппаратно-программного уровня, НО его объект-источник технически не может быть проверен на неизменность.
Для любых реализаций ИПС действует
«АКСИОМА 5»: генерация ИПС рассматривается в условиях
неизменности конфигурации тех субъектов системы, которые активизируются до старта процедур контроля целостности объектовOZ ипоследовательности ZL.
Неизменность данных субъектов обеспечивается внешними по отношению к системе методами, и средствами. При анализе и синтезе
защитных механизмов, свойства указанных субъектов являются априорно заданными.
ОС обычно обеспечивают свою целостность путём запрещения
доступа к выполняемому коду, а также путём выполнения этого кода
в более защищённых областях ОЗУ, отдельно от выполняемого
кода приложений.
Разделение областей ОЗУ для выполняемого кода ОС и ПРИЛОЖЕНИЙ
обеспечивает защиту системы от некорректных и вредоносных программ [15].
А основная защита выполняемого кода во время его ХРАНЕ-
НИЯ в системе обеспечивается установкой разрешений на право
чтения и выполнения, но БЕЗ ПРАВА ЗАПИСИ.
Например: Windows 2000 выполняет код ОС в защищённом режиме процессора, а защита файлов ОС реализована установкой разрешений файлов и папок. Также имеется дополнительной средство защиты – система Windows File Protection (WFP), которая не разрешает перезапись или удаление защищённых системных файлов.
7.7 Процесс установки ИПС
Здесь выделяютсятри направления.
ПЕРВОЕ НАПРАВЛЕНИЕ. Использует внешние относи-
тельно системы субъекты (обычно размещённые на внешних носителях),
целостность которых гарантируется методами хранения или периодического контроля.
Предопределённость активизации субъектов, размещённых на
внешних носителях, обеспечивается свойствами субъектов аппа- ратно-программного уровня (например, можно установить такую аппарат-
ную конфигурацию ЭВМ, при которой будет происходить загрузка ОС с гибкого магнитного диска).
В этом способе (называют также «способ «невидимой дискеты») все объекты, принадлежащие множеству OZ, и объекты, описывающие по-
следовательность ZL,помещаются на внешний носитель, скоторого
может бытьпроизведена загрузка.
Неизменность объектов обеспечивается физической защитой
носителя от записи.
ВТОРОЕ НАПРАВЛЕНИЕ. Локализация ИПС в рамках тер-
риториально ограниченного рабочего места (обычно ПЭВМ) и использо-
вание аппаратной поддержки для ЗАДАНИЯ
ПРЕДОПРЕДЕЛЕННОЙ ПОСЛЕДОВАТЕЛЬНОСТИ активизации
субъектов.
Сюда же входит аппаратная поддержка аутентификации пользователей.
В данном способе ОС загружается с устройства локального хранения (винчестера), а ПЭВМ имеет дополнительное аппаратное устройство(программы в ПЗУ) для изолирования среды.
Здесь ВЫДЕЛЯЮТ ДВА ЭТАПА – этап УСТАНОВКИ ИПС и