3204
.pdfкритически важное значение для обеспечения информационной безопасности всей сети. «Параноическое» применение данного метода на всех компьютерах защищаемой сети, включая обычные рабочие станции, обычно малоэффективно, поскольку в этом случае недостатки метода, как правило, перевешивают его достоинства.
Контроль целостности программного обеспечения Данный метод заключается в том, что для каждого
программного модуля, присутствующего в защищаемой системе, заранее подсчитываются длина и контрольная сумма. Эта информация хранится в файле, зашифрованном имитостойким шифром и подписанном цифровой подписью. Время от времени осуществляется проверка программных модулей защищаемой системы на соответствие длин и контрольных сумм эталонам, хранящимся в этом файле. Если в систему внедрена программная закладка, нарушающая целостность программного обеспечения, при очередной проверке будет обнаружено несовпадение длины или контрольной суммы программного модуля, целостность которого нарушена закладкой, и хранящегося в системе эталона.
Проверка целостности программного обеспечения может производиться либо путем тотального сканирования дисков компьютера, либо может быть построена так, что целостность каждого программного модуля проверяется непосредственно перед его загрузкой. Каждый из этих способов имеет свои недостатки.
В первом случае, если жесткий диск компьютера достаточно велик, его тотальное сканирование может занимать неприемлемо долгое время. Учитывая, что установка нового программного обеспечения и переконфигурирование (в том числе и обновление версии) старого обычно происходит достаточно часто, полное сканирование компьютера должно производиться не реже, чем каждые несколько дней. В противном случае нарушения целостности, вызванные внедрением в систему программной закладки, будет трудно
211
отличить от нарушений целостности, вызванных легальным обновлением установленных приложений. Исходя из этого данный способ организации контроля целостности программного обеспечения часто оказывается малоэффективным – либо контроль целостности отнимает слишком много ресурсов защищаемой системы, либо администратору трудно разобраться в том, какие нарушения целостности являются несанкционированными.
Во втором случае загрузка каждого программного модуля существенно замедляется, что обусловлено тем фактом, что для осуществления контроля целостности весь проверяемый файл должен быть считан в оперативную память, в то время как при обычной загрузке с диска считываются только те фрагменты файла, которые содержат код и данные, используемые в данный момент. В результате контроля целостности кода программного обеспечения «на лету» работа операционной системы может замедляться в десятки раз. Это замедление особенно заметно в Windows-подобных операционных системах, где значительная часть системного кода выделена в динамические библиотеки, загружаемые в адресные пространства всех процессов, как прикладных, так и системных.
В любом случае, организация в системе контроля целостности программного обеспечения требует от администраторов операционной системы повышенного внимания при инсталляции и обновлении установленных в системе приложений. Обязательно нужно иметь в виду, что программная закладка может быть внедрена в систему в момент установки или обновления программного обеспечения, когда контроль целостности бесполезен – если для исполняемого файла контрольная сумма еще не подсчитана, нарушение целостности этого файла не может быть выявлено.
Следует также иметь в виду, что программная закладка, внедренная в защищаемую систему, может вмешиваться в функционирование системы контроля целостности и навязывать ей ложную информацию. Могут быть использованы
212
следующие методы навязывания ложной информации:
несанкционированная модификация файла, содержащего эталоны длин и контрольных сумм исполняемых файлов;
сохранение эталонной копии измененного исполняемого файла и «подсовывание» ее системе контроля целостности.
Контроль целостности конфигурации защищаемой системы
Данный метод заключается в том, что для всех элементов конфигурации защищаемой системы, которые могут быть изменены при внедрении в систему программной закладки, создаются эталонные копии. В дальнейшем регулярно производится сравнение этих элементов конфигурации с их эталонными копиями. В случае несовпадения проводится детальное изучение зафиксированных изменений на предмет того, произошло ли данное изменение в результате легальных действий администраторов или в результате внедрения в систему программной закладки.
При организации проверки целостности конфигурации защищаемой системы основная проблема состоит в том, чтобы точно выделить элементы конфигурации системы, несанкционированное изменение которых может привести к внедрению программных закладок. Если не для всех таких элементов контролируется целостность, факт внедрения программной закладки в защищаемую систему может остаться незамеченным для администраторов. Если же множество элементов конфигурации защищаемой системы, целостность которых контролируется, выбрано слишком большим, при анализе результатов проверки целостности будет зафиксировано слишком много изменений, и администраторам будет трудно выбрать из них те, которые действительно могут сигнализировать о возможности внедрения в систему
программной закладки. |
|
|
|
Проверка |
целостности |
конфигурации |
может |
213
производиться либо путем регулярного тотального сканирования элементов конфигурации, либо при каждом обращении программы к контролируемому элементу конфигурации. Во многих операционных системах такая проверка может быть организована с использованием стандартных средств аудита.
Затраты ресурсов компьютера при контроле целостности конфигурации системы значительно меньше аналогичных затрат при контроле целостности программного обеспечения. Это обусловлено тем, что суммарный объем элементов конфигурации системы обычно значительно меньше суммарного объема имеющихся в системе исполняемых файлов.
Так же, как и в случае контроля целостности программного обеспечения, программная закладка, внедренная в защищаемую систему, может навязывать ложную информацию системе контроля целостности конфигурации.
В современных версиях Windows наиболее важными с точки зрения защиты от программных закладок элементами конфигурации являются следующие ключи реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes; HKEY_LOCAL_MACHINE\SOFTWARE\Clients; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Activ
e Setup; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Confe
rencmg; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Crypt
ography; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Dfrg; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Direct
3D;
HKEY_LOCAL_MACHINE\SOFTWARE\Mcrosoft\Direct 3Draw;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Direct
Play;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Event
214
System; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Excha
nge\ClientVExtensions; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fax; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Intem
et Account Manager; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Intern
et Domains; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Intern
et Explorer; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Medi
aPlayer\PlayerUpgrade; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSD
TC;
HKEYLOCALMACHINE\SOFTWAPJ3VMicrosoft\MSE; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multi
media;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NetSh
;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Outlo ok Express;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Route r\CurrentVersionVRouterManagers;
HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftVFlpc; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Share
d;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Share d Tools;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Telne tServer;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updat
es;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VBA; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WAB
;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind
215
ows\CurrentVersion\AppManagement; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind
ows\CurrentVersion\AppPaths; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind
ows\CurrentVersion\Explorer; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind
ows\CurrentVersion\Extensions; HKEY_LOCAL
MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Insta
ller;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows\CurrentVersion\InternetSettings;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows\CurrentVersionYRun;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows\CurrentVersion\RunOnce;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows\CurrentVersion\RunOnceEx;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows\CurrentVersion\Setup;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows\CurrentVersion\Uninstall;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows\Messaging Subsystem;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows\CurrentVersion\Accessibility\Utility Manager;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows NT\Current Version\drivers.desc;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows NT\CurrentVersionYDri vers 3 2;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows NT\Current VersionYEmbedding;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows NT\CurrentVersion\FileManager\AddOns;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows NT\ Current Version\FontDrivers;
216
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows NT\CurrentVersionMVICD2;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows NT\CurrentVersion\SeCEdit;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows NT\CurrentVersion\ Windows;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows NT\CurrentVersion\Winlogon;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows NT\CurrentVersion\WOW\boot;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows Scripting Host;
HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBCI NST. INI;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Class;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\CoDevicelnstallers;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Contentlndex;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Keyboard Layouts;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Lsa;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\NTMS;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Print;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SafeBoot;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Security Providers;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\WOW;
217
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Enum\Root;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services.
Перечисленные ключи реестра могут использоваться программными закладками для реализации хотя бы одной из следующих задач:
первоначальное внедрение в операционную систему путем «подсовывания» исполняемого кода под видом «неопасного» файла;
«подсовывание» исполняемого кода программной закладки администратору операционной системы в целях несанкционированного повышения полномочий ранее внедренной закладки;
организация автоматического запуска программной закладки при каждой новой загрузке операционной системы либо при наступлении некоторого регулярного события.
Нетрудно видеть, что для того чтобы контроль целостности конфигурации операционной системы был эффективен, подсистема контроля целостности должна фиксировать изменения большого количества разных объектов, некоторые из которых регулярно изменяются и при отсутствии в системе программных закладок. Это является одной из основных проблем при построении адекватной политики контроля целостности конфигурации защищаемой системы. Другая серьезная проблема, возникающая при организации контроля целостности конфигурации, состоит в том, что установка в системе дополнительного программного обеспечения создает в конфигурации системе новые записи, которые также могут быть использованы программными закладками. Это еще более усложняет и без того непростую задачу точного выделения всех потенциально опасных элементов конфигурации, целостность которых необходимо контролировать.
Антивирусный мониторинг информационных потоков
218
Любая программная закладка так или иначе вмешивается в информационные потоки, протекающие внутри компьютерной системы, в которую она внедрена. Это вмешательство может быть обнаружено с помощью мониторинга информационных потоков. Наиболее эффективен мониторинг тех информационных потоков, которые наиболее часто связаны с программными закладками, а именно:
информационные потоки, связанные с паролями пользователей;
информационные потоки, связанные с обращениями к файловым системам;
информационные потоки, связанные с обращениями к сетевым ресурсам.
Очевидно, что при организации мониторинга информационных потоков целесообразно ограничиться мониторингом только тех потоков, которые присутствуют при наличии в защищаемой системе программной закладки и отсутствуют в противном случае (или наоборот).
Например, программа аутентификации пользователя
(login в UNIX или Winlogon в Windows) работает только с файлами, содержащими эталоны паролей пользователей и настройки конфигурации самой программы. Если зафиксировано обращение такой программы к какому-то другому файлу, это может означать, что в системе присутствует перехватчик паролей.
Данный метод выявления программных закладок, помимо достоинств, имеет два очень серьезных недостатка:
присутствие в системе монитора, предназначенного для выявления программных закладок, может маскировать присутствие мониторов-закладок;
монитор, предназначенный для выявления программных закладок, сам может быть использован в качестве закладки.
Программные ловушки Данный метод заключается в создании в защищаемой
системе «заманчивых» для нарушителей объектов, доступ к
219
которым невозможен без использования программных закладок. Все успешные обращения к таким объектам регистрируются. Например, в Windows в роли ловушки может выступать объект с атрибутами защиты Everyone – No Access к которому регистрируются все успешные обращения пользователей. Без применения программной закладки или специальных привилегий администратора операционной системы открыть такой объект невозможно.
2.8. Организационные и административные меры антивирусной защиты
Одной из важнейших составных частей системы антивирусной защиты является комплекс организационных, административных и иных мер по ее сопровождению. Ни одно программное или программно-аппаратное средство антивирусной защиты либо комплекс таких средств не способно обеспечить приемлемый уровень защищенности от компьютерных вирусов и программных закладок, если работа системы антивирусной защиты не будет сопровождаться адекватными действиями администраторов безопасности и иных лиц, ответственных за эффективное функционирование антивирусной защиты локальной вычислительной сети.
К основным мероприятиям по организационному сопровождению антивирусной защиты сети относятся:
инструктирование пользователей;
просмотр и анализ данных регистрации и мониторинга;
контроль качества аутентификационных данных пользователей защищаемой сети;
регулярные проверки адекватности поведения лиц, ответственных за обеспечение антивирусной защиты, в случае успешных вирусных атак;
регулярные инспекции состояния антивирусной защиты. Рассмотрим эти мероприятия подробнее.
220