лекции полностью

-перехват данных по каналам связи;

-изменение архитектуры КС путем установки дополнительных перехватывающих устройств или замены отдельных узлов на специальные, содержащие возможность проводить несанкционированные действия в КС, например, установку клавиатурных шпионов, перепрограммирование ПЗУ, установку сетевых карт, способных фиксировать и сохранять или искажать проходящие через них пакеты;

-уничтожение машинных носителей информации;

-внесение искажений в программные компоненты КС;

-внедрение дезинформации;

-раскрытие способов представления информации и ключей шифрования;

-изменение доступа к информации.

10.2.2. Типичные приемы атак на локальные и удаленные компьютерные системы

1.Сканирование файловой системы. Злоумышленник пытается просматривать файловую систему и прочесть, скопировать или удалить файлы. Если доступ к файлу закрыт, сканирование продолжается. Если объем файловой системы велик, то рано или поздно обнаружится хотя бы одна ошибка администратора. Такая атака проводится с помощью специальной программы, которая выполняет эти действия в автоматическом режиме.

2.Кража ключевой информации. Пароль может быть подсмотрен по движению рук на клавиатуре или снят видеокамерой. Некоторые программы входа в КС удаленного сервера допускают набор пароля в командной строке, где пароль отображается на экране, а иногда для ввода используются пакетные файлы, упрощающие вход в ОС. Кража такого файла

компрометирует пароль. Известны случаи, когда для кражи пароля использовался съем отпечатков пальцев пользователя с клавиатуры. Кража внешнего носителя с ключевой информацией: диски или Touch Memory.

3.Сборка мусора. Информация, удаляемая пользователем, не удаляется физически, а только помечается к удалению и помещается в сборщик мусора. Если получить доступ к этой программе, можно получить и доступ к удаляемым файлам. Сборка мусора может осуществляться и из памяти. В этом случае программа, запускаемая злоумышленником, выделяет себе всю допустимо возможную память и читает из нее информацию, выделяя заранее определенные ключевые слова.

4.Превышение полномочий. Используя ошибки в системном программном обеспечении и/или в политике безопасности, пользователь пытается получить полномочия, превышающие те, которые были ему выделены. Превышение полномочий может быть также результатом входа в систему под именем другого пользователя или в виде замены динамической библиотеки, которая отвечает за выполнение функций идентификации пользователя.

5.Программные закладки. Это программы, выполняющие хотя бы одно из следующих действий:

- внесение произвольных искажений в коды программ, находящихся в оперативной памяти (программная закладка первого типа);

- перенос фрагментов информации из одних областей оперативной или внешней памяти в другие (программная закладка второго типа);

- искажение информации, выводимой другими программами на внешние устройства или каналы связи (программная закладка третьего типа).

6.Жадные программы. Это программы, преднамеренно захватывающие значительную часть ресурсов КС, в результате чего другие программы работают значительно медленнее или не работают вовсе. Часто запуск такой программы приводит к краху ОС.

7.Атаки на отказ в обслуживании (deny-of-service - DoS). Атаки DoS являются наиболее распространенными в компьютерных сетях и сводятся к выведению из строя объекта, а не к получению несанкционированного доступа. Они классифицируются по объекту воздействия:

- перегрузка пропускной способности сети - автоматическая генерация, возможно, из нескольких узлов, большого сетевого трафика, которое полностью занимает возможности данного узла;

- перегрузка процессора - посылка вычислительных заданий или запросов, обработка которых превосходит вычислительные возможности процессора узла;

- занятие возможных портов, т.е., соединяясь с портами сервисов узла, занимает все допустимое число соединений на данный порт.

Такие атаки могут быть обнаружены и устранены администратором путем выдачи запрета на прием пакетов от данного источника. Чтобы лишить администратора узла этой возможности, атака идет с множества узлов, на которые предварительно внедряется вирус. Вирус активизируется в определенное время, производя DoS-атаку. Этот тип атаки получил название

DDoS (Distributed DoS).

8.Атаки маскировкой. Маскировка - общее название большого класса сетевых атак, в которых атакующий выдает себя за другого пользователя. Если существенные права получают процессы, инициируемые доверенными хостами (т.е. пакеты с адресом доверенного источника пропускаются без применения к ним ограничивающих правил), то достаточно указать доверенный адрес отправителя, и он будет пропущен.

9.Атаки на маршрутизацию. Для достижения узла - жертвы - в таких атаках применяется изменение маршрута доставки пакета. Каждый путь может иметь свои права доступа, узел может по-разному реагировать на пакеты, поступившие различными путями. Поэтому интерес злоумышленника распространяется не только на сам атакуемый узел, но и на промежуточные пункты - маршрутизаторы.

10. Прослушивание сети (sniffing). Различают межсегментный и внутрисегментный сниффинг. В первом случае устройство подслушивания должно быть размещено у входа или выхода взаимодействующих узлов или у одного из транзитных узлов. Для защиты от прослушивания в основном используются средства шифрования. При внутрисегментном прослушивании в равноранговой сети с общей шиной (Ethernet), в качестве прослушивающего устройства может использоваться одна из КС сети. Для организации прослушивания необходимо с помощью программы-сниффера перевести режим Ethernet-карты в «неразборчивый режим», когда карта принимает не только пакеты со своим сетевым адресом, но и все, проходящие по сети пакеты. Для борьбы со снифферами используется сниффер-детектор. Принцип его работы заключается в формировании пакета с некорректным сетевым адресом, который должен быть проигнорирован всеми узлами сети. Та КС, которая примет такой пакет, должна быть проверена на наличие сниффера.

10.3.Методы защиты

Требования безопасности определяют набор средств защиты КС на всех этапах ее существования: от разработки спецификации на проектирование аппаратных и программных средств до их списания.

Рассмотрим комплекс средств защиты КС на этапе ее эксплуатации.

На этапе эксплуатации основной задачей защиты информации в КС является предотвращение НСД к аппаратным и программным средствам, а также контроль целостности этих средств. НСД может быть предотвращен или существенно затруднен при организации комплекса мероприятий, включающего:

-идентификацию и аутентификацию пользователей;

-мониторинг несанкционированных действий - аудит;

-разграничение доступа к КС;

-криптографические методы сокрытия информации;

-защиту КС при работе в сети.

При создании защищенных КС используют фрагментарный и комплексный подход. Фрагментарный подход предполагает последовательное включение в состав КС пакетов защиты от отдельных классов угроз. Например, незащищенная КС снабжается антивирусным пакетом, затем системой шифрования файлов, системой регистрации действий пользователей и т.д. Недостаток этого подхода в том, что внедряемые пакеты, произведенные, как правило, различными пользователями, плохо взаимодействуют между собой и могут вступать в конфликты друг с другом. При отключении злоумышленником отдельных компонентов защиты остальные продолжают работать, что значительно снижает ее надежность.

Комплексный подход предполагает введение функций защиты в КС на этапе проектирования архитектуры аппаратного и системного программного обеспечения и является их неотъемлемой частью.

Однако, учитывая вероятность появления новых классов угроз, модули КС, отвечающие за безопасность, должны иметь возможность замены их другими, поддерживающими общую концепцию защиты.

Организация надежной защиты КС невозможна с помощью только программно-аппаратных средств. Очень важным является административный контроль работы КС. Основные задачи администратора по поддержанию средств защиты заключаются в следующем:

-постоянный контроль корректности функционирования КС и ее

защиты;

-регулярный просмотр журналов регистрации событий;

-организация и поддержание адекватной политики безопасности;

-инструктирование пользователей ОС об изменениях в системе защиты, правильного выбора паролей и т.д.;

-регулярное создание и обновление резервных копий программ и данных;

-постоянный контроль изменений конфигурационных данных и политики безопасности отдельных пользователей, чтобы вовремя выявить взлом защиты КС.

Рассмотрим подробнее наиболее часто используемые методы защиты и принципы их действия.

При организации доступа субъектов к объектам выполняются следующие действия:

-идентификация и аутентификация субъекта доступа;

-проверка прав доступа субъекта к объекту;

-ведение журнала учета действий субъекта.

Идентификация и аутентификация пользователей

При входе в КС с целью получении доступа к программам и конфиденциальным данным субъект должен быть идентифицирован и аутентифицирован. Эти две операции обычно выполняются вместе, т.е. пользователь сначала сообщает сведения, позволяющие выделить его из множества субъектов (идентификация), а затем сообщает секретные сведения, подтверждающие, что он тот, за кого себя выдает. Иногда проводится дополнительно авторизация субъекта, под которой понимается создание программной среды для его работы. Но основными средствами обеспечения безопасности являются идентификация и аутентификация.

Обычно данные, идентифицирующие пользователя, не засекречены, но для усложнения проведения атак по НСД желательно хранить эти данные в файле, доступ к которому возможен только администратору системы.

Для аутентификации субъекта чаще всего используются атрибутивные идентификаторы, которые делятся на следующие категории:

-пароли;

-съемные носители информации;

-электронные жетоны;

-пластиковые карты;

-механические ключи.

Паролем называют комбинацию символов, которая известна только владельцу пароля или, возможно, ещё администратору системы безопасности. Обычно пароль вводится со штатной клавиатуры после включения питания. Возможен ввод пароля с пульта управления или специального наборного устройства. При организации парольной защиты необходимо выполнять следующие рекомендации:

1.Пароль необходимо запоминать, а не записывать;

2.Длина пароля должна быть не менее девяти символов;

3.Пароли должны периодически меняться;

4.В КС должны фиксироваться моменты времени успешного получения доступа и неудачного ввода пароля. Информация о попытках неверного ввода пароля должны подвергаться статистической обработке и сообщаться администратору;

5.Пароли должны храниться в КС так, чтобы доступ к ним был затруднен. Это достигается двумя способами:

- пароли хранятся в специальном ЗУ, запись в которое осуществляется

вспециальном режиме;

- пароли подвергаются криптографическому преобразованию (шифрованию);

6.При вводе пароля не выдавать никаких сведений на экран, чтобы затруднить подсчет введенных символов;

7.Не использовать в качестве паролей имена и фамилии, дни рождения и географические или иные названия. Желательно менять при вводе пароля регистры, использовать специальные символы, набирать русский текст на латинском регистре, использовать парадоксальные сочетания слов.

В настоящее время аппаратура КС поддерживает ввод пароля до начала загрузки операционной системы. Такой пароль хранится в энергонезависимой памяти и обеспечивает предотвращение НСД до загрузки

Другие способы идентификации (съемные носители, карты и др.)

информацию - имя пользователя и его пароль, находится у пользователя КС, которая снабжена устройством для считывания информации с носителя.

Для идентификации и аутентификации часто используется стандартный гибкий диск или флэш-память. Достоинства такого

Информатика Пчелинцева Е.Г.

идентификатора заключаются в том, что не требуется использования дополнительных аппаратных средств, к тому же, кроме идентификационного кода, на носителе может храниться и другая информация, например: контроля целостности информации, атрибуты шифрования и др.

Иногда для повышения уровня защищенности используются специальные переносные электронные устройства, подключаемые, например, к стандартным входам КС. К ним относится электронный жетон-генератор -

сменой такого же слова в КС. Жетон используется для однократного входа в систему. Существует другой тип жетона – с клавиатурой и монитором. В

мониторе жетона формируется новая последовательность, которая вводится в

КС как пароль. К недостатку способа идентификации и аутентификации с помощью дополнительного съемного устройства можно отнести возможность его потери или хищения.

Одним из надежных способов аутентификации является биометрический принцип, использующий некоторые стабильные биометрические показатели пользователя, например, отпечатки пальцев, рисунок хрусталика глаза, ритм работы на клавиатуре и др. Для снятия отпечатков пальцев и рисунка хрусталика требуются специальные устройства, которые устанавливаются на КС с высшими уровнями защиты. Ритм работы при вводе информации проверяется на штатной клавиатуре КС и, как показывают эксперименты, является вполне стабильным и надежным. Даже подглядывание за работой пользователя при наборе ключевой фразы не дает гарантии идентификации злоумышленника при его попытке повторить все действия при наборе фразы.

Методы ограничения доступа к информации

Вмодель информационной безопасности введены определения объекта

исубъекта доступа. Каждый объект имеет некоторые операции, которые над ним может производить субъект доступа и которые могут быть разрешены или запрещены данному субъекту или множеству субъектов. Возможность доступа обычно выясняется на уровне операционной системы КС и определяется архитектурой операционной системы и текущей политикой безопасности. Для удобства описания методов и средств разграничения доступа субъектов к объектам введем некоторые понятия.

Метод доступа к объекту - операция, определенная для данного объекта. Ограничение доступа к объекту связано именно с ограничением возможных методов доступа.

Владелец объекта - субъект, которому принадлежит (создан им) объект

икоторый несет ответственность за конфиденциальность содержащейся в объекте информации, а также за доступ к объекту.

Право доступа к объекту - право на доступ к объекту по одному или группе методов доступа.

Разграничение доступа - совокупность правил, определяющая для каждой тройки «субъект-объект-метод» наличие или отсутствие права доступа по указанному методу.

Существует несколько моделей разграничения доступа. Наиболее распространенными являются:

-дискреционная модель разграничения доступа;

-полномочная (мандатная) модель разграничения доступа. Дискреционная модель, или избирательное разграничение доступа,

характеризуется следующим набором правил:

1)для любого объекта существует владелец;

2)владелец может произвольно ограничивать доступ субъектов к данному объекту;

3)для каждой тройки «субъект-объект-метод» возможность доступа определена однозначно;

4)существует хотя бы один привилегированный пользователь (администратор), имеющий возможность обратиться к любому объекту по любому методу доступа.

В этой модели для определения прав доступа используется матрица доступа, строки которой - субъекты, а столбцы - объекты. В каждой ячейке хранится набор прав доступа данного субъекта к данному объекту. Типичный объем матрицы доступа для современной операционной системы составляет десятки мегабайт.

Полномочная (мандатная) модель характеризуется следующим набором правил:

1)каждый объект имеет гриф секретности; чем выше его числовое значение, тем секретнее объект;

2)каждый субъект доступа имеет уровень допуска.

Допуск субъекта к объекту в этой модели разрешен только в том случае, если субъект имеет значение уровня допуска не менее, чем значение грифа секретности объекта. Достоинством этой модели является отсутствие необходимости хранить большие объемы информации о разграничении доступа. Каждый субъект хранит только значение своего уровня доступа, а каждый объект - значение своего грифа секретности.

Отметим, что политика безопасности такой популярной операционной системы, как Windows XP, поддерживает обе модели разграничения прав доступа.

Методы мониторинга несанкционированных действий

Политика безопасности предполагает контроль за работой КС и ее компонентов, который заключается в фиксировании и последующем анализе событий в специальных журналах - журналах аудита.

Периодически журнал просматривается администратором операционной системы или специальным пользователем - аудитором, которые анализируют сведения, накопленные в нем.

Если обнаружится успешная атака, то очень важно выяснить, когда и как она была проведена, не исключено, что это можно будет сделать по журналу аудита.

К подсистеме аудита предъявляются следующие требования:

1.Только сама КС может добавлять записи в журнал аудита. Это исключит возможность компрометации аудитором других пользователей;

2.Ни один субъект доступа, в том числе и сама КС, не может редактировать или удалять записи в журнале;

3.Журнал могут просматривать только аудиторы, имеющие соответствующую привилегию;

4.Только аудиторы могут очищать журнал. После очистки в него обязательно вносится запись о времени и имени пользователя, очистившего журнал. Должна поддерживаться страховая копия журнала, создаваемая

перед очисткой. При переполнении журнала операционная система прекращает работу и дальнейшая работа может осуществляться до очистки журнала только аудитором;

5. Для ограничения доступа должны применяться специальные средства защиты, которые предотвращают доступ администратора и его привилегии по изменению содержимого любого файла. Желательно страховую копию журнала сохранять на WORM-CD, исключающих изменение данных.

Для обеспечения надежной защиты операционной системы в журнале должны регистрироваться следующие события:

•попытки входа пользователей в систему и выхода из неё;

•попытки изменения списка пользователей;

•попытки изменения политики безопасности, в том числе и политики

аудита.

Окончательный выбор набора событий, фиксируемых в журнале, возлагается на аудитора и зависит от специфики информации, обрабатываемой системой. Слишком большой набор регистрируемых событий не повышает безопасность, а уменьшает, так как среди множества записей можно просмотреть записи, представляющие угрозы безопасности.

10.3.2. Криптографические методы защиты данных

Основные принципы криптографии

Криптографические методы являются наиболее эффективными средствами защиты информации в КС, при передаче же по протяженным линиям связи они являются единственным реальным средством предотвращения несанкционированного доступа к ней. Метод шифрования характеризуется показателями надежности и трудоемкости.

Важнейшим показателем надежности криптографического закрытия информации является его стойкость - тот минимальный объем зашифрованного текста, который можно вскрыть статистическим анализом. Таким образом, стойкость шифра определяет допустимый объем информации, зашифровываемый при использовании одного ключа.

Трудоемкость метода шифрования определяется числом элементарных операций, необходимых для шифрования одного символа исходного текста.

Основные требования к криптографическому закрытию информации:

1.Сложность и стойкость криптографического закрытия данных должны выбираться в зависимости от объема и степени секретности данных;

2.Надежность закрытия должна быть такой, чтобы секретность не нарушалась даже в том случае, когда злоумышленнику становится известен метод шифрования;

3.Метод закрытия, набор используемых ключей и механизм их распределения не должны быть слишком сложными;

4.Выполнение процедур прямого и обратного преобразований должно быть формальным; эти процедуры не должны зависеть от длины сообщений;

5.Ошибки, возникающие в процессе преобразования, не должны распространяться по всему тексту;

6.Вносимая процедурами защиты избыточность должна быть минимальной.

На рис. 34 показана схема основных методов криптографического закрытия информации. Рассмотрим некоторые из этих методов.

Шифрование заменой (подстановка)

Наиболее простой метод шифрования: символы шифруемого текста заменяются другими символами, взятыми из одного (моноалфавитная подстановка) или нескольких (полиалфавитная подстановка) алфавитов.

В этом случае происходит прямая замена символов шифруемого сообщения другими буквами того же самого или другого алфавита. Таблица замены может иметь следующий вид:

Однако такой шифр имеет низкую стойкость. Зашифрованный текст имеет те же самые статистические характеристики, что и исходный, поэтому, используя частотный словарь появления символов в том языке, на котором написано сообщение, и подбирая по частотам появления символы в зашифрованном сообщении, можно восстановить таблицу замены. Требуется лишь достаточно длинный зашифрованный текст, чтобы получить достоверные оценки частот появления символов. Поэтому простую замену используют лишь в том случае, когда шифруемое сообщение достаточно коротко.

Использование полиалфавитных подстановок повышает стойкость шифра. Для замены символов используется несколько алфавитов, причем смена алфавитов проводится последовательно и циклически: первый символ заменяется соответствующим символом первого алфавита, второй - из второго алфавита и т.д., пока не будут исчерпаны все алфавиты. После этого использование алфавитов повторяется.

Шифрование методом перестановки

Этот метод заключается в том, что символы шифруемого текста переставляются по определенным правилам внутри шифруемого блока символов. Этот алгоритм можно представить так:

1.Выбирается размер блока шифрования: m строк и n столбцов;

2.Выбирается ключ шифра - последовательность, которая формируется из натурального ряда 1, 2, ..., n случайной перестановкой;