Варіант № 3.

Запорізький коледж радіоелектроніки

Запорізький національний технічний університет

«Конспект лекцій Обеспечение информационной безопасности на уровне предприятия

м. Запоріжжя

2013рік

Тема 6. Защита программного обеспечения

Раздел 3 Обеспечение информационной безопасности на уровне предприятия

Тема 6. Защита программного обеспечения

6.1 Характеристика вредоносных программ

Любая ПК-система предполагает использование программных средств разного назна-чения в едином комплексе. Например, система автоматизированного документооборота: ОС, СУБД, телекоммуникационные программы, текстовые редакторы, антивирусы, криптогра-фические средства, средства аутентификации и идентификации пользователей.Главным условием правильно функционирования такой ИС является обеспечение защиты от вмешательства в процесс обработки информации тех программ, присутствие ко-торых в ИС нежелательно.Среди подобных программ – вирусы и программные закладки.

Вирусы

1. Сетевые черви: по сети через почту, ICQ, ссылок на зараженные файлы

2. Классические компьютерные вирусы: загрузка при запуске определенной ком-пьютерной программы:

По среде обитания:

• Файловые

• Загрузочные

• Макровирусы (скрипты).

По способу заражения:

• Перезаписываемые – запись кода в файл вместо его содержимого.

• Паразитические – изменяют содержимое, но полностью или частично заражают (пе-ренос части текста файла в конец, в начало, а свой код переносится в освободившееся место).

По степени воздействия:

• Уменьшают объем оперативной памяти, в архивах, дублируют информацию.

• Опасные.

• Очень опасные: стирание информации, порча железа.

Методы защиты

Резервное копирование.

Разграничение доступа.

Программы:

• Детекторы (обнаруживают зараженные файлы по комбинации байтов в файле).

• Доктора (лечат, возвращают в исходное состояние области диска).

Ревизоры: вычисление контрольной суммы, длины файла.

Доктора – ревизоры: используют заранее сохраненную информацию о состоянии файла.

Программные закладки

Закладка не размножается, имеет цель. Программная закладка (ПЗ) – вредоносная программа может выполнять хотя бы одно из перечисленных действий:

1. Вносить произвольное искажение в коды программы (закладка первого типа).

2. Переносить фрагменты информации из одних областей памяти в другие, ОЗУ (за-кладка второго типа).

3. Искажать выводимую на внешние устройства или в каналы связи информацию, полученную в результате работы других программ (закладка третьего типа).

Программные закладки можно классифицировать по методу внедрения в ИС:

1. Программно – аппаратные закладки, ассоциированные со средствами компьютера (среда обитания BIOS).

2. Загрузочные закладки, связанные с программой начальной загрузки, которая рас-полагается в загрузочных секторах.

3. Драйверные закладки.

4. Прикладные закладки, связанные с прикладным программным обеспечением общего назначения (текстовые редакторы, утилиты, антивирусные мониторы).

5. Исполняемые закладки, связанные с исполняемыми программами, пакетными фай-лами, файлами ОС.

6. Закладки-имитаторы интерфейс которых совпадает с интерфейсом известных слу-жебных программ, требующих ввода конфиденциальной информации (ключи, пароли, ко-дов кредитных карточек).

7. Замаскированные закладки, которые маскируются под программные средства оп-тимизации ПК (архиваторы, дисковые дефрагментаторы), под игровые и другие развлека-тельные программы.

Чтобы программная закладка нанесла вред, процессор должен приступать к исполне-нию команд, входящих в состав кода ПЗ. Это возможно при соблюдении следующих усло-вий:

1. Закладка должна попасть в оперативную память компьютера до той программы, которая является целью воздействия закладки.

2. Работа программной закладки, находящейся в оперативной памяти, начинается при выполнении некоторых условий, которые называются активизирующими

Существуют 3 основных группы деструктивных действий, которые могут осуществ-ляться ПЗ:

1. Копирование информации пользователя ИС (паролей, кодов, доступа ключей, кон-фиденциальных электронных документов), находящихся в оперативной или внешней памяти системы.

2. Изменение алгоритмов функционирования системы, прикладных и служебных программ. Например, внесение изменений в программу разграничения доступа может при-вести к тому, что она разрешит вход в систему всем без исключения пользователям вне зави-симости от правильности введенного пароля.

3. Навязывание определенных видов работ. Например, блокирование записи на диск при удалении информации, при этом информация, которую требуется удалить, не уничтожа-ется и может быть впоследствии скопирована злоумышленником.

У всех программных закладок есть важная общая черта, они обязательно выполняют операцию записи в оперативную или внешнюю память системы. При отсутствии данной операции никакого негативного воздействия ПЗ оказать не может.

6.2 Модели воздействия программных закладок на компьюторы

1. Модель «перехват»: Внедряется в ПЗУ, системное или прикладное программ-ное обеспечение и сохраняет всю или выбранную информацию, вводимую с внешних уст-ройств в систему или выводимую на эти устройства в скрытую области памяти локальной или удаленной информационной системы.

Данная модель может быть двухступенчатой:

• на первом этапе сохраняются только имена и начала файла;

• на втором этапе накопленные данные анализируются злоумышленником, и выби-рается нужная информация для принятия решения о конкретных объектах дальнейшей атаки.

Данная модель может быть эффективно использована, например, при атаке на защи-щенную WinNT . После старта WinNT, на экране появляется приглашение – нажать Ctrl+Alt+Delete. После их нажатия загружается динамическая библиотека MSGINA.DLL, осуществляющая прием паролей и выполнение процедуры аутентификации. Если злоумыш-ленник заменяет библиотеку MSGINA.DLL на нужную ему библиотеку (для этого необхо-димо просто добавить специальную строку в реестр ОС WinNT и указать местоположение свой библиотеки), то модифицируется ввод и проверка пароля, т.е. подсистема контроля за доступом.

2. Модель «искажение». Программные закладки изменяют информацию, кото-рая записывается в память системы, либо подавляет (инициирует) возникновение ошибоч-ных ситуаций в ИС.

Можно выделить статическое и динамическое искажение

Статическое искажение происходит один раз, при этом параметры программной среды модифицируются, чтобы впоследствии в ней выполнялись нужные злоумышленнику действия. Например, вносятся изменения в файл AUTOEXEC.BAT, которые приводят к за-пуску заданной программы прежде, чем будут запущены другие программы.

Специалисты ФАПСИ выявили ПЗ: злоумышленник изменил в исполняемом .exe мо-дуле проверки ЭЦП. строку «Подпись не корректна» на строку «Подпись корректна». В ре-зультате перестали фиксироваться документы с неверной ЭЦП, а, следовательно, стало воз-можно вносить любые изменения в электронные документы уже после того, как их подписа-ния ЭЦП.

Динамическое искажение заключается в изменении каких-либо параметров системы или прикладных процессов при помощи заранее активированных закладок.

Динамическое искажение можно условно разделить на: искажение на входе, когда на обработку попадает уже искаженная информация; искажение на выходе, когда искажает-ся информация, отображаемая для восприятия человеком, или предназначенная для работы других программ.

Практика показала, что именно программы реализации ЭЦП особенно подвержены влиянию ПЗ типа «динамическое искажение». Существует 4 способа воздействия ПЗ на ЭЦП:

1. Искажение входной информации – ПЗ изменяет поступивший на подпись доку-мент.

2. Искажение результата проверки истинности ЭЦП (вне зависимости от результатов проверки цифровую подпись объявляют истинной).

3. Навязывание длины электронного документа – программе ЭЦП предъявляется до-кумент меньшей длины, чем на самом деле, и в результате подпись ставится только под ча-стью исходного документа.

4. Искажение самого алгоритма цифровой подписи.

В рамках модели «искажение» реализуются такие ПЗ, действия которых основано на инициировании или подавлении сигнала о возникновении ошибочных ситуаций в ИС, тех которые приводят к отличному от нормального завершению исполняемой программы.

Например, для инициирования статической ошибки на устройствах хранения инфор-мации создается область, при обращении к которой (запись, чтение, форматирование) возни-кает ошибка, что может затруднить или блокировать некоторые нежелательные для зло-умышленника действия системы или прикладных программ (например, не позволяет осуще-ствить корректно уничтожение конфиденциальной информации на жестком диске.

При инициировании динамической ошибки для некоторой операции генерируется сообщение о ложной ошибке, например «Модем занят». Или при прочтении одного блока длиной 512 байт может установиться соответствующий флажок для того, чтобы не допус-тить прочтения второго и последующего блоков и в итоге подделать подпись под докумен-том._______________________

Разновидностью программной закладки модели «искажение» являются программы, которые получили название «троянский конь» (ТК) или «троянец».

Троянец является частью другой программы с известными пользователю функциями, которая способна в тайне от него выполнять некоторые дополнительные действия с целью причинения ему определенного ущерба.

Например, программа форматирования не является троянской, но если пользователь, выполняя некоторую программу, совершенно не ждет, что она отформатирует его жесткий диск.

Троянской можно считать любую программу, которая в тайне от пользователя выпол-няет некоторые нежелательные для него действия: определение регистрационных номеров программного обеспечения, установленного на компьютере; досоставления списка ката-логов на жестком диске и т.д. А сама троянская программа может маскироваться под тек-стовый редактор, сетевую утилиту или любую другую, которую пользователь пожелает установить на своем компьютере.

Троянские программы пишут программисты с целью получения доступа к конфиден-циальным данным (пароли, счета и т.д) и приведения в нерабочее состояние компьютерной системы.

Примеры троянцев: Программа PC Cyborg предлагала предоставить информацию о борьбе со СПИДом, а проникнув на компьютер, отсчитывала 90 перезагрузок, а затем прята-ла все каталоги и шифровала файлы. Программа AOLGOLD рассылалась по e-mail в заархи-вированном виде с сопроводительным письмом, в котором говорилось, что ее предоставляет компания America On line (AOL – крупнейший Итернет-провайдер) для повышения качества предоставляемых услуг. В архиве был файл Install.bat, пользователь, запустивший этот файл стиралт все файлы из с:\ , с:\ windows.

Такие программы пишут, как правило, подростки, одержимые страстью к разруши-тельству.

Есть троянские программы, написанные профессионалами, они не разрушают, а соби-рают информацию. Обнаруживаются они, как правило, случайно. Такие программы прода-ются, распространяются через Интерне и распространяемую через Интернет, попала троян-ская программа, которая обосновалась в утилите fping. При первом же запуске модифициро-ванной утилиты в файл /etc/passwd добавлялась запись для пользователя с именем suser, ко-торый мог войти в систему и получить там права администратора.

Троянские программы можно отыскать где угодно, однако самыми подозрительными на предмет присутствия троянцев являются бесплатные или условно бесплатные программы, скачанные через Интернет или купленные на пиратских дисках.

3. Модель «уборка мусора». Работа с конфиденциальными электронными докумен-тами обычно сводится к последовательности следующих манипуляций с файлами: создание, хранение, коррекция, уничтожение. Для защиты конфиденциальной информации обычно применяется шифрование. Основная угроза исходит не от использования нестойких алго-ритмов шифрования и плохих криптографических ключей, а от обыкновенных текстовых редакторов и БД, применяемых для коррекции конфиденциальных документов. Важно пом-нить, что при записи отредактированной информации меньшего размера в тот же файл, где хранилась исходная информация, образуются так называемые «хвостовые» кластеры, кото-рые не подвергаются воздействию программ шифрования, но и остаются незатронутыми да-же средствами гарантированного стирания и удаления.

Распространенные средства гарантированного стирания файла предварительно запи-сывают на его место константы или случайные числа и только после этого удаляют файл стандартными методами. Однако даже такие средства оказываются бессильными против программных закладок, которые нацелены на то, чтобы увеличить количество остающихся в виде «мусора» фрагментов конфиденциальной информации. Из хвостовых кластеров можно извлечь до 80% информации, а через 10 суток – 25-40%

ПЗ может инициировать системную ошибку, пометив один или несколько кластеров из цепочки, входящей в файл, меткой «сбойный». В результате при удалении файла средст-вами ОС или средствами гарантированного уничтожения , та его часть, что размещена в «сбойных» кластерах останется нетронутой и впоследствии может быть восстановлена с помощью стандартных утилит.

4. Модель «наблюдение». ПЗ встраивается в сетевое или телекоммуникационное программное обеспечение. Такое программное обеспечение всегда находится в постоянной активности, внедреннаяв него ПЗ можно следить за всеми процессами обработки информа-ции и осуществлять установку или удаление других программных закладок.

5. Модель «компрометация». Модель типа «компрометация» позволяет получать доступ к информации, перехваченной другими ПЗ. Например, инициируется постоянное обращение к такой информации, приводящее к росту соотношения сигнал/шум . А это облегчает перехват побочных излучений данной компьютерной системы и позволяет эффек-тивно выделять сигналы, сгенерированные закладкой из общего фона излучений, исходящих от оборудования.

6.3 Защита от программных закладок

Задача защиты от ПЗ включает три подзадачи

1. не допустить внедрение ПЗ в компьютерную систему;

2. выявить внедренную программную закладку;

3. удаление внедренной программной закладки.

Как видно, эти задачи сходны с задачами защиты от компьютерных вирусов.

Задача решается с помощью средств контроля за целостностью запускаемых систем-ных и прикладных программ, а также за целостностью хранимой в ИС информации и за критическими для функционирования системы событиями. Однако эти средства дейст-венны, если сами не подвержены ПЗ, которые могут выполнять следующие действия:

- навязывать конечные результаты контрольных проверок;

- влиять на процесс считывания информации и запуск программ, за которыми осу-ществляется контроль.

6.3.1 Защита от внедрения программных закладок

Универсальными средствами защиты от внедрения ПЗ является создание изолирован-ного компьютера. Компьютер называется изолированным, если выполняется следующие ус-ловия:

1. на нем установлена система BIOS, не имеющая закладок;

2. ОС проверена на наличие ПЗ;

3. достоверно установлена неизменность BOIS и ОС для данного сеанса;

4. на компьютере не запускались другие программы, кроме уже прошедших проверку на наличие ПЗ;

5. исключен запуск проверенных программ в каких-либо иных условиях кроме изолированного ПК.

Для определения степени изолированности компьютера используется модель ступен-чатого контроля. Сначала проверяется:

- нет ли изменений в BIOS;

- затем считываются загрузочный сектор диска и драйверы ОС, которые также ана-лизируются на предмет внесений в них несанкционированных изменений;

- запускается с помощью ОС монитор контроля вызовов программы, который сле-дит, за тем, чтобы в компьютере запускались только проверенные программы.

Интересный метод борьбы с внедрением ПЗ может быть использован в информационной банковской системе, в которой циркулируют только документы. Чтобы не допустить проникновение ПЗ через каналы связи, в этой системе не допускается прием никакого исполняемого кода. Для распознавания события типа «Получен исполняемый код» или «Получен текстовый документ» применяется контроль за наличием в файле запрещенных символов.

6.3.2 Выявление внедренной программной закладки

Необходимо выявить признаки присутствия кода ПЗ в компьютерной системе. При-знаки могут быть качественными и визуальными; обнаруживаемые средствами тестирова-ния и диагностики.

Качественные и визуальные признаки: отклонение в работе программы; изменяется состав и длины файлов. Программа работает слишком медленно или слишком быстро закан-чивает свою работу или совсем перестает запускаться

Например, пользователи пакета шифрования и ЭЦП «Криптоцентр» заметили, что подпись ставится слишком быстро. Исследования экспертов ФАПСИ показали, что вне-дрена ПЗ, которая основывалась на навязывании длины файла. Пользователи пакета «Криптон» забили тревогу, что скорость шифрования по криптографическому алгоритму ГОСТ 28147-89 возросла в 30 раз.

Признаки, выявляемые с помощью средств тестирования и диагностики, характерны как для ПЗ, так и для компьютерных вирусов. С инициированием статической ошибки на дисках хорошо справляется Disk Doctor из Norton Utilities. А средства проверки целостности данных типа ADINF позволяют успешно выявлять изменения, вносимые в файлы ПЗ.

Как выявить троянца:

Программные средства, предназначенные для защиты от троянцев, используют согла-сование объектов. В качестве объектов – файлы, каталоги. Согласование позволяет ответить на вопрос, изменились ли файлы и каталоги с момента последней проверки. Берется резерв-ная копия файла и его атрибуты сравниваются с атрибутами файла на диске:

- время;

- размер;

- контрольная сумма;

- получение хэш-функции файла.

Для вычисления контрольной суммы есть специальные утилиты sum, но и контроль-ную сумму можно подделать. Более надежным является одностороннее хэширование фай-лов.

Алгоритмы: МД4, МД5, SНA.

Вычисление ХЭШ – значения файлов хранятся в специальной БД, которая является самым уязвимым местом {в ОС Unix - TRIPWIRE}

Пользователю предлагается хранить эту БД на съемном носителе и запирать в сейф.

Программное средство eSafe фирмы Aladdin Knowledge Systems для Windows cостоит из 3 частей:

1) Антивирус VisuSafe

2) Брандмауэр

3) Модуль защиты компьютерных ресурсов.

Брандмауэр контролирует весь трафик. Для защиты компьютерных ресурсов исполь-зуется модель «песочницы» - специальной изолированной области памяти.

Все автоматически загружаемые из Internet Java Applet, ActiveX попадают в «песоч-ницу».

Карантинный период наблюдения может быть от 1 о 30 дней. Все данные о поведе-нии программ заносятся в журнал регистрации. Далее принимается решение: разрешить загрузку данной программы или нет.

Способ удаления ПЗ зависит от метода внедрения.

Если это программно-аппаратная закладка, то – перепрограммировать ПЗУ. В других случаях – удалить вместе весь программный код и найти новую версию программы.

6.4 Клавиатурные шпионы

Виды 1.Имитаторы. 2.Фильтры. 3.Заместители.

6.4.1 Имитаторы

Злоумышленник внедряет в ОС модуль, который предлагает пользователю зарегист-рироваться для входа в систему. Имитатор сохраняет введенные данные в определенной об-ласти памяти. Инициируется выход из системы и появляется уже настоящее приглашение. Для надежной защиты от имитаторов необходимо:

1. Чтобы системный процесс, который получает от пользователя идентификатор и па-роль, имел свой рабочий стол.

2. Переключение на регистрационное окно рабочего стола аутентификации должно происходить абсолютно незаметно для прикладных программ.

6.4.2 Фильтры

Фильтры – охотятся за всеми данными, которые вводятся с клавиатуры. Самые эле-ментарные фильтры сбрасывают перехваченный ввод на жесткий диск или в другое нужное место.

Фильтры являются резидентными программами, перехватывающими одно или не-сколько прерываний, связанных с обработкой клавиатурных сигналов. Эти прерывания воз-вращают информацию о нажатой клавише, которая анализируется фильтрами на предмет выявления данных, имеющих отношение к паролю пользователя.

Любой клавиатурный русификатор – это самый простой фильтр. Его не трудно дора-ботать,чтобы он еще выполнял действия по перехвату пароля.

Для защиты от фильтров необходимо выполнение 3 условий:

1. Во время ввода пароля не разрешать переключения раскладки клавиатуры (сраба-тывает фильтр).

2. Конфигурировать цепочку программных модулей, участвующих в работе с паро-лем пользователя может только системный администратор.

3. Доступ к файлам этих модулей имеет только системный администратор.

6.4.3 Заместители

Заместители полностью подменяют собой программные модули, отвечающие за ау-тентификацию пользователей. Такие закладки могут быть созданы для работы в многополь-зовательских системах.

Заместители полностью берут на себя функции подсистемы аутентификации, по-этому они должны выполнять следующие действия:

1) подобно вирусу внедриться в один / несколько файлов системы;

2) использовать интерфейсные связи между программными модулями подсистемы аутентификации для встраивания себя в цепочку обработки введенного пользователем паро-ля.

6.5 Парольные взломщики

Это специальные программы, которые служат для взлома ОС. Атаке подвергается системный файл ОС, содержащий информацию о ее легальных пользователях и их паролях:

Взломщику желательно перекачать этот файл себе. Берутся далее слова из словаря и шифруются с помощью того же известного алгоритма и сравниваются с зашифрованным паролем в системном файле.

Парольные взломщики используют символьные последовательности автоматиче-ски генерируемые из определенного набора символов. Словарь: чередование строчных и прописных букв. Содержит неск тыс. символьных слов:

T = 1/S * ∑Ni (i=1, L)

N – число символов в наборе

L – предельная длина пароля

S – количество проверок в секунду (зависит от быстродействия ПК).

T – максимальное время для взлома пароля.

Взлом парольной защиты системы UNIX

etc/passwd

bill:5-d35

d35 – зашифрованный пароль (шифруется процедурой Cript, ключ к которой – пароль пользователя).

Если злоумышленник имеет доступ к парольному файлу, он может скопировать его на свой ПК и воспользоваться взломщиком.

Защита:

Пользователям предлагается применять сильные пароли, а в качестве критерия стой-кости – проверить, есть ли этот пароль в парольном словаре, а также рекомендуется исполь-зовать затенение (***) при записи в файл passwd, а парольный файл прятать в другом месте.

Взлом парольной защиты Windows

Все учетные записи хранятся в БД SAM (Security Account Manager). Эта база пред-ставляет один из кустов системного реестра. Доступ к SAM запрещен для всех пользовате-лей.

Информация в SAM хранится в зашифрованном виде в виде двух 16-тибайтных строк. Используются различные методы для шифрования. Из символьного пароля получа-ется 16-тибайтная последовательность. Данная последовательность шифруется по алгоритму DES. Результат шифрования хранится в SAM. Ключ – относительный идентификатор пользователя (RID).

Система безопасности в Windows Vista

Она содержит множество новых средств обеспечения безопасности, которые призва-ны повысить защищенность ПК:

1. Предупреждение о появлении новых обновлений систем безопасности и установка их на компьютер.

2. Собственный брандмауэр Vista обеспечивает защиту от хакеров, вирусов и компь-ютерных червей.

3. Windows Defender защищает систему от шпионских программ.

4. Средство удаления вредоносных программ MSRT периодически выполняет поиск распространенных вирусов на ПК.