- •11.1. Загрози безпеці операційних систем
- •11.1.11 Сканування файлової системи
- •11.1.2. Викрадення ключовоїінформації
- •11.1.3. Добирання паролів
- •11.1.4. Збирання сміття
- •11.1.5. Перевищення повноважень
- •11.1.6. Програмні закладки
- •11.1.7. «Жадібні» програми
- •11.2. Поняття захищеної операційної системи
- •11.2.1. Підходи до побудови захищених операційних систем
- •11.2.2. Принципи створення захищених систем
- •11.2.3. Адміністративні заходи захисту
- •11.2.4. Політика безпеки
- •11.3. Типова архітектура комплексу Засобів захисту операційних систем
- •11.3.1. Основні функції k33
- •11.3.2. Розмежування доступу
- •11.3.3. Ідентифікація, автентифікація й авторизація
- •11.3.4. Аудит
11.1.5. Перевищення повноважень
Ця загроза полягає у тому, що порушник якимось чином отримує повноваження, що перевищують ті, які йому було надано згідно з політикою безпеки. Перевищення повноважень можливе або через помилки, яких припустилися під час розроблення і реалізації політики безпеки (наприклад, некоректні настроювання системи розмежування доступу), або через наявність уразливостей в програмному забезпеченні, яке входить до складу ОС.
В UNIX-системах розрізняють чотири основні категорії користувачів [15].
Адміністратор. У більшості класичних UNIX-систем він має властивості cy-перкористувача, тобто повні та необмежені права в системі.
Спеціальний користувач. Це «фіктивні» користувачі, від імені яких викону-
Шються деякі системні процеси. Такі користувачі можуть матизначні повноваження стосовно окремих захищених об'єктів системи, а щодо інших об'єктів — лавпаки,' менші за повноваження звичайних користувачів. Облікові записи спеціальних користувачів не можна використовувати для здійснення інтерактивного входження в систему.
Звичайний користувач. До цієї категорії належать усі користувачі, що інтерактивно працюють із системою.
Псевдокористувач. До цієї категорії належать користувачі, які не реєструються в системі, але виконують у ній певні дії шляхом взаємодії з системними процесами — демонами (Daemon), як правило, через мережу. Самі демони працюють у системі з великими повноваженнями, і безпека взаємодії з псев-докористувачами цілком залежить від коректності їхнього програмного коду.
Отже, перевищення повноважень реалізується у разі будь-якого несанкціонованого переходу користувача з нижчої категорії до вищої. Типовими загрозами є перехід із категорії 3 до категорії 1 (звичайний користувач отримав права адміністратора), з 4 до 3 (псевдокористувач отримав можливість інтерактивно працювати в системі з правами користувача) і з 4 до 1 (те саме, але з правами адміністратора). Докладніше про це йтиметься в наступному розділі.
11.1.6. Програмні закладки
Програмні закладки було розглянуто в розділі 6. Деякі з них функціонують як звичайні прикладні програми, а деякі — як компоненти ОС.
11.1.7. «Жадібні» програми
«Жадібними» називають шкідливі програми, які захоплюють значну частину ресурсів комп'ютера, внаслідок чого робота інших користувачів і (або) процесів помітно ускладнюється або взагалі унеможливлюється. «Жадібні» програми можуть призвести до краху ОС. Переважно вони належать до класу «троянських коней» (див. розділ 6) і можуть бути звичайними програмами або веб-застосунка-ми, які запускаються після завантаження браузером певних веб-сторінок.
11.2. Поняття захищеної операційної системи
Захищеною вважатимемо таку операційну систему, яка передбачає захист від загроз основних типів (їх було описано вище, у підрозділі 11.1).
11.2.1. Підходи до побудови захищених операційних систем
У сучасних умовах застосовуються дві технології створення захищених ОС: розроблення захищених систем «з нуля» і побудова так званих «довірених» версій шляхом модернізації наявних систем [96].
Під час розроблення захищених систем «з нуля» всі їхні функціональні можливості та архітектурні рішення (які мають бути сертифіковані за встановленим класом вимог) закладаються на етапі проектування. Характерною рисою такого підходу є розроблення методів гарантованої реалізації встановлених вимог. У цьому випадку застосовують класичну схему проектування захищених систем:
4- визначення вимог безпеки;
розроблення моделі безпеки;
визначення об'єктів взаємодії;
визначення правил керування доступом;
вибір механізмів керування доступом;
+ вибір методів ідентифікації й автентифікації взаємодіючих сторін;
визначення множини подій, що підлягають аудиту;
реалізація системи.
Хоча й прикладів застосування такого підходу небагато через складність його реалізації та велику вартість (системи Trusted Xenix, Trusted Mach, Harris CX/SX) слід зазначити, що лише таким чином можна було створити системи, сертифі-ковані відповідно до найвищих вимог.
Під час побудови «довіренріх» версій шляхом модернізації наявних систем, як правило, до останніх додають функції шифрування, цифрового підпису, підсилюють у них керування доступом через впровадження мандатного керування, розподіляють обов'язки адміністратора системи між різними обліковими записами чи «ролями», впроваджують додаткові засоби ідентифікації й автентифікації, аудита та моніторингу. Цей підхід до створення захищених систем переважає насамперед завдяки своїй економічності, яку зумовлюють менший обсяг робіт зі створення й реалізації системи та можливість збережейня сумісності % наявними рішеннями. Крім того, модернізовані системи успадковують імідж систем-прототипів (створений популярністю фірм-розробників), що підвищує довіру до них і дає змогу використовувати досвід їх експлуатації й супроводження. Типові приклади реалізації такого підходу — ОС Trusted Solaris, СКБД Trusted Oracle.
Ще раз зауважимо, що лише перший підхід (створення захищених систем «з нуля») дає змогу досягти рівня безпеки, що відповідає найвищим вимогам стандартів оцінювання систем. Удосконалення ж наявних систем може дати лише обмежені результати, але на певному етапі такий підхід є доступнішим і вигіднішим із міркувань економічності його реалізації.
Слід зазначити, що обидва підходи не суперечать один одному, а є рівноправними складовими технології створення захищених ІКС.