- •1. Доступ к данным. Этапы идентификации и аутентификации, реализуемые ос Windows. Разграничение доступа к устройствам.
- •2. Идентификация и аутентификация субъекта "процесс" при запросах на доступ. Замкнутая программная среда. Вопросы корректности идентификации пользователя.
- •4. Электронные увип. Приборы на базе iButton. Смарт-карты.
- •5. Биометрическая идентификация пользователей. Идентификация по манере работы по клавиатуре. Идентификация по голосу. Распознавание пользователей по лицу.
- •6. Идентификация по отпечатку пальцев
- •7. Технологии аутентификации. Аутентификации по многоразовым паролям.
- •8. Технологии аутентификации. Аутентификация на основе одноразовых паролей.
- •9. Технологии аутентификации. Аутентификация по предъявлению цифрового сертификата. Использование смарт-карт и usb-ключей.
- •10. Принципы организации контроллера зи.
- •11. Принципы организации контролера зи.
- •12. Характеристики сзи.
- •13. Аппаратные системы разграничения доступа. Использование архитектур, отличных от фоннеймановской.
- •14. Аппаратные системы разграничения доступа. Системы перлюстрации запросов на обращение к данным. Защита от считывания со сменных носителей.
- •15. Программно-аппаратные криптосистемы. Алгоритмы шифрования.
- •16. Общие сведения об аппаратных криптосистемах. Механизмы аппаратной шифрации. Криптографический контроль целостности.
- •18. Варианты реализации криптосистем. Сравнение аппаратных и прогаммных шифраторов.
- •19. Виды защиты от несанкционированного копирования программ. Программно-аппаратная защита от копирования программ.
- •20. Защита программ от изучения. Цели, методы, средства изучения программ.
- •21. Защита программ от дизассемблирования.
- •22. Борьба с трассировкой программы пошаговыми отладчиками.
- •23. Ошибки в созданных и предлагаемых защитах от копирования.
- •24. Виды деструктивных программ. Компьютерные вирусы и их классификация.
- •25. Шпионские программы. Общая характеристика.
- •26. Программные кейлогеры.
- •27. Варианты реализации программных кейлогеров
- •28. Аппаратные кейлогеры.
- •29. Методы противодействия программам-шпионам и аппаратным кейлогерам.
2. Идентификация и аутентификация субъекта "процесс" при запросах на доступ. Замкнутая программная среда. Вопросы корректности идентификации пользователя.
Задача идентификации и аутентификации субъекта "процесс" при запросах на доступ
В качестве субъекта доступа (для которого разграничиваются права доступа) рассматривают сущность, которая по каким–либо соображениям не пользуется доверием. Если мы говорим о внутренних угрозах (противодействие попыткам хищения информации со стороны санкционированных пользователей), в качестве субъекта доступа, в первую очередь, следует рассматривать пользователя. При этом в равной мере актуальны задачи разграничения прав доступа к ресурсам как между различными пользователями (чтобы один пользователь не получил доступ к ресурсам другого пользователя), так и для одного пользователя. В последнем случае необходимо ограничивать (либо разделять, если пользователем может обрабатываться и открытая, и конфиденциальная информация) режимы обработки информации (по сути – это уже "сессионный" контроль доступа к ресурсам).
На практике актуальной является задача разграничения прав доступа к ресурсам для субъекта "процесс". Именно процесс следует рассматривать как источник внешней угрозы. Классификация процессов, несущих в себе угрозу:
• Несанкционированные (сторонние) процессы. Это процессы, которые не требуются пользователю для выполнения своих служебных обязанностей и могут несанкционированно устанавливаться на компьютер (локально, либо удаленно) с различными целями, в том числе, и с целью осуществления НСД к информации.
• Критичные процессы. К ним относят две группы процессов: те, которые запускаются в системе с привилегированными правами, например, под учетной записью System, и те, которые наиболее вероятно могут быть подвержены атакам, например, сетевые службы. Атаки на процессы первой группы наиболее критичны, так как связаны с возможностью расширения привилегий, в пределе – получения полного управления системой; атаки на процессы второй группы наиболее вероятны.
• Скомпрометированные процессы – процессы, содержащие ошибки, ставшие известными, использование которых позволяет осуществить НСД к информации. С момента обнаружения уязвимости и до момента устранения ее разработчиком может пройти несколько месяцев. В течение этого времени в системе находится известная уязвимость, поэтому система не защищена.
• Процессы, обладающие недекларированными (документально не описанными) возможностями. К этой группе мы отнесем процессы, являющиеся средой исполнения (виртуальные машины как среды исполнения скриптов и апплетов, и офисные приложения как среды исполнения макросов).
Процесс всегда несет в себе угрозу компьютерной безопасности. Это и возможность нахождения в них закладок (особенно это актуально для свободно распространяемого ПО, либо ПО иностранного производства для особо критичных приложений) и высокая вероятности ошибки программирования, предоставляющая недекларируемую возможность НСД.
Задача обеспечения компьютерной безопасности в приложениях сводится к контролю запуска и локализации действий процессов на защищаемом компьютере. Для её решения следует различать два самостоятельных субъекта доступа – "пользователь" и "процесс". При этом необходимо управлять доступом для обоих. Как следствие, могут быть выделены следующие схемы задания разграничительной политики доступа к ресурсам:
• разграничение прав доступа к объектам процессов вне разграничений пользователей (эксклюзивный режим обработки запросов процессов – доступ к объекту разрешается, если он разрешен процессу);
• разграничение прав доступа к объектам пользователей вне разграничений процессов (эксклюзивный режим обработки запросов пользователей – доступ к объекту разрешается, если он разрешен пользователю);
• комбинированное разграничение прав доступа – разграничение прав доступа к объектам процессов в рамках разграничений пользователей (доступ к объекту разрешается, если он разрешен и пользователю, и процессу).
Идентификатором процесса является полнопутевое имя. Для корректной его идентификации необходимо предотвратить возможность запуска процессов под иными именами и предотвратить возможность модификации исполняемых файлов, полнопутевые имена которых разрешены для выполнения.
Очевидное решение – контролировать разрешенные к запуску исполняемые файлы на целостность (естественно, асинхронно, перед запуском) – обладает слишком серьезными недостатками. Причем основной недостаток не сложность администрирования, а влияние на вычислительный ресурс защищаемого компьютера (это ведь исполняемые файлы не только приложений, но и всех системных процессов). Она может быть лишь опциональной, рекомендуемой для использования в случаях, когда невозможно предотвратить модификацию разрешенного к запуску исполняемого файла иными средствами, например, когда приложение должно запускаться с внешнего накопителя, хранящегося у пользователя. Для решения рассматриваемой задачи в общем случае целесообразно использовать механизм обеспечения замкнутости программной среды.
Замкнутая программная среда
Замкнутая программная среда – режим работы компьютерной системы, в котором реализованы механизм контроля запуска процессов и механизм обеспечения целостности ПО.
При этом механизм считается реализованным корректно, если существует возможность регламентировать доступ для операции "выполнить" для всех ресурсов–программ, и возможность противодействия любой модификации разрешенных к исполнению объектов, а также запуску под их именем других (несанкционированных) программ.
Для локализации программной среды необходимо регламентировать права доступа к папкам, из которых пользователям разрешено (запрещено) запускать исполняемые файлы. Целесообразно разрешать выполнение программ только из каталогов \Program Files, куда следует устанавливать приложения, и \Winnt. А чтобы предотвратить модификацию исполняемых файлов, запретить запись в данные каталоги. Очевидное достоинство этого решения в "равноправности" разграничений для всех пользователей - вне зависимости от корректности их идентификации при доступе к ресурсам (в частности, атаки на расширение привилегий становятся невозможными).
Вопросы корректности идентификации объекта доступа
В качестве примера рассмотрим предоставляемые ОС Windows возможности идентификации файлового объекта. В NTFS файловый объект может быть идентифицирован различными способами:
• файлы, задаваемые длинными именами, характеризуются тем, что к ним можно обращаться как по длинному, так и по короткому имени, например к каталогу "\Program files\" можно обратиться по короткому имени "\Progra~1\";
• файлы, задаваемые русскими буквами, также имеют короткое имя, которое формируется с использованием кодировки Unicode (внешне они могут существенно различаться), например короткое имя для каталога "C:\Documents and Settings\USER1\Главное меню" выглядит как "C:\Docume~1\USER1\5D29~1\". К этим объектам также можно обратиться как по длинному, так и по короткому имени;
• файлы идентифицируется не только именем, но и своим идентификатором (ID) – индекс объекта в таблице MFT, причем некоторые программы обращаются к файловым объектам не по имени, а именно по ID.
Если СЗИ от НСД не перехватывает и не анализирует лишь один подобный способ обращения к файлу, она становится бесполезной.
Вывод. Из сказанного выше получаем следующее требование к идентификации объекта доступа – объект доступа должен однозначно идентифицироваться при любом допустимом способе обращения к нему (при любом способе его идентификации приложением) на доступ.
Если существует хотя бы один канал обхода средства защиты, рано или поздно им воспользуется злоумышленник, тогда данная СЗИ не обладает потребительской стоимостью (или просто бессмысленна для практического использования). Здесь невольно возникает вопрос, а как подразделять СЗИ на какие-либо классы или группы? СЗИ высокого класса обеспечивает защиту, а низкого нет? Подобное разделение СЗИ группы по функциональным возможностям и по набору механизмов защиты недопустимо!
3. Идентификация и аутентификация пользователей. Основные виды аппаратной идентификации. Электронные УВИП. USB-ключи. Смарт-карты.
Идентификация – процесс распознавания элемента системы, обычно с помощью заранее определенного идентификатора или другой уникальной информации – каждый субъект или объект системы должен быть однозначно идентифицируем.
Аутентификация– проверка подлинности идентификации пользователя, процесса, устройства или другого компонента системы (обычно осуществляется перед разрешением доступа к ресурсу).
УВИП - устройства ввода идентификационных признаков
Основные виды аппаратной идентификации.
В системах защиты от НСД широко используются аппаратные средства идентификации и аутентификации, называемые УВИП. Этот термин соответствует ГОСТ Р 51241-98 "Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний".
На УВИП, выполненных в виде какого–нибудь физического объекта, можно сделать запись о пользователе: его имя, пароль и описываются все полномочия, которые он получает при входе в систему. В частности, может быть записано, сколько раз пользователь может пытаться указать пароль при входе. Таким образом, случайная потеря УВИП или кража не позволяет злоумышленнику получить доступ к компьютеру: если имя пользователя еще можно узнать, то пароль ему неизвестен. Только сознательная передача УВИП кому-то одновременно с разглашением пароля может открыть доступ к компьютеру.
Имеется возможность описывать с помощью УВИП профиль пользователя. В него включаются, например: возможность доступа к программе SETUP, то есть фиксируются такие характеристики компьютера, как экран, количество и типы дисков; также определяется, какие из локальных устройств (гибкие диски, жесткие диски, последовательные и параллельные порты) доступны этому пользователю, с каких локальных или сетевых устройств он может загружаться. Предусмотрена и трансляция паролей: тот пароль, который назначается пользователю, как правило, легко запоминающийся, но вовсе не тот, с которым работает система.
В программное обеспечение, обслуживающее УВИП, встроены специальные возможности, которые повышают уровень "тревожности" в случае возникновения ненормальных ситуаций. При попытке просто выдернуть УВИП из считывателя – доступ к компьютеру блокируется, пока УВИП не будет вставлен в считыватель (если такая ошибка для легального пользователя несущественна, для злоумышленника – совершенно неприемлема). При неправильном указании пароля (если превышено количество попыток, разрешенное для данного пользователя) – машина также блокируется, и только администратор сможет "оживить" ее.
В состав УВИП входят идентификаторы и считывающие устройства (считыватели, контактные устройства, адаптеры, платы доверенной загрузки, разъёмы материнской платы и др.). Идентификаторы предназначены для хранения уникальных идентификационных признаков. Кроме того, они могут хранить и обрабатывать разнообразные конфиденциальные данные. Считывающие устройства обеспечивают обмен данными между идентификатором и защищаемым компьютером.
Современные УВИП принято классифицировать по следующим особенностям:
• по способу считывания идентификационных признаков;
• по виду используемых идентификационных признаков.
По способу считывания УВИП подразделяются на контактные, бесконтактные (дистанционные) и комбинированные.
Контактное считывание идентификационных признаков подразумевает непосредственный контакт идентификатора и считывающего устройства. Считывание данных происходит при проведении идентификатора через считыватель или в результате их простого соприкосновения. Бесконтактный (дистанционный) способ считывания не требует чёткого позиционирования идентификатора и считывающего устройства. Чтение данных происходит при поднесении идентификатора на определённое расстояние к считывателю. Комбинированный способ подразумевает сочетание нескольких различных способов считывания.
По виду используемых идентификационных признаков УВИП могут быть электронными, биометрическими и комбинированными.
В электронных УВИП идентификационные признаки представляются в виде цифрового кода, хранящегося в памяти идентификатора. Устройства такого типа разрабатываются на базе следующих идентификаторов:
1. идентификаторов iButton;
2. USB-ключей;
3. смарт-карт (контактных и бесконтактных).
USB-ключи
Устройства ввода идентификационных признаков на базе USB-ключей появились в конце 90-х годов. Они предназначаются для работы непосредственно с USB-портом компьютера и не требуют аппаратного считывающего устройства. Подключение к USB-порту осуществляется непосредственно или с помощью соединительного кабеля. Идентификаторы конструктивно изготавливаются в виде брелоков, которые выпускаются в цветных корпусах, имеют световые индикаторы работы и легко размещаются на связке с ключами. Каждый USB-ключ имеет прошиваемый при изготовлении уникальный 32/64-разрядный серийный номер.
В состав USB-ключей могут входить:
1. процессор — управление и обработка данных;
2. криптографический процессор — реализация алгоритмов ГОСТ 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 и других криптографических преобразований;
3. USB-контроллер – обеспечение интерфейса с USB-портом компьютера;
4. RAM — хранение изменяемых данных;
5. многократно программируемая постоянная память EEPROM — хранение ключей шифрования, паролей, сертификатов и других важных данных;
6. ROM — хранение команд и констант.
На российском рынке компьютерной безопасности наибольшей популярностью пользуются следующие
Смарт-карта представляет собой устройство, имеющее форму и размер пластиковой кредитной карты и содержащее одну или более встроенных интегральных микросхем (чипов). В зависимости от типа микросхемы смарт-карты делятся на:
• карты с памятью;
• карты с "жёсткой" логикой;
• процессорные карты.
В настоящее время наибольшей функциональностью и степенью защищённости обладают процессорные смарт-карты.
По способу обмена данными смарт-карты подразделяются на контактные, бесконтактные, гибридные и карты с двойным интерфейсом.
Для обмена данными в УВИП на базе контактных смарт-карт необходимо обеспечить непосредственный контакт идентификатора со считывателем.
В УВИП на базе бесконтактных смарт-карт достаточно поднести идентификатор к считывателю на определённое расстояние.
Гибридные карты и карты с двойным интерфейсом разработаны с целью совмещения в одной смарт-карте контактной и бесконтактной технологий. Гибридная смарт-карта содержит два чипа. Один чип поддерживает контактный интерфейс, другой – бесконтактный. Эти микросхемы между собой не связаны. Смарт-карты с двойным интерфейсом содержат один чип, который поддерживает как контактный, так и бесконтактный интерфейсы.