7 Безопасность операционных систем

7.1 Основы безопасности

С позиций безопасности у компьютерной системы в соответствии с наличествующими угрозами есть три главные задачи:

• конфиденциальность данных;

• целостность данных;

• доступность системы.

Первая задача, конфиденциальность данных, заключается в том, что секретные данные должны оставаться секретными. Вторая задача, целостность данных, означает, что неавторизованные пользователи не должны иметь возможности модифицировать данные без разрешения владельца. Третья задача, доступность системы, означает, что никто не может вывести систему из строя.

Каждой задаче соответствует угроза:

• демонстрация данных;

• порча и подделка данных;

• отказ обслуживания.

В литературе по безопасности человека, сующего свой нос в чужие дела, называют злоумышленником. Злоумышленники бывают активные и пассивные. Пассивные злоумышленники просто пытаются прочитать данные, которые нельзя читать. Активные пытаются незаконно изменить данные. Наиболее распространёнными категориями злоумышленников являются:

• случайные любопытные пользователи, не применяющие специальных технических средств;

• члены организации, занимающиеся шпионажем. Студенты, программисты и т.п.;

• совершающие попытки личного обогащения;

• занимающиеся коммерческим и военным шпионажем.

Помимо угроз со стороны злоумышленников существует опасность случайной потери данных:

• форс-мажор: пожар, землетрясение и т.п.;

• аппаратные и программные ошибки: сбои центрального процессора, ошибки при передачи данных, ошибки в программах;

• человеческий фактор: неправильный ввод данных, удаление и т.п.

Для защиты операционных систем используются различные методы криптографии. Задача криптографии заключается в шифровании данных. Схематично процесс шифрования представлен на рисунке 58.

Секретность зависит от параметров алгоритма шифрования (ключей). E – шифрование, D – дешифрование.

Существуют алгоритмы шифрования с секретным и открытыми ключами. Алгоритмы с секретным ключом эффективны и используются в случаях наличия у получателя и отправителя секретного ключа. В шифровании с открытым ключом для шифрования и дешифрования используются различные ключи. Например, алгоритм RSA. Алгоритмы с открытым ключом широко используются для цифровой подписи платежей.

Рисунок 58 – Открытый текст и зашифрованный текст

7.2 Аутентификация пользователей

Аутентификация (authentication) предотвращает доступ к сети нежелательных лиц и разрешает вход для легальных пользователей. Термин «аутентификация» в переводе с латинского означает «установление подлинности». Аутентификацию следует отличать от идентификации. Идентификаторы пользователей используются в системе с теми же целями, что и идентификаторы любых других объектов, файлов, процессов, структур данных, но они не связаны непосредственно с обеспечением безопасности. Идентификация заключается в сообщении пользователем системе своего идентификатора, в то время как аутентификация – это процедура доказательства пользователем того, что он есть тот, за кого себя выдает, в частности, доказательство того, что именно ему принадлежит введенный им идентификатор.

Возможны три способа аутентификации:

• аутентификация с использованием паролей;

• аутентификация с использованием физического объекта;

• аутентификация с использованием биометрических данных.

Наиболее широко применяется аутентификация с использованием паролей, которая легко реализуется. Обычно эту защиту обходят простым перебором комбинаций паролей и имен пользователей. Поэтому в качестве требований к паролям обычно выступают следующие:

• пароль должен содержать как минимум семь символов;

• пароль должен содержать как строчные, так и прописные символы;

• пароль должен содержать как минимум одну цифру или специальный символ;

• пароль не должен представлять собой слово, содержащееся в словаре, имя собственное и т.д.

При использовании многоразового пароля особенно при сетевом доступе есть большой недостаток – его может перехватить злоумышленник и использовать в своих целях. Более надежными оказываются схемы, использующие одноразовые пароли, которые как правило рассчитываются на аутентификацию удалёнными пользователями. Генерация одноразовых паролей может выполняться либо программно, либо аппаратно. Независимо от того, какую реализацию системы аутентификации на основе одноразовых паролей выбирает пользователь, он, как и в системах аутентификации с использованием многоразовых паролей, сообщает системе свой идентификатор, однако вместо того, чтобы вводить каждый раз один и тот же пароль, он указывает последовательность цифр, сообщаемую ему аппаратным или программным ключом. Через определенный небольшой период времени генерируется другая последовательность – новый пароль.

Еще один вариант идеи паролей заключается в том, что для каждого нового пользователя создается длинный список вопросов и ответов, который хранится на сервере в надежном виде (например, в зашифрованном виде). Вопросы должны выбираться так, чтобы пользователю не нужно было их записывать. При регистрации сервер задает один из этих вопросов, выбирая его из списка случайным образом, и проверяет ответ. Однако чтобы такая схема могла работать, потребуется большое количество пар вопросов и ответов.

Другой вариант называется «оклик-отзыв». Он работает следующим образом. Пользователь выбирает алгоритм, идентифицирующий его как пользователя, например х². Когда пользователь входит в систему, сервер посылает ему некое случайное число, например 7. В ответ пользователь посылает серверу 49. Алгоритм может отличаться утром и вечером, в различные дни недели и т. д.

Способ аутентификации с использованием физического объекта заключается в проверке некоторого физического объекта, который есть у пользователя. К таким объектам относятся пластиковые карты (например, для банкомата) или смарт-карты, которые содержат в себе примитивную операционную систему. Отличие смарт-карты от обычной пластиковой в том, что на неё есть центральный процессор.

Со смарт-картами могут применяться различные схемы аутентификации. Простой протокол «оклик-отзыв» работает следующим образом. Сервер посылает 512-разрядное случайное число смарт-карте, которая добавляет к нему 512-разрядный пароль, хранящийся в электрически стираемом программируемом ПЗУ. Затем сумма возводится в квадрат, и средние 512 бит посылаются обратно на сервер, которому известен пароль пользователя, поэтому сервер может произвести те же операции и проверить правильность результата. Эта последовательность показана на рисунке 59.

Если даже злоумышленник видит оба сообщения, он не может определить по ним пароль. Сохранять эти сообщения также нет смысла для взломщика, так как в следующий раз сервер пошлет пользователю другое 512-разрядное случайное число. Конечно, вместо возведения в квадрат может применяться (и, как правило, применяется) более хитрый алгоритм.

Недостаток любого фиксированного криптографического протокола состоит в том, что со временем он может быть взломан, в результате чего смарт-карта станет бесполезной. Избежать этого можно, если хранить в памяти карты не сам криптографический протокол, а интерпретатор Java. При этом настоящий криптографический протокол будет загружаться в карту в виде двоичной программы Java и исполняться на ней. Таким образом, как только один протокол взломан, можно мгновенно перейти на использование другого протокола. Недостаток такого подхода заключается в том, что и без того не отличающаяся высокой производительностью смарт-карта будет работать еще медленнее, однако с развитием технологий этот метод приобретает все большую гибкость.

Рисунок 59 – Использование смарт-карты для аутентификации

Третий способ аутентификации основан на измерении физических характеристик пользователя, которые трудно подделать, таких как клавиатурный почерк, длина пальцев, отпечатки пальцев, рисунок сетчатки глаза, голос и т.д. Некоторые методы описаны в работе [1].

Помимо аутентификации могут использоваться контрмеры, направленные на создание ловушек для взломщиков.