Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Шифрование траффика / Защита информации от НСД в современных компьютерных системах

.htm
Скачиваний:
16
Добавлен:
01.05.2014
Размер:
20.94 Кб
Скачать

Защита информации от НСД в современных компьютерных системах (9'98) Защита информации от несанкционированного доступа

 в современных компьютерных системах П.А.Тимофеев (заместитель генерального директора по науке, Фирма АНКАД, кандидат технических наук)

"Защита информации. Конфидент" № 5, 1998г.

Современные компьютерные системы, использующие операционные системы (ОС) Windows 95, Windows NT, различные версии UNIX относятся к частично контролируемым системам, основные принципы защиты информации в которых были рассмотрены в третьем номере журнала за 1998 год [1]. Неприятной особенностью таких ОС является то, что полный перечень всех их возможностей полностью не известен пользователю. Резонно допустить наличие в этих ОС скрытых возможностей осуществления несанкционированного доступа к информации, обрабатываемой под их управлением.

Такие скрытые возможности могут появиться как в результате ошибки или действий недобросовестных разработчиков, так и в соответствии с “техническим заданием”. Их наличие подтверждают исследования австралийской компании Shake Communication Pty Ltd, выявившие более сотни уязвимых мест в программном обеспечении Microsoft Windows NT [2].

Рассмотрим вариант существования таких скрытых возможностей в виде “программных закладок” в поставляемых лицензионных ОС. “Программные закладки”, внедренные в лицензионную ОС на этапе ее эксплуатации, нарушают ее целостность и поэтому могут быть обнаружены. Конечно, проверка целостности ОС должна осуществляться полностью контролируемыми средствами, а не приложением, работающим в этой же ОС. Закладки же внутри ОС с помощью проверки целостности обнаружить невозможно.

Какими возможностями может обладать внедренная на этапе разработки ОС “программная закладка”? В отличие от пользователя для разработчика ОС последняя является полностью контролируемой средой. Поэтому он может реализовать закладку практически с неограниченными возможностями. Рассмотрим несколько возможных вариантов.

1. Закладки, позволяющие обойти, отключить, модифицировать стандартные средства ОС для разграничения доступа и интерфейс для подключения пользовательского шифрования. Разработка такой закладки не должна быть сложной.

2. Закладки, перехватывающие информацию по любому из прерываний и портам и складирующие ее в скрытые или неиспользуемые зоны жесткого диска. (отформатированный стандартными средствами диск вполне может иметь такие зоны). В дальнейшем эта информация может предоставляться для анализа злоумышленнику или отправляться по сети другими закладками. С помощью такой закладки можно перехватывать не только обычную информацию, но и пароли, вводимые с клавиатуры, или поступающие по другим стандартным интерфейсам.

3. Закладки, обеспечивающие доступ в оперативную память любого приложения. Анализ перехваченной из оперативной памяти информации совместно с кодом приложения может использоваться для перехвата ключей шифрования и ЭЦП в оперативной памяти.

4. Закладки, обеспечивающие прямой выход в сеть, для отправки перехваченной информации в обход описанных в документации средств. Они могут работать навстречу друг другу и совсем не по описанным в документации протоколам.

Перечисленных выше вариантов вполне достаточно, чтобы нейтрализовать известные ныне отечественные средства защиты информации для компьютерных систем, работающих под перечисленными выше ОС. Хотелось бы надеяться, что на самом деле все обстоит значительно лучше и описанные выше варианты всего лишь плод воспаленного воображения автора, выступающего в роли борца за “абсолютную надежность” отечественных средств защиты информации. Однако уж очень заманчиво, сосредоточив в руках одной фирмы или одного государства рынок аппаратных и программных средств, попытаться осуществить тотальный контроль за обрабатываемой этими средствами информацией. Тем более, что реализовать набор средств для перехвата в составе ОС и в аппаратуре не так уж сложно.

В свете вышеизложенного проанализируем, как защищают информацию в частично контролируемых системах традиционные средства:

абонентское шифрование; “прозрачное” шифрование информации в TCP/IP сетях; “прозрачное” шифрование логических и сетевых дисков; межсетевые экраны; программно-аппаратные системы защиты от несанкционированного доступа (ЗНСД).

Абонентское шифрование

Из наиболее известных программ абонентского шифрования можно выделить различные версии “Вербы” и программы для плат серии “Криптон”. Место последних в составе программных средств показано на рис. 1. Можно выделить три уровня: собственно шифрующее средство (программное в виде драйвера или аппаратное в виде платы), библиотеку модулей и приложения.

Рис.1. Структурная схема средств криптографической защиты данных Фирмы АНКАД

Рассмотрим подробнее функции типовой абонентской системы CryptonArcMail и ее библиотеки, которая предназначается для защиты файлов-документов в системах документооборота.

Система обеспечивает сжатие документов, аутентификацию автора, целостность документов, конфиденциальность передаваемой информации. В минимальной конфигурации представляет собой программу обработки документов перед передачей и после приема. Передача и прием осуществляется стандартными программами электронной почты, развернутыми ранее.

Стандартная конфигурация системы включает:

программу центрального пункта, обеспечивающую регистрацию абонентов, создание и сопровождение списков зарегистрированных абонентов; программу абонентского пункта; программу ведения журнала учета проведенных операций; систему защиты ПК от НСД “Криптон-Вето” (при необходимости); устройство считывания информации со смарт-карт и Touch Memory (при необходимости).

Для работы с системой каждый абонент снабжается секретным и открытым ключами. Секретный ключ абонента хранится на дискете или смарт-карте и запрашивается при запуске программы абонентского или центрального пунктов. Открытый ключ абонента направляется на регистрацию (сертификацию) на центральный пункт сети. В регистрационном центре открытые ключи всех абонентов с сертификатами помещаются в базу данных зарегистрированных абонентов. В процессе обработки полученного по почте документа автоматически проверяется наличие абонента в базе зарегистрированных абонентов. Целостность документов подтверждается электронной подписью, помещаемой в конец передаваемых документов. При формировании подписи используется текст документа и секретный ключ абонента.

При подготовке документов к передаче автоматически осуществляется:

запрос из базы данных открытых ключей зарегистрированных абонентов, которым направляются документы; электронная подпись передаваемых документов; сжатие документов в один файл; генерация сеансового ключа; шифрование файла с документами на сеансовом ключе; вычисление парно-связных ключей (на основе секретного ключа отправителя и открытых ключей получателей) и шифрование на них сеансового ключа.

Таким образом, прочитать данный документ может только абонент, обладающий соответствующим секретным ключом. После приема автоматически выполняются обратные действия:

вычисление парно-связного ключа (на основе секретного ключа получателя и открытого ключа отправителя с автоматической проверкой сертификата ) и расшифрование сеансового ключа; расшифрование файла с помощью полученного сеансового ключа; разархивирование документов; проверка электронной подписи полученных документов.

Все действия программы-архиватора и результаты протоколируются в специальном журнале в зашифрованном виде.

В случае использования чисто программного шифратора в частично контролируемой среде без надежной системы ЗНСД (а таковой для перечисленных в начале статьи ОС сегодня не существует), гарантировать целостность секретных ключей невозможно. Они могут быть перехвачены в процессе их ввода или из оперативной памяти. Но атаковать документ путем перехвата его в сети и последующего анализа уже сложно в случае, если транспортная система изолирована от компьютера, на котором установлена система абонентского шифрования. Если же использовать в качестве шифратора плату, и все ключи пропускать через оперативную память в закрытом виде, то можно обеспечить секретность ключей и в частично контролируемой среде. Защититься же от попыток ознакомления с информацией и от попыток несанкционированного использования ключей в момент работы приложения лицами, имеющими доступ на компьютер, с помощью одной системы абонентского шифрования без надежной системы ЗНСД практически невозможно. Это вытекает из того, что приложение абонентского шифрования не изолировано от воздействия ненадежной ОС. Однако даже абонентское шифрование позволяет

обеспечить конфиденциальность информации при передаче по сети, обеспечить целостность документа и аутентификацию автора

при условии изолированности ПК от сети и ограничения доступа на ПК посторонних лиц.

“Прозрачное” шифрование информации в TCP/IP сетях

Закрытие каналов в TCP/IP сетях может осуществляться с помощью виртуальных драйверов, использующих протокол SKIP или подобный ему. Фирмой АНКАД реализован интерфейс между продуктами ООО ЭЛВИС+, работающими по протоколу SKIP, и драйвером платы Криптон или драйвером-эмулятором (см. рис. 1). Известны и другие реализации, например, в виде драйвера в ОАО “ИнфоТеКС” [3] и в виде аппаратно-программного криптографического комплекса (компьютера с одной из версий UNIX) в МО ПНИЭИ.

Приведенные системы предназначены для разрешения доступа в ЛВС, аутентификации трафика, шифрования трафика, контроля средств защиты и т.д.

Рассмотрим, могут ли надежно выполнить свои функции программные драйвера, не изолированные от ОС. Если принять во внимание перечисленные выше закладки, ответ очевиден – не могут. Драйвера могут быть отключены, ключи могут быть перехвачены или использованы для доступа с компьютера пользователя без перехвата. Использование платы шифрования обеспечит только секретность ключей, поэтому необходима надежная изоляция процесса шифрования трафика.

Возможным путем решения этой проблемы может явиться разработка собственной сетевой платы, которая или следит за драйвером, или сама выполняет шифрование. Другой путь - реализация процесса “прозрачного” шифрования трафика на отдельном компьютере или устройстве, которое должно быть полностью контролируемым. Аппаратно-программный криптографический комплекс, разработанный в МО ПНИЭИ, мог бы быть таким устройством, если бы используемая в нем ОС была полностью контролируемой. Однако пока не доказано, что UNIX является такой системой. Фирмой АНКАД разработаны два варианта криптомаршрутизатора, выполняющие описанные выше функции и работающие под DOS. Структурная схема одного из вариантов приводится на рис. 2.

Рис.2. Структурная схема криптомаршрутизатора

Функции защиты такого устройства могут быть усилены путем развязки от возможных аппаратных прямых обменов сетевых плат.

Отметим, что при использовании надежных средств шифрования трафика ограничивается доступ в защищенную таким образом сеть. Все пользователи, работающие внутри защищенной сети, могут при желании получить доступ к ПК, для прямого соединения с которым у них нет ключей, через общие ресурсы (например, ПК, к которому подсоединен принтер).

Для полного разграничения доступа необходимо довести реализацию криптомаршрутизатора до полного сервера доступа, фильтрующего трафик и приложения.

“Прозрачное” шифрование логических и сетевых дисков

Шифрование логических дисков также производится отдельным драйвером, который не изолирован от ОС. Поэтому без средств ЗНСД его можно рассматривать, как средство защиты информации индивидуального ПК от единичного доступа злоумышленника или от доступа к информации при аресте и краже ПК.

Межсетевые экраны

Большинство экранов также функционируют под частично контролируемыми ОС. Поскольку не доказано отсутствие приведенных в начале статьи закладок, вопрос надежности этих устройств – это уже не технический вопрос, а вопрос веры в их надежность. При наличии же таких закладок межсетевой экран превращается в дорогостоящую игрушку, прозрачную для доступа по сети соответствующим специалистам.

Программно-аппаратные системы защиты от несанкционированного доступа.

Из готовых систем защиты от НСД для частично контролируемых ОС приведем для примера DALLAS LOCK 4.1 для Windows 95, Secret Net NT v1.0, имеющих сертификат по третьему классу защищенности. Наличие таких систем говорит о том, что уже сегодня можно обеспечить требования третьего класса защищенности. Посмотрим на следующую пару требований, которым должны удовлетворять системы не только 3-го, но и более слабого 4-го класса.

“Кроме того, комплекс средств защиты (КСЗ) должен содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа (ПРД), как для явных действий пользователя, так и для скрытых, обеспечивая тем самым защиту объектов от НСД (т.е. от доступа, не допустимого с точки зрения заданного ПРД). Под "явными" здесь подразумеваются действия, осуществляемые с использованием системных средств - системных макрокоманд, инструкций языков высокого уровня и т.д., а под "скрытыми" - иные действия, в том числе с использованием собственных программ работы с устройствами.”

“При наличии в СВТ мультипрограммирования в КСЗ должен существовать программно-технический механизм, изолирующий программные модули одного процесса (одного субъекта), от программных модулей других процессов (других субъектов) - т.е. в оперативной памяти ЭВМ программы разных пользователей должны быть защищены друг от друга.”

Хотелось бы понять, как доказано выполнение этих требований, если под “скрытыми” действиями считать перечисленные в начале статьи закладки. Правда, можно считать, что закладок нет (и не может быть??), пока не доказано их наличие. Можно было бы проанализировать принципиальную возможность выполнения и других требований. Но это не является целью данной статьи. По мнению автора, если процессы, обеспечивающие надежность, не изолированы от ОС, то правильность их работы можно гарантировать, если имеешь полные знания о функциях ОС и можешь это доказать.

В заключение хочется обратить внимание пользователей, что при выборе системы защиты необходимо, исходя из ценности информации и реальных характеристик ЗНСД оценить риски всех возможных атак и уже на основании этой информации принимать решение о закупке системы.

Литература

1. Тимофеев П.А. Принципы защиты информации в компьютерных системах. // Конфидент. Защита информации. 1998, № 3, с. 72.

2. Оценки и прогнозы. // Конфидент. Защита информации. 1998, №4, с. 7.

3. Игнатов В.В. Защита информации в корпоративных TCP/IP сетях. // Конфидент. Защита информации. 1998, №3, с. 44.

 

                       

© Copyright ООО Фирма АНКАД, 1999-2000