ОИБ. основы информ. безопасности. Учебное пособие Томск

28 необходимой служебной информации абонентам вычислительной сети, чтобы в случае возникновения спора между А и В относительно подлинности сообщения представить необходимые документы в арбитраж. Задача независимого арбитра Е заключается в разрешении спора между абонентами А и В относительно подлинности сообщения Т.
Перечислим возможные способы обмана (нарушения подлинности сообщения) при условии, что между участниками модели А, В, С отсутствует кооперация.
Способ А: отправитель А заявляет, что он не посылал сообщение Т получателю В, хотя в действительности его посылал (подмена отправленного сообщения или отказ от авторства).
Способ В1: получатель В изменяет полученное от отправителя А сообщение Т и заявляет, что данное измененное сообщение он получил от отправителя А (подмена принятого сообщения).
Способ В2: получатель в сам формирует сообщение и заявляет, что получил его от отправителя А (имитация принятого сообщения).
Способ С1: злоумышленник С искажает сообщение, которое отправитель А передает получателю В (подмена передаваемого сообщения).
Способ С2: злоумышленник С формирует и посылает получателю В сообщение Т от имени отправителя А (имитация передаваемого сообщения).
Способ СЗ: злоумышленник С повторяет ранее переданное сообщение, которое отправитель Д посылал получателю В (повтор ранее переданного сообщения).
Термин "цифровая подпись" используется для методов, позволяющих устанавливать подлинность автора сообщения при возникновении за относительно авторства этого сообщения. Как было уже сказано цифровая подпись применяется в информационных системах, в которых отсутствует взаимное доверие сторон (финансовые системы, системы контроля за соблюдением международных договоров и др.).
Защита от угрозы нарушения целостности информации на уровне содержания в обычной практике рассматривается как защита от дезинформации. Пусть у злоумышленника нет возможности воздействовать на отдельные компоненты АС, находящиеся в пределах контролируемой зоны, но если источники поступающей в нее информации находятся вовне системы, всегда остается возможность взять их под контроль противоборствующей стороной.
Для успешности борьбы с вероятной дезинформацией следует:
• различать факты и мнения;
• применять дублирующие каналы информации;
• исключать все лишние промежуточные звенья и т. п.
2.3. Построение системы защиты от угрозы отказа доступа к информации
Поскольку одной из основных задач АС является своевременное обеспечение пользователей системы необходимой информацией (сведениями, данными, управляющими воздействиями и т.п.), то угроза отказа доступа к информации применительно к АС может еще рассматриваться как угроза отказа в обслуживании или угроза отказа функционирования.
На этапе эксплуатации АС доступность информации в системе обеспечивается путем:
1. повышения отказоустойчивости АС;
2. противодействия перегрузкам и «зависания » системы;
3. использование строго определенного множества программ;
4. особой регламентации процессов технического обслуживания и проведения доработок.
Доступность информации поддерживается путем резервирования аппаратных средств, блокировок ошибочных действий людей, использование надежных элементов АС и отказоустойчивых систем. Устраняются так же преднамеренные угрозы перезагрузки элементов системы. Для этого используются механизмы измерения интенсивности

29 поступления заявок на выполнение и механизмы ограничения таких заявок. Должна быть предусмотрена возможность определения причин резкого потока заявок на выполнение программ или передачу информации.
В сложных системах практически не возможно избежать ситуаций, приводящих к
«зависаниям» систем или их фрагментов. В результате сбоев аппаратных или программных средств, алгоритмических ошибок, допущенных на этапе разработки, ошибок операторов в системе происходят зацикливания программ, непредусмотренные остановки и другие ситуации, выход из которых возможен лишь путем прерывания вычислительного процесса и последующего его восстановления. На этапе эксплуатации ведется статистика и осуществляется анализ таких ситуаций. «Зависания» своевременно обнаруживаются, вычислительный процесс восстанавливается.
В защищенной АС должно использоваться только разрешенное программное обеспечение. Контроль состава программного обеспечения осуществляется при плановых проверках комиссиями и должностными лицами, дежурным оператором по определенному плану, неизвестному пользователям.
При прибытии специалистов из других организаций, например, для проведения доработок, кроме обычной проверки лиц, допускаемых на объект, должны проверяться на отсутствие закладок приборы, устройства, которые доставлены для выполнения работ.
Таким образом, надежность функционирования АС может быть сведена к надежности функционирования входящего в ее состав программного обеспечения. И существуют два основных подхода к обеспечению защиты ПО АС от угрозы отказа функционирования - предотвращение неисправностей (fault avoidance) и отказоустойчивость (fault tolerance).
Отказоустойчивость предусматривает, что оставшиеся ошибки ПО обнаруживаются во время выполнения программы. Предотвращение неисправностей связано с анализом природы ошибок, возникающих на разных фазах создания ПО, и причин их возникновения.
Рассматривая защиту АС определим еще два уровня: уровень представления и уровень содержания информации.
На уровне представления информации защиту от угрозы отказа доступа к информации
(защиту семантического анализа) можно рассматривать как противодействие сопоставлению используемым синтаксическим конструкциям (словам некоторого алфавита, символам и т. п.) определенного смыслового содержания. Применительно к АС задача защиты от угрозы доступности информации может рассматриваться как использование для обработки файла данных программ, обеспечивающих воспроизведение данных в том виде, как они были записаны.
На уровне содержания защита информации от угрозы доступности обеспечивается защитой актуальности информации или легализацией полученных сведений или данных.
Применительно к АС защита содержания информации от угрозы блокировки доступа (отказа функционирования) означает юридическую обоснованность обработки и использования информации, хранящейся в АС.
2.4. Построение систем защиты от угрозы раскрытия параметров
информационной системы
Методы защиты от угрозы раскрытия параметров информационной системы, в принципе, не отличаются от рассмотренных выше методов защиты конфиденциальности информации. Цель данного раздела - дать представление о тех параметрах АС, раскрытие которых позволит злоумышленнику в дальнейшем реализовать основные виды угроз: нарушения конфиденциальности информации, нарушения целостности информации и блокирования доступа к информации.
Для осуществления НСД злоумышленник не применяет никаких аппаратных или программных средств, не входящих в состав АС. Он осуществляет НСД, используя:

30

знания о АС и умения работать с ней;

сведения о системе защиты информации;

сбои, отказы технических и программных средств;

ошибки, небрежность обслуживающего персонала и пользователей.
Существует пять нестандартных методов исследований, которыми может воспользоваться злоумышленник для получения нужной ему информации:
1. диалоговые руководства и модели программ;
2. анализ найденных МНИ;
3. копание в мусоре;
4. изучение «фотографий»;
5. «вынюхивание».
Более детально рассмотрим первые два.
Д
иалоговые обучающие руководства и модели программ. Руководства и модели программ часто используются для обучения работе с компьютерной системой. Эти программы имитируют компьютерные экраны, какими видел бы их пользователь в процессе реальной работы в сети. Руководства и модели отличаются от реальной работы тем, что сообщают пользователю о стандартных методах общения с системой и иногда даже показывают ему необходимые в работе специальные детали. Если пользователь не прошел курс обучения, ему обычно выдается сборник упражнений для работы с облегченной версией настоящей системы, причем, как правило, выдается вместе с богатым набором всевозможных шпаргалок.
Руководства и модели дают новым пользователям практический опыт общения с программным обеспечением, с которым им придется иметь дело, знакомят с его функциями и задачами. Такие программы весьма часто используются в учебных целях вместо реальной системы, или же как дополнение к ней. На то имеется несколько причин. Что, если система еще внедряется, или проходит стадию обновления? А может быть, новичка слишком накладно обучать на «живой» системе - мало ли что. Модели решают подобные проблемы, так как их можно инсталлировать на любой компьютер.
Программы-модели можно получить в общественных, специализированных и даже научных библиотеках. Можно также заказать такую у производителя, написав ему, что собираетесь хорошо заплатить за его продукцию. Лесть, лож, давление на чувство сверхполноценства производителя, а потом, будто бы невзначай, вопрос: а нет ли, случаем, у господ хороших какой-нибудь «демонстрашки»? Не исключено, что удастся добыть такую программу у дружески настроенного сотрудника компьютерного отдела компании.
Анализ найденных МНИ. Пусть злоумышленник получил доступ к МНИ с конфиденциальной информацией. Для того чтобы получить доступ к содержанию информации, в общем случае он должен обеспечить

считывание с МНИ хранящейся на нем информации

получение доступа к содержимому логической единицы хранения информации
(файла);

воспроизведение содержимого файла в штатном режиме;

экспертную оценку считанной и воспроизведенной информации.
При проведении злоумышленником мероприятий, направленных на учение информации с МНИ (как правило, это гибкий или жесткий магнитный диск), у него возникает необходимость решения следующих задач.
1. Диагностика состояния носителя, включающая получение

необходимых для конкретной ОС элементов формата носителя;

признаков инструментальных средств подготовки носителя к использованию;

характеристики распределения информации по рабочей поверхности носителя;

признаков удаленной, остаточной и скрытой информации;

31

данных о сбойных секторах и недоступных для чтения областей;

признаков нестандартного форматирования носителя.
2. Профилактика состояния носителя (выявление причин, приведших к тому или иному состоянию носителя).
3. Восстановление рабочего состояния носителя.
4. Восстановление, копирование и преобразование информации на носителе.
Как уже было отмечено, необходимым условием для считывания информации с МНИ является наличие аппаратной, программной и организационной составляющих физического доступа.
Чтобы осуществить подбор привода, настройку программного обеспечения и обращение к содержимому МНИ, необходимо провести идентификацию его типа. Для этого используются первичные признаки носителя:

внешний вид данного носителя;

информация о типе носителя;

характеристика данного носителя.
Исходя из описанных возможных действий злоумышленника, необходимо создавать соответствующие защитные меры от разведки параметров системы, а именно не допускать при эксплуатации АС получения потенциальным противником указанных выше сведений.
Если имевшийся в наличии машинный носитель был правильно идентифицирован злоумышленником, для него подобран привод, то с большой вероятностью ему будет известен формат оригинального носителя, или же этот формат будет автоматически идентифицирован операционной системой, допускающей работу с приводом для данного носителя. Например, обычные 3,5" дискеты, как правило, отформатированы в стандарте IBM (MS DOS) на 1,44
Мбайта или 720 Кбайт либо в стандарте Apple Macintosh на 1,44 Мбайта или 720 Кбайт.
Однако возможно введение произвольных нестандартных способов разметки носителя, которые могут применяться не только для удобства их эксплуатации, но и с целью защиты хранящейся информации. Тогда потенциальный злоумышленник будет иметь дело с последовательностью из нулей и единиц. В этом случае потребуется классификация служебной, содержательной, остаточной и скрытой информации. По своему смыслу эта работа близка к довольно глубокому криптоанализу. Нельзя также исключать и применение более изощренных криптографических алгоритмов при зашифровании всего содержимого носителя, включая служебные области.
Процедура определения формата носителя на логическом уровне предполагает:

определение числа и размера кластеров;

выделение таблицы размещения файлов;

выделение корневой директории.
Основным критерием того, осуществлен или нет логический доступ, служит способность злоумышленника выделить каждый файл на доступом ему машинном носителе.
В настоящее время, из-за использования ограниченного числа типов операционных систем и еще меньшего числа способов размещения файлов на носителях, данная задача для злоумышленника может считаться решенной. В то же время для отдельных особо критичных
АС (при наличии достаточного количества средств) можно рассмотреть вопрос о разработке уникальной подсистемы взаимодействия с носителем.
Если злоумышленник имеет файл, то ему известно его название с расширением, дата создания, объем, статус (только для чтения и др.). С учетом того, что существуют различные виды информации (текст, графимое изображение, звуковой и видеосигнал, программные модули и т.д.), а также различные способы ее представления, разработаны и активно используются стандарты оформления (форматы) файлов. Перечень таких форматов очень широк. Их многообразие объясняется в первую очередь большим количеством соответствующих программных продуктов. Заранее знать, в каком формате подготовлен файл, не всегда возможно. Однако для каждого вида информации, представленной в файле, для

32 каждого формата существуют характерные признаки. Таким образом, задача выявления смысла содержимого файла предполагает определение программного средства, с помощью которого этот файл был подготовлен, включая использованные для зашифрования средства криптографической защиты информации.
В случае применения криптографических средств защиты злоумышленник может применять криптографический анализ.
Отдельным направлением защиты АС является сокрытие логики ее работы и ее защитных функций, реализованных программно или программно - аппаратно. Это связано с тем, что большинство атак злоумышленников на системы защиты и защищаемую ими информацию включают в себя как обязательный этап изучение логики защитных и функциональных механизмов. В свою очередь, изучение логики программ АС разбивается на три стадии:

выделение чистого кода программы;

дизассемблирование;

семантический анализ.
Выделение чистого кода программ может потребоваться злоумышленнику по следующим причинам.

предприняты специальные меры для противодействия исследованию этого кода;

предприняты меры, направленные на преобразование кода в другую форму, которые не преследуют реализацию противодействия; чаще всего это архивация или кодирование исходного
Дизассемблированием называется процесс перевода программы из исполняемых или объектных кодов на язык ассемблера. Задача дизассемблирования практически решена. В настоящее время практически для всех операционных систем существует много хороших дизассемблеров, почти стопроцентно справляющихся со стандартным кодом.
Дизассемблированный текст может считаться полностью правильным, если при повторном ассемблировании получается исходный код. Аналогично, код считается не содержащим специальных приемов защиты от исследования, если дизассемблер получает полностью правильный текст. С помощью этапа дизассемблирования можно проверить качество выполнения этапа получения чистого кода: если дизассемблер не генерирует полностью правильный код, то тот этап не был закончен.
Семантический анализ программы - исследование программы изучением смысла составляющих ее функций (процедур) в аспекте операционной среды компьютера. Этот этап является заключительным и позволяет восстановить логику работы программы без исходных текстов. При этом используется вся полученная на предыдущих этапах информация, которая, как уже отмечалось, может считаться правильной только с некоторой вероятностью, причем не исключены вообще ложные факты или умозаключения.
Семантический анализ применяется к полученным ассемблерным текстам программы и состоит в нахождении и выделении управляющих конструкций, таких как циклы, подпрограммы и т.п., и основных структур данных. При этом определяются входные и выходные данные, а также реконструируется логика проводимых с ними преобразований.
Простейшим методом защиты исполняемого кода программы является его модификация. Самым примитивным способом модификации кода (по сложности реализации и надѐжности) является его упаковка при помощи одной из стандартных программ- упаковщиков: PkUte, Diet и т.д. Подобная защита ненадѐжна, но тем не менее позволяет скрыть истинный исполняемый код, содержащиеся в нѐм текстовые строки и другую информацию, особенно если после перекодировки предприняты дополнительные меры защиты, такие как затирание идентификатора упаковщика и прочей информации, характеризующей метод упаковки.
Более надѐжным методом является использование нестандартных упаковщиков. Если в предыдущем случае при удачном определении метода упаковки исполняемый код можно

33
«развернуть», используя готовое средство, то при неизвестном упаковщике эта операция потребует предварительного анализа исполняемого кода подпрограммы, осуществляющей распаковку программы при еѐ запуске.
Значительно более эффективным методом является шифрование тела программы и данных. Поскольку целью данного механизма защиты является обеспечение работы программы в нормальном режиме и предотвращение доступа к истинному исполняемому коду во всех остальных случаях, в качестве ключа к шифру целесообразно выбирать параметры системы и временные характеристики еѐ работы, соответствующие именно этому режиму
(картину расположения в памяти, значения системных переменных, режим работы видеоадаптера, взаимодействие с таймером).
Кроме того, модификация может не затрагивать всего кода, а касаться лишь отдельных команд (наиболее предпочтительны команды передачи управления, вызовы прерываний или их параметры), а также небольших фрагментов кода, играющих ключевую роль.
Более специализированными являются методы противодействия отладчикам. Это могут быть различные способы модификации кода при работе программы (совмещение сегмента стека с сегментом кода, шифрование кода и т.п.), активное противодействие путѐм периодической проверки и изменения векторов прерываний, в том числе и некорректными способами, блокировка клавиатуры и вывода на экран, контроль времени выполнения отдельных блоков программы, использование специфических особенностей микропроцессоров и т.п.