- •1. Доступ к данным. Этапы идентификации и аутентификации, реализуемые ос Windows. Разграничение доступа к устройствам.
- •2. Идентификация и аутентификация субъекта "процесс" при запросах на доступ. Замкнутая программная среда. Вопросы корректности идентификации пользователя.
- •4. Электронные увип. Приборы на базе iButton. Смарт-карты.
- •5. Биометрическая идентификация пользователей. Идентификация по манере работы по клавиатуре. Идентификация по голосу. Распознавание пользователей по лицу.
- •6. Идентификация по отпечатку пальцев
- •7. Технологии аутентификации. Аутентификации по многоразовым паролям.
- •8. Технологии аутентификации. Аутентификация на основе одноразовых паролей.
- •9. Технологии аутентификации. Аутентификация по предъявлению цифрового сертификата. Использование смарт-карт и usb-ключей.
- •10. Принципы организации контроллера зи.
- •11. Принципы организации контролера зи.
- •12. Характеристики сзи.
- •13. Аппаратные системы разграничения доступа. Использование архитектур, отличных от фоннеймановской.
- •14. Аппаратные системы разграничения доступа. Системы перлюстрации запросов на обращение к данным. Защита от считывания со сменных носителей.
- •15. Программно-аппаратные криптосистемы. Алгоритмы шифрования.
- •16. Общие сведения об аппаратных криптосистемах. Механизмы аппаратной шифрации. Криптографический контроль целостности.
- •18. Варианты реализации криптосистем. Сравнение аппаратных и прогаммных шифраторов.
- •19. Виды защиты от несанкционированного копирования программ. Программно-аппаратная защита от копирования программ.
- •20. Защита программ от изучения. Цели, методы, средства изучения программ.
- •21. Защита программ от дизассемблирования.
- •22. Борьба с трассировкой программы пошаговыми отладчиками.
- •23. Ошибки в созданных и предлагаемых защитах от копирования.
- •24. Виды деструктивных программ. Компьютерные вирусы и их классификация.
- •25. Шпионские программы. Общая характеристика.
- •26. Программные кейлогеры.
- •27. Варианты реализации программных кейлогеров
- •28. Аппаратные кейлогеры.
- •29. Методы противодействия программам-шпионам и аппаратным кейлогерам.
14. Аппаратные системы разграничения доступа. Системы перлюстрации запросов на обращение к данным. Защита от считывания со сменных носителей.
Системы перлюстрации запросов на обращения к данным.
Рассмотрим узкоспециализированные аппаратные средства ОНД для IBM–совместимых персональных компьютерах. Массовость этого типа компьютеров делает оправданными усилия по разработке специализированных аппаратных СЗИ.
Основным принципом работы таких систем является практически полное сосредоточение ядра безопасности в аппаратуре, а функции ПО сведены лишь к корректному их взаимодействию с ОС или передачу запросов на анализ политики безопасности (фиксация обращений). Реализуемую в них аппаратную защиту от НД можно разделить на два типа:
• перлюстрация системных вызовов;
• перлюстрация команд к физическому устройству.
Первая, очевидно, только системно-зависима; вторая - может быть и системно-зависимой, и системно-независимой. Защита первого типа – более гибкая и удобная с точки зрения пользователя, но ее легче обмануть; защита второго типа – менее гибкая и более надежная и универсальная. Защита второго типа, наиболее перспективна для защиты от НД и с точки зрения надежности, и системно–независимые варианты защиты – с точки зрения универсальности и по отношению к системному обеспечению, и к прикладному. Накладные расходы на работу специфической аппаратуры тоже приемлемые. Есть претензии по части гибкости защиты, но при правильном отборе программного обеспечения, при разумных затратах на настройку файловой системы и программного обеспечения это даст хорошие результаты при работе ПК. Сложно использовать такой схемы защиты в развитой конфигурации mini- или mainframe-компьютера при очень подвижной, разветвленной файловой системе, когда динамически монтируются/размонтируются многочисленные файловые системы.
Наиболее часто платы перлюстрации системных вызовов используются для борьбы с компьютерными вирусами (для обнаружения их активности). При этом аппаратура, пока она защищает, является надежным барьером как для НД, так и для вирусов (надежнее программных средств). Однако, после того как аппаратуру научились "обманывать", перенастроить ее значительно дороже и сложнее, чем модифицировать программное обеспечение.
Платы перлюстрации действует примерно так же, как действуют программные мониторы, то есть просматривают системные вызовы и пытаются выявить незаконные действия, только перехват этого вызова и дополнительная проверка условий запроса сервиса реализованы аппаратно. Это позволяет избавиться от кое-каких проблем, таких как использование некоторыми вирусами "поплавкового" механизма для более надежной привязки к системному вызову, состоящего в том, что перехватываются еще некоторые вызовы, например, прерывания от системного таймера; когда такие программы работают на компьютере одновременно, могут возникать тупиковые ситуации, зависания и т.п. И за рубежом, и у нас есть средства аппаратной защиты, реализующие перлюстрацию команд физического устройства. Только по рекламе известны: Disk DefenderTM (Director Technologies, Inc.); Guard CardTM (NorthBank Corporation), программно-аппаратный комплекс Intellectual Write Protector (BIS Corporation).
Disk Defender реализует действенную аппаратурную защиту. Плата Disk Defender представляет собой дополнительный контроллер, который располагается между стандартным MFM-контроллером и жестким диском. Эта плата защищает содержимое всего жесткого диска или его части, блокируя выдачу команд записи на жесткий диск. Управление защитой осуществляется с внешнего пульта управления, который подключается к плате и может размещаться довольно далеко (до 1,5 метров). Переключателями на панели пульта устанавливается область (в цилиндрах), защищаемая на диске, и вариант защиты: от доступа, от чтения, от записи. При отключении пульта действует последняя установка.
Поскольку плата осуществляет перлюстрацию физических команд, выдаваемых даже не на контроллер, а на физическое устройство, защита работает независимо от программного обеспечения и ОС, независимо от усилий, предпринимаемых злоумышленниками со стороны компьютера. Доступ к данным может осуществляться с использованием BIOS или даже непосредственно обращением к контроллеру диска, работая с портами, – защита с легкостью блокирует все эти действия. Эта защита столь же надежна, как и применение только считываемых носителей, например, CD-ROM, но более удобна и совершенна. Защита, конечно, универсальна в том смысле, что блокирует НД к данным, а также распространение системных, и макро- и любых других вирусов, но только в защищенных областях диска. Правда, заодно в этих областях становятся невозможны и правка текстовых файлов редактором, и трансляция программ, и многое-многое другое. Еще один недостаток этой защиты состоит в том, что защищаемая область - физическое место на диске, какие каталоги, файлы, какая часть файловой структуры окажется в этой физической области – вопрос кропотливой настройки файловой системы.
Подобная защита в определенных ситуациях оказывается обременительной настолько, что её необходимо совершенно отключать для каких-то областей диска или всего диска в целом (например, инсталляция новых продуктов, обновление и т.п.). И в этот момент все становится уязвимым, как на обычном компьютере. Конечно, во время таких операций следует проявлять повышенное внимание, аккуратность, но в современных условиях поражение вероятно, особенно если персонал не имеет навыка работы в среде, где существует угроза НД.
Недостаточная гибкость метода перлюстрации побуждает разработчиков аппаратной защиты второго типа создавать более совершенные варианты защиты. Например, отечественная разработка IWP (А.В. Водяник и др.) имеет развитые программные средства. Программный вариант защиты диска состоит из двух программ: IWP.ЕХЕ и MAP.ЕХЕ. Последняя программа предназначена для создания карты защищенных файлов, которая записывается в файл IWP.MAP в корневом каталоге (в файле фигурирует и запись в каталоге и цепочка FAT), Программа IWP.ЕХЕ - резидентная и следит за запросами на запись, проходящими через драйвер диска. Все запросы на запись проверяются по карте IWP.MAP на корректность и подавляются, если обнаружена попытка записи в закрытый файл. Заметим, что области на диске здесь уже логическое понятие, это правильно и хорошо, но в то же время любое изменение в файле IWP.MAP может привести к непредсказуемым последствиям. Перлюстрируются обращения в порты контроллера диска, и обращения не из BIOS считаются опасными. Аппаратная часть называется PWC (Port Watch Card). Имеются два варианта платы. Наиболее совершенный вариант позволяет использовать систему паролей для доступа к жесткому и гибким дискам, CMOS; в обоих случаях обращение к портам контролируется аппаратно. Пароли для более сложной платы могут быть перестроены программно (PWD.ЕХЕ).
Так же предполагается сделать значительно более гибкими и программно управляемыми и другие проектируемые системы. Однако, при этом немедленно теряется универсальность защиты по отношению к ОС: раз мы знаем что-то кроме физических адресов на диске - мы немедленно оказываемся связанными со стандартами той файловой системы, которую собираемся защищать. Сильная сторона такой аппаратной защиты - программное управление аппаратурой защиты, без чего немыслима гибкая, адаптивная защита носителя - оказывается самой слабой её стороной. Как только мы открыли дорогу программному управлению аппаратурой, исчезают гарантии того, что аппаратура будет функционировать только так, как нам того хочется. Пусть это маловероятно, но все-таки возможно программно отменить все аппаратные ограничения на обмен или перенастроить эти ограничения, поскольку это возможно на программном уровне. Конечно, это специализированное оборудование, специальные программы для управления этим оборудованием, однако элемент физической непреодолимости защиты исчезает. И чем боле будут распространены такие системы, тем более будут распространены и средства их преодоления.
Защита от считывания со сменных носителей
Методы, затрудняющие считывание информации, основываются на придании особенностей процессу записи информации, которые не позволяют считывать полученную копию на других накопителях, не входящих в защищаемую КС. Они направлены на создание совместимости накопителей только внутри объекта. В КС должна быть ЭВМ, имеющая в своем составе стандартные и нестандартные накопители. На этой ЭВМ осуществляется ввод (вывод) информации для обмена с другими КС, а также переписывается информация со стандартных носителей на нестандартные, и наоборот. Эти операции осуществляются под контролем администратора системы безопасности. Такая организация ввода-вывода информации существенно затрудняет действия злоумышленника не только при несанкционированном копировании, но и при попытках несанкционированного ввода информации.
Особенности работы накопителей на съемных носителях должны задаваться за счет изменения программных средств, поддерживающих их работу, а также за счет простых аппаратных регулировок и настроек. Такой подход позволит использовать серийные образцы накопителей.
Самым простым решением является нестандартная разметка (форматирование) носителя информации. Изменение длины секторов, межсекторных расстояний, порядка нумерации секторов и некоторые другие способы нестандартного форматирования дискет затрудняют их использование стандартными средствами операционных систем. Нестандартное форматирование защищает только от стандартных средств работы с накопителями. Использование специальных программных средств (например, DISK EXPLORER. для IBM-совместимых ПЭВМ) позволяет получить характеристики нестандартного форматирования.
Перепрограммирование контроллеров ВЗУ, аппаратные регулировки и настройки вызывают сбой оборудования при использовании носителей на стандартных ВЗУ, если форматирование и запись информации производились на нестандартном ВЗУ.
Изменение алгоритма подсчета контрольной суммы. В контроллерах накопителей подсчитывается и записывается контрольная сумма данных сектора. Если изменить алгоритм подсчета контрольной суммы, то прочитать информацию на стандартном накопителе будет невозможно из-за сбоев.
Изменение работы системы позиционирования накопителей на гибких магнитных дисках. Позиционирование в накопителях на магнитных дисках осуществляется следующим образом. Определяется номер дорожки, на которой установлены магнитные головки. Вычисляется количество дорожек, на которое необходимо переместить головки и направление движения. Если нумерацию дорожек диска начинать не с дорожек с максимальным радиусом, как это делается, а нумеровать их в обратном направлении, то система позиционирования стандартного накопителя не сможет выполнять свои функции при установке на него такого диска. Направление движения будет задаваться в направлении, обратном фактически записанным на дискете номерам дорожек, и успешное завершение позиционирования невозможно.
Другие методы, применяемые для защиты информации на сменных носителях при модифицированной схеме контроллера: создание специального формата дорожек и секторов, размещение данных на служебных дорожках, создание псевдосбойных секторов (нечитаемых обычными контроллерами), организация превышения объёма дорожек (дополнительные сектора на дорожках), организация многооборотного форматирования (нестандартное перемежение секторов), создание нечитаемых сбойных маркеров полей секторов, контроль сбоев синхронизации (изменение формата полей синхронизации).
Механизмы запроса паролей при доступе к данными применялись в сменных носителях Zip фирмы Iomega, где средства защиты встроены в сам носитель. При обращении к такому накопителю выполняется проверка записанного на носителе пароля, в результате устанавливается взаимнооднозначное соответствие между носителем и накопителем, то есть получить доступ к данным на каком – либо ином приводе невозможно.
Выбор конкретного метода изменения алгоритма работы ВЗУ (или их композиции) осуществляется с учетом удобства практической реализации и сложности повторения алгоритма злоумышленником. При разработке ВЗУ необходимо учитывать потребность использования устройств в двух режимах: в стандартном режиме и в режиме совместимости на уровне КС. Выбор одного из режимов, а также выбор конкретного алгоритма нестандартного использования должен осуществляться, например, записью в ПЗУ двоичного кода. Число нестандартных режимов должно быть таким, чтобы исключался подбор режима методом перебора. Процесс смены режима должен исключать возможность автоматизированного подбора кода. Установку кода на ВЗУ всего объекта должен производить администратор системы безопасности.