Петров А.А. Комп без-ть
.pdfЗащита локальной рабочей станции |
191 |
•изменение или уничтожение секретной информации, в том числе и от носящейся к функционированию средств защиты информации Л Р С (ключевая информация, пароли пользователей и др.);
•нарушение работоспособности всей системы в целом или ее отдельных компонентов;
Здесь необходимо уточнить, что нарушениями мы будем считать не толь ко умышленные действия, направленные на нарушение политики безопас ности, но и неумышленные нарушения и ошибки обслуживающего пер сонала, приводящие или позволяющ ие противнику опосредствованно добиваться перечисленных целей.
Список угроз будет прежде всего зависеть от того, как используется ЛРС: в однопользовательском или многопользовательском режиме. Хотя очевидно, что угрозы, возникающие при однопользовательском режиме, являются частным случаем угроз, появляющихся при многопользователь ском режиме.
Обобщенный перечень угроз можно классифицировать по следующим признакам:
•по характеру доступа:
-с доступом к ПО;
-с доступом только к аппаратным ресурсам;
-без доступа к Л Р С .
Доступ к ПО подразумевает, что нарушитель имеет возможность взаи модействовать с установленным ПО, которое доступно для модификации и анализа. Доступ к аппаратному обеспечению подразумевает воздействие нарушителем на аппаратную часть с целью введения ее в режим, наруша ющий надежное функционирование средств защиты информации. Отсут ствие доступа к Л Р С подразумевает, что нарушитель имеет возможность воздействовать на систему только через каналы передачи информации, возникающие в ходе работы Л РС . В качестве таких каналов следует отме тить: а) электромагнитный канал, б ) цепи заземления и питания, в) виброакустический канал. Например, электромагнитный канал возникает вслед ствие появления электромагнитного излучения от Л РС , причем данное излучение модулируется в соответствии с процессами обработки инфор мации, среди которых могут быть и процессы, обрабатывающие секретную информацию;
•по характеру проявления:
-активные;
-пассивные.
192 Компьютерная безопасность и практическое применение криптографии
Активные характеризуются тем, что нарушитель является инициатором негативных воздействий на систему (воздействия могут быть как умыш ленными, так и неумышленными), пассивные же угрозы заключаются в ана лизе информации, возникающей в ходе функционирования ЛРС ;
•по используемым в ходе реализации угрозы средствам:
-с использованием штатных средств, входящих в состав ЛРС ;
-с использованием дополнительных средств.
Далее мы сформулируем перечни конкретных угроз по пунктам класси фикации (1 -7 ), предложенной для однопользовательской ЛРС .
Рис. 3.1. Классификация угроз
Ветвь классификации 1
Угрозы, относящиеся к этой ветви, характеризуются тем, что нарушитель, получивший доступ к ПО, установленному на ЛРС , может воспользовать ся штатными средствами данного ПО для проведения атак. К штатным средствам, позволяющим нарушителю проводить атаки, будем относить: средства разработки и отладки ПО, входящие в состав некоторых типов прикладного ПО (например, МлсгозоЙ; \Уогб имеет в своем составе встро енный У1зиа1 Ваз1с); средства управления и конфигурирования, входящие в состав программного обеспечения; ПО, имеющее ошибки в реализации. Недоступность для пользователя данных средств переводит потенциаль ные угрозы в ветвь классификации 3. При перечислении угроз мы также будем исходить из того, что на Л Р С используются штатные средства за щиты ОС, причем их конфигурирование выполнено корректно, так как в противном случае, если таковые средства не используются, нарушитель
Защита локальной рабочей станции |
193 |
получает неограниченный доступ к Л Р С . Предположим, что иа Л Р С уста новлена одна ОС, поскольку, если установлены еще и другие О С (напри мер, У/тсЬшв N 7 и М 3 0 0 3 ), пользователь может получить доступ к слу жебной информации, которая до этого находилась в монопольном владении другой ОС. Для однопользовательского режима характерно, что наруши телем в данном случае является не зарегистрированный в системе пользо ватель.
Итак, в эту ветвь входят следующие угрозы:
•создание программ-закладок, вирусов и программ, обеспечивающих прямой доступ к памяти или адресному пространству любого процес са, позволяющих обходить штатные средства защиты ОС и получать привилегии администратора ОС. С помощью подобных программ мож но получат!) доступ к конфиденциальной информации за счет чтения файлов и областей памяти, в которых находятся секретные данные (пользовательский пароль, учетная запись пользователя, настройки системы), или нарушать целостность данной информации;
•нарушение целостности установленного прикладного или системного ПО с целью перевода штатных средств защиты в нештатный режим работы;
•удаление критичной информации или части ПО, позволяющее нару шить работоспособность системы;
•внесение программ-закладок и вирусов в установленное ПО;
•оказание негативного влияния на работу аппаратных средств ЛРС ;
•переконфигурирование системы с целыо нарушения ее работоспособ ности;
•ошибочные действия персонала;
•анализ особенности функционирования системы защиты с целыо вы явления некорректных состояний; то же самое применительно к при кладному и системному ПО;
•доступ к остаточной информации, находящейся во временных файлах или в кластерах жесткого диска после удаления программ штатными средствами (физически данные могут оставаться в кластере, если имен но в него не будет произведена перезапись);
•удаление журналов аудита с целыо скрыть факт воздействия иа систему.
Ветвь классификации 2
Вэтом случае нарушитель использует свои программы проведения аткк,
иперечень угроз в данной ветви будет иметь тот же вид, что и ветвь клас сификации 1. Чтобы запустить подобные программы, нарушитель должен
7 ~ 3
194 Компьютерная безопасность и практическое применение криптографии
иметь возможность загрузить ПО с внешних носителей информации (гиб кие диски, С Б -К О М и т.д.). Также нарушитель может загрузить с внешних носителей свою версию ОС, и тогда последствия будут аналогичны тем, что описаны выше.
Ветвь классификации 3
Это пассивные угрозы, которые возможны только в случае отсутствия штат ных механизмов защиты ОС или их некорректной настройки. К пассив ным угрозам относятся:
•доступ к незащищенным файлам, содержащим критичную п оль зовательскую или системную информацию, с помощью штатных средств ПО;
•анализ функционирования ПО, установленного на ЛРС;
•анализ настроек ОС;
в добывание информации о содержащихся ошибках в ПО;
• анализ остаточной информации.
Ветвь классификации 4
Нарушитель имеет доступ к органам управления и средствам ввода/вы вода информации в Л РС , а также к контактным разъемам считывающих устройств, не будучи зарегистрированным в качестве штатного пользова теля системы. Нарушитель может воздействовать через органы управле ния на работу ПО ЛРС , при этом считается, что он не имеет доступа внутрь корпуса Л Р С и получает возможность:
•загрузить свою версию ОС с внешних носителей информации;
•выдать себя за зарегистрированного пользователя системы с целыо по лучить доступ к системному и/или прикладному ПО. После осущест вления подобной операции возникает перечень угроз, относящихся к первой, второй или третьей ветви классификации;
•воздействовать на аппаратные средства с целыо перевода их в некор ректный режим функционирования, например заставить ПО работать на ЛРС , иа которой не прошли тесты памяти в процессе загрузки;
•войти в режим конфигурирования В105;
•получить доступ к информации, относящейся к функционированию аппаратной части ЛРС ;
•воздействовать на аппаратную часть с целыо выведения из строя от дельных частей аппаратных компонентов Л Р С или всей Л Р С в целом.
Защита локальной рабочей станции |
195 |
Ветвь классификации 5
Данный перечень конкретных угроз состоит из тех же пунктов, что и пре дыдущий, с одним добавлением: получение физического доступа к аппа ратным компонентам, осуществляющим хранение и обработку информа ции, нарушение целостности информации или изменение процессов обработки информации с целыо доступа к конфиденциальной или критич ной системной информации.
Ветвь классификации 6
Угрозы этого типа основаны иа том, что аппаратные средства в ходе обра ботки информации создают побочные физические поля, законы изменения которых отражают процесс обработки и хранения информации. К таким полям относятся электромагнитное и виброакустическое. Также в ходе ра боты средств вычислительной техники могут возникать побочные каналы утечки информации, выражающиеся в наличии сопутствующих сигналов в линии электропитания или заземления. Поскольку считается, что Л Р С отключена от каналов передачи данных, мы не будем учитывать побочные каналы утечки информации.
Очевидно, что любой сигнал в процессе удаления от источника имеет некоторую величину затухания, вследствие чего на определенном рассто янии побочный канал утечки информации не будет представлять опасно сти. Зона, в которой побочные сигналы могут представлять опасность, обычно контролируется, и доступ туда посторонним лицам (тем более на хождение аппаратуры, позволяющей фиксировать опасные сигналы) за прещен. Кроме того, само по себе пребывание в опасной зоне мало что зна чит. Чтобы воспользоваться подобного рода возможностями, нарушитель должен обладать определенными средствами и навыками:
•получения доступа к конфиденциальной пользовательской и систем ной информации;
•получения информации о процессах функционирования П О и аппа ратной части Л Р С .
Ветвь классификации 7
Угрозы этого типа отличаются от перечисленных следующим: нарушитель в ходе их реализации производит воздействие на Л Р С с помощью элект ромагнитных каналов и цепей питания и/или заземления. Ф акт наличия подобных угроз необходим при практической реализации дифференци ального криптоанализа, заключающегося в вызове ошибочных ситуаций
196Компьютерная безопасность и практическое применение криптографии
впроцессах обработки и хранения информации, с целыо последующего анализа полученного результата. Подобная атака, например, может приве сти к компрометации секретных ключей пользователя. Таким образом, ос новная цель нарушителя в данном случае - вызвать сбой в аппаратной ча сти Л Р С и вывести из строя ее отдельные компоненты.
При использовании локальной рабочей станции в многопользовательс ком режиме, то есть при наличии нескольких зарегистрированных пользо вателей на ЛРС , возникают угрозы и со стороны легальных пользовате лей. Поскольку на одной Л Р С могут работать несколько пользователей, то на ней будет храниться и обрабатываться информация разных пользовате лей, в том числе и конфиденциальная. Рассматривать угрозы для данного случая будем с учетом предположения, что иа Л Р С установлена ОС, имею щая штатные средства защиты информации и разграничения доступа к ре сурсам, поскольку при отсутствии таковых любой пользователь сможет беспрепятственно достигнуть одной из поставленных целей, а именно:
•получить доступ к конфиденциальной информации других пользова телей, хранящейся в незащищенных файлах;
•применить программы-закладки и вирусы, активизирующиеся в ходе
работы на данной Л Р С другого пользователя;
•нарушить целостность пользовательской информации;
•получить доступ к системной информации, относящейся к работе дру гих пользователей;
•выдать себя при регистрации в системе за другого пользователя и про вести несанкционированные операции от его имени.
3.2.2. Методы и средства обеспечения информационной безопасности локальных рабочих станций
Создание защищенной системы - задача комплексная, и решается она путем применения программно-технических методов и средств, а также с помощью организационных мероприятий. Конкретные средства защи ты информации реализуют только типовые функции по ее защите, ре альная же защитная система строится исходя из возможных угроз и вы бранной политики безопасности.
Учитывая обобщенный перечень угроз, можно предложить следующий перечень мероприятий по защите данных:
•обеспечение конфиденциальности и достоверности пользовательс кой информации. Реализуется путем применения средств шифро вания и ЭЦП, выполненных как виде абонентского шифрования
Защита локальной рабочей станции |
197 |
(отдельная программа-вызов, запуск которой предоставляет п ользо вателю возможность применять функции шифрования и Э Ц П ), так и в виде средств прозрачного шифрования. Например, вызовы ф унк ций шифрования встраиваются в используемое пользовательское П О , в ходе работы которого незаметно для пользователя происходит вызов этих функций из прикладного ПО;
•разграничение доступа пользователей к информации, хранящейся и о б рабатываемой на Л Р С при применении многопользовательского режи ма. Обычно используются штатные средства современных ОС, но, уч и тывая недостатки в их реализации, часто возникает желание иметь более надежную защиту от Н СД, что приводит к необходимости при менения дополнительных средств разграничения доступа;
•аутентификация пользователей и авторизация доступа к защищаемым объектам с использованием криптографических методов или индиви
дуальных носителей секретной информации ЦоисЬ шешогу, смарт-кар ты и гибкие магнитные диски), включая аутентификацию пользовате лей перед загрузкой ОС или при входе в ОС;
•контроль целостности секретной пользовательской или системной информации. Реализуется путем применения программ, выполняю щих функции но генерации контрольных сумм и их проверки; обычно используются бесключевые хэш-функции или имитовставки. Контроль целостности защищаемой информации предполагает систематичность
еепроведения. Например: либо администратор безопасности должен инициировать ее с помощью организационных мер, либо в прикладное или системное ПО должны быть встроены функции, реализующие кон троль целостности, которые автоматически вызываются ПО непосред ственно перед тем, как приступить к работе с защищаемой инф ор мацией. В этом случае запуск драйвера, работающего с ключами пользователя, должен происходить с предварительным контролем его целостности, или контроль целостности должен осуществляться иа критичные системные файлы (файлы настроек, системные драйверы и т.д.) перед их загрузкой в память или передачей им управления;
•контроль процесса загрузки ОС. Должна быть обеспечена загрузка строго определенной версии О С и блокирована несанкционированная загрузка с внешних носителей или из сети;
•контроль целостности аппаратных ресурсов, который необходимо осуществлять непосредственно перед тем, как пользователь начнет работать с ЛРС . Если зафиксировано несанкционированное измене ние аппаратной части или конфигураций аппаратной части Л Р С , ра бота с данной Л Р С должна блокироваться;
198 Компьютерная безопасность и практическое применение криптографии
•исключение негативного влияния на процесс функционирования пользо вательского приложения со стороны программного окружения, уста новленного на Л РС . Под программным окружением в данном случае понимается другое прикладное ПО, которое работает иа данной ЛРС . При этом поставленная задача может быть решена с помощью контро ля целостности ядра ОС и гарантии отсутствия программ-закладок
всистемном ПО. Ее решение особенно актуально в многопользова тельских системах, где один зарегистрированный пользователь, явля ющийся нарушителем, может реализовать программу, которая будет стартовать во время работы другого пользователя, при этом злоумыш ленник будет иметь возможность получать доступ к секретной инфор мации;
•контроль запуска задач пользователем, то есть пользователю для за пуска должны быть доступны только те задачи, которые являются раз решенными в рамках выбранной политики безопасности;
•защита от побочного электромагнитного излучения и утечки инфор мации по цепям питания и заземления. Подобного рода задачи реша ются путем анализа спектра излучения аппаратной части ЛРС , про ведения специальных работ по экранированию, фильтрации опасных побочных сигналов или создания контролируемой территории, за пре делами которой побочные сигналы не представляют опасности в силу того, что их уровень ничтожно мал, чтобы уловить информацию даже с помощью современных средств. Представляется возможным исполь зовать также генераторы шумов, позволяющие создавать высокий уро вень помех, уловить за которыми несущий ценную информацию сигнал затруднительно. Здесь, правда, следует учесть, что эта зада ча напрямую связана с качеством и возможностями аппаратуры, при меняемой нарушителем для перехвата побочных каналов утечки ин формации;
•физическое удаление остаточной информации, возникающей в ходе функционирования ПО. Подобные проблемы возникают в силу того, что прикладное и системное ПО создают временные файлы; в неко торых современных ОС существуют файлы подкачки, или странич ные файлы, и не реализовано физическое затирание удаляемой ин формации;
•аудит и протоколирование работы средств защиты информации, сис темного и прикладного ПО.
Рассмотрим теперь средства защиты информации, которые широко при
меняются на сегодняшний день и позволяют решать одну или несколько
Защита локальной рабочей станции |
199 |
из перечисленных выше типовых задач обеспечения информационной бе зопасности для ЛРС .
Средства криптографической защиты информации семейства «Верба»
Семейство СКЗИ «Верба» (М О П И И Э И ) представлено целым рядом про граммных продуктов, выполненных как в виде законченного програм много продукта, так и в виде библиотек, встраиваемых в прикладное ПО. СКЗИ «Верба» подходит практически для всех вариантов ОС - АУтбошз 95/ИТ, М 5 Э 05, а также для различных модификаций Ю Т Х . При этом для ОС Мйпс1о\у5 существуют 16-разрядные и 32-разрядные варианты дан ного СКЗИ.
СКЗИ «Верба» подразделяется иа два класса: С К З И «Верба» и С К З И «В ерба-О ». Их отличия сводятся к устройству ключевой системы: если в первом классе используются симметричные ключи с предварительным их распределением, то во втором классе применяется открытое распреде ление ключей.
Далее мы подробно опишем двух представителей С К З И семейства «Верба», а именно: «ВербаЛУ» и «Верба-ОУУ».
СКЗИ «Верба-У/» представляет собой набор библиотек с реализован ными в них функциями шифрования, работы Э Ц П и др. Данное средство может служить криптографическим ядром других средств защиты инфор мации.
Основными функциями С К З И «Верба-\У» являются:
•зашифрование/расшифрование информации, хранящейся в виде фай лов или в виде областей памяти;
•генерация ЭЦ П как на отдельные файлы, так и на области памяти. При
этом ЭЦП может присоединяться к исходному файлу (области памя
ти) либо сохраняться в отдельном файле (области памяти);
•проверка ЭЦП как иа файлах, так и на области памяти;
•получение идентификатора ключа абонента, зашифровавшего файл (область памяти);
•получение списка получателей зашифрованного файла (области памяти);
•получение имитовставки для файла, причем имитовставка может счи таться как на ключе, так и на пароле пользователя;
•вычисление хэш-кода на файл или область памяти;
•функции работы со справочниками открытых ключей (удаление клю ча из справочника, добавление ключа в справочник, получение списка открытых ключей в справочнике и т.д.);
200Компьютерная безопасность и практическое применение криптографии
•сервисные функции: загрузка ключа в оперативную память, удаление ключа из оперативной памяти, получение списка открытых ключей в справочнике, генерация случайного числа.
Алгоритм шифрования выполнен в соответствии с требованиями ГО С Т 28147-89. Системы обработки информации. Защита криптографическая.
Цифровая подпись выполнена в соответствии с требованиями ГО С Т Р 34.10-94. Информационная технология. Криптографическая защита ин формации. Система электронной цифровой подписи на базе асимметрич ного криптографического алгоритма.
Функция хэширования выполнена в соответствии с требованиями ГО С Т Р 34.11-94. Информационная технология. Криптографическая за щита информации. Функция хэширования.
Скорость шифрования информации (Р С / А Т 486/100) - 500 Кб/с (не включая время, затрачиваемое на контроль работоспособности функций шифрования и обращения к диску).
Время вычисления хэш-функции (Р С /А Т 486/100) - 400 Кб/с. Время формирования ЭЦ П (Р С / А Т 486/100) - 0,04 с.
Время проверки ЭЦП (Р С / А Т 486/100) - 0,2 с.
В комплект поставки данного СК ЗИ входят библиотеки с реализован ными криптографическими функциями: а) шнур.сШ (содержит функции шифрования, выработки имитовставки, формирования случайного числа); б) ^зщп.сШ (содержит функции формирования электронной цифровой подписи, ее проверки и выработки значения хэш-функции, а также функ ции работы со справочниками открытых ключей подписи); в) ^/ЪоИг.сШ (содержит функции шифрования, выработки имитовставки и случайного числа, формирования электронной цифровой подписи, проверки подписи и выработки значения хэш-функции, функции работы со справочниками открытых ключей подписи). А также ПО, обеспечивающее:
• операции чтения и загрузки ключей с основных носителей в драйвер;
•драйвер хранения ключей для ^ т б о ^ з 95 (\Утс1о^5 N 7 ), реализую щий функции хранения ключевой информации и инициализации про граммного датчика случайных чисел;
•интерфейс к драйверу хранения ключей;
•работу с ключевыми носителями типа ФисЬ шешогу и смарт-карта.
Ключевая система построена по принципу полной матрицы (рис. 3.2), обеспечивающей связь каждого с каждым. Совокупность всех исходных сек ретных ключей парной шифрованной связи в данном случае представляет