На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Необходимость и принципы

Использования аппаратных средств защиты
Общие положения
В предыдущих главах рассматривались механизмы уровневого контроля списков и механизмы контроля целостности файловых объектов. Было сказано, что эти механизмы призваны воспрепятствовать преодолению системы защиты (контроль списков) или свести к минимуму последствия такого преодоления (контроль целостности). При этом было отмечено, что в общем случае невозможно осуществлять контроль активности од­ной программы над другой программой, запущенной на том же компью­тере. Поэтому данная функция должна возлагаться на аппаратную ком­поненту системы защиты -- плату, устанавливаемую в свободный слот защищаемого компьютера.
В этом разделе книги будут рассмотрены методы и подходы по исполь­зованию аппаратных средств защиты, а также способы их комплексиро-вания с программными средствами.
Сразу же отметим, что в связи с использованием аппаратной компонен­ты появляется новая угроза информационной безопасности — несанкци­онированное удаление аппаратной компоненты системы защиты. Поэтому
в функциональную модель защиты необходимо привнесение отдельного
уровня защиты -- уровня контроля (мониторинга) наличия оборудования системы защиты.
>||.1Ч!Ш:1!1
Кстати говоря, данная угроза носит общий характер. Если злоумышленник полу-П чает доступ к аппаратуре, т.е. может бесконтрольно снять крышку корпуса защи-
щаемого компьютера, у него появляется масса возможностей преодоления сис­темы защиты, например, посредством сброса BIOS в исходное состояние.
Угрозы перевода системы защиты в пассивное состояние, их реализация
Классификация угроз перевода системы защиты в пассивное состояние
В общем случае угрозы перевода ПО системы защиты в пассивное стояние могут быть классифицированы следующим образом: со-
» угроза загрузки системы без механизмов защиты (загрузки ОС без
полностью либо частично системы защиты); » угроза перевода механизмов защиты (или системы защиты в целом) в
пассивное состояние в процессе функционирования защищаемого
объекта;
« если с целью добавочной защиты используется аппаратная компонен­та (осуществляющая мониторинг активности ПО системы защиты),
то появляется дополнительная угроза — угроза удаления оборудова­ния системы защиты (аппаратной компоненты) с целью последующе­го перевода ПО системы защиты в пассивное состояние одним из перечисленных выше способов.
Как и ранее, данные угрозы могут быть классифицированы как явные и скрытые. Скрытые угрозы могут быть осуществлены с использованием соб­ственных программ злоумышленника, а также с использованием ошибок и
закладок в ПО. Обобщенная классификация угроз перевода ПО системы
защиты в пассивное состояние представлена 1.
Анализ рассматриваемых угроз применительно к современным ОС
Рассмотрим данные группы угроз, применительно к ОС семейства Windows, Угроза загрузки системы без механизмов защиты (в предполо­жении, что система защиты запускается как сервис при старте ОС) свя­зана со следующими возможностями:
* загрузка системы с альтернативных носителей, например, с дискеты. В этом случае, поскольку загрузка ОС, в качестве сервиса которой дол­жна запускаться система защиты, осуществляется не с жесткого дис­ка, система защиты не загружается;
♦ загрузка системы в безопасном режиме (например, Safe Mode для ОС Windows), либо в ином режиме, например, в DOS. При этом можно блоки­ровать загрузку драйверов (основных механизмов защиты), т.е. загрузить
систему с урезанными функциями. Это не страшно для встроенный меха­низмов ОС — встроенная система защиты не позволит их отключить, но критично для механизмов добавочной защиты, т.к. для ОС драйверы и прикладные средства добавочной защиты являются внешними средства­ми. Поэтому она не обеспечивает противодействие возможному их от­ключению. Здесь же отметим, что принципиальным отличием загрузки в
безопасном режиме для ОС UNIX и Windows (естественно, рассматрива­ем технологию NT) будет то, что для ОС UNIX подобную загрузку может
осуществить только пользователь «root» после авторизации, в ОС
Windows — любой текущий пользователь после авторизации.
Практически в полном объеме те же угрозы присущи и для ОС семей­ства UNIX, т.е. рассматриваемая задача защиты характеризуется общно­стью для альтернативных семейств ОС.
Данные угрозы могут быть как явными (например, загрузка в режиме Safe Mode), так и скрытыми, например, инженерные пароли BIOS, возможность
программно сбросить настройки BIOS в исходное состояние (модифици­ровав его контрольные суммы — для ОС Windows 9x/Me) и т.д.
Угроза перевода механизмов (или системы защиты) в пассивное состоя­ние в процессе функционирования защищаемого объекта связана с явны­ми и скрытыми возможностями по остановке выполнения процесса системы защиты (либо вообще удаления данного процесса из системы). Так, возможностью отображения списка запущенных процессов и удале­ния процесса из списка обладают большинство системных мониторов и множество оболочек, например, Far. Для систем Windows 95/98, где все процессы запускаются как пользовательские (ОС не делит процессы на си­стемные и пользовательские), из этой оболочки может быть остановлено
выполнение любого процесса, в том числе и процесса системы защиты. Это очевидная явная угроза, основанная на архитектурных особенностях данной ОС. Однако можно предположить, что существуют и аналогичные скрытые угрозы. По крайней мере утверждать обратное невозможно.
340
Глава 20. Необходимость и принципы использования аппаратных средств защиты
С целью противодействия данным угрозам в систему защиты может до­бавляться аппаратная компонента. В этом случае, чтобы модифицировать ПО системы защиты злоумышленник снимало должен удалить аппарат­ную компоненту из слота защищаемого объекта, предварительно сняв крышку корпуса компьютера. Т.е. здесь появляется угроза физического удаления аппаратной компоненты системы защиты.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика