5. Превышение полномочий. Злоумышленник использует дырки в ПО или ОС и получает полномочия, превышающие те, которые были ему выданы в соответствии с политикой безопасности. Обычно это достигается путем запуска программы от имени другого пользователя или подмены динамически подгружаемой библиотеки (скрипт МЭЛТ запускался от имени администратора и копировал содержимое файлов в HTML, выдавая их другому пользователю).

    6. Программные закладки.

    7. Жадные программы. Так называются программы, преднамеренно захватывающие значительную часть ресурсов компьютера, в результате чего другие программы не могут выполняться или выполняются крайне медленно и неэффективно. Часто запуск жадной программы приводит к краху ОС. 

Лекция  № 15

Понятие защищенной операционной системы

    Операционная  система называется защищенной, если она обеспечивает защиту от основных классов угроз, рассмотренных ранее.

    Данная  система должна обязательно содержать  следующие компоненты:

1. Средства разграничения доступа пользователей к ресурсам.
2. Средства проверки подлинности пользователя.
3. Средства противодействия случайному или преднамеренному выводу операционной системы из строя.

    Подходы к построению защищенных ОС.

    2 подхода – фрагментарный и комплексный.

    При фрагментарном подходе вначале организуется защита от одной угрозы, затем от другой и т.д. Пример фрагментарного подхода – когда берется незащищенная ОС, на нее устанавливается антивирусный пакет, система шифрования, регистрации действий пользователей и т.д.

    Основной  недостаток – система представляет собой набор разнородных программных  продуктов, произведенных различными производителями. Они, как правило, работают независимо друг от друга  и трудно реализовать их тесное взаимодействие. Отдельные элементы этих систем могут работать некорректно в присутствии друг друга. Отключив один элемент защиты, злоумышленник может воздействовать и на все остальные элементы.

    При комплексном подходе защитные механизмы вносятся в ОС на этапе проектирования ее архитектуры и являются ее неотъемлемой частью. Отдельные части тесно взаимодействуют друг с другом. Поскольку подсистема защиты разрабатывается и тестируется в совокупности, конфликты между отдельными ее компонентами практически невозможны. При сбое одного компонента, наступает крах системы, что не позволяет злоумышленнику отключать остальные функции. Это невозможно реализовать при фрагментарном подходе.

    При комплексном подходе защиту проектируют  так, что отдельные ее элементы заменяемы  и соответствующие программные модули могут быть заменены другими модулями, реализующими соответствующий интерфейс взаимодействия.

Административные  меры защиты

    Защиту  ОС невозможно обеспечить только аппаратно-программными средствами. Нужна постоянная квалифицированная поддержка со стороны администратора. Без постоянной квалифицированной поддержки со стороны администратора, даже самая надежная ПАЗИ оборачивается фикцией. Основными административными мерами защиты являются следующие:

1. Постоянный контроль корректности функционирования ОС, особенно подсистемы ее защиты. Регистрация событий, ведение логов и контроль логов.
2. Постоянное исследование и корректирование политики безопасности. После установки программных продуктов, атак и т.д.
3. Инструктирование пользователей ОС о необходимости соблюдения мер безопасности при работе с ОС и контроль за соблюдением этих мер.
4. Регулярное создание и обновление резервных копий программ и данных ОС.
5. Постоянный контроль изменений в файлах конфигурации данных и политике безопасности ОС.

Адекватная политика безопасности

     Задача  обеспечения адекватной политики безопасности – одна из наиболее важных задач  администратора. Это достаточно трудная  задача.

     Существует  некоторое противоречие - чем лучше  защищена ОС, тем труднее с ней  работать пользователям и администраторам. Это обусловлено следующими факторами.

     1. Неинтеллектуальная СЗИ не всегда  способна определить, является ли  некоторое действие пользователя  злонамеренным. Поэтому зачастую  она не пресекает некоторые  виды НСД, либо запрещает легальные действия. Чем выше защищенность, тем шире класс легальных действий, которые система запрещает. Например, если некоторому пользователю запрещено создавать файлы на ЖД, то этот пользователь не сможет запустить ни одну программу, для которой необходимо создавать временные файлы. С точки зрения рассматриваемой политики без-ти, создание временного файла является НСД, и в том, что оно пресекается ошибки нет. Просто в данной ПБ класс НСД настолько широк, что это препятствует нормальной работе пользователя с ОС.

     2. Чем больше в системе защитных функций, тем больше времени и средств нужно тратить на поддержание защиты. Некоторые пользователи установят UNIX и думают, что защищены. Однако, защищенность UNIX требует долгого и упорного труда администратора.

     3. Потребление системой защиты аппаратных ресурсов компьютера. Чем сложнее защитные функции, тем больше требуется для поддержания их процессорного времени, тем меньше ресурсов для прикладных программ. В некоторых случаях  подсистема защиты может потреблять более половины ресурсов компьютера (сервера безопасности).

     4. Поддержание слишком жесткой  политики безопасности может  негативно сказаться на надежности  функционирования ОС. (WIN NT – отказ от выполнения определенных программ). В некоторых случаях ошибки в организации политики трудно выявить. Пример – если запретить псевдопользователю SYSTEM, от имени которого выполняются системные процессы, доступ к исполняемым файлам системных процессов, ОС не сможет загрузиться. Таким образом, чрезмерная ПБ привела к краху ОС. В других случаях, подобная ПБ может приводить к трудно выявляемым ошибкам и сбоям в процессе функционирования.

     Таким образом, при определении адекватной политики  безопасности не следует  путаться достигнуть максимально возможного уровня защищенности ОС. Необходимо стремиться к оптимуму – не слишком малой защищенности, но и не к чрезмерному ужесточению мер, чтобы это не влияло на работу в системе. При определении адекватной политики необходимо руководствоваться кругом решаемых задач. Не существует адекватной политики безопасности на все случаи жизни. Адекватность определятся кругом решаемых задач, архитектурой ОС, ее конфигурацией, прикладными программами, аппаратными возможностями.

     Большинство современных ОС достаточно универсальны и могут применяться для решения самых различных задач. Одна и та же система при соответствующей настройке может использоваться для обеспечения функционирования автоматизированной банковской системы, WEB-сервера, системы электронного документооборота. Так как угрозы безопасности для всех трех применений ОС различны, то адекватная ПБ в каждом случае будет своя.

     Определение и поддержание адекватной политики безопасности ОС в общем случае можно  разделить на ряд этапов.

     1.Анализ угроз. Среди возможных угроз выделяются наиболее опасные, защите от которых нужно уделять максимум сил и средств.

     2. Формирование требований  к политике безопасности. В данном случае администратор определяет, какие средства и методы будут применяться для защиты от тех или иных угроз. Например, защиту от НСД можно решать либо криптографическими средствами, либо используя средства разграничения доступа, либо соответствующую аппаратуру. Одновременно – анализ побочных эффектов. Администратор должен выбрать оптимальный метод.

     3. Формальное определение  политики безопасности. Здесь администратор конкретно формулирует, как должны реализовываться требования к защите. Достаточно ли средств ОС, или необходима установка дополнительных пакетов защиты. В последнем случае выбирается требуемое ПО. Необходимо предусмотреть порядок внесения необходимых изменений в политику безопасности в чрезвычайных ситуациях, например, при попытке несанкционированного входа. Результатом данного этапа является развернутый перечень настроек конфигурации ОС и дополнительных пакетов защиты с указанием того, в каких ситуациях, какие настройки должны быть выставлены.

4. Претворение в жизнь политики безопасности.
5. Поддержание и коррекция политики безопасности. Например, изменение политики при установление нового продукта.

Лекция  № 16

Аппаратное  обеспечение средств  защиты

    Под аппаратным обеспечение средств  защиты ОС понимается совокупность средств  и методов, используемых для решения  следующих задач:

• Управление оперативной и виртуальной памятью компьютера.
• Распределение процессорного времени между задачами в многозадачной ОС.
• Синхронизация выполнения параллельных задач в многозадачной ОС.
• Обеспечение корректности совместного доступа задач к ресурсам ОС.
• Исключение тупиковых ситуаций в процессе совместного доступа задач к ресурсам ОС.

    Большая часть из этих задач в значительной степени решаются с помощью аппаратно-реализованных функций процессоров и других узлов компьютера.

Управление  оперативной памятью

    Основная  угроза оперативной памяти заключается  в том, что один процесс, выполняющийся  в многозадачной системе, несанкционированно получает доступ к оперативной памяти другого процесса, выполняющегося параллельно. Данная угроза представляет опасность не только с точки зрения обеспечения надежности ОС, но и с точки зрения обеспечения ее безопасности.

    Существуют 2 способа защиты ОЗУ процесса от несанкционированного доступа со стороны других процессов.

    1. При каждом обращении процессора  к ОЗУ осуществляется проверка  корректности доступа. Теоретически, это позволяет создать абсолютно  надежную защиту от НСД процесса  к чужой памяти. Если выделить каждому процессу отдельную область памяти и блокировать все обращения за ее пределы, доступ процесса к чужой памяти становится невозможным. Однако, при этом становится практически невозможным и взаимодействие процессов. Это в значительной повышает требования к объему оперативной памяти и понижает эффективность функционирования процессов (нужно, чтобы они взаимодействовали). В применяемых на практике ОС, значительная часть ОЗУ, выделяемой процессу, является разделяемой, т.е. доступной другим процессам. Например, в Windows все копии выполняющейся программы имеют общий код. То есть различные процессы имеют доступ к одной и той же памяти.

    2. Альтернативный подход к обеспечению  защиты оперативной памяти заключается  в выделении каждому процессу  индивидуального адресного пространства, аппаратно изолированного от других процессов. При этом, по какому бы адресу ОЗУ не обратился процесс, он не сможет обратиться к памяти, выделенной другому процессу, поскольку одному и тому же адресу в разных адресных пространствах соответствуют разные физические адреса оперативной памяти. В данном случае процессор должен поддерживать виртуальный режим. Виртуальные адреса преобразуются в физические незаметно для процесса. Данный подход обеспечивает защиту от случайных обращений процессов к оперативной памяти других процессов, но если защита реализуется преднамеренно, то такого рода подход не всегда позволяет защитить память. В данном подходе значительная часть физической памяти является разделяемой, то есть проецируется сразу в несколько адресных пространств. При этом опять существует опасность преднамеренного несанкционированного воздействия одного процесса на другой.

    Кроме этого, для предотвращения несанкционированного использования отладчиков, обычно выдвигается  требование, согласно которому политика безопасности, принятая в защищенной ОС не должна позволять запуск отладчиков.

    Управление  планированием задач. Возможности атаки  и защита.

    Планирование  задач в многозадачной ОС заключается  в распределении ОС времени ЦП между параллельно выполняемыми задачами. Неэффективное планирование задач может негативно сказаться как на эффективности и надежности функционирования ОС, так и повлиять на ее защищенность.