поиск по сайту
Реальная защита для ОС реального времени

Реальная защита для ОС реального времени

М.М. Грунтович, руководитель обособленного подразделения ЗАО «ОКБ САПР» в г. Пенза

Собственник информационных ресурсов сам вправе определить, как должны быть защищены его данные.

Например, с помощью контрольных процедур, встроенных в ОС. При запуске программа запрашивает идентификатор (login) и пароль (password). Пользователь вводит требуемые контрольные данные, они проверяются программой, и если все хорошо - программа начинает работать. Формально требования идентификации/аутентификации выполнены, но обеспечивают ли они сколь-нибудь надежную защиту? Скорее всего - нет. Чтобы в этом убедиться, рассмотрим другой вероятный ход событий.

Программа запрашивает идентификатор и пароль. Вы вводите требуемые данные, и в этот момент программа «зависает». С каждым из нас такое случалось многократно. Вы перезагрузитесь, вновь запустите программу и вновь введете идентификатор и пароль. Скорее всего, проверка завершится успешно, вы получите разрешение на работу с программой и доступ к защищаемым данным. И только по прошествии времени Вы поймете, что тот сбой компьютера был не случаен. Оказывается, Ваши логин и пароль запрашивала не запускаемая Вами программа, а программа-перехватчик, которая сымитировала запрос пароля, получила его, и потом «подвесила» компьютер, имитируя случайный сбой. Таким образом, пароль уже давно попал в руки злоумышленника, и все последнее время компьютер находился под его контролем.

Написать такую программу несложно. Имитация контрольных процедур только зря успокаивает Вас, не являясь средством защиты, и, по сути, помогает злоумышленнику.

Именно поэтому защитные механизмы должны активизироваться до загрузки операционной системы, производиться контрольные процедуры должны аппаратным средством защиты информации.

Но непосредственно процессором СЗИ должны не только  производиться те или иные процедуры, но и решения на основе результатов их выполнения должны приниматься тоже процессором устройства, а не ПК. Такое устройство мы называем активным, в отличие от пассивных устройств - лишь проводящих какие-либо процедуры, но не сохраняющие и не обрабатывающие их результатов, а передающие их ПК, который впоследствии и принимает решения. ПО, работающее на процессоре ПК может подвергаться несанкционированным изменениям, а значит, возможна как подмена результата, переданного СЗИ (и принятие решения на основе сфальсифицированного результата), так и подмена механизма принятия решения, и т. п.

Это можно наглядно проиллюстрировать на примере попытки обхода правил разграничения доступа. Возьмем 2 устройства, имеющих критический по безопасности ресурс - память с базой пользователей. Одно устройство пассивное, то есть работа с этой памятью возможна из ОС при успешной идентификации в соответствующем ПО. Второе - активное, то есть работа с этой памятью возможна только через firmware микроконтроллера. Именно так работают СЗИ семейства Аккорд.

Некто, не обладающий правами администратора, но обладающий правами пользователя (то есть ОС по его идентификатору и паролю будет загружена), пытается получить полномочия администратора. Он меняет программное обеспечение работы с контроллером так, чтобы ПК в любом случае получал «положительный результат» идентификации.

В первом случае после такой подмены пользователь получит желаемые полномочия (доступ к базам пользователей), а во втором - нет. Для того чтобы внести изменения в базу пользователей СЗИ семейства Аккорд, «признать» администратора должен контроллер. Обход системы разграничения доступа на уровне ОС ничего не даст, поскольку решение о признании пользователя администратором контроллер не принимал, а от «обманутого» ПК это решение не зависит. Пассивный же контроллер не может помешать злоумышленнику, потому что решение принимает не он, а «обманутый» ПК. 

Конечно, иметь такую не слишком надежную защиту лучше, чем не иметь никакой - авось да защитит от соседского дедушки. Но при этом нужно ясно осознавать - от соседского дедушки может и защитит, но не более. Слишком просто дискредитировать такую защиту, и для этого злоумышленнику нет нужды иметь специальные знания - достаточно иметь мозги и описание операционной системы.

Собственник информационных ресурсов сам вправе определить, как должны быть защищены его данные. Поэтому в случае, когда СВТ обрабатывает данные, критичные для обороноспособности государства, государство предъявляет высокие требования к средствам защиты информации. ОКБ САПР выполняет эти требования - даже для ОС реального времени, например, в проекте Аккорд-QNX.

 

 


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них