Сервисное программное обеспечение включает в себя компиляторы, отладчики, редакторы, библиотеки функций, системы управления базами данных и т.п. Операционная система при запуске таких программ предоставляет им специальные привилегии, превышающие привилегии работающего с ними пользователя.
Привилегированные утилиты, как правило, являются сложными программами, и часто обеспечивают выполнение функций, не предусмотренных операционной системой. Они разрабатываются отдельно от операционной системы и могут не поддерживать принятые в ней требования и ограничения безопасности, даже при наличии собственной системы защиты. Это означает, что привилегированные утилиты являются потенциально опасными для защиты ВС.
Наличие ошибок в реализации систем защиты привилегированных утилит или каналов утечки информации в них может быть использовано злоумышленником.
Прикладное программное обеспечение.
Нарушения в функционировании ВС, вызванные неумышленными ошибками в прикладном программном обеспечении, обычно ограничиваются только содержащим эту ошибку процессом, который некорректно функционирует либо саморазрушается. Преднамеренно внесенные программные закладки, вирусы, троянские кони и логические бомбы находятся именно на уровне прикладного программного обеспечения. Объектами их атак могут стать любые компоненты ВС, вплоть до выведения операционной системы из строя. В этом случае успех атаки зависит от того, насколько защищена конкретная ОС от разрушительных действий прикладных программ. Многопользовательские многозадачные ОС (такие как Unix) сравнительно легко справляются с подобной проблемой, а широко распространенные DOS и Windows в этой ситуации оказываются бессильными
Все случаи нарушений ИБ происходят по одной из следующих причин (рис. 1):
1. Выбор модели безопасности, несоответствующей назначению или архитектуре ВС. Модель безопасности должна соответствовать как требованиям, предъявляемым к безопасности ВС, так и принятой в ней парадигме обработке информации. При выборе модели безопасности нельзя не учитывать архитектуру и специфику ВС, в противном случае, несмотря на все достоинства модели, гарантированного ею уровня безопасности достичь не удастся.
2. Неправильное внедрение модели безопасности. В этом случае модель безопасности была выбрана верно, но ее применение к конкретной реализации ОС в силу свойств модели или самой ОС было проведено неудачно. Это означает, что при реализации были потеряны все теоретические достижения, полученные при формальном доказательстве безопасности модели. Неправильное внедрение модели безопасности в систему выражается в недостаточном ограничении доступа к наиболее важным для безопасности ОС и системным службам и объектам, а также введении различных исключений из предусмотренных моделью правил разграничения доступа типа привилегированных процессов, утилит и т.д.
3. Отсутствие идентификации и/или аутентификации субъектов и объектов. Во многих современных ОС (различные версии Unix, Novell Netware, Wndows) идентификация и аутентификация субъектов и объектов взаимодействия находятся на весьма примитивном уровне – субъект взаимодействия может сравнительно легко выдать себя за другого субъекта и воспользоваться его полномочиями доступа к информации. Кроме того, можно внедрить в систему "ложный" объект, который будет при взаимодействии выдавать себя за другой объект. Часто идентификация и аутентификация носят непоследовательный характер и не распространяются на все уровни взаимодействия — так, например, в ОС Novell Netware предусмотрена аутентификация пользователя, но отсутствует аутентификация рабочей станции и сервера. В стандартной версии ОС Unix аутентификация пользователей находится на примитивном уровне — программы подбора пароля легко справляются со своей задачей при наличии у злоумышленника идентификатора пользователя и зашифрованного пароля. Ряд служб ОС Unix вообще не предусматривает аутентификации.
Причины нарушения безопасности ВС
Предопределенные на стадии разработки требований
Обусловленные принципами организации системы обеспечения безопасности
Обусловленные реализацией
Ошибки администрирования
Ошибки, допущенные в ходе программной реализации систем обеспечения безопасности
Наличие средств отладки и тестирования в конечных продуктах
Отсутствие контроля целостности средств обеспечения безопасности
Неправильное внедрение модели безопасности
Отсутствие идентификации и/или аутентификации субъектов и объектов
Выбор модели безопасности, несоответствующей назначению или архитектуре ВС
Рис. 1. причины нарушения безопасности ВС.
4. Отсутствие контроля целостности средств обеспечения безопасности. Во многих ОС слабое внимание уделено контролю целостности самих механизмов, реализующих функции защиты. Во многих системах возможна прозрачная для служб безопасности подмена компонентов. В ОС Unix традиционно система построена таким образом, что для обеспечения ее функционирования многие процессы должны выполняться с уровнем полномочий, превышающим обычный пользовательский уровень (с помощью механизма замены прав пользователя на права владельца программы). Все такие приложения являются потенциальной брешью в системе защиты, т.к. нуждаются в проверке на безопасность при установке в систему и постоянном контроле целостности. С точки зрения безопасности такая ситуация нежелательна – не соблюдается принцип минимальной достаточности при распределении полномочий пользователей и процессов. Круг критичных приложений, и приложений и пользователей, обладающих высоким уровнем привилегий должен быть максимальной ограничен. Этого можно достигнуть путем последовательного применения принципа локализации функций обеспечения безопасности и целостности в рамках ядра ОС.
5. Ошибки, допущенные в ходе программной реализации систем обеспечения безопасности. Эта группа причин нарушения безопасности будет существовать до тех пор, пока не появятся технологии программирования, гарантирующие производство безошибочных программ. Тщательное тестирование и верификация программных продуктов позволит сократить вероятность появления подобных ошибок до минимума.
6. Наличие средств отладки и тестирования в конечных продуктах. Многие разработчики оставляют в коммерческих продуктах т.н. "люки", дыры, отладочные возможности и т.д. Причины, по которым это происходит – программные продукты становятся все более сложными, и отладить их в лабораторных условиях становится просто невозможно. Следовательно, для определения причин сбоев и ошибок уже в процессе эксплуатации, разработчикам приходится оставлять в своих продуктах возможности для отладки и диагностики. Для тех ситуаций, где безопасность имеет решающее значение применение подобной практики недопустимо.
7. Ошибки администрирования. Наличие самых современных и совершенных средств защиты не гарантирует систему от возможных нарушений безопасности, т к. остается человеческий фактор – администратор, управляющий средствами обеспечения безопасности, может совершить ошибку, и все усилия разработчиков будут сведены на нет.
