Атака на программное обеспечение

Важнейшим программным компонентом любой вычислительной машины является операционная система, поэтому от уровня реализации ее безопасности зависит и общая безопасность информационной системы. Ниже приведен краткий обзор уровня безопасности современных операционных систем.

Операционная система MS-DOS является операционной системой реального режима микропроцессора Intel, который не поддерживает разделение оперативной памяти между процессами. Основная программа и все резидентные программы используют общее пространство оперативно-запоминающего устройства, поэтому защита файлов не предусмотрена.

Семейство операционных систем Windows 95, 98, Millenium – это клоны, ориентированные на работу в домашних ЭВМ. Они используют уровни привилегий защищенного режима, но не делают дополнительных проверок и не поддерживают системы дескрипторов безопасности[19]. В результате этого любое приложение может получить доступ ко всему объему доступной оперативной памяти. Меры сетевой безопасности присутствуют, но не достаточны. В версии Windows 95 была допущена ошибка, позволяющая удаленно приводить к «зависанию» ЭВМ, в последующих версиях было сделано много шагов по улучшению сетевой безопасности.

Поколение операционных систем Windows NT, 2000, 2003 значительно надежнее. Это многопользовательские системы, которые надежно защищают файлы различных пользователей на жестком диске. Однако шифрование данных не производится, поэтому файлы можно прочитать, загрузив компьютер с другой операционной системы, например, MS-DOS. Операционные системы активно используют возможности защищенного режима процессоров Intel и могут надежно защитить свои данные и код процесса от других программ, если только процессор самостоятельно не предоставит к ним дополнительный доступ извне. Фирма MicroSoft учитывает возможные сетевые атаки и ошибки в системе безопасности и разрабатывает блоки обновления операционных систем – Service pack(№). На сегодняшний день данные операционные системы имеют очень высокую систему безопасности.

Операционные системы клоны UNIX разрабатывались как сетевые и многопользовательские, потому изначально содержали средства информационной безопасности и по мере модификации учитывали все открытые способы атак. Достаточно хорошо себя зарекомендовали: LINUX (S.U.S.E.), OpenBSD, FreeBSD, Sun Solaris. Основные ошибки в этих системах проявляются в системных и прикладных утилитах, что часто приводит к потере всего запаса прочности системы.

Ошибки в прикладном программном обеспечении были и остаются основным путем проникновения злоумышленника на сервера и на рабочие станции. Объективная причина – разработка программного обеспечения различными группами разработчиков, которые не в состоянии уделить должное внимание сетевой и локальной безопасности. Если фирмы-разработчики операционных систем тратят огромные суммы на тщательные испытания поведения систем в нестандартных ситуациях с учетом многолетнего опыта и ошибок, то небольшие фирмы не в состоянии выполнить такую работу.

Ошибки активно ищутся группами хакеров практически во всем более или менее распространенном программном обеспечении.

Примеры. В одной из версий MicroSoft Internet Explorer была обнаружена ошибка, связанная с переполнением буфера, которая приводила к тому, что часть URL-адреса[20] попадала на «исполнение» и трактовалась как последовательность команд процессора. Этого было достаточно, чтобы загрузить из сети троянскую программу и передать ей управление. В последующей версии ошибка была исправлена. Программа ICQ – самый популярный электронный пейджер в сети Интернет. В одной из своих версий была снабжена возможностью поддерживать миниатюрный WWW-сервер. Ошибка в его реализации позволяла получать полный сетевой доступ по чтению ко всем файлам жесткого диска.

Атаки на программное обеспечение построены как на использовании ошибок в реализации программного обеспечения, так и на непродуманных разработчиками аспектов использования стандартных возможностей программ. Самым ярким примером этого являются macro-вирусы в документах системы MicroSoft Office. В систему была встроена возможность использования макросов. Создатели вирусов использовали факт, что макросы могут запускаться на определенные события (например, открытие документа) и получать доступ на модификацию к другим документам. К подобным примерам относится возможность запуска исполнимых dll-файлов из HLP-файлов. Открывается текстовый файл справки, который без уведомления пользователя может инициировать вызов из прилагающейся dll-библиотеки.

При разработке программного обеспечения двумя основными классами ошибок, приводящими к возможности проведения атак на информацию, являются интерференция данных (непредусмотренное взаимодействие) и нарушение неявных ограничений.

 

6.6. Категории информационной безопасности

По законодательству Российской Федерации, безопасность информации (англ. Information security) – это состояние защищенности информационной среды, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства. Информация с точки зрения информационной безопасности должна обладать следующими категориями:

- конфиденциальностью - гарантией того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена;

- целостностью - защитой точности и полноты информации и программного обеспечения, что является гарантией того, что информация существует в исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений;

- аутентичностью[21] - гарантией того, что источником информации является именно то лицо, которое заявлено как ее автор;

- апеллируемостью - гарантией того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек;

- доступностью - гарантией обеспечения доступа к информации и основным услугам пользователю в нужное для него время.

Информационные системы должны удовлетворять следующим категориям безопасности:

- надежности - гарантией того, что система ведет себя в нормальном и внештатном режимах так, как запланировано;

- точности – гарантией точного и полного выполнения всех команд;

- контролю доступа - гарантией того, что различные группы лиц имеют различный доступ к информационным объектам, и эти ограничения доступа постоянно выполняются;

- контролируемости - гарантией того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса;

- контролю идентификации - процессу защиты данных от их использования объектами, не имеющими на это права, является гарантией того, что клиент, подключенный в данный момент к системе, является именно тем, за кого себя выдает;

- устойчивости к умышленным сбоям - гарантией того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее.

В настоящее время проблема защиты конфиденциальной информации возникает все чаще и чаще. Современная компания, которая хочет оставаться конкурентоспособной на рынке, тем более в России, должна проводить комплекс работ по защите конфиденциальной информации. Во многих компаниях сформированы подразделения экономической разведки (экономического шпионажа), целью которых является получение защищаемой информации от компании-конкурента. Для обеспечения безопасности информации современного коммерческого предприятия разработаны организационно-технические мероприятия.

Одной из самых важных категорий, принимаемых в рассмотрение при создании определенной политики безопасности, является уровень конфиденциальности информации. В соответствии с требованиями современных западных стандартов (например, ISO 17799), используют следующую классификацию: открытая информация, конфиденциальная информация, строго конфиденциальная информация. Согласно действующему законодательству Российской Федерации применяются следующее разграничение информации по грифу конфиденциальности:

1.Открытая информация - это информация, которая включает:

- информацию, подписанную руководством, для передачи вовне (например, для конференций, презентаций и т. п.);

- информацию, полученную из внешних открытых источников;

- информацию, находящуюся на внешнем web-сайте компании.

2.Информация для внутреннего использования – это информация, используемая сотрудниками в рамках своих подразделений или тематических групп, для которой требуется соблюдение: целостности, доступности и конфиденциальности (при выходе ее за пределы компании). Внутренняя информация включает:

- информацию, которая циркулирует между подразделениями и используется для нормального их функционирования;

- информацию, которая является результатом работ с информацией из открытых источников;

- информацию о компании, которая еще не была опубликована и не относится к информации конфиденциального характера или открытой информации.

3.Конфиденциальная информация – это документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, не являющаяся общедоступной информацией и в случае разглашения способная нанести ущерб правам и охраняемым законом интересам предоставившего ее лица. Документированная информация (документ) – это информация, зафиксированная на материальном носителе с реквизитами, позволяющими ее идентифицировать.

В таблице 6.2 приведена схема классификации информации по уровню ее конфиденциальности.

 

Таблица 6.2.

Схема классификации информации по уровню конфиденциальности

 

Класс Тип информации Описание Примеры
Открытая информация Общедоступная информация Информационные брошюры, сведения, публиковавшиеся в СМИ
Внутренняя информация Информация, недоступная в открытом виде, но не несущая никакой опасности при ее раскрытии Финансовые отчеты и тестовая информация за давно прошедшие периоды, отчеты об обычных заседаниях и встречах, внутренний телефонный справочник фирмы
Конфиденциальная информация Раскрытие информации ведет к значительным потерям на рынке Реальные финансовые данные, планы, проекты, полный набор сведений о клиентах, информация о бывших и нынешних проектах с нарушениями этических норм
Секретная информация Раскрытие информации приведет к финансовой гибели компании Зависит от ситуации

 

Перечень сведений конфиденциального характера изложен в Указе Президента РФ № 188. К конфиденциальной информации относится следующая информация: персональные данные, сведения, составляющие тайну следствия и судопроизводства, служебную, профессиональную и коммерческую тайну и сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации. В современной компании конфиденциальная информация подразделяется на следующие категории:

1. Персональные данные - сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность. Персональные данные на всех работников компании обычно хранятся в отделе кадров. Компания несет ответственность перед работниками в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

2. Служебная информация - это служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами. Отнесение информации к грифу «служебная информация» проводится только органами государственной власти.

3. Коммерческая тайна - это информация, не являющаяся государственными секретами, связанная с производственной, технической, технологической информацией, управлением финансовой и другой деятельностью предприятия, разглашение (передача, утечка) которой может нанести ущерб его интересам.

4. Профессиональная тайна - информация, связанная с профессиональной деятельностью, которая не подлежит разглашению.

Требования по работе с конфиденциальной информацией 1-го класса конфиденциальности:

- осведомление сотрудников о конфиденциальности информации;

- ознакомление сотрудников с возможными методами атак;

- ограничение физического доступа;

- составление полного набора документации по правилам выполнения операций с данной информацией.

Требования по работе с конфиденциальной информацией 2-го класса конфиденциальности:

- проведение расчета рисков атак на информацию;

- ведение списка лиц, имеющих доступ к данной информации;

- выдача (по возможности) информации под расписку;

- внедрение автоматической проверки целостности системы и ее средств безопасности;

- использование надежных схем транспортировки информации;

- шифрование информации при передаче по линиям связи;

- использование схемы бесперебойного питания ЭВМ.

Требования по работе с конфиденциальной информацией 3-го класса конфиденциальности, включая вышеперечисленные:

- составление детального плана спасения либо надежного уничтожения информации в аварийных ситуациях (пожар, наводнение, взрыв);

- защита ЭВМ либо носителей информации от повреждения водой и высокой температурой;

- внедрение криптографической проверки целостности информации.

Инструкция по защите конфиденциальной информации должна включать следующие разделы:

- перечень конфиденциальной информации;

- ответственность за разглашение конфиденциальной информации;

- система доступа к конфиденциальной информации;

- лица, имеющие полномочия на разрешение доступа;

- оформление доступа к конфиденциальной информации;

- прием, учет, обработка и хранение конфиденциальной информации;

- организация контроля исполнения конфиденциальных документов;

- проверка наличия конфиденциальных документов;

- подготовка и издание конфиденциальных документов;

- размножение конфиденциальной информации;

- уничтожение конфиденциальной информации;

- составление и оформление номенклатуры дел с грифом «конфиденциально»;

- подготовка конфиденциальных документов на архивное хранение;

- порядок передачи конфиденциальных документов в архив.

Функции работников, связанных с конфиденциальной информацией, можно классифицировать и формализовать по их участию в проведении аудита. Аудит - стандартный процесс защиты сети, отслеживающий операции пользователей. В процессе аудита создаются списки пользователей, обращавшихся к сетевым ресурсам, фиксируются модификации паролей и параметров регистрации, выявляются несанкционированные действия. Список и функции работников, участвующих в аудите:

1. Специалист по информационной безопасности осуществляет разработку и поддерживает политику безопасности предприятия. В его функции входит: расчет и перерасчет рисков, поиск и применение новой информации об обнаруженных уязвимостях в используемом программном обеспечении и стандартных алгоритмах, аудит.

2. Разработчик системы и/или программного обеспечения отвечает за уровень безопасности разрабатываемой системы. На этапах планирования и разработки системы он должен активно взаимодействовать со специалистом по информационной безопасности.

3. Поставщик аппаратного и программного обеспечения. Обычно стороннее лицо, которое несет ответственность за поддержание должного уровня информационной безопасности в поставляемых им продуктах.

4. Владелец информации - лицо, непосредственно работающее с данной информацией. В его функции входит: реальная оценка обрабатываемой информации и предоставление материалов о возможных или осуществляемых нестандартных атаках.

5. Линейный менеджер или менеджер отдела является промежуточным звеном между операторами и специалистами по информационной безопасности. В его функции входит: инструктаж персонала по работе с конфиденциальной информацией, инструктаж по выполнению требований безопасности и осуществление контроля за выполнением требований безопасности на рабочих местах.

6. Операторы - лица, непосредственно взаимодействующие с информацией. Они должны быть проинструктированы о требованиях, предъявляемых к работе с конфиденциальной информацией. Операторы несут ответственность за выполняемые служебные действия.

7. Аудиторы - внешние специалисты или фирмы, нанимаемые предприятием для периодической (довольно редкой) проверки организации и функционирования всей системы безопасности.