Организационный способ защиты
Выявление внедренной программной закладки
Защита от внедрения программных закладок
Защита от программных закладок
Задача защиты от ПЗ включает три подзадачи
1.не допустить внедрение ПЗ в компьютерную систему;
2.выявить внедренную программную закладку;
3.удаление внедренной программной закладки.
Как видно, эти задачи сходны с задачами защиты от компьютерных вирусов.
Задача решается с помощью средств контроля за целостностью запускаемых системных и прикладных программ, а также за целостностью хранимой в ИС информации и за критическими для функционирования системы событиями. Однако эти средства действенны, если сами не подвержены ПЗ, которые могут выполнять следующие действия:
- навязывать конечные результаты контрольных проверок;
- влиять на процесс считывания информации и запуск программ, за которыми осуществляется контроль.
Универсальными средствами защиты от внедрения ПЗ является создание изолированного компьютера. Компьютер называется изолированным, если выполняется следующие условия:
1.на нем установлена система BIOS, не имеющая закладок;
2.ОС проверена на наличие ПЗ;
3.достоверно установлена неизменность BOIS и ОС для данного сеанса;
4.на компьютере не запускались другие программы, кроме уже прошедших проверку на наличие ПЗ;
5.исключен запуск проверенных программ в каких-либо иных условиях кроме изолированного ПК.
Для определения степени изолированности компьютера используется модель ступенчатого контроля. Сначала проверяется:
- нет ли изменений в BIOS;
- затем считываются загрузочный сектор диска и драйверы ОС, которые также анализируются на предмет внесений в них несанкционированных изменений;
- запускается с помощью ОС монитор контроля вызовов программы, который следит, за тем, чтобы в компьютере запускались только проверенные программы.
Интересный метод борьбы с внедрением ПЗ может быть использован в информационной банковской системе, в которой циркулируют только документы. Чтобы не допустить проникновение ПЗ через каналы связи, в этой системе не допускается прием никакого исполняемого кода. Для распознавания события типа «Получен исполняемый код» или «Получен текстовый документ» применяется контроль за наличием в файле запрещенных символов.
Необходимо выявить признаки присутствия кода ПЗ в компьютерной системе. Признаки могут быть качественными и визуальными; обнаруживаемые средствами тестирования и диагностики.
Качественные и визуальные признаки: отклонение в работе программы; изменяется состав и длины файлов. Программа работает слишком медленно или слишком быстро заканчивает свою работу или совсем перестает запускаться
Например, пользователи пакета шифрования и ЭЦП «Криптоцентр» заметили, что подпись ставится слишком быстро. Исследования экспертов ФАПСИ показали, что внедрена ПЗ, которая основывалась на навязывании длины файла. Пользователи пакета «Криптон» забили тревогу, что скорость шифрования по криптографическому алгоритму ГОСТ 28147-89 возросла в 30 раз.
Признаки, выявляемые с помощью средств тестирования и диагностики, характерны как для ПЗ, так и для компьютерных вирусов. С инициированием статической ошибки на дисках хорошо справляется Disk Doctor из Norton Utilities. А средства проверки целостности данных типа ADINF позволяют успешно выявлять изменения, вносимые в файлы ПЗ.
Как выявить троянца:
Программные средства, предназначенные для защиты от троянцев, используют согласование объектов. В качестве объектов – файлы, каталоги. Согласование позволяет ответить на вопрос, изменились ли файлы и каталоги с момента последней проверки. Берется резервная копия файла и его атрибуты сравниваются с атрибутами файла на диске:
- время;
- размер;
- контрольная сумма;
- получение хэш-функции файла.
Для вычисления контрольной суммы есть специальные утилиты sum, но и контрольную сумму можно подделать. Более надежным является одностороннее хэширование файлов.
Алгоритмы: МД4, МД5, SНA.
Вычисление ХЭШ – значения файлов хранятся в специальной БД, которая является самым уязвимым местом {в ОС Unix - TRIPWIRE}
Пользователю предлагается хранить эту БД на съемном носителе и запирать в сейф.
Программное средство eSafe фирмы Aladdin Knowledge Systems для Windows cостоит из 3 частей:
1) Антивирус VisuSafe
2) Брандмауэр
3) Модуль защиты компьютерных ресурсов.
Брандмауэрконтролирует весь трафик. Для защиты компьютерных ресурсов используется модель «песочницы» - специальной изолированной области памяти.
Все автоматически загружаемые из Internet Java Applet, ActiveX попадают в «песочницу».
Карантинный период наблюдения может быть от 1 о 30 дней. Все данные о поведении программ заносятся в журнал регистрации. Далее принимается решение: разрешить загрузку данной программы или нет.
Способ удаления ПЗ зависит от метода внедрения.
Если это программно-аппаратная закладка, то – перепрограммировать ПЗУ. В других случаях – удалить вместе весь программный код и найти новую версию программы.
Защита бизнес-приложений от программных закладок
Организационный подход к защите чаще всего применяется в крупных компаниях, ведущих собственные дополнительные разработки к крупным приложениям, чаще всего это ERP или АБС. Ключевым моментом этого подхода является разделение жизненного цикла продукта на три этапа: разработка, тестирование и непосредственное использование.
На первом этапе пишется код, на втором тестируется корректность реализации функционала и наличие ошибок, в том числе и с точки зрения безопасности (всевозможные тесты на проникновение). На обоих этапах хорошей практикой является привлечение в проектную команду консультантов по безопасности. После положительного заключения тестировщиков программное обеспечение передается во внедрение.
Таким образом, достигается разделение разработки, контроля качества и пользователей программного обеспечения. В результате вероятность успешной незаметной установки и последующего использования программной закладки серьезно падает. Кроме того, для проведения успешной аферы нужно будет вовлечь в преступный сговор сотрудников на нескольких этапах, что может быть очень рискованно.
Технический способ защиты
При техническом подходе разработанное самостоятельно или на заказ программное обеспечение отдается на аудит кода внешним экспертам, которые специализируется на подобных услугах.
В качестве технических средств для поиска программных закладок могут использоваться сканеры кода, которые способны по определенным алгоритмам обнаруживать подозрительные куски кода.
С приходом в аудит кода технологий, прежде принятых в DLP-продуктах (лингвистический анализ и «цифровые отпечатки») стал возможен статический анализ кода на совпадение с шаблонами известных уязвимостей и закладок «на лету». Плюс этого метода в оперативности (код анализируется практически мгновенно и вне зависимости от логики программы) и отсутствия необходимости запуска программы на исполнение. Анализировать можно как готовые программы, так и произвольные куски кода, вплоть до одной строчки. Минусом является необходимость постоянного пополнения базы известных уязвимостей (с каждой уязвимости снимается уникальный отпечаток, который затем сравнивается с отпечатками нормализованного текста программы).
Пока что большинство продуктов по аудиту кода ориентированы на профессиональных пользователей. Однако с приходом на этот рынок производителей, обладающих DLP-технологиями, такие продукты могут стать доступны клиентам, которые разрабатывают продукты для автоматизации собственных бизнес-процессов.