Создание изолированной программной среды

Создание изолированной программной среды

Утечки (потери) информации гарантированно невозможны, если программная среда изолирована:

  • на ЭВМ с проверенным BIOS установлена проверенная операционная среда;
  • достоверно установлена неизменность DOS и BIOS; кроме проверенных программ в данной программно-аппаратной среде не запускалось никаких иных программ;
  • исключен запуск проверенных программ в какой-либо иной ситуации, т.е. вне проверенной среды.

Выполнение перечисленных условий может быть достигнуто при использовании загрузочной дискеты, без которой невозможен запуск программ. Такая загрузка является надежным методом установления собственной операционной среды, но лишь тогда, когда оператор не допускает ошибок или преднамеренных деструктивных действий (запускает находящиеся на дискете программы без загрузки с дискеты). Подобного рода действия не только нарушают изолированность системы, но и могут привести к внедрению закладок в ранее проверенные программы пользователя или операционную среду.

Концепция ограниченного доверия к программно-аппаратной среде состоит в следующем:

  • аппаратная среда ЭВМ не содержит закладок и остается неизменной на протяжении всего времени работы. В противном случае работа на данной ЭВМ не ведется;
  • программная среда (операционная система и прикладные программы) данной ЭВМ может подвергаться воздействию злоумышленника и произвольным образом измениться;
  • пользователь располагает магнитным носителем, содержащим набор проверенных программ, проверенную DOS и проверенную программу контроля неизменности BIOS и доступных пользователю исполняемых файлов, а также данные для проведения контроля целостности;
  • использование указанного носителя невозможно иным образом, нежели как после загрузки операционной среды с его помощью.

Программы-закладки, помещенные в ПЗУ (BIOS)

Программы-закладки, помещенные в ПЗУ (BIOS)

Как было выяснено, большую опасность представляют программы-закладки, помещенные в ПЗУ (BIOS) и ассоциированные с существенно важными прерываниями. Для их автоматизированного выявления используется следующая методика.

  1. Выделяется группа прерываний, существенных с точки зрения обработки информации защищаемой программой. Обычно это прерывания INT 13h, INT 40h (запись и чтение информации на внешние магнитные накопители прямого доступа), INT 14h (обмен с RS232 портом), INT 10Ь (обслуживание видеотерминала), а также в обязательном порядке прерывания таймера INT 8h, INT ICh и прерывания клавиатуры INT 9h и INT I6h.
  2. Для выделенной группы прерываний определяются точки входа (адреса входа) в ПЗУ, используя справочную информацию либо выполняя прерывание в режиме трассировки.
  3. Для выделенных адресов создаются цепочки исполняемых команд от точки входа до команды IRET, возврату управления из BIOS. Запись в сегмент BIOS невозможна, и поэтому закладки в BIOS не могут применять механизм преобразования своего кода во время его исполнения в качестве защиты от изучения. В цепочках исполняемых команд выделяются команды работы с портами, команды передачи управления, команды пересылки данных. Они используются либо для информативного анализа, либо порождают новые цепочки исполняемых команд. Порождение новых цепочек исполняемых команд происходит тогда, когда управление передается внутри сегмента BIOS.
  4. В цепочках анализируются команды, предусматривающие работу с недокументированными портами. Наличие таких команд, как правило, указывает на передачу информации некоторому устройству, подключенному к параллельному интерфейсу (общей шине), например встроенной радиопередающей закладке.

В случае если опасных действий не обнаружено, аппаратно-программная среда ЭВМ без загруженной операционной среды считается безопасной.

Для проверки операционной системы используется аналогичный алгоритм.

  1. По таблице прерываний определяются адреса входа для существенно важных прерываний.
  2. Эти важные прерывания выполняются покомандно в режиме трассировки с анализом каждой команды по приведенному выше алгоритму.

В этом случае команды типа JMP не анализируются, поскольку в режиме покомандного выполнения переходы происходят автоматически. Выполнение происходит до того момента, когда достигается адрес ПЗУ. Для полного анализа необходимо выполнить все используемые программой функции исследуемого прерывания.

Защита от воздействий закладок

Защита от воздействий закладок

Проблема защиты от воздействий закладок имеет много общего с проблемой выявления и дезактивации компьютерных вирусов. Она разработана и изучена достаточно подробно. Методы борьбы с закладками сводятся к следующим.

Общие методы защиты программного обеспечения:

  • контроль целостности системных областей, запускаемых прикладных программ и используемых данных;
  • контроль цепочек прерываний и фильтрация вызовов, критических для безопасности системы прерываний.

Эти методы действенны лишь тогда, когда контрольные элементы не подвержены воздействию закладок и разрушающее воздействие входит в контролируемый класс. Так, например, система контроля за вызовом прерываний не будет отслеживать обращение на уровне портов. С другой стороны, контроль целостности информации может быть обойден за счет навязывания конечного результата проверок, влияния на процесс считывания информации, изменения хеш-значений, хранящихся в общедоступных файлах.

Включение процесса контроля должно быть выполнено до начала влияния закладки, либо контроль должен осуществляться полностью аппаратными средствами с программами управления, содержащимися в ПЗУ; создание безопасной и изолированной операционной среды; предотвращение негативных последствий воздействия вирусов или закладок (например, запись на диск только в зашифрованном виде на уровне контроллера). В результате этого теряет смысл сохранение информации закладкой, а также запрет записи на диск на аппаратном уровне.

Специальные методы выявления программ с потенциально опасными последствиями:

  • поиск фрагментов кода по характерным последовательностям (сигнатурам), свойственным закладкам либо, наоборот, разрешение на выполнение или внедрение в цепочку прерываний только программ с известными сигнатурами, заведомо не принадлежащим закладкам;
  • поиск критических участков кода методом семантического анализа (анализа фрагментов кода на выполняемые ими функции, например выполнение несанкционированной записи, часто сопряженный с дисассемблирование или эмуляцией выполнения).

Разовые эпизодические защитные мероприятия

Разовые эпизодические защитные мероприятия

На этапе штатной эксплуатации должны на регулярной основе предприниматься меры защиты и контроля, проводиться разовые эпизодические защитные мероприятия в период повышения опасности информационного нападения, локализационно-восстановительные меры, применяемые в случае проникновения и обнаружения закладок и причинения ими негативных последствий.

Сеть должна иметь общие средства и методы защиты. К ним относятся:

  1. Ограничение физического доступа к абонентским терминалам, серверам локальных сетей и коммутационному оборудованию. Для такого ограничения устанавливается соответствующий организационный режим и применяются аппаратные и программные средства ограничения доступа к ЭВМ.
  2. При активизации коммуникационного программного обеспечения контролируется его целостность и целостность областей DOS, BIOS и CMOS. Для такого контроля подсчитываются контрольные суммы и вычисляются хеш-функции, которые потом сравниваются с эталонными значениями для каждой ЭВМ.
  3. Максимальное ограничение и контроль за передачей по сети исполняемых файлов с расширениями типа *.ехе и *.com, *.sys и *.bin. При этом снижается вероятность распространения по сети файловых вирусов, вирусов типа Driver и загрузочно-файловых вирусов.
  4. Организация выборочного и внезапного контроля работы операторов для выяснения фактов использования нерегламентированного программного обеспечения.
  5. Сохранение архивных копий применяемого программного обеспечения на защищенных от записи магнитных носителях (дискетах), учет и надежное хранение архивных копий.
  6. Немедленное уничтожение ценной и ограниченной для распространения информации сразу по истечении потребности в ней (при снижении ее актуальности).
  7. Периодическая оптимизация и дефрагментирование внешних носителей (винчестеров) для выявления сбойных или псевдосбойных кластеров и затирания фрагментов конфиденциальной информации при помощи средств типа SPEED DISK.

Предпринимаемые меры защиты от угроз безопасности сети

Предпринимаемые меры защиты от угроз безопасности сети

Проанализировав возможные вирусные угрозы в сети и их последствия, можно предложить комплекс защитных мер, снижающих вероятность проникновения и распространения деструктивных программ в сети, а также облегчающих локализацию и устранение негативных последствий их воздействия.

Меры защиты нужно предусматривать как на этапе разработки программного обеспечения сети, так и на этапе ее эксплуатации. Прежде всего на этапе разработки необходимо выявить в исходных текстах программ те фрагменты или подпрограммы, которые могут обеспечить доступ к данным по фиксированным паролям, беспарольный доступ по нажатию некоторых клавиш или их сочетаний, обход регистрации пользователей с фиксированными именами и реализацию тому подобных угроз.

Наличие таких фрагментов фактически сведет на нет весь комплекс информационной безопасности сети, поскольку доступ через них возможен как человеком, так и программой-вирусом (закладкой). Присутствие таких фрагментов не всегда является результатом злого умысла. Зачастую подобные фрагменты используется для тестирования программного обеспечения.

Для выявления подобных фрагментов может быть произведено сквозное тестирование исходных текстов программного обеспечения независимыми экспертами по стандартным, нормативно утвержденным методикам; тестирование готового программного обеспечения в критических режимах эксплуатации (в период испытаний сети) с фиксацией и устранением выявленных слабостей и отклонений от нормальной работы.

Необходимо также обратить внимание на возможные конфликты прикладного программного обеспечения и средств защиты. Такие конфликты могут возникнуть вследствие конкуренции по ресурсам (захват прерываний, памяти, блокировка клавиатуры и т.д.). Эти моменты, как правило, можно выявить лишь в период испытаний.

Также на этапе разработки должны быть предусмотрены меры защиты от несанкционированного доступа, меры по проверке целостности хранимых на внешних носителях программных средств зашиты, контроль целостности их в оперативной памяти и т.д.

Яндекс.Метрика