Атаки на операционную систему

Операционная система есть специально организованная совокупность программ, которая управляет ресурсами системы (ПК, вычислительной системы, других компонентов информационно-вычислительной системы) с целью наиболее эффективного их использования и обеспечивает интерфейс пользователя с ресурсами.

Сложность защиты операционной системы обусловлена тем, что число различных типов защищаемых объектов в современных ОС может достигать нескольких десятков, а число различных типов защищаемых информационных потоков – нескольких сотен.

Поэтому атаки на операционную систему могут быть реализованы следующим образом:

1 Кража ключевой информации.Может реализовываться с использованием следующих методов:

– подсматривание пароля при вводе пользователем;

– получение пароля из командного файла;

– кража внешнего носителя ключевой информации;

– перехват пароля программной закладкой.

2 Подбор пароляметодами неоптимизированного перебора или оптимизированного перебора по статистикам встречаемости символов и биграмм, с использованием словарей вероятных паролей, с использованием знаний о пользователе и подсистеме аутентификации ОС.

3 Сканирование жестких дисков компьютера.Злоумышленник последовательно считывает файлы, хранящиеся на жестких дисках компьютера. Если объем жесткого диска компьютера достаточно велик, то велика вероятность, что при описании прав доступа к файлам и каталогам этого диска администратор допустил хотя бы одну ошибку. Данный метод можно применять не только для сканирования дисков локального компьютера, но и для сканирования разделяемых ресурсов локальной сети.

4 «Сборка мусора».Если в ОС допускается восстановление ранее удаленных объектов, злоумышленник может воспользоваться этой возможностью для восстановления объектов, удаленных другими пользователями. Если злоумышленник использует для сборки мусора программную закладку, он может «собирать мусор» не только на дисках компьютера, но и в оперативной памяти.

5 Превышение полномочий.Используя ошибки в программном обеспечении или администрировании ОС, злоумышленник получает в системе полномочия, превышающие предоставленные ему согласно текущей политике безопасности. Превышение полномочий может быть достигнуто следующими способами:

– запуск программы от имени пользователя, обладающего необходимыми полномочиями;

– запуск программы в качестве системной программы (драйвера, сервиса, демона и т.д.), выполняющейся от имени ОС;

– подмена динамически подгружаемой библиотеки, используемой системными программами, или несанкционированное изменение переменных среды, описывающих путь к такой библиотеке;

‑ модификация кода или данных подсистемы защиты ОС.

6 Атаки класса «отказ в обслуживании».Эти атаки нацелены на полный или частичный вывод ОС из строя. Существуют следующие атаки данного класса:

– захват ресурсов – программа захватывает все ресурсы компьютера, которые может получить. Например, программа присваивает себе наивысший приоритет и уходит в вечный цикл;

– бомбардировка трудновыполнимыми запросами – программа в вечном цикле направляет операционной системе запросы, выполнение которых требует больших затрат ресурсов компьютера;

– бомбардировка заведомо бессмысленными запросами – программа в вечном цикле направляет операционной системе заведомо бессмысленные (обычно случайно генерируемые) запросы. Рано или поздно в ОС происходит фатальная ошибка;

– использование известных ошибок в программном обеспечении или администрировании ОС.

Механизмы защиты операционной системы

Можно выделить следующие основные группы механизмов защиты операционной системы:

– механизмы управления доступом;

– механизмы регистрации и учета;

– механизмы криптографической защиты;

– механизмы контроля целостности.

Причем  механизмы управления доступом являются основополагающими для реализации защиты от несанкционированного доступа (НСД), так как именно механизмы защиты данной группы призваны непосредственно противодействовать НСД к компьютерной информации.

Остальные же группы механизмов реализуются в предположении, что механизмы защиты первой группы могут быть преодолены нарушителем. В частности, они могут использоваться:

– для контроля действий пользователя – регистрация и учет;

– для противодействия возможности прочтения похищенной информации – криптографическая защита;

– для контроля осуществленных злоумышленником изменений защищаемых объектов (исполняемых файлов и файлов данных) при осуществлении к ним НСД и для восстановления защищаемой информации из резервных копий – методы обеспечения целостности.

Кроме того, эти группы механизмов могут использоваться для проведения расследования по факту НСД.

Ключевыми механизмами защиты, образующими основную группу механизмов защиты от НСД («Подсистема управления доступом») являются:

– идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия;

– контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

Дополнительным требованием и принципиальным отличием при защите секретной информации является то, что механизмом защиты должно осуществляться управление потоками информации с помощью меток конфиденциальности.

Все три перечисленных механизма являются основополагающими. Связаны они следующим образом: все права доступа к ресурсам (разграничительная политика доступа к ресурсам) задаются для конкретного субъекта доступа (пользователя). Поэтому субъект доступа (пользователь) должен быть идентифицирован при входе в систему и соответственно, должна быть проконтролирована его подлинность (аутентичность). Реализацию основ защиты компьютерной информации от НСД – разграничительную политику доступа к ресурсам осуществляют механизмы контроля доступа.

В основе построения СРД лежит концепция разработки защищенной универсальной ОС на базе ядра безопасности. Под ядром безопасности понимают локализованную, минимизированную, четко ограниченную и надежно изолированную совокупность программно-аппаратных механизмов, доказательно правильно реализующих функции монитора обращений. Для обеспечения обозначенных задач монитор обращений должен обладать тремя качествами:

1 Изолированность. Необходимо предупредить возможность отслеживания работы монитора.

2 Полнота. Монитор должен вызываться при каждом обращении, не должно быть способов обойти его.

3 Верифицируемость. Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования.