Лекции по "Информационной безопасности"

Существуют 4 основных способа воздействия программных закладок на цифровую подпись:

• искажение входной информации (изменяется поступающий на подпись электронный документ);
• искажение результата проверки истинности цифровой подписи (вне зависимости от результатов работы программы цифровая подпись объявляется подлинной);
• навязывание длины электронного документа (программе цифровой подписи предъявляется документ меньшей длины, чем на самом деле, и в результате цифровая подпись ставится только под частью исходного документа);
• искажение программы цифровой подписи (вносятся изменения в исполняемый код программы с целью модификации реализованного алгоритма).

В рамках модели "искажение" также реализуются  программные закладки, действие которых  основывается на инициировании или подавлении сигнала о возникновении ошибочных ситуаций в компьютерной системе.

Для инициирования  статической ошибки на устройствах  хранения информации создается область, при обращении к которой (чтение, запись, форматирование и т. п.) возникает  ошибка, что может затруднить или блокировать некоторые нежелательные для злоумышленника действия системных пли прикладных программ (например, не позволять осуществлять корректно уничтожить конфиденциальную информацию на жестком диске).

При инициировании  динамической ошибки для некоторой операции генерируется ложная ошибка из числа тех ошибок, которые могут возникать при выполнении данной операции. Например, при прочтении первого блока информации длиной 512 байт может устанавливаться соответствующий флажок для того, чтобы не допустить прочтения второго и последующих блоков и в итоге подделать цифровую подпись под документом.

Чтобы маскировать  ошибочные ситуации, злоумышленники обычно используют подавление статической  или динамической ошибки. Целью такого подавления часто является стремление блокировать нормальное функционирование компьютерной системы или желание заставить ее неправильно работать. Разновидностью искажения является также модель типа троянский конь. В этом случае программная закладка встраивается в постоянно используемое программное обеспечение и по некоторому активизирующему событию вызывает возникновение сбойной ситуации в компьютерной системе. Тем самым достигаются сразу две цели: парализуется ее нормальное функционирование, а злоумышленник, получив доступ к компьютерной системе для устранения неполадок, сможет, например, извлечь из нее информацию, перехваченную другими программными закладками. В качестве активизирующего события обычно используется наступление определенного момента: времени, сигнала из канала модемной связи или состояния некоторых счетчиков (например, счетчика количества запусков программы).

Удаление  информации

Работа с  конфиденциальными электронными документами  обычно сводится к последовательности следующих манипуляций с файлами:

• создание;
• хранение;
• коррекция;
• уничтожение.

Для защиты конфиденциальной информации обычно используется шифрование. Основная угроза исходит отнюдь не от использования нестойких алгоритмов шифрования и "плохих" криптографических  ключей, а от обыкновенных текстовых редакторов и баз данных, применяемых для создания и коррекции конфиденциальных документов.

В процессе функционирования программные средства создают в  оперативной или внешней памяти системы временные копии документов. Естественно, все эти временные файлы выпадают из поля зрения любых программ шифрования и могут быть использованы злоумышленником для того, чтобы составить представление о содержании хранимых в зашифрованном виде конфиденциальных документов.

Важно помнить  и о том, что при записи отредактированной информации меньшего объема в тот же файл, где хранилась исходная информация до начала сеанса ее редактирования, образуются так называемые "хвостовые" кластеры, в которых эта исходная информация полностью сохраняется. И тогда "хвостовые" кластеры не только не подвергаются воздействию программ шифрования, но и остаются незатронутыми даже средствами гарантированного стирания информации.

Пользователям необходимо иметь в виду и то, что команды удаления файлов не изменяют содержания файла, и оно может быть в любой момент восстановлено, если поверх него еще не был записан другой файл. Распространенные средства гарантированного стирания файлов предварительно записывают на его место константы или случайные числа и только после этого удаляют файл стандартными средствами. Однако даже такие мощные средства оказываются бессильными против программных закладок, которые нацелены на то, чтобы увеличить количество остающихся в виде "мусора" фрагментов конфиденциальной информации. Например, программная закладка может инициировать статическую ошибку, пометив один или несколько кластеров из цепочки, входящей в файл, меткой "СБОЙНЫЙ".

Защита  от программных закладок

Задача защиты от программных закладок может рассматриваться  в трех принципиально различных  вариантах:

• не допустить внедрения программной закладки в компьютерную систему;
• выявить внедренную программную закладку;
• удалить внедренную программную закладку.

Как и в случае борьбы с вирусами, задача решается с помощью средств контроля за целостностью запускаемых системных  и прикладных программ, а также  за целостностью информации, хранимой в компьютерной системе и за критическими для функционирования системы событиями. Однако данные средства действенны только тогда, когда сами они не подвержены влиянию программных закладок.

При этом чрезвычайно  важно, чтобы включение средств  контроля выполнялось до начала воздействия  программной закладки, либо когда  контроль осуществлялся только с использованием программ управления, находящихся в ПЗУ компьютерной системы.

Универсальным средством защиты от внедрения программных  закладок является создание изолированного компьютера. Компьютер называется изолированным, если выполнены следующие условия:

• в нем установлена система BIOS, не содержащая программных закладок;
• операционная система проверена на наличие в ней закладок;  
• достоверно установлена неизменность BIOS и операционной системы для данного сеанса;
• на компьютере не запускалось и не запускается никаких иных программ, кроме уже прошедших проверку на присутствие в них закладок;
• исключен запуск проверенных программ в каких-либо иных условиях, кроме перечисленных выше, т. е. вне изолированного компьютера.

Для определения  степени изолированности компьютера может использоваться модель ступенчатого контроля. Сначала проверяется, нет ли изменений в BIOS. Затем, если все в порядке, считывается загрузочный сектор диска и драйверы операционной системы, которые, в свою очередь, также анализируются на предмет внесения в них несанкционированных изменений. И, наконец, с помощью операционной системы запускается драйвер контроля вызовов программ, который следит за тем, чтобы в компьютере запускались только проверенные программы.

Выявление внедренного кода программной закладки заключается в обнаружении признаков его присутствия в компьютерной системе. Эти признаки можно разделить на следующие два класса:

• качественные и визуальные;
• обнаруживаемые средствами тестирования и диагностики.

К качественным и визуальным признакам относятся ощущения и наблюдения пользователя компьютерной системы, который отмечает определенные отклонения в ее работе. Несмотря на то, что суждение о наличии признаков этого класса кажется слишком субъективным, тем не менее, они часто свидетельствуют о наличии неполадок в компьютерной системе.

Конкретный  способ удаления внедренной программной  закладки зависит от метода ее внедрения  в компьютерную систему. Если это  программно-аппаратная закладка, то следует  перепрограммировать ПЗУ компьютера. Если это загрузочная, драйверная, прикладная, замаскированная закладка или закладка-имитатор, то можно заменить их на соответствующую загрузочную запись, драйвер, утилиту, прикладную или служебную программу, полученную от источника, заслуживающего доверия. Наконец, если это исполняемый программный модуль, то можно попытаться добыть его исходный текст, убрать из него имеющиеся закладки или подозрительные фрагменты, а затем заново откомпилировать.

Большинство программных  средств, предназначенных для защиты от троянских программ, в той или иной степени использует так называемое согласование объектов. При этом в качестве объектов фигурируют файлы и каталоги, а согласование представляет собой способ ответить на вопрос, изменились ли файлы и каталоги с момента последней проверки. В ходе согласования характеристики объектов сравниваются с характеристиками, которыми они обладали раньше. Берется, к примеру, архивная копия системного файла и ее атрибуты и сравниваются с атрибутами этого файла, который в настоящий момент находится на жестком диске. Если атрибуты различаются и никаких изменений в операционную систему не вносилось, значит в компьютер, скорее всего, проникла  троянская программа.

Одним из атрибутов  любого файла является отметка о времени его последней модификации. Однако отметка времени не может служить надежным индикатором наличия в системе троянского программного обеспечения.

Размер текстовых  файлов легко подогнать, гораздо  труднее подогнать размер двоичных файлов. Вставить в чужую программу фрагмент собственного кода так, чтобы она не утратила работоспособности и в откомпилированном виде сохранила свой размер, достаточно непросто. Поэтому размер файла является более надежным показателем, чем отметка о времени внесения в него последних изменений для двоичных файлов.

Злоумышленник, решивший запустить в компьютер  троянскую программу, обычно пытается сделать его частью системного файла. Такие файлы входят в дистрибутив  операционной системы и их присутствие  не вызывает подозрений. Однако любой системный файл имеет вполне определенную длину. Если данный атрибут будет каким-либо образом изменен, это будет сигналом.

Зная это, злоумышленник  постарается достать исходный текст  соответствующей программы и  внимательно проанализирует его  на предмет присутствия в нем избыточных элементов, которые могут быть удалены безо всякого ощутимого ущерба. Тогда вместо найденных избыточных элементов он вставит в программу свой  троянский код и перекомпилирует ее заново. При этом необходимо будет подогнать размер нового файла.

Более надежной в этом отношении является так  называемая контрольная сумма файла. Для ее подсчета элементы файла суммируются, и получившееся в результате число объявляется его контрольной суммой. Однако и контрольную сумму нетрудно подделать. Поэтому для проверки целостности файловой системы используется особая разновидность алгоритма вычисления контрольной суммы, называемая односторонним хэшированием. Попытка злоумышленника изменить какой-либо файл так, чтобы значение, полученное путем одностороннего хэширования осталось неизменным, обречена на неудачу.

Исторически сложилось  так, что большинство утилит, позволяющих  бороться с проникновением в компьютерную систему троянских программ путем  однонаправленного хэширования  файлов, было создано для операционных систем семейства UNIX. Например, утилита Trip Wire, которая позволяет производить однонаправленное хэширование файлов. Вычисленные хэш-значения файлов хранятся в специальной базе данных, которая, в принципе, является самым уязвимым звеном  утилиты, поэтому пользователям предлагается в обязательном порядке принимать дополнительные меры защиты для исключения доступа к этой базе данных со стороны злоумышленника (например, помещать ее на съемном носителе, предназначенном только для чтения).

Утилиты скрытого администрирования (backdoor)

Троянские кони этого класса по своей сути является достаточно мощными утилитами удаленного администрирования компьютеров  в сети. По своей функциональности они во многом напоминают различные  системы администрирования, разрабатываемые и распространяемые различными фирмами-производителями программных продуктов.

Единственная  особенность этих программ заставляет классифицировать их как вредные  троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске троянец устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на троянца может отсутствовать в списке активных приложений. В результате "пользователь" этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.

Функции Backdoor могут  быть заложены в программу ее разработчиком, например, с целью получения в  дальнейшем несанкционированного доступа к функциям программы или ко всей компьютерной системе пользователя программы. Возможность получения несанкционированного доступа может также образоваться в результате наличия ошибок в программах или операционных системах.

Техника Phishing

Техника с названием phishing используется с целью выманить у пользователя Интернета персональную информацию (пароли, пин-коды и т.д.). При этом злоумышленники могут направлять ему поддельные сообщения электронной  почты. В этих сообщениях, отправленных, например, от имени популярного Web-сайта или банка, может говориться о том, что по той или иной причине пользователь должен выслать банку пароль или пин-код.