Объектно-концептуальная модель РПС.

Определим РПС как класс, базирующийся на классе программ. Этот факт не вызывает сомнения — действительно все РПС (вирусы, троянские кони, закладки) несомненно являются программами, т. к. обладают их основными свойствами — представляют собой набор инструкций некоторого интерпретатора, реализующий определенный алгоритм. От остальных программ они отличаются наличием трех специфических отношений, связывающих их с другими классами объектной модели. Эти отношения присущи исключительно РПС, остальные ("полезные") программы подобными свойствами не обладают.

Для того чтобы определить эти отношения, предлагается ввести понятие нелегитимного доступа, характеризующее все аспекты существования и функционирования РПС. Данное понятие является обобщением понятия несанкционированного доступа. Расширение понятия несанкционированного доступа необходимо, т. к. оно подразумевает всего лишь нарушение принятой в ВС политики безопасности, а исследования механизмов функционирования РПС показали, что зачастую РПС не нарушают правил, установленных отнятой во многих современных ОС политикой безопасности которая таким образом допускает существование РПС. Так, например, наиболее нашумевший сетевой вирус Р. Морриса во многих случаях (хотя и не во всех) проникал в системы, не совершая никаких действий, нарушающих политику безопасности. Это означает, что существуют действия, формально не нарушающие политику безопасности, но несущие угрозу безопасности и целостности системы. Возможность таких ситуаций следует из того, что никакая политика безопасности не может предусмотреть все действия программы или пользователя и определить, совершаются ли они в порядке решения рабочих задач или с целью нанесения ущерба.

Легитимными будем называть действия программы или пользователя, не приводящие к ущербу безопасности и целостности системы.

Под нелегитимными будем понимать действия программы или пользователя, наносящие ущерб безопасности или целостности системы. Заметим, что не все нелегитимные действия являются несанкционированными с точки зрения политики безопасности.

То есть, легитимными считаются действия программы или пользователя, не выходящие за рамки их функций в ВС. Конечно, это определение не дает формального ответа на вопрос, является ли то или иное действие легитимным или нет, для этого требуется информация о функциональном назначении программы в конкретной ВС. На легитимность влияет ряд факторов, не поддающихся формализации, например, допустимые для пользователя или программы действия и средства. Понятие политики безопасности и ее нарушения — НСД было введено для того, чтобы формализовать эти факторы. Отличие понятия легитимности отношений от политики безопасности состоит в том, что политика безопасности служит упрощенной моделью реального распределения ролей пользователей и функций программ в системе, легитимность отношений основывается на проверке нарушения основных характеристик ВС — целостности и безопасности. НСД появляется при наличии конфликта с политикой безопасности, в то время как осуществление нелегитимного доступа приводит к ущербу безопасности или целостности системы. Понятие нелегитимного доступа позволяет дополнить модель программы-нарушителя политики безопасности (средства НСД) моделью средств нелегитимного доступа, используемых пользователем-злоумышленником для нанесения ущерба безопасности системы.

С учетом введенных понятий определим отношения, характеризующие РПС как особый класс, базирующийся на классе программ.

1. Нелегитимное использование ресурсов. РПС, в отличие от полезных программ, осуществляют нелегитимное потребление ресурсов—захват оперативной памяти, дискового пространства, любое РПС, по крайней мере, расходует процессорное время.

2. Нелегитимный доступ к данным. РПС осуществляют нелегитимный доступ (чтение или запись) к данным. Это одно из основных свойств РПС, которому они обязаны своим названием.

3. Нелегитимный запуск программ. Это свойство присуще в основном РПС, функционирующим в развитых сетевых ОС (так называемые "черви"). В этом случае РПС существуют и распространяются не как программы на диске, а как процессы в ОС.

Таким образом, в данной работе под РПС понимается программа, которая осуществляет нелегитимный доступ либо к данным, либо к ресурсам, либо к программам. Наличие хотя бы одной из этих функций позволяет отнести исследуемую программу к классу РПС.

В конкретных ВС может существовать множество способов реализации нелегитимного доступа к объектам ВС, что порождает неисчислимое разнообразие типов РПС. Однако с точки зрения анализа безопасности решающим является сам факт наличия нелегитимного доступа, а проблемы классификации не входят в задачу настоящего исследования.

Наиболее часто выделяют три основных подкласса, связанных с классом РПС отношением включения, — вирусы, троянские кони или "закладки" и программы-взломщики систем защиты и средств разграничения доступа. Все эти подклассы РПС характеризуются специфическими отношениями с объектами ВС (см. рис. 2.3). Заметим, что многообразие видов и типов РПС не исчерпывается этими тремя классами, просто они являются наиболее распространенными.

Вирусы. Это наиболее известный класс РПС, привлекший к себе внимание многих исследователей. В предлагаемой модели вирусы представляют собой подкласс РПС, который кроме отношений, присущих РПС, характеризуется g одним — отношением заражения программ. Под заражением программы понимается такая модификация алгоритма программы, в результате которой программа превращается в РПС. Существует множество систематизаций вирусов, основанных на разных подходах. В рассматриваемой модели эти классификации могут быть заданы посредством детализации отношений с другими элементами QQ, что усложнило бы модель и служило бы задаче систематизации РПС, а не анализу безопасности, хотя, такой подход к классификации вирусов является перспективным.

Троянские кони. Этот класс РПС, характеризуется еще одним специфическим типом отношений с классами данных, ресурсов и программ. Это отношение можно назвать отношением "исследования". Троянские кони — это РПС, наносящие вред после выполнения некоторого условия срабатывания. Для того чтобы проверить это условие, они должны исследовать свое окружение. Обычно в качестве условия срабатывания служит наступление некоторого момента времени или системного события.

Программы-взломщики. Данный подкласс РПС характеризуется специфическим отношением с классом систем защиты, которое заключается в преодолении ограничений, накладываемых этими системами. В просторечии эти действия называются "взлом" системы защиты. Как правило, обход системы защиты совершается с помощью модификации ее кода, или с использованием имеющихся в ней ошибок (т. н. "дыр").

Предложенная модель предметной области и определение понятия РПС позволяет перейти к формальной постановке задачи анализа безопасности ПО и классификации методов анализа.