Работа с цодом как эпизодическая задача

 

Если работа в терминальной, виртуальной или web-сессии является эпизодической задачей, то требования к ОС терминального клиента минимальны, а его модификации маловероятны и, во всяком случае, крайне редки.

Для таких случаев как нельзя лучше подойдет решение с загрузкой эталонного неизменяемого терминального клиента из защищенной памяти отчуждаемого устройства. После окончания работы в терминальной сессии пользователю достаточно отключить устройство и перезагрузиться, чтобы вернуться к работе с ресурсами основного СВТ.

Это вкратце и есть описание доверенного сеанса связи (ДСС), реализуемого, в частности СОДС (средством обеспечения доверенного сеанса связи) «МАРШ!».

Суть концепции доверенного сеанса связи с точки зрения безопасности заключается в следующем: раз компьютер практически всегда используется в незащищенных сетях и только иногда – в защищенных, значит, нужно добиваться не «тотальной» защиты, что дорого и неудобно, а защиты, при которой защищенные и «опасные» ресурсы разделяются и не могут использоваться совместно.

При этом очевидно, что целесообразность применения «постоянной» защиты или средства обеспечения доверенного сеанса связи прямо пропорциональна тому, сколько данный конкретный компьютер должен использоваться в режиме доверенной среды. Если постоянно или большую часть времени – то его необходимо полноценно, хоть и дорого, защищать, создавая ИПС, защищая каналы связи и т. д., и т. п. Если же это короткие сеансы в течение дня – то логично использование СОДС.

Успешность атаки определяется, в числе прочих факторов, временем, в течение которого злоумышленник имеет возможность ее осуществлять.

Это математически доказуемое и доказанное положение давно стало общим местом, в результате чего, к сожалению, дало почву для злоупотреблений, когда несанкционированное использование злоумышленниками ключей, хранящихся в токенах, объяснялось в дальнейшем тем, что пользователи слишком надолго оставляли токены подключенными.

Ошибочность этого объяснения настолько очевидна, что его сложно считать именно ошибочным. Однако предпосылки понятны – любая атака требует подготовки, создания условий для ее успешного проведения.

Подготовить условия для проведения атаки в постоянной среде – удобнее, чем в среде, создающейся на ограниченное время. Поэтому постоянная вычислительная среда должна быть более устойчивой к воздействиям на нее.

Однако, для того чтобы повысить устойчивость системы, не обязательно непременно повышать устойчивость среды. Альтернатива повышению устойчивости среды к воздействию – повышение устойчивости системы за счет уменьшения периодов времени существования целевой (для хакера) среды. Вспомним распространенный мотив из детективов и боевиков: для того чтобы «засечь» место, из которого производится телефонный звонок, специалистам необходимо N секунд. Поэтому тот, кому звонят, старается продержать абонента на трубке нужное время, а звонящий – прервать сеанс на N-2-й секунде. После этого можно перезванивать снова – специалистам опять понадобится N секунд, а не только 2 оставшиеся, так как результат их действий не накапливается, а начинается всякий раз с начала.

Примерна такова и логика ДСС. 

Доверенная вычислительная среда создается комплексом средств единожды и на постоянное время и стоит дорого. Доверенный сеанс связи создается многократно по мере необходимости в нем, на непродолжительный промежуток времени (сеанс), и стоят средства его обеспечения ощутимо меньше.

Почему же тогда неверна логика кратковременности подключения токенов? Почему ключи успевают попасть в руки злоумышленников даже в тех случаях, когда токены подключаются только для подписания платежки, и даже в тех случаях, если ключи в них – неизвлекаемые?

Принципиальное требование безопасности к сеансу, детерминирующее безопасность применения этой технологии, – это «обнуление» среды при разрыве сеанса, возвращение ее в исходное состояние. Именно это не дает возможности злоумышленнику накопить результаты воздействий на среду, подготовить условия для проведения атаки. В случае с СОДС это обеспечивается тем, что доверенная среда взаимодействия загружается из раздела памяти ReadOnly и модифицировать ее можно только во время сеанса связи. В случае же с токенами среда компьютера постоянна, все необходимые манипуляции с ней злоумышленник может произвести в любое удобное время, вне зависимости от того, подключен ли токен. И потом даже предельно кратковременного подключения будет достаточно для того, чтобы доступ к ключам был получен.

Атаки, безусловно, возможны, и на «МАРШ!» (например, атакой через сеть, так как остальные ресурсы компьютера средой, загружаемой с «МАРШ!», не поддерживаются). Даже если такая атака состоялась, например, в доверенную среду попал вирус или была осуществлена попытка «инъекции кода», то после отключения «МАРШ!» от компьютера среда вернется в исходное состояние, так как вирус не сможет записаться в память RO.