Введение. Понятие таксономии.

 

Знание истории атак на вычислительные системы и понимание причин, по которым они имели место и были успешно осуществлены является одним из необходимых условий разработки защищенных систем. Перспективным направлением исследований в этой области является анализ успешно проведенных атак на системы защиты с целью их обобщения, классификации и выявления причин и закономерностей их, появления и существования. Эффективность такого подхода обуславливается тем, что при разработке и создании защищенных систем основные усилия концентрируются именно на устранении этих причин и учете в механизмах защиты выявленных недостатков Очевидно, что основой данного подхода является глубокое исследование частных случаев нарушения безопасности и слабых сторон систем защиты, сделавших возможным их осуществление. Для этого необходимо провести анализ и обобщение существующих данных о нарушении безопасности ВС и создать их классификацию. Эта задача являлась целью ряда зарубежных исследований [1, 4, 5, 6, 11, 12, 13, 16, 17]. Наибольший интерес представляет одно из новейших направлений исследований в данной области, предложенное в работе "Таксономия нарушений безопасности программного обеспечения с примерами" [1] Данная глава опирается на результаты этого исследования и представляет собой его обобщение и развитие с точки зрения объяснения причин нарушения безопасности и создания защищенных систем.

Любая атака на вычислительную систему (подразумеваются успешные атаки, в результате которых происходит нарушение информационной безопасности) опирается на определенные особенности построения и функционирования последней, иными словами — использует имеющиеся недостатки средств обеспечения безопасности. Для обозначения таких недостатков в [1] применяется более емкий английский термин "flaw", определенный в [8] следующим образом "Flaw — error of commission, omission or oversight in an information technology product that may allow protection mechanism to be bypassed", что в развернутом переводе означает "ошибка в предоставлении полномочий (подразумевается как предоставление избыточных полномочий, так и их необоснованное лишение), ошибка в средствах контроля за их использованием или другое упущение в средствах защиты, создавшее предпосылки нарушения информационной безопасности.

В контексте изучения истории атак на вычислительные системы и построения таксономии нарушений информационной безопасности для наиболее точного отражения сущности термина "flaw" представляется целесообразным ввести понятие потенциальной бреши в системе обеспечения безопасности (ПББ). Под ПББ понимается как совокупность причин, условий и обстоятельств, наличие которых в конечном итоге может привести к нарушению нормального функционирования ВС и нарушению безопасности информации (несанкционированный доступ, ознакомление, уничтожение или искажение данных), так и особенности построения входящих в состав ВС программных средств обеспечения безопасности, которые не в состоянии противостоять атакам и обеспечивать безусловное выполнение возложенных на них задач по обеспечению безопасности.

Данная работа не преследует своей целью исчерпывающего описания всех известных случаев нарушения безопасности ВС. Для того чтобы были понятны приведенные в этой главе результаты исследования [1], и чтобы подкрепить реальными фактами предлагаемую авторами таксономию причин возникновения ПББ, Приложение 1 содержит список имевших место случаев нарушения безопасности ВС, заимствованный из [1].

 

История исследования

Нарушений безопасности

Компьютерных систем.

Особенно важными и значимыми научными работами в области выявления, исследования и систематизации ПББ являются труды [2,12] и одна из последних публикаций в данной области [1]. Представляется целесообразным кратко рассмотреть работы [2,12,17] и затем подвергнуть подробному анализу результаты, полученные в последних зарубежных научных исследованиях. Наиболее серьезные усилия по выявлению ПББ в системах защиты с помощью экспериментов по их преодолению нашли свое отражение в разработанной в начале 70-х т.н. методологии гипотетического выявления ПББ (Flaw Hypothesis Methodology) [12]. Данная методология предусматривает проведение исследований в три этапа. Первый этап состоит в изучении системы, причем особое внимание уделяется принципам функционирования механизмов защиты. На втором этапе происходит выдвижение предположений (гипотез) о потенциально уязвимых узлах, которые затем тщательно проверяются на основании анализа документации по системе, реальных особенностей и деталей ее функционирования, и с помощью проведения специальных тестов, призванных подтвердить или опровергнуть присутствие предполагаемой бреши в системе защиты. Наконец на третьем, заключительном этапе полученные результаты обобщаются и формируются списки (перечни) выявленных ПББ и успешных атак. Хотя в [12] присутствует перечень ПББ исследованных систем и разработанных и успешно осуществленных атак, систематизация полученных данных выполнена не была.

В середине 70-х годов подобные исследования проводились по проектам RISOS (Research in Secured Operating System) [2] и PA (Protection Analysis)[5]. В обоих проектах были предприняты попытки формального описания и систематизации информации о ПББ.

В заключительном отчете по проекту RISOS [2] приведено описание следующих категорий ПББ в защищенных операционных системах:

1. Неполная проверка допустимости значений критичных параметров

2. Противоречия в проверке допустимости значений критичных параметров.

3. Неявное совместное использование несколькими пользователями конфиденциальной информации.

4. Асинхронный контроль параметров/неадекватная последовательность действий

5. Недостаточно надежная идентификация/аутентификация/авторизация.

6. Возможность нарушения запретов и ограничений

7. Использование ошибок в логике функционирования механизмов защиты.

Отчет [2] описывает разработанные примеры атак для каждого из типов ПББ и содержит детальную информацию по семнадцати реально выявленным ПББ в трех операционных системах: IBM MVT, Univac 1100 и TENEX. Каждая из ПББ четко соответствует одной из семи приведенных категорий.

Целью проекта РА был сбор информации и построение абстрактных моделей, которые в дальнейшем могли бы быть применены для автоматизированного поиска ПББ. В соответствии с приведенными в [5] данными, более ста ПББ, способных привести к несанкционированному проникновению в систему, были обнаружены в шести различных операционных системах (GCOS, Multics, Unix, IBM MVT, Univac 1100 и TENEX). Хотя ни подробная информация о них, ни даже их список не был опубликован, была разработана классификационная таблица ПББ. Изначально в ней было предложено использовать десять категорий, которые можно обобщить следующими классами:

1. Ошибки выделения областей (доменов), включающие незащищенное (в открытом виде) хранение и представление данных, неполное уничтожение объектов или их окружения;

2. Ошибки контроля и проверки, состоящие в некорректной проверке значений параметров и границ объектов;

3 Ошибки назначения имен, допускающие возможность использования нескольких имен для одного объекта и неполное запрещение доступа к уничтоженным объектам;

4. Ошибки в последовательности действий, влекущие за собой некорректное использование множественных ссылок (указателей) на объект и ошибки прерывания атомарных операций

Предлагаемые в работе [5] методики поиска ошибок безопасности в операционных системах реально достаточно ограничены в применении. Это можно объяснить предпринятой попыткой обеспечить универсальность методик, что отрицательно сказалось на возможности их развития и адаптации для новых ОС. С другой стороны, усилия исследователей слишком рано были перенаправлены от изучения ПББ в сторону разработки универсальной технологии создания защищенных операционных систем, свободных от подобных ошибок.

В настоящей работе преследуется более определенная и реальная цель: на основании опубликованной информации о ПББ разработать их детальную иерархическую классификацию и сопоставить полученные результаты с современными достижениями технологии разработки защищенных систем.

 

Таксономия ПББ.

 

Таксономия, в отличие от классификации, представляющей собой абстрактную структуру разнесенных по категориям экземпляров, включает в себя комплексное исследование предметной области и создание теоретической модели полного множества изучаемых объектов, что позволяет определить признаки, которые могут быть положены в основу той или иной классификации. На основании предложенной модели таксономия дает возможность построить полное множество категорий исследуемых объектов для любой выбранной классификации.

С точки зрения технологии создания защищенных систем наибольшее значение имеют следующие вопросы, на которые должна дать ответ таксономия ПББ:

1. Каким образом ошибки, приводящие к появлению ПББ, вносятся в систему защиты (классификация ПББ по источнику появления)

2. Когда (на каком этапе) они вносятся (классификация ПББ по этапу возникновения.)

3. Где (в каких узлах) системы защиты (или ВС в целом) они возникают и проявляются (классификация ПББ по размещению в системе).

Каждый вопрос предопределяет наличие соответствующего подраздела таксономии, в котором должен быть рассмотрен каждый случай нарушения безопасности.