Практическая работа по "Обеспечение информационной безопасности"

PAM 
Описание: Подключаемые модули аутентификации. 
Механизм работы: Программы, написанные с использованием PAM, обращаются к его библиотеке, которая уже собственно проводит процедуру аутентификации пользователя. При ошибке авторизации приложению возвращается соответствующий код ошибки.

SELinux 
Описание: Реализация системы принудительного контроля доступа (Mandatory Access Control, MAC), основанная на политиках и контекстах безопасности. 

Контроль называется принудительным, когда применение контроля производится администраторами и системой, и не зависит от решения пользователей, как это происходит при обычном  контроле доступа. [*] 
Механизм работы: Для проверки прав доступа используется LSM-модуль ядра, которые проверяет политику безопасности приложения и сверяет его тип с контекстом безопасности используемых файлов (объектов). При ошибке доступа соответствующая запись добавляется в /var/log/audit/audit.log. Пользователь может получить нотификацию об этом через утилиту setroubleshoot.

AppArmor 
Описание: Система упреждающей защиты, основанная на политиках безопасности (профилях). 
Механизм работы: Для проверки прав доступа используется LSM-модуль ядра, который при запуске приложения проверяет наличие его профиля (/etc/apparmor.d), и если профиль существует, то ограничивает выполнение системных вызовов в соответствии с профилем. При ошибке доступа соответствующая запись добавляется в /var/log/audit/audit.log. Пользователь может получить нотификацию об этом через утилиту apparmor-notify.

PolicyKit 
Описание: Средство контроля системных привилегий. 
Механизм работы: При обращении приложения к сервису (любое обращение проходит как action), он проверяет через PolicyKit права доступа пользователя для данного action-а. В зависимости от политик доступ может быть запрещен, разрешен или требовать аутентификации. Отображение ошибок (или запрос пароля) должно на себя брать клиентское приложение. 

Естественно, есть и другие средства, связанные с безопасностью, не рассмотренные в данной статье. Однако все вышеперечисленное является стандартом де-факто для наиболее распространенных дистрибутивов, и  если вы заботитесь о безопасности, желательно их знать.

 

7. Защита программного  обеспечения вирусного заражения,  разрушающих программных действий  и изменений 

Задача защиты от разрушающих  программных воздействий может  ставиться в нескольких принципиально  различных вариантах. Классический вариант состоит в выявлении  и ликвидации вирусов. Ослабленная  разновидность данного варианта — только выявление вируса. Понятно, что алгоритмы нахождения и удаления вирусов отличаются некоторой принципиальной ненадежностью (возможен пропуск вируса во время процедуры проверки при  условии, что вирус в компьютерной системе присутствует (ошибка первого  рода)). Кроме того, выше мы говорили о множестве путей внедрения  РПВ и их разнообразном негативном воздействии. Следовательно, для защиты важной компьютерной системы необходимо полностью исключить наличие  РПВ (или допустить присутствие  РПВ с вероятностью не выше заданной и очень малой).           

 Формализуем общую  задачу борьбы с разрушающими  программными воздействиями, рассмотрев  следующие начальные условия.           

1. Априори неизвестно  наличие в каком-либо множестве  программ фрагментов РПВ. Ставится  задача определения факта их  наличия или отсутствия; при этом  программы не выполняются (статическая  задача).           

2. При условиях, рассматриваемых  в пункте 1, прикладные программы  используются по своему прямому  назначению. Также ставится задача  выявления закладки, но в данном  случае динамическая (по результатам  работы).             

3. Происходит обмен программным  продуктом (либо в пространстве—  передача по каналу связи или  пересылка на магнитном носителе, либо во времени — хранение), априори свободным от потенциально  опасных действий. Программный продукт  не исполняется. Задача защиты (статическая) ставится в трех  вариантах:           

1) не допустить внедрение  закладки;           

2) выявить внедренный  код закладки;           

3) удалить внедренный  код закладки.           

4. При условиях пункта 3 решается динамическая задача  — защита от воздействия закладок  в ходе работы программ.           

5. При условии потенциальной  возможности воздействия закладок  решается задача борьбы с их  итоговым влиянием, т. е. закладки  присутствуют в системе, но  либо не активны при выполнении  критических действий прикладных  программ, либо результат их воздействия  не конструктивен.           

 Далее рассмотренные  задачи будем упоминать как  задачи 1 — 5.           

 Методы борьбы с  воздействием закладок можно  разделить на классы и связать  с общей проблемой защиты программного  обеспечения от несанкционированного  доступа. 

Общие методы защиты программного обеспечения, решающие задачи борьбы со случайными сбоями оборудования и несанкционированным доступом:            

1) контроль целостности  системных областей, запускаемых  прикладных программ и используемых  данных (решение задачи 3);           

2) контроль критических  для безопасности системы событий  (решение задачи 2).           

 Данные методы действенны  лишь тогда, когда контрольные  элементы не подвержены воздействию  закладок и разрушающее воздействие  либо инициирующее его событие  входят в контролируемый класс.  Так, система контроля за вызовом  прерываний не будет отслеживать обращение к устройствам на уровне портов. Но также и контроль событий может быть обойден путем:           

 • навязывания конечного  результата проверок;           

 • влияния на процесс  считывания информации;           

 • изменения контрольных  элементов (хеш-функций), хранящихся  в обще доступных файлах или  в оперативной памяти.           

 Важно, что контроль  должен быть выполнен до начала  влияния закладки либо контроль  должен осуществляться полностью  аппаратными средствами с программами  управления, содержащимися в ПЗУ;            

3) создание безопасной  и изолированной операционной  среды (решение задачи 4);           

4) предотвращение результирующего  воздействия вируса или закладки (например, запись на диск только  в зашифрованном виде на уровне  контроллера — тем самым локальное  сохранение информации закладкой  не имеет смысла — или запрет  записи на диск на аппаратном  уровне) (решение задачи 5).

 Специальные  методы выявления программ с  потенциально опасными последствиями:            

1) поиск фрагментов кода  по характерным последовательностям  (сигнатурам), свойственным закладкам,  либо, наоборот, разрешение на выполнение  или внедрение в цепочку прерываний  только программам с известными  сигнатурами (решение задач 1, 2);           

2) поиск критических участков  кода (с точки зрения безопасности  компьютерной системы) методом  семантического анализа. При этом  анализ фрагментов кода на  выполняемые ими функции (например, выполнение НСЗ) часто сопряжен  с дизассемблированием или эмуляцией  выполнения (решение задач 1, 2).

8. Основные классификационные  признаки компьютерных вирусов.

Компьютерный  вирус — это специальная программа, Способная самопроизвольно присоединяться к другим программам и при запуске последних выполнять различные нежелательные действия: порчу файлов и каталогов; искажение результатов вычислений; засорение или стирание памяти; создание помех в работе компьютера. Наличие вирусов проявляется в разных ситуациях, например:

• Некоторые программы перестают работать или начинают работать некорректно.
• На экран выводятся посторонние сообщения, сигналы и другие эффекты.
• Работа компьютера существенно замедляется.
• Структура некоторых файлов оказывается испорченной.

Имеются несколько  признаков классификации существующих вирусов:

• по среде обитания;
• по области поражения;
• по особенности алгоритма;
• по способу заражения;
• по деструктивным возможностям.

По среде обитания различают:

• файловые,
• загрузочные,
• макровирусы
• сетевые вирусы.

Файловые вирусы — наиболее распространенный тип вирусов. Эти вирусы внедряются в выполняемые файлы, создают файлы-спутники (companion-вирусы) или используют особенности организации файловой системы (link-вирусы).

Загрузочные вирусы записывают себя в загрузочный сектор диска или в сектор системного загрузчика жесткого диска. Начинают работу при загрузке компьютера и обычно становятся резидентными.

Макровирусы заражают файлы широко используемых пакетов обработки данных. Эти вирусы представляют собой программы, написанные на встроенных в эти пакеты языках программирования. Наибольшее распространение получили макровирусы для приложений Microsoft Office.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. Полноценные компьютерные вирусы при этом обладают возможностью запустить на удаленном компьютере свой код на выполнение.

На практике существуют разнообразные  сочетания вирусов — например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные секторы дисков, или сетевые макровирусы, которые заражают редактируемые документы и рассылают свои копии по электронной почте.

Как правило, каждый вирус  заражает файлы одной или нескольких ОС. Многие загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.

 По особенностям алгоритма выделяют:

• резидентные  вирусы,
• стелс-вирусы,
• полиморфные и др.

Резидентные вирусы способны оставлять свои копии в ОП, перехватывать обработку событий (например, обращение к файлам или дискам) и вызывать при этом процедуры заражения объектов (файлов или секторов). Эти вирусы активны в памяти не только в момент работы зараженной программы, но и после. Резидентные копии таких вирусов жизнеспособны до перезагрузки ОС, даже если на диске уничтожены все зараженные файлы. Если резидентный вирус является также загрузочным и активизируется при загрузке ОС, то даже форматирование диска при наличии в памяти этого вируса его не удаляет.

К разновидности резидентных  вирусов следует отнести :макровирусы, поскольку они постоянно присутствуют в памяти компьютера во время работы зараженного редактора.

Стелс-алгоритмы позволяют вирусам полностью или частично скрыть свое присутствие. Наиболее распространенным стелс-алгоритмом является перехват запросов ОС на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат эти объекты, либо подставляют вместо себя незараженные участки информации. Частично к стелс-вирусам относят небольшую группу макровирусов, хранящих свой основной код не в макросах, а в других областях документа — в его переменных или в Auto-text.

Полиморфность (самошифрование) используется для усложнения процедуры обнаружения вируса. Полиморфные вирусы — это трудно выявляемые вирусы, не имеющие постоянного участка кода. В общем случае два образца одного и того же вируса не имеют совпадений. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

При создании вирусов часто  используются нестандартные приемы. Их применение должно максимально затруднить обнаружение и удаление вируса.

По способу  заражения различают :

• троянские программы,
• утилиты скрытого администрирования,
• Intended-вирусы и т. д.

Троянские программы получили свое название по аналогии с троянским конем. Назначение этих программ — имитация каких-либо полезных программ, новых версий популярных утилит или дополнений к ним. При их записи пользователем на свой компьютер троянские программы активизируются и выполняют нежелательные действия.

Разновидностью троянских  программ являются утилиты скрытого администрирования. По своей функциональности и интерфейсу они во многом напоминают системы администрирования компьютеров  в сети, разрабатываемые и распространяемые различными фирмами — производителями  программных продуктов. При инсталляции  эти утилиты самостоятельно устанавливают  на компьютере систему скрытого удаленного управления. В результате возникает  возможность скрытого управления этим компьютером. Реализуя заложенные алгоритмы, утилиты без ведома пользователя принимают, запускают или отсылают файлы, уничтожают информацию, Эрезагружают компьютер и т. д. Возможно использование этих утилит для обнаружения и передачи паролей и ной конфиденциальной информации, запуска вирусов, ничтожения данных.

К Intended-вирусам относятся  программы, которые не способны размножаться из-за существующих в них ошибок. К этому классу также можно  отнести вирусы, которые размножаются только один раз. Заразив какой-либо файл, они теряют способность к  дальнейшему размножению через  него.

По деструктивным  возможностям вирусы разделяются на:

• неопасные, влияние которых ограничивается уменьшением свободной памяти на диске, замедлением работы компьютера, графическим и звуковыми эффектами;
• опасные, которые потенциально могут привести к нарушениям в структуре файлов и сбоям в работе компьютера;
• очень опасные, в алгоритм которых специально заложены процедуры уничтожения данных и возможность обеспечивать быстрый износ движущихся частей механизмов путем ввода в резонанс и разрушения головок чтения/записи некоторых НЖМД.