Антонюк А.О. Теоретичні основи захисту інформації
Подождите немного. Документ загружается.
211
умова спрацьовування служить настання деякого моменту часу або системної
події.
Програми-зломщики. Даний підклас РПЗ характеризується специфічним
відношенням із класом систем захисту, що полягає в подоланні обмежень, що
накладаються цими системами. У просторіччі ці дії називаються злом системи
захисту. Як правило, обхід системи захисту відбувається за допомогою
модифікації її коду, або з використанням наявних у ній помилок (т.зв. «дірок»).
Тут дискусія: спадкування, модифікація, в клю чення – який взаємозв’язок
між ними?
Зазначена класифікація разом з відносинами може бути зображ ена у виді
наступної схеми (Рис. 12).
Позначення:
– відношення спадкування;
– відношення включення;
– відношення нелигітимного доступу;
Ресурсы
Данные
Алгоритмы
Программы
РПС
Прикладные
Системные
Троянские
кони
Вирусы
Утилиты
Системы защиты
Программы-взломщики
Ресурси
Дані
Алгоритми
Програми
РПС
Прикладні
Системні
Троянські
коні
Віруси
Утиліти
Системи захисту
Програми зломщики
212
– відношення дослідження;
– відношення зараження;
– відношення злому.
Рис. 12. Класи об’єктно-концептуальної моделі предметної області і
відносини між ними
Тепер на основі запропонованої моделі предметної області і визначення
поняття РПЗ можна перейти до формальної постановки задачі аналізу безпеки
ПЗ і класифікації методів аналізу.
7.2. Модель взаємодії об'єктів обчислювальної системи з погляду
безпеки
Розглянемо модель відносин між об’єктами, що існують у обчислювальній
системі. Для вирішення цієї задачі використо вувати мемо апарат теорії множин і
відносин.
Як і раніше, позначимо через О множину всіх об’єктів обчислювальної
системи. Відповідно до запропонованої ран іше об’єктно-конц ептуальної
моделі, цю множину складають наступні підмножини:
R
s
={r
i
| i=1,...,N} – множина ресурсів обчислювальної системи;
D
s
={d
j
| j=1,...,М} – множина даних обчислювальної системи;
P
s
={р
k
| k=1,...,L} – множина програм обчислювальної системи.
Отже, О=R
s
∪D
s
∪P
s
.
Уведемо відносини доступу, що зв’язують програми, які виконуються, з
об’єктами обчислювальної системи. Будь-яка програма у своїй роботі
використовує певні ресурси, здійс нює запис або читання яких-небудь даних і
може запускати інші програми. Позначимо ці відносини:
U={u
i
(r) | i=1,...,N} – множина відносин доступу до ресурсів;
R={r
j
(d) | j=1,...,М} – множина відносин доступу по читанню до даних;
W={w
j
(d) | j=1,...,M} – множина відносин доступу по запису до даних;
Е={е
k
(p) | k=1,…,L} – множина відносин доступу по виконанню до
програм;
213
Об’єднання цих множин – множина А=U∪R∪ W∪E являє собою множин у
відносин доступу або повну множину відносин доступу до об’єктів
обчислювальної системи, що потенційно мож е установити програма в даній
обчислювальній системі.
Проте у процесі свого виконання програма р установлює не всі можливі
для неї відносини, а лише деяку конкретну їх підмножи ну, яка є об’єднанням
підмножин U
p
, R
p
, W
p
, E
p
, де U
p
⊆U, R
p
⊆R, W
p
⊆W, E
p
⊆E. Склад останніх
підмножин залежить від параметрів, з якими була запущена програма, її
інтерактивної взаємодії з користувачем і с та ну обчислю в а ль н ої системи .
Позначимо через X вектор умов запуску програми (її аргументи, параметри
обчислювальної системи і т.д.). Тоді А
р
(X) = U
p
∪R
p
∪W
p
∪E
p
– множина відносин
доступу програми р до об’єктів обчислювальної системи при запуску в умовах
X, причому, зв и ча й но , А
р
(X)⊆А.
Об’єднання всіх множин А
р
(X) по всіх можливих X утворить множину
А
р
=
X
p
XA
∀
)(
⊆А
– робочий простір програми р.
Є підстави вважати дану множину неперичислимою – у всякому разі поки
не створено алгоритм, що породжує всі елементи цієї множини. Це означає, щ о
його неможливо побудувати за допомогою якої-небудь процедури, що моделює
поводження програми – поки його можна одержати тільки експериментальним
шляхом.
Як відзначалося раніше, відносини, що установлюються програмою р з
об’єктами обчислювальної системи, можуть бути санкціонованими і
несанкціонованими, легітимними і нелегітимними. Легітимність і
санкціонованість відносин залежить від призначення програми й умов
конкретного запуску.
Розглянемо зміст цих понять для всіх типів відносин. НСД означає, що
програма намагається зробити дії, на які вона не має повноважень. Ці дії не
допускаються політикою безпеки обчислювальної системи і повинні
214
припинятися системою розмежування доступу обчислювальної системи.
Нелегітимний же доступ спричиняє збиток безпеці і/або цілісності
обчислювальної системи і є узагальненням НСД. Це означає, що множ ина
нелегітимних відносин L
p
для програми р містить у собі множину
несанкціонованих відносин S
p
, а множин а легітимних – А
р
\L
p
є підмножиною
санкціонованих – А
р
\S
p
.
Рис. 13. Нелегітимний і несанкціонований доступи
Позначення:
А
р
– повна множина відносин доступу до об’єктів обчислювальної
системи;
S
p
– несанкціонований доступ;
L
p
– нелегітимний доступ.
Для реалізації методів аналізу безпеки актуальним є питання про
можливість розв’язності цих множин [6].
Означення. Множина М називається розв’язною, якщо існує алгоритм А
М
такий, що для будь-якого об’єкта а дає відповідь, належить цей об’єкт множин і
М чи ні. Алгоритм А
М
називається розв’язуючим алгоритмом.
S
p
L
p
A
p
215
Зазначимо, що множина S
p
є розв’язною – в якості розв’язуючого
алгоритму виступає п олітика безпеки обчислювальної системи і її реалізація у
вигляді системи розмежування доступу. Питання ж про формальну можливість
розв’язності множини L
p
залишається відкритим, оскільки поки немає
механізму формальної оцінки безпеки і цілісності обчислювальної системи.
Взаємини між несанкціонованим доступом і доступом нелегітимним, але
санкціонованим показані на рис. 14. і в табл и ц і 9.
Таблиця 9. Взаємини між не са нк ц іон о в аним і нелегітимним доступом
Нелегітимний доступ
Тип відносини
Несанкціонований доступ
Нелегітимний, але
санкціонований доступ
Використання
ресурсів
Спроба використання
ресурсів, недоступних для
програми
Санкціонована витрата
ресурсів, що приводить до
порушень цілісності і
безпеки обчислювальної
системи
Читання даних
Спроба звертання до даних,
на доступ до яких
повноваження в програми
відсутні
Санкціоноване звертання до
даних, у результаті якого
порушується безпека
обчислювальної системи
Запис даних
Спроба модифікації даних,
на зміну яких повноваження
в програми відсутні
Санкціонована модифікація
даних у результаті якої
порушується безпека і/або
цілісність обчислювальної
системи
Виконання
програм
Спроба виконати програму,
на виконання якої
повноваження в програми
відсутні
Санкціоноване виконання
програми (породження
процесу) у результаті якого
порушується безпека і/або
цілісність обчислювальної
системи
Уведені поняття дозволяють перейти до побудови моделі безпеки
обчислювальної системи, що базується на понятті легітимного і нелегітимного
доступу. Дана модель служить розвитком відомих моделей безпеки [72], що
використовують поняття санкціонованого і несанкціонованого доступу, є їхнім
логічним наслідком і модернізує їх з урахуванням дії РПЗ і сучасної парадигми
функціонування обчислювальної системи.
Будемо розглядати обчислювальну систему, як і раніше, як сукупність
двох множин – множини об’єктів О і множини суб’є кт ів S. Об’єкти являють
216
собою пасивні компоненти обчислювальної системи, а суб’єкти є активними
компонентами і встановлюють різні стосунки з об’єктами. У свою чергу,
множина суб’єктів S складається з двох підмножин – користувачів S
u
і проце сів
S
p
, тобто S=S
u
∪S
p
. Процеси являють собо ю про г р ам и , що ви ко н у ю ть ся і діють
від імені користувачів або від свого власного. Процес являє собою реалізацію
послідовності відносин R
i
, між суб’єкт ам и та об’єктами, що належать повній
множині відносин R
i
⊆R=S×О. Ти п віднос ин залеж и ть від типу об’єкта (читанн я ,
запис, використання, запуск і т.д.). Як уж е говорилося, відно сини поділяються
на легітимні і нелегітимні.
Для оцінки стану обчислювальної системи звичайно використовуються дві
характеристики – безпека і цілісність. Виходячи з визначення поняття
легітимності очевидно, щ о безпека і цілісність системи визначаються
легітимністю відносин, установлених між суб’єктами й об’єктами, що входять
до її складу. Очевидно також, що перед устан овленням відносин для
запобігання спроби встановити нелегітимні стосун ки в си стемі повинен
здійснюватися певний контроль. У тому випадку, коли суб’єктом є користувач,
відносини користувач-об’єкт контролюються політикою безпеки, прийнятою у
обчислювальної системи. Якщо ж суб’єктом є процес, то перевірка легітимності
відносин процес-об’єкт складає задачу аналізу безпеки програм. На рис. 14.
показано схему контролю легітимності відносин у обчислювальній системі.
217
Рис. 14. Схема контро л ю л ег іти м н ос ті в ідносин у обчислювальн ій системі
В рамках даних означень та понять можна сформулювати наступн ий
загальний критерій безпеки систем: система, що складається з множини
об’єктів О і суб’єктів S, є безпечною і ціл існ о ю на усіх кроках її
функціонування, якщо всі існуючі в ній до цього кроку відносин и між
суб’єктами й об’єктами були легітимні, тобто R
i
∈
L.
Методи і засоби контролю відносин користувач-об’єкт відповідно до
певної політики безпеки були досліджені в числених роботах, присвячених
моделям безпеки [46,54,58], включені в стандарти на зах ищ ен і обчис лю ва льн і
системи і операційні системи і знайшли своє втілення в багатьох захищених
операційних системах.
Для вирішення задачі перевірки легітимності відносин між процесами й
об’єктами обчислювальної системи розглянемо наступний підхід [47].
Позначимо через Р множину усіх можливих для даної обчислювальної
системи програм або пр остір програм. Очевидно, що для будь-якої множини
робочих програм
P
~
буде
PP ⊆
~
. Нехай V – множина усіх РПЗ, тоді, очеви дн о ,
PV
~
⊆
. Н аг ад аєм о , що будь-яка програма, що володіє хоча б однією
властивістю РПЗ, має бути віднесена до класу РПЗ. Наприклад, будь-яка
Безпека
Цілісність
Політика
безпеки
Аналіз
безпеки
програм
Суб’єкти
Користувачі
Процеси
Об’єкти
218
прикладна програма, що заражена вірусом або утримує в собі троянського коня,
уже повинна належати до множині РПЗ.
Теоретичним дослідженням множини РПЗ V займалися багато авторів, у
т.ч. Адлеман [68], Доулинг [76], Коэн [77]. Ці робо ти показал и, що дослідженн я
РПЗ і способів їхнього виявлення перетинаються з задачами доказу повноти
множин і проблемою вичислимості.
На даний момент одним з основних результатів досліджень у цій області
став доказ Адлеманом [68] повноти множини V, х о ча використаний метод
доказу не дозволяє ефективно побудувати процедуру породження цієї
множини. Нагадаємо, що множина називається повною, якщо вона перечислима
і до неї зводи ть ся будь-яка інша перечислима множина [76]. З вед енн я однієї
множини до іншої (зведення за Тьюрингом) означає, що існує характеристична
функція однієї множини відносно другої. З повноти множини V випливає її
перечислимість, що означає, що вона є областю значень деякої
загальнорекурсивної функції, тобто існує загальнорекурсивна функція ϕ
v
(x),
така, що v
∈
V, якщ о і тільки якщо існує такий х, що v=ϕ
v
(x). У принципі цей
результат установлює можливість створення процедури, що породжує множину
програм РПЗ.
Для повного розв’язку проблеми безпеки програм необхідно довести
твердження про можливість розв’язності множини V. Для цього необхідно
довести, щ о існує алгоритм, який дозволяє дати відповідь на питання: належить
будь-яка програма р множині V чи ні. На сьогоднішній день можливість
розв’язання множини V формально не доведена. У роботі Ф.Коэна [76] є
міркування про неможливість побудови універсального розпознавальника РПЗ,
однак вони носять неформальний характер і не є остаточними. Рішення
питання, що зв’язанє з доказом мож ливості розв’язності деяких підмножин
множини V будуть обговорюватися далі при розгляді різних методів аналізу
безпеки.
219
7.3. Задача аналізу безпеки ПЗ
Під безпекою ПЗ будемо розуміти відсутність у ньому елементів РПЗ.
Отже, відповідно до визначення РПЗ, даному раніше, для доказу безпеки
програми потрібно довести, що програма не встановлює нелегітимних відносин
з об’єктами обчислювальн ої си стеми. З урахуванням уведених понять
приведемо формальну постановку задачі аналізу безпеки програм.
Для того, щоб довести, що програма р, яка досліджуєтьс я, є безпечн о ю ,
необхідно і достатньо довести, що р∉ V. Це, з урахуванням запропонованого
визначення РПЗ, означає, що множина відносин А
р
, до я ко ї належать усі
відносини з об’єктами обчислювальної системи, що установлюються
програмою р у процесі її виконання, не містить нелегітимних відносин, тобто
А
р
∩L
p
=∅.
Проте, розв’язок цієї задачі утруднюється двома проблемами.
По-перше, у загальному випадку неможливо побудувати розв’язуючу
процедуру, що дозволяє визначити легітимність відносини доступу.
По-друге, неможливо одержати всі елементи для визначення їхньої
легітимності.
Спосіб розв’язання цих проблем залежить від того, у якому просторі –
просторі відносин чи просторі програм буде розглядатися задача аналізу
безпеки. Отже, у наступному розділі буде розглянута постановка задачі аналізу
безпеки і методи її рішення для кожного з цих підходів.
7.4. Методи аналізу безпеки ПЗ
Перш за все слід відзначити, що в області аналізу безпеки програм
практика значно випереджає теорію. Ш ироко відомі різні засоби ПЗ виявлень
елементів РПЗ – від найпростіших антивірусних програм -скан ерів до складних
відладчиків і дизасемблерів-аналізатор ів, у той час як теоретичні дослідження в
області методів аналізу безпеки носять трохи відвернений характер. Все ж
можна зробити спробу встановити зв’язок між методами, що лежать в основі
конкретних засобів, і теоретичними розробками в області аналізу безпеки ПЗ.
220
Як говорилося раніше, аналіз безпеки утруднюється двома факторами –
нерозв’язністю множини відносин нелегітимного доступу і проблематичністю
породження робочого простору відносин програми з об'єктами обчислювальної
системи.
Залежно від способу подолання цих труднощів пропонується розділити
методи, що використовуються для аналізу безпеки ПЗ, на дві категорії:
контрольно-іспитові і л о гік о-ан алітичні [47]. За такої класифікації тип
використовуваних для аналізу засобів не приймається до уваги – у цьому її
перевага порівняно, наприклад, з поділом на статичний і динамічний аналіз. В
основу даного поділу покладені принципові розходження точок зору на об’єкт
(програму), що дослідж ується – контрольно-іспитові методи ана л ізу
розглядають РПЗ як феномен, а логіко-аналітичні – як ноумен.
Якщо розглядати РПЗ як феномен, то задача вирішується в просторі
відносин. У такій постановці для доказу того, що досліджувана програма
містить РПЗ, необхідно довести, що робочий простір А
р
програми містить
відношення нелегітимного доступу, тобто представити зафіксований факт
здійснення нелегітимного доступу до об’єктів обч ислю вальн ої системи. Ці
методи найбільш поширені, тому що вони не вимагають формального аналізу,
дозволяють використовувати наявні технічні і програмні засоби і швидко
ведуть до створення готових методик. Як приклад, можна привести методику
спробного запуску в спеціальному середовищі з фіксацією спр об порушення
систем захисту і розмежування доступу [54]. Крім того, ці методи
використовують спеціальні сторожі, що попереджають користувача про
підозрілі події в системі.
Якщо ж розглядати РПЗ як ноумен, то задача вирішується в просторі
програм шляхом апроксимації множини РПЗ деякою розв’язною підмножиною.
Процес аналізу зводиться до перевірки значення характеристичної функції цієї
підмножини для досліджуваної програми. Прикладами реалізації цих методів
служить більшість сучасних засобів пошуку вірусів, що використо вую ть метод
пошуку сигнатур або перевірку деякого набору ознак. Підмнож ина РПЗ