ПРог_ЗАкл (1085436), страница 3
Текст из файла (страница 3)
для систем автоматизированного финансового документооборота,
пример - система ЭЦП <Блиц>).
3.5. Модель сохраняющей закладки в виде совокупвости орграфов
прерываний.
Пусть имеется закладка с множеством активизирующих событий I,
мощность множества I равна m.
Для каждого активизирующего события зададим орграф
Г(i), i=1,2...m, который соответствует цепочке прерывания для
каждого события.
Вершины орграфа соответствуют командам передачи управления от
одного программного модуля к другому, а ребра -
последовательностям команд, внутри одного модуля или сегмента.
Для каждого ребра (xi ,xj ) орграфа Гk зададим число t(ijk)
равное 1, если ребро принадлежит программой закладке, равное 2,
если ребро принадлежит существенно важной программе (драйверу
DOS, коду BIOS), 0 - во всех иных случаях.
Поскольку рассматривается случай, когда управление после
отработки прерывания передается обратно вызвавшей программе, то
можно утверждать, что каждый из орграфов содержит контур,
начинающийся в вершине 1.
Тогда сформулируем:
Утверждение 1.
Воздействие закладки будет нейтрализовано, если для каждого
орграфа может быть построено ребро, образующее контур,
объединяющее ребра с t = 0 и t = 2, причем все ребра с t = 2
должны входить в построенный контур.
Доказательство этого утверждения следует из того, что при
построении названного в условии пути, управление никогда не будет
передано коду закладки и, следовательно, множество активизирующих
закладку событий будет пустым.
Полностью описать класс возможных событий позволяет:
Утверждение 2.
При наличии закладки в оперативной памяти и при непустом
множестве активизирующих событий, воздействие закладки в принципе
возможно.
Верность этого утверждения следует из того, что любой
программный модуль при передаче ему управления (что следует из
того, что множество активизирующих событий не пусто) может
сохранить (исказить) некоторую информацию, пользуясь либо прямым
вызовом соответствующих функций в BIOS, либо обращаясь
непосредственно к портам.
4. Разрушение программы защиты, схем контроля или изменение
текущего состояния программной среды
Предположим, что злоумышленнику известна интересующая его
программа с точностью до команд реализации на конкретном
процессоре. Следовательно, возможно смоделировать процесс ее
загрузки и выяснить относительные адреса частей программы
относительно сегмента оперативной памяти, в который она
загружается. Это означает, что возможно произвольное изменение
кода программы и соответственно отклонение (возможно негативного
характера) в работе прикладной программы.
Тогда алгоритм действия закладки может быть таким:
1) закладка загружается в память каким-либо указанным выше
образом;
2) закладка осуществляет перехват (редактирование цепочки)
одного или нескольких прерываний:
прерывания DOS <запуск программ и загрузка оверлеев> ;
прерывания BIOS <считать сектор>;
прерывание таймера.
3) по одному из трех событий закладка получает управление на
свой код и далее выполняется:
проверка принадлежности запущенной программы или уже
работающей (для таймерного прерывания) к интересующим программам;
определение сегмента, в который загружена программа;
запись относительно определенного сегмента загрузки некоторых
значений в ОП так, чтобы отключить схемы контроля и/или исправить
программу нужным образом.
Принципиальная возможность исправления кода следует из того,
что вывод о правильности работы программы делается на основе
операций сравнения в арифметико-логическом устройстве
микропроцессора.
Сравнение результатов работы выполняется командой типа СМР, а
результат сравнения изменяет один или несколько бит регистра
флагов. Следовательно, того же результата можно достичь, изменив
эти биты одной из команд работы с регистром флагов типа CLD, CLC,
LAHF и т. д.
Наконец, возможен случай, когда содержательный код программы
защиты вместе со схемой контроля будет удален из памяти полностью
и все последующие операции будут выполнены без влияния программы
защиты.
Таким образом, анализируя в данном случае действие закладки
необходимо считать возможным любые искажения кода программ.
Основным способом активизации разрушающих закладок является
запуск ассоциированных с ними программ. При этом закладка
получает управление первой и выполняет какие-либо действия
(изменения адресов прерывания на собственные обработчики,
исправление в коде программ защиты и т. д.). В данном случае
борьба с воздействием закладок может быть произведена только
путем контроля целостности исполняемых файлов непосредственно
перед их исполнением. Тогда воздействие закладки можно оценивать
количественной вероятностью ее активизации при заданном алгоритме
контроля кода запускаемой программы (т. е. вероятностью
обнаружения или не обнаружения ассоциированного с кодом вируса или
закладки).
5. Особенности воздействия программных закладок на
программно-аппаратные средства защиты информации.
Особенностью применения программно-аппаратных средств защиты
в ПЭВМ являются следующие:
-
собственные программы управления аппаратной частью, как
правило, находятся в ПЗУ - и, следовательно, не могут быть
изменены программным путем;
-
под управление аппаратным комплексом выделяются средства
низкого уровня (операции с портами, либо выделенные прерывания);
-
управление программам аппаратной части передается до
загрузки операционной среды и часть операций, в основном
связанных с инициализацией начальных состояний устройства, также
происходит до загрузки операционной среды.
Все эти факторы накладывают определенные условия
ограничительного характера на процесс воздействия программных
закладок на рассматриваемые программно-аппаратные комплексы.
Однако эти ограничения не таковы, чтобы в общем виде полностью
исключить это воздействие.
Поскольку обращение к аппаратным средствам происходит из
прикладных программ и, как правило, через некоторую промежуточную
программу управления, то воздействие на аппаратное средство может
быть сведено к воздействию либо на прикладную программу, либо на
программу управления аппаратным комплексом, который находится в
ОЗУ.
Зададимся следующей моделью работы программно-аппаратного
комплекса. Пусть имеется выделенное прерывание int N и k его
подфункций int N,1 I, int N, 2, ... , int N, k, управлающие
работой программно-аппаратного комплекса с точки зрения
программной среды. При этом прикладные программы инициируют
программно-аппаратный комплекс путем вызова заданной подфункции
прерывания int N, i обычным образом.
Возможны две принципиально разные ситуации:
обработчик int N, k находится в ПЗУ;
обработчик int N, k находится в ОЗУ.
Очевидно, что первая ситуация не допускает воздействия на
обработчик программными средствами, вторая же позволяет
произвольно изменять коды обработчика.
Далее, обработчик lnt N изменяет содержимое ОЗУ, например,
выполняя шифрование заданного буфера, выработку производных
ключей или электронное подписывание выделенного в ОП массива
данных. При этом существующая информация либо изменяется, либо
образуется новая информация в ОЗУ (в случае электронной подписи).
Необходимо заметить, что эти операции связаны с легко
идентифицируемым событием в программной среде ПЭВМ - выполнением
или завершением прерывания int N.
В рамках принятой модели можно выделить следующие пути
воздействия программных закладок.
В ситуации 1:
1.1. Сохранение на внешнем устройстве информации из
изменяемой области ОЗУ, синхронизированное с прерыванием int N.
1.2. Разрушение информации в изменяемой области.
1.3. Определение прерывания int N на собственную программу в
ОЗУ путем:
1.3.1. Изменения вызовов int N в пользовательской программе.
1.3.2. Встраивания в цепочки прерывания обычным образом.
В ситуации 2:
Пункты 1.1 - 1.3 полностью сохраняются, но добавляется еще
один:
2.4. Изменение кода самого исходного обработчика int N.
Пункты 1.1, 1.2, 2.1, 2.2 рассмотрены в параграфе 3 и в
принципе ничем не отличаются от воздействия на чисто программные
средства защиты информации, поэтому мы не будем подробно
останавливаться на них.
6. Закладки, вирусы и сети
6.1. Описание возможного воздействия закладок.
Абонентские пункты сети (АП) могут быть объединены в единую
систему с серверами локальных сетей (СЛС), которые в свою очередь
могут быть соединены между собой. Таким образом объединяются
несколько территориально близких или же удаленных (через линии
связи) локальных вычислительных сетей (ЛВС).
Серверы локальной сети могут быть подключены к концентратору
сообщений (КО), объединяющему потоки информации с нескольких
локальных сетей или/и изолированных абонентских пунктов.
Объединенный концентратором сообщений информационный поток
поступает на коммутационную машину (КМ), которая в свою очередь
производит логическую коммутацию передаваемых информационных
потоков в другие локальные сети, их объединения, концентраторы
сообщений или изолированные абонентские пункты.
Таким образом, можно выделить следующие функционально
законченные элементы сети:
-
локальные сегменты сети (с различной архитектурой);
Их особенностью является возможность использования удаленных
ресурсов файловых серверов или других рабочих станций или
абонентских пунктов.
-
коммуникационные сегменты сети, которые производят
фрагментирование и объединение пакетов данных, их коммутацию и
собственно передачу.
Как правило, рабочие станции не могут использоваться для
доступа к ресурсам коммуникационных фрагментов вне решения задач
передачи сообщений или установления логических соединений.
Можно выделить следующие угрозы для информации для различных
сегментов сети:
1. Перехват, искажение, навязывание информации со стороны
коммуникационных фрагментов сети.
2. Имитация посылки ложных сообщений на локальные фрагменты
сети.
3. Имитация логического канала (удаленный доступ) к ресурсам
локальных сегментов сети.
4. Внедрение в проходящую информацию различных функционально
законченных блоков кода и данных, могущих реализовать разрушающее
воздействие на ПО и данные сети.
4. Перехват, навязывание, искажение информации при передаче
по собственным линиям связи локальных сегментов сети.
5. Внедрение программных закладок в программное обеспечение
рабочих станций или общедоступные ресурсы (во внешней памяти
файл-серверов) локальных сегментов сети.
Остановимся более подробно на программных закладках и их
влиянии на процесс взаимодействия сегментов сети.
По принципу специфицирования действий программной закладки
можно выделить две их основные группы:
1. Существующие закладки вирусного типа.
Способны вызвать уничтожение или искажение информации,
нарушения сеансов работы. Основную опасность представляют для
абонентского пункта (пунктов) сети и рабочих станций ЛВС,
поскольку могут распространяться от одного абонентского пункта
(АП) к другому с потоком передаваемых файлов или инифицировать
программное обеспечение рабочей станции при использовании
удаленных ресурсов (запуске инифицированных программ в
оперативной памяти рабочей станции, причем без экспорта
выполняемого модуля с файл-сервера, т. е. в случае удаленного
доступа к ресурсам сети).
2. Специально написанные закладки типа:
а) <троянский конь> - закладки, проявляющие себя в
определенных условиях (по времени, ключевым сообщениям и т. д.);
могут разрушать (искажать) информацию, копировать фрагменты
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
