Данная работа не преследует своей целью исчерпы­вающего описания всех известных случаев нарушения безопасности и детального изучения механизмов осуще­ствления атак — этим вопросам посвящена отдельная книга сотрудников Центра защиты информации Санкт-Петербургского Технического Университета [21]. Для того чтобы подкрепить реальными фактами предлагае­мую таксономию причин нарушения безопасности, в Приложении IV содержится список имевших место слу­чаев нарушения безопасности, заимствованный из [I].

3.2. Исследования нарушений безопасности компьютерных систем

Наибольший интерес среди работ в области выяв­ления, исследования и систематизации ИЗ представля­ют труды [2,12] и одна из последних публикаций в дан­ной области [I]. Представляется целесообразным про­анализировать результаты, полученные в работах [2,12,17], для того чтобы предоставить фактографиче­скую основу, на которую опираются результаты по­следних научных исследований. Наиболее серьезные усилия по выявлению ИЗ в системах защиты с ^помо­щью экспериментов по их преодолению нашли свое от­ражение в разработанной в начале 70-х годов т.н. мето­дологии гипотетического выявления ИЗ (Flaw Hypothe­sis Methodology) [12]. Данная методология предусмат­ривает проведение исследований в три этапа. Первый этап состоит в изучении системы, причем особое вни­мание уделяется принципам функционирования меха­низмов защиты. На втором этапе происходит выдвиже­ние предположений (гипотез) о потенциально уязвимых компонентах, которые затем тщательно проверяются на основании анализа документации, реальных особенно­стей ВС и деталей ее функционирования и с помощью проведения специальных тестов, призванных подтвер­дить или опровергнуть присутствие предполагаемого изъяна в системе защиты. Наконец, на третьем, заклю­чительном этапе проводится обобщение полученных результатов и формируются списки (перечни) выявлен­ных ИЗ и успешных атак. Хотя в [12] и присутствует пе­речень ИЗ исследованных систем, а также разработан­ных и успешно осуществленных атак, систематизация полученных данных проведена не была.

В середине 70-х годов подобные исследования про­водились по проектам RISOS (Research in Secured Oper­ating System — Исследования безопасности защищенных операционных систем) и PA (Protection Analysis — Ана­лиз защиты). В обоих проектах были предприняты по­пытки формального описания и систематизации инфор­мации о ИЗ.

В заключительном отчете по проекту RISOS [2] при­ведено описание следующих категорий ИЗ в защищен­ных операционных системах:

1. Неполная проверка допустимости значений кри­тичных параметров.

2. Противоречия в проверке допустимости значений критичных параметров.

3. Неявное совместное использование несколькими пользователями конфиденциальной информации.

4. Асинхронный контроль параметров или правиль­ная последовательность действий.

5. Недостаточно надежная идентификация/аутенти­фикация.

6. Возможность нарушения запретов и ограничений.

7. Использование ошибок в логике функционирова­ния механизмов защиты.

В итоговом отчете по этому проекту описываются разработанные примеры атак для каждого типа ИЗ и со­держится детальная информация по семнадцати реально выявленным ИЗ в трех операционных системах: IBM MVT, Univac 1100 и TENEX. Каждый из ИЗ четко соот­ветствует одной из семи приведенных категорий.

Целью проекта РА был сбор информации и построе­ние абстрактных моделей, которые в дальнейшем могли бы быть применены для автоматизированного поиска ИЗ. В результате исследования шести операционных систем (GCOS, Multics, Unix, IBM MVT, Univac 1100 и TENEX) было обнаружено более ста ИЗ, способных привести к несанкционированному проникновению в систему [4]. Для анализа обнаруженных ИЗ была разра­ботана классификационная таблица, содержащая десять категорий ИЗ, среди которых можно выделить следую­щие группы:

1. Ошибки выделения областей (доменов), вклю­чающие незащищенное (в открытом виде) хранение и представление данных, неполное уничтожение объектов или их окружения.

2. Ошибки контроля и проверки, состоящие в некор­ректной проверке значений параметров и границ объектов.

3. Ошибки назначения имен, допускающие возмож­ность использования нескольких имен для одного объек­та и неполное запрещение доступа к уничтоженным объ­ектам.

4. Ошибки в последовательности действий, влекущие за собой некорректное использование множественных ссылок (указателей) на объект и ошибки прерывания атомарных операций.

Предлагаемые в работе [5] методики поиска ошибок безопасности в операционных системах достаточно ог­раничены в практическом применении. Это можно объ­яснить предпринятой попыткой обеспечить универ­сальность методик, что отрицательно сказалось на воз­можности их развития и адаптации для новых ОС. С другой стороны, усилия исследователей слишком рано были перенаправлены от изучения ИЗ в сторону разра­ботки универсальной технологии создания защищен­ных операционных систем, свободных от подобных ошибок.

Данная работа преследует более определенную и ре­альную цель: на основании опубликованной информа­ции о ИЗ разработать их детальную классификацию и выявить причины их возникновения.

3.3. Таксономия ИЗ

Таксономия включает в себя комплексное исследова­ние предметной области и создание модели множества изучаемых объектов, что позволяет определить призна­ки, которые могут быть положены в основу той или иной классификации.

С точки зрения технологии создания защищенных систем, наибольшее значение имеют следующие вопро­сы, на которые должна дать ответ таксономия ИЗ:

1. Каким образом ИЗ появляются в системе защиты? (Классификация ИЗ по источнику появления.)

2. На каком этапе они вносятся? (Классификация ИЗ по этапу возникновения.)

3. В каких компонентах системы защиты (или ВС в целом) они возникают и проявляются? (Классификация ИЗ по размещению в системе).

3.3.1. Классификация ИЗ по источнику появления

Как следует из определения ИЗ, источником их появ­ления является ошибка или недоработка в системе безо­пасности. Исследованию ошибок, тем или иным образом связанных с безопасностью, всегда уделялось много внимания. В качестве примера можно привести работы [2,3,4,11,12,13,16,17]. Классификация ИЗ по источнику появления, приведенная в работе [I], представлена в таб­лице 3.1.

Данная таблица нуждается в комментариях. Под ис­точником появления (в оригинале — genesis), в [1] пони­мается основа существования ИЗ, т. е. либо характери­стики ВС, которые обусловливают его существование, либо принцип функционирования средств, использую­щих ИЗ для осуществления атаки. С точки зрения авто­ров, данный подход можно подвергнуть серьезной кри­тике, так как он порождает некоторое противоречие ме­жду заявленным принципом классификации и получен­ными результатами. Действительно (см. таблицу 3.1), классификация преднамеренных ИЗ фактически пред­ставляет собой классификацию разрушающих про­граммных средств (подробнее об РПС и методах анализа безопасности программ см. главу 2 в [20]) по принципам функционирования, а непреднамеренных — классифика­цию ошибок, возникающих в ходе программной реали­зации системы. Для решения практических задач наи­больший интерес представляет классификация ИЗ по причинам возникновения, поэтому авторы провели соб­ственное исследование, результаты которого будут пред­ставлены далее.