3.3.3.2. Сервисное программное обеспечение

Термин «сервисное программное обеспечение» включает в себя компиляторы, отладчики, редакторы, библиотеки функций, системы управления базами дан­ных и т.п. Операционная система при запуске таких про­грамм обычно предоставляет им специальные привиле­гии, превышающие привилегии работающего с ними пользователя. Поэтому о сервисном программном обес­печении можно говорить как о множестве привилегиро­ванных утилит.

Привилегированные утилиты, как правило, являются сложными программами и часто обеспечивают выпол­нение функций, не предусмотренных операционной системой. Кроме того, они разрабатываются отдельно от последней и могут не поддерживать принятые в ней ог­раничения и требования безопасности даже при наличии собственной защиты. Это означает, что привилегиро­ванные утилиты являются потенциально опасными с точки зрения защиты ВС в целом.

Наличие ошибок в реализации защиты привилегиро­ванных утилит или каналов утечки информации в них может быть использовано злоумышленником, который в случае успеха получит возможности, соответствующие специальным привилегиям утилиты, с которой он рабо­тает. Наиболее известным примером подобного родя яв­ляются многочисленные ошибки в системных утилитах ОС UNIX с установленным битом SUID (U5 в Приложе­нии IV).

3.3.3.3. Прикладное программное обеспечение

Нарушения в функционировании вычислительных систем, вызванные неумышленными ошибками в при­кладном программном обеспечении, обычно ограничи­ваются только содержащим эту ошибку процессом, ко­торый либо некорректно функционирует либо останав­ливается или зацикливается. Однако это не означает, что все ошибки в прикладном программном обеспечении столь же безобидны. Преднамеренно внесенные программные закладки, вирусы, «троянские кони» и «логи­ческие бомбы» находятся именно на уровне прикладного программного обеспечения. Объектами их атак .потен­циально могут стать любые компоненты вычислитель­ной системы, и последствия такого воздействия могут быть очень серьезными — вплоть до выведения опера­ционной системы из строя. В этом случае успех атаки за­висит от того, насколько защищена конкретная ОС от разрушительных действий прикладных программ. Мно­гопользовательские многозадачные ОС (такие, как Unix) сравнительно легко справляются с подобной проблемой, а широко распространенные DOS и Windows в этой ситуации оказываются практически бессильными.

3.3.4. Результаты исследования таксономии ИЗ и их практическое применение

Рассмотренная таксономия ИЗ, основанная на ре­зультатах исследования [I], дает достаточно полное представление о классификации ИЗ с точки зрения источника их появления, этапа возникновения и размеще­ния в ВС. Эти результаты, несомненно, представляют собой самостоятельный интерес и имеют ценность для пассивного исследования и классификации ИЗ. С точки зрения поиска путей и способов противостояния угрозам безопасности этого недостаточно, так как отсутствует классификация причин нарушений безопасности. По­этому представляется необходимым развить эти иссле­дования и провести анализ случаев нарушения безопас­ности с точки зрения таксономии причин появления ИЗ, чтобы получить представление о первоисточниках дан­ного явления. Такая таксономия будет служить основой для разработки принципиально новых технологий и средств защиты, устраняющих причины существования ИЗ, и, следовательно, обеспечивающих максимальную безопасность.

3.4. Исследование причин возникновения ИЗ

По мнений авторов, сложившаяся практика исследо­вания случаев нарушения безопасности, уделяющая ос­новное внимание методам и средствам преодоления за­щиты обладает существенным недостатком — отталки­ваясь от действий злоумышленника, она фактически представляет собой анализ технологии преодоления средств защиты и не позволяет выявить недостатки средств обеспечения безопасности. Кроме того, подоб­ный подход сразу разделяет все случаи нарушения безо­пасности на умышленные, классифицируемые но спосо­бам преодоления защиты, и неумышленные, обуслов­ленные ошибкам программирования. Авторы придер­живаются норматической точки зрения на этот вопрос — важен сам факт нарушения безопасности и те меры, которые необходимо предпринять для предотвращения подобных нарушений, а их преднамеренность не имеет значения. С этой точки зрения залог успешных действий злоумышленника, как и предпосылки случайных нару­шений, предопределен свойствами самой ВС — ее архи­тектурой, реализацией и администрированием. Это оз­начает что в основе каждого факта нарушения безопас­ности ВС лежит соответствующий изъян средств защи­ты обусловивший успешное осуществление атаки. Ана­лиз случаев нарушения безопасности должен основы­ваться не столько на исследовании методов, используе­мых нарушителем сколько на выявлении свойств систе­мы позволивших ему осуществить свои действия.

Поэтому для решения задачи данной главы — опре­деления обстоятельств, приводящих к успешной реали­зации угроз безопасности, их систематизации и выявле­ния первопричин их появления предлагается разрабо­танная авторами таксономия причин нарушений безо­пасности ВС, или причин возникновения ИЗ, которая связывает случаи нарушения безопасности с принципами организации защиты ВС, обусловившими их осуществимость. Таксономия причин возникновения ИЗ должна дать ответ на имеющий ключевое значение с практиче­ской точки зрения вопрос: что явилось причиной успеш­ною осуществления нарушения безопасности в том или ином случае ? Для ответа на него необходимо выявить те свойства и особенности архитектуры ВС, которые при­вели к возможности успешного осуществления соответ­ствующих атак. Только знание природы этих причин по­зволит оценить способность системы противостоять ата­кам, а также понять природу недостатков, присущих су­ществующим средствам обеспечения безопасности, и по­строить защищенную систему, лишенную этих недостат­ков.

3.4.1. Таксономия причин возникновения ИЗ

Рассмотрим с этой точки зрения известные случаи нарушения безопасности ВС, используя в качестве при­меров статистику из Приложения IV. Анализ показыва­ет, что все случаи произошли по одной из следующих причин (рис. 3.1):

1. Выбор модели безопасности, не соответствующей назначению или архитектуре ВС. Модель безопасности (модели безопасности, их свойства и методы реализации рассмотрены в главе 4 II тома) должна соответствовать как требованиям безопасности, предъявляемым к ВС, так и принятой в ней концепции обработки информации, в основном определяемой архитектурой ОС. В настоя­щий момент наблюдается определенное несоответствие между моделями безопасности и архитектурой ОС. Фактически формальные модели безопасности существуют только в виде теории, а разработчики ОС вынуждены подвергать их интерпретации, чтобы приспособить к конкретной ОС. При этом приходится идти на опреде­ленные компромиссы, и может оказаться, что модель безопасности в ходе реализации подверглась существенным искажениям. Это означает, что при выборе модели безопасности нельзя не учитывать специфику архитектуры ВС; в противном случае, несмотря на все достоинства модели, гарантированного ею уровня безопасное ги дос­тичь не удастся.