4.3. Таксономия нарушений информационной безопасности вычислительной системы и причины, обусловливающие их существование
Таксономия – абстрактная структура категорированных экземпляров, включает комплексное исследование предметной области и создание теоретической модели полного множества изучаемых объектов, что позволяет определить признаки, которые могут быть положены в основу той или иной классификации.
Таксономия позволяет построить полное множество категорий исследуемых объектов для любой выбранной классификации.
Таксономия безопасности вычислительных систем должная ответить на вопросы:
1. Каким образом ошибки, приводящие к появлению нарушений информационной безопасности, вносятся в систему защиты? Классификация нарушений информационной безопасности по источнику появления.
2. Когда и на каком этапе они вносятся? Классификация нарушений информационной безопасности по этапу возникновения.
3. Где и в каких узлах системы защиты или вычислительной системе в целом они возникают и проявляются? Классификация нарушений информационной безопасности по размещению в системе.
Классификация нарушений информационной безопасности по источнику появления
Источником нарушений информационной безопасности и их появлений является ошибка или недоработка в системе безопасности. Эти ошибки носят неслучайный характер. Классификация нарушений информационной безопасности по источнику появления представлена в таблице 4.
Под источником появления понимается основа существования нарушений информационной безопасности, т. е. либо характеристики вычислительной сети, которые обусловливают ее существование, либо принцип функционирования средств, использующих нарушения информационной безопасности для осуществления атаки. Для решения практических задач наибольший интерес представляет таксономия нарушений информационной безопасности по причинам возникновения.
Таблица 4
Таксономия нарушений информационной безопасности по источнику появления
Ошибки, служащие источником появления нарушений информационной безопасности, могут быть внесены в систему защиты преднамеренно, либо возникнуть неумышленно, непреднамеренно. Для выявления таких непреднамеренных или случайных ошибок применяются различные стратегии и методики. Большинство случайных ошибок может быть выявлено и устранено при увеличении времени и глубины анализа и тестирования кода системы защиты. Но в отношении наиболее серьезных преднамеренно внесенных и замаскированных ошибок этот способ является малоэффективным. Для эффективного поиска таких ошибок необходимо проведение специальных испытаний, заключающихся в попытках проникновения в систему и проведения атак на систему защиты.
В некоторых случаях определенные функции, специально добавленные в программное обеспечение, предопределяли внесение в систему защиты непреднамеренных ошибок. Возможность использования удаленной отладки или настройки системы может привести к появлению нарушений информационной безопасности. Такая ошибка может быть классифицирована как преднамеренная, но не имеющая деструктивной функции.
Определенные злоумышленные, преднамеренные ошибки могут рассматриваться как случайные. Случайные ошибки вносятся в систему при разработке требований к безопасности и спецификаций системы защиты, а также в процессе сопровождения системы, т. е. обновлении версии, поставки новых утилит и т. п. Преднамеренные ошибки внедряются в систему на этапе ее применения, в противном случае возможно компрометация системы.
Преднамеренные и злоумышленные ошибки являются достаточно трудно обнаруживаемыми, так как они специально скрыты, замаскированы с целью их не обнаружения. Они являются самыми опасными. Специально внесенные ошибки с деструктивными функциями могут серьезно нарушить функционирование системы. Случайные ошибки, безобидные сами по себе, также могут быть использованы для этих же целей специально написанными программами.
Преднамеренное внедрение нарушений информационной безопасности с наличием деструктивных функций.
Преднамеренно внесенные в систему защиты нарушения и связанные с ними каналы утечки информации являются результатом функционирования предварительно внедренных вредоносных программ. Характеристикой вредоносных программ является активное их функционирование и противодействие системе обеспечения безопасности и обеспечение утечки информации.
"Черным ходом" называется скрытая или замаскированная возможность получения доступа к ресурсам в обход стандартных механизмов контроля. Например, разработчик программы проверки уникального идентификатора может при совпадении контролируемого параметра с известной только ему константой предусмотреть осуществление некоторые непредусмотренных действий, скажем, отменить контроль доступа для субъекта с этим идентификатором. В дальнейшем этот разработчик мог бы использовать этот "черный ход" для бесконтрольного доступа к информации.
Преднамеренно внедренные нарушения информационной безопасности без деструктивных функций.
Вредоносные программы могут осуществлять взаимодействие с атакующим систему злоумышленником через "скрытые каналы" утечки информации. Под скрытым каналом понимают любую возможность обмена информацией с процессами или другими компонентами системы, не предусмотренную ее разработчиками и, как следствие, неконтролируемую системой защиты. Отсутствие контроля над скрытыми каналами со стороны системы защиты широко используются злоумышленниками.
Для использования скрытых каналов требуется наличие двух процессов:
1) посредством вредоносных программ осуществляется сбор информации, интересующей злоумышленника, которая помещается в скрытый канал, неконтролируемый системой защиты;
2) прослушивание канала в ожидании поступления собранной информации, и при ее появлении выполняет необходимую обработку и сохранение.
Скрытые каналы утечки в зависимости от способа кодирования информации, передаваемой между этими процессами, подразделяются на два типа: с использованием памяти и с использованием времени.
В первом случае для кодирования передаваемой информации используется либо область памяти (установление характерных признаков в имени и атрибутах файла), либо вообще неиспользуемая область (зарезервированные поля в заголовке сетевого пакета).
Во втором случае информация кодируется определенной последовательностью и длительностью событий, происходящих в системе. Например, с помощью модуляции интервалов обращения к устройствам, введения задержек между приемом и посылкой сетевых пакетов и т. д.
Кроме скрытых каналов в системе могут присутствовать и другие преднамеренно внесенные ошибки, не влекущие за собой разрушительных последствий. К их появлению автоматически приводит любое расхождение между требованиями по безопасности и требованиями к функциональности системы.
Непреднамеренные (неумышленные) ошибки и нарушения информационной безопасности.
Непреднамеренные нарушения информационной безопасности могут возникнуть в системе из-за наличия ошибок на этапе разработки требований к безопасности, при разработке спецификаций и на этапе их реализации, т. е. в процессе написания программ. Большинство из ошибок обнаруживается и устраняется во время тестирования. Некоторые ошибки могут остаться незамеченными и вызвать проблемы эксплуатации вычислительных сетей. Наиболее трудно выявляются такие ошибки в сложных системах, состоящих из многочисленных компонентов, разработанных при участии большого коллектива специалистов. Одна из проблем таких систем – невозможность исчерпывающего описания их спецификаций, т. е. невозможность адекватного документирования. Недостатки проектной документации при сопровождении и эксплуатации приводят к тому, что при попытке устранения одних ошибок в нее вносятся другие. Наличие неумышленных ошибок не приводит к немедленному их использованию и нарушению безопасности системы.
Неумышленные нарушения информационной безопасности могут быть классифицированы в соответствии со следующими группами ошибок, предопределяющих их существование:
1. Ошибки контроля допустимых значений параметров.
2. Ошибки определения областей (доменов).
3. Ошибки последовательности действий и использования нескольких имен для одного объекта.
4. Ошибки идентификации/аутентификации.
5. Ошибки проверки границ объектов.
6. Ошибки в логике функционирования.
Ошибки контроля допустимых значений параметров заключаются в принятии соответствующим механизмом неправильного заключения о соответствии проверяемого параметра допустимым значениям. Это касается числа, состава, типа, размера, статуса (передаваемые или принимаемые) параметров, или ряда других их характеристик. Ошибки контроля можно рассматривать как неадекватную реакцию механизмов защиты на возникающие в системе события.
Ошибки определения областей (доменов) выражаются в наличии открытого или неконтролируемого способа доступа в защищенную область. Например, возможность получения доступа к объекту файловой системы, непосредственный доступ к которому запрещен, посредством доступа к его физическому представлению на аппаратных носителях. Другим примером является повторное использование объекта, например, доступ к остаточной информации в занимаемой объектом области памяти после ее освобождения.