Информационная безопасность и защита информации - Мельников В.П.
ISBN 978-5-7695-4884-0
Скачать (прямая ссылка):
Рассмотрим второй случай, обращая внимание на практические вопросы влияния на ассоциированные объекты других субъектов или данного. Очевидно, что активное воздействие предоставляет широкие возможности для реализации как непосредственного, так и опосредованного НСД.
Пусть происходит процесс записи в оперативную память принимающей ПЭВМ, принадлежащей JIC КС. Практически это означает существование потока к ассоциированным объектам телекоммуникационного субъекта JIC КС. При этом активизация нового
296
субъекта в ПЭВМ может произойти только тогда, когда процессор начнет выполнять инструкции в области памяти ПРМ ПЭВМ, куда был помещен принятый код. Это может произойти по трем причинам:
1) область памяти для записи приходится на исполняемую программу либо на область, в которую постоянно передается управление (таблица прерываний, драйверы операционной системы и т.д.);
2) запись происходит в область, находящуюся вне критичных для работы программной среды зон, но происходит некорректно (некорректность возникает в основном при записи длинных отрезков принимаемых данных в буферы меньшего размера), за счет этого производится «переполнение» (нарушение попарной корректности) и дальнейшая работа происходит в условии п. 1;
3) запись приходится в область размещения самого ТПО, и в ней образуется код, который в дальнейшем используется (например, обработчик некоторого прерывания в ТПО ПРМ ЭВМ первоначально указывал на команду Iret, после модификации порцией принятых данных он указывает на некоторую процедуру).
Пример второй ситуации — известный репликатор Морриса, внедрявшийся в ПРМ ПЭВМ с использованием ошибок в буферизации принимаемых строк в UNIX.
Третья ситуация встречалась в ряде телекоммуникационных драйверов и в штатном режиме использовалась для модификации функций ТПО по сигналу передающей ЭВМ.
Все описанные ситуации означают нарушение корректности межсубъектного взаимодействия. Очевидно, что все они могут быть исключены при выполнении условий проектирования ИПС для телекоммуникационного ПО.
Теперь рассмотрим запись принимаемой информации на внешние носители прямого доступа. В данном случае полагается, что в передаваемых данных встречается команда «запись», адресованная ПРМ ПЭВМ (возможно, с некоторыми параметрами, определяющими место записи), а следующие за ней данные записываются в указанное место. При этом возможна запись на различном уровне представления объектов, например запись в виде секторов и запись в виде файлов.
Рассмотрим запись в виде секторов. Сектора могут приходиться на исполняемые файлы, впоследствии РПВ будет активизировано при запуске этих файлов. Однако такой способ весьма сложен и является «малоприцельным». Гораздо более интересный случай — запись в загрузочные сектора. При этом при записи в загрузочный сектор винчестера ПРМ ПЭВМ оказывается пораженной загрузочной закладкой, а при записи в загрузочный сектор дискеты закладка может распространиться и на другие ПЭВМ. Описанная ситуация также встречалась в телекоммуникационном ПО: для
297
приема данных из канала был организован виртуальный диск в оперативной памяти (с целью ускорения процедур ввода-вывода); запись на виртуальный диск управлялась из канала связи посылкой «координат» записи (дорожка, сектор, поверхность чтения) и данных для записи. Поскольку запись происходила через прерывание int 13h, то для внешнего злоумышленника было потенциально возможно выполнить запись в загрузочный сектор некоторой посланной им информации (загрузочной закладки).
Интересным является внедрение РПВ в «консервированном виде». Так, для пересылки по каналу связи целиком всей дискеты часто используются программы типа TELEDISK. Данная программа преобразует последовательность всех секторов внешнего носителя (ГМД) в файл, который затем передается в канал; при приеме этот файл «разворачивается» аналогичной программой в тождественный гибкий диск. При наличии закладки на передаваемом ГМД она будет «законсервирована» в файле, передана на ПРМ ПЭВМ и при благоприятных условиях активизирована уже на приемном конце.
Посылка РПВ в виде исполняемого файла используется чаще всего для удаленного внедрения закладок и при достаточной тривиальности почти всегда приводит к успеху.
Зачастую пользователь провоцируется на запуск некоторого исполняемого файла. Так, в одном случае пользователям передавался набор файлов, среди которых был архивированный (ZIP) файл. Для его разворачивания в текущей директории (куда был принят набор файлов) запускалась программа PKUNZIP, на которую почти всегда установлен путь. Однако мало кто из пользователей замечал, что в наборе переданных файлов уже есть программа с таким именем. Естественно, запускалась именно она и помимо разворачивания архива производилась установка закладки.
Описанные атаки связаны с формированием объекта-источника, содержащего злоумышленные действия, в составе объектов JIC КС. Очевидно, что в условиях действия ИПС с контролем целостности объектов-источников активизация субъекта из объекта-источника, не входящего в список объектов-источников для множества Sn ЛС КС, невозможна в принципе, а при замене одного из «легальных» объектов-источников возможна с вероятностью принять измененный объект за эталонный.
