27 Ноября, 2013

Статья.ЗАЩИТА ОТ АТАК СО СТОРОНЫ ПРИЛОЖЕНИЙ, НАДЕЛЯЕМЫХ ВРЕДОНОСНЫМИ ФУНКЦИЯМИ. МОДЕЛИ КОНТРОЛЯ ДОСТУПА.

Андрей Щеглов
ЗАЩИТА ОТ АТАК СО СТОРОНЫ ПРИЛОЖЕНИЙ, НАДЕЛЯЕМЫХ ВРЕДОНОСНЫМИ ФУНКЦИЯМИ.
МОДЕЛИ КОНТРОЛЯ ДОСТУПА
К.А. Щеглов, А.Ю. Щеглов, д.т.н., проф.
Введение.
Одной из актуальнейших задач защиты информации в современных условиях является защита от вредоносных программ. В [1] нами предложен метод защиты от вредоносных программ, проиллюстрирована его высокая эффективность.
Однако в [1] предложено решение, направленное на защиту от внедряемых на компьютер в процессе его работы сторонних вредоносных программ. Да, сегодня это, бесспорно, самая актуальная задача защиты. Вместе с тем, данный подход не обеспечивает защиты от атак со стороны приложений, приобретающих вредоносные функции в процессе их работы, т.е. атак со стороны санкционированно установленных и используемых на компьютере приложений. Это приложения, наделяемые соответствующими функциями в результате прочтение вредоносного файла, специально с этой целью записанного на компьютер, не являющегося программой и не исполняемого самостоятельно системой. К подобным приложениям, например, относятся офисные приложения, которые могут приобрести вредоносные функции в результате прочтения документа, наделенного макро-вирусом, всевозможные командные интерпретаторы, наделяемые дополнительным функционалом, в результате прочтения ими «активного» содержимого, в частности, скриптов и ActiveX-компонентов. Другими словами, достаточно широкий круг современных санкционированных приложений может быть наделен вредоносными функциями, в результате прочтения ими специально созданного на компьютере с этой целью вредоносного файла.
Рассмотрим в данной работе возможность защиты от подобных атак реализацией контроля доступа к файловым объектам. При этом не будем забывать, что в общем случае атаки могут быть направлены, как на нарушение конфиденциальности (хищение) информации, так и на нарушение ее целостности и доступности (несанкционированная модификация, либо удаление информации). Заметим, что контроль доступа не предполагает какого-либо анализа (в первую очередь, сигнатурного) файла, т.е. защита строится, по средством минимизации ущерба от атаки, в предположении о том, что вредоносный файл приложением с определенной вероятностью может быть прочитан.
1. Модель дискреционного контроля доступа субъектов к создаваемым файловым объектам.
Альтернативными метода контроля доступа являются контроль доступа к статичным [2] и к создаваемым файловым объектам [3,4]. В последнем случае, создаваемый субъектом файл наследует идентификатор, создавшего его субъекта. Модели контроля доступа далее будем рассматривать применительно к методу контроля доступа к создаваемым файловым объектам, т.к. именно применительно к создаваемым файловым объектам следует рассматривать подобную угрозу, вместе с тем, оговоримся, что все полученные результаты справедливы и для метода контроля доступа к статичным файловым объекта.
При реализации контроля доступа к создаваемым файловым объектам, поскольку из схемы контроля доступа исключена сущность «объект» доступа [3], матрица доступа приобретает следующий вид. Если считать, что множество С = {С1,…, Сl}- линейно упорядоченное множество субъектов доступа, а R = {R1,…, Rm} конечное множество прав доступа (в этой работе нас интересуют права доступа чтение ®, запись (w), соответственно, отсутствие прав доступа (0)) субъекта Ci к объекту, созданному субъектом Cj; i=1,…,l, j=1,…,l, то матрица доступа М, используемая для реализации разграничительной политики методом контроля доступа с принудительным управлением потоками информации (сущность "Владение" исключена, как таковая) имеет следующий вид (условимся в строках матрицы указывать учетную информацию субъектов, запрашивающих доступ к объектам, а в столбцах – учетную информацию субъектов, унаследованную созданными ими объектами):



В любой момент времени система описывается своим текущим состоянием Q = (C,С,M), М[C,С] – ячейка матрицы, содержит набор прав доступа. Будем обозначать Cj®Ci разрешением права доступа субъекту Cj к объекту, созданным субъектом Ci, i=1,…,l; j=1,…,l, где R = {w,r}: запись (w), чтение ® (нас интересует запись вредоносного файла и последующее его прочтение). Заметим, что после прочтения вредоносного файла, приложение наделяется функциями, запрограммированными в этом файле. В данном случае нас интересует то, что после прочтения вредоносного файла пользователем, запустившим приложение, приложение получает право записи и право чтения во все/из всех объектов, в которые разрешены соответствующие права доступа (запись, чтение) пользователем, запустившим приложение (предполагаем, что разграничительная политика реализуется для учетной записи). Будем считать, что вероятность записи вредоносного файла субъектом Ci составляет Pi(w), i=1,…,l. Модифицируем нашу матрицу доступа М, поместив в нее параметр Pi(w), i=1,…,l (заменим в ячейках матрицы право записи (w) на параметр Pi(w), право чтения пока не рассматриваем), получим матрицу вероятностей создания в объектах вредоносных файлов: М(Pi(w)):



Не сложно показать, что с учетом возможности разрешения записи в один объект одновременно несколькими субъектами, в пределе всеми субъектами С = {С1,…, Сl}, суммарная вероятность записи вредоносного файла в объект Сi: Piс(w), определяется следующим образом:


Теперь по поводу осуществления атаки. После прочтения приложением записанного вредоносного файла, приложение приобретает вредоносный функционал, будем рассматривать атаки на несанкционированную запись (w) и чтение ® информации, их можно принять равновероятными, это подтверждается существующей статистикой атак, например, сетевых, см. рис.1 [5]. Будем обозначать вероятность атаки на запись в объект Ci, в результате прочтения вредоносного файла, как Pia(w), на чтение, соответственно, как Pia®. При этом данные атаки полностью определяются вероятностью занесения на компьютер вредоносного файла Pic®, определяемой в соответствии с (1).



Подставив в матрицу доступа М, в ячейки с разрешением записи w (вместо w) вероятности Pia(w), а в ячейки с разрешением чтения r (вместо r) вероятности Pia®, получим матрицу вероятностей атак на файловые объекты в результате внедрения на компьютер и последующего прочтения вредоносного файла, М(Pa(w,r)):



Теперь сформулируем требования к безопасной работе с вредоносными файлами, реализация которых может принципиально понизить ущерб от рассматриваемой группы атак.
Лемма 1. Последствия от атак минимальны при реализации полностью изолированной обработки субъектами созданных ими файловых объектов. При этом реализуется каноническая матрица доступа Mk [6]:

Доказательство. Для канонической матрицы доступа Мк минимальны вероятности занесения в систему вредоносного файла, определяемые следующим образом Piс(w) = Pi(w), i=1,…,l. Лемма доказана.
Вывод. Реализация разграничительной политики, основанной на полной изолированности обработки субъектами (пользователями) информации, что описывается канонической матрицей доступа, обеспечивает максимальный уровень безопасности системы, в части защиты от атак со стороны приложений, наделяемых вредоносными свойствами.
Ввиду того, что уровень безопасности может быть понижен в результате добавления права r или w к канонической матрице доступа, далее сформулируем требование к безопасному расширению канонической матрицы доступа правами r и/или w.
Важным для последующих наших рассуждений является то, что в общем случае на практике значения вероятностей записи вредоносного файла различными субъектами Ci: Pi(w), i=1,…,l, сильно различаются, иногда на порядки. Это обусловливается выполнением пользователями на одном компьютере различных ролей, например, обработка открытой информации редко когда серьезно защищается, для нее, особенно в случае подключения к внешней сети, можно смело принять Pi(w)=1. Другое дело, обработка конфиденциальной информации, в этом случае локализуется набор используемых устройств, ограничивается доступ в сеть, ограничивается возможность загрузки документов с внешних накопителей, и т.д. Все эти организационные и технические меры защиты существенно снижают значение Pi(w). Лемма 2. Безопасным является добавление в каноническую матрицу Mk разрешения права записи Cj(w)Ci, i≠j, при условии Pj(w) << Pi(w).
Доказательство. При разрешение права записи Cj(w)Ci, i≠j, при условии Pj(w) << Pi(w), имеем:
Pjс(w) = Pj(w)
Piс(w) = Pi(w)
как следствие, при дополнении права записи Cj(w)Ci, Pja®, Pja(w), соответственно, Pia®, Pia(w), по сравнению с канонической матрицей, не изменяются. Лемма доказана.
Замечание. Максимально опасным является добавление в каноническую матрицу Mk разрешения права записи Cj(w)Ci, i≠j, при условии Pj(w) >> Pi(w). Это объясняется тем, что в данном случае значение Piс(w) увеличивается до значения Pj(w), максимальным образом возрастают Pia®, Pia(w).
Лемма 3. Безопасным является добавление в каноническую матрицу Mk разрешения права чтения Cj®Ci, i≠j, при условии Pj® >> Pi®.
Доказательство. При разрешение права чтения Cj®Ci, i≠j, при условии Pj® >> Pi®, имеем:

Pjс(w) = Pj(w)
Piс(w) = Pi(w),
как следствие, при дополнении права чтения Cj®Ci, Pja®, Pja(w), соответственно, Pia®, Pia(w), по сравнению с канонической матрицей, не изменяются. Лемма доказана.
Замечание. Максимально опасным является добавление в каноническую матрицу Mk разрешения права чтения Cj®Ci, i≠j, при условии Pj(w) << Pi(w). Это объясняется тем, что в данном случае значение Pjс(w) увеличивается до значения Pi(w), максимальным образом возрастают Pja®, Pja(w).
Следствие 1. Безопасной, при добавлении в каноническую матрицу Mk разрешения права записи, при условии P1(w) << P2(w)<<…<< Pl(w), в общем случае является матрица Mk(w) следующего вида:
Следствие 2. Безопасной, при добавлении в каноническую матрицу Mk разрешения права чтения, при условии P1(w) << P2(w)<<…<< Pl(w), в общем случае является матрица Mk® следующего вида:

Следствие 3. Безопасной, при добавлении в каноническую матрицу Mk разрешения прав записи и чтения, при условии P1(w) << P2(w)<<…<< Pl(w), в общем случае является матрица Mk(w,r) следующего вида:

Теорема 1. Безопасной, в части защиты от атак со стороны приложений, наделяемых вредоносными функциями, в результате прочтения приложением вредоносного файла, является полностью изолированная обработка субъектами созданных ими файловых объектов, при этом реализуется каноническая матрица доступа Mk, которая может быть расширена добавлением разрешения права записи Cj(w)Ci, i≠j, при условии Pj(w) << Pi(w), и добавлением разрешения права чтения Cj®Ci, i≠j, при условии Pj® >> Pi®.
Доказательство. Теорема доказывается доказательством Леммы – Леммы 3. Теорема 1 доказана.
2. Модель мандатного контроля доступа субъектов к создаваемым файловым объектам.
Метки безопасности (мандаты) назначаются субъектам (группам субъектов), и служат для формализованного представления соответственно их уровней полномочий и конфиденциальности. Заметим, что мандатный контроль доступа к создаваемым файловым объектам отличается (от соответствующего метода контроля доступа к статичным объектам) тем, что объекты доступа не размечаются (им метки безопасности не назначаются) [4]. Задание разграничительной политики доступа состоит исключительно в назначении меток безопасности субъектам Mc (что кардинально упрощает задачу администрирования). При создании субъектом нового файла, файлом наследуется учетная информация субъекта доступа – его метка безопасности Mc (обозначим унаследованную метку Mco, при этом Mco= Mc).
При запросе же доступа к любому файлу, диспетчер доступа анализирует наличие, а при наличии, собственно значение метки безопасности Mсo в данном файле. При наличии метки в файле - Мсо, диспетчер сравнивает эту метку с меткой субъекта, запросившего доступ к файлу, Mс – анализирует выполнение заданного правила контроля доступа. В результате анализа данной информации, с учетом реализуемого правила доступа, диспетчер либо разрешает запрошенный субъектом доступ к файлу, либо отказывает в нем.
Будем считать, что чем выше полномочия (имеет право обрабатывать информацию более высокого уровня конфиденциальности) субъекта из множества С = {С1,…, Сl}, тем меньшее значение метки безопасности Mi, i = 1, …,l ему присваивается, т.е.: M1 < M2 < M3<…<Ml.
Наиболее широко используемые правила, направленные на применение практики секретного делопроизводства в компьютерной обработке информации, обеспечивающие защиту от понижения категории обрабатываемой информации, с целью защиты от нарушения ее конфиденциальности, имеют следующий вид:
1. Субъект С имеет доступ к объекту О в режиме “Чтения” в случае, если выполняется условие: Mc <, = Mсo.
2. Субъект С имеет доступ к объекту О в режиме “Записи” в случае, если выполняется условие: Mc = Mсo.
Замечание. В общем случае непротиворечивой, в части защиты от понижения категории объекта, является следующая формулировка второго правила: Субъект С имеет доступ к объекту О в режиме “Записи” в случае, если выполняется условие: Mc =,> Mсo.
Как мы неоднократно отмечали [3,4], любой метод контроля доступа с принудительным управлением информационными потоками может быть представлен в виде матрицы доступа. Рассмотрим матрицу доступа для маркерного метода в общем случае (при задании второго правила контроля доступа в общем случае), Mm:


А теперь задумаемся над следующим. Вполне очевидно, что, чем выше уровень конфиденциальности обрабатываемого документа (файла), тем более «жесткие» устанавливаются условия его обработки, тем меньше значение вероятности записи вредоносного файла Pi(w) в данный объект. Как следствие, между отношениями для меток безопасности Mi, i = 1, …,l: M1 < M2 < M3<…<Ml, и для вероятностей записи вредоносного файла Pi(w): P1(w) << P2(w)<<…<< Pl(w), существует прямая зависимость. Как следствие, матрицу Mm мы можем представить в следующем виде, Mm(p):


А вот теперь самое интересное. Сравним матрицу Mm(p) с матрицей Mk(w,r), представленной ранее. При этом напомним, что матрица Mk(w,r) представляет собою безопасную схему контроля доступа, в части защиты от атак со стороны приложений, наделяемых вредоносными функциями, в результате прочтения приложением вредоносного файла, при условии: P1(w) << P2(w)<<…<< Pl(w). Как видим, матрицы Mm(p) и Mk(w,r) полностью исключают друг друга! Общего у них остается только одно - главная диагональ.
И что важно, вводя защиту от нарушения конфиденциальности информации, за счет понижения ее категории, используя для этого фундаментальные правила маркерного контроля доступа, мы, тем самым, реализуем режим максимальной опасности обработки информации, в части защиты от атак со стороны приложений, наделяемых вредоносными функциями.
Замечание. По своему виду, полученная нами модель, отображаемая матрицей доступа Мm(p), очень напоминает, так называемую, "модель целостности Биба" [7], суть которой состоит во включение в систему иерархического признака "целостность", отображаемого мандатом или меткой безопасности. В модели Биба вводятся уровни целостности, сопоставляемые с субъектами и объектами доступа, которым, в соответствии с заданным уровнем присваивается метка безопасности. Однако модель Биба неоднократно специалисты критиковали за то, что она использует целостность как некую меру и ставили под сомнение то, что понятие “большей целостности” имеет какой-либо смысл. Их аргументом было то, что целостность субъектов и объектов следует рассматривать как двоичный атрибут, который или есть, или нет, что, вообще говоря, разумно. В данной работе мы получили аналогичный результат (в части сформулированных правил доступа, описываемых аналогичной матрицей), введя в качестве иерархического признака вполне физически понятную величину - вероятность записи вредоносного файла в рамках мандатной модели контроля доступа, направленного на защиту от понижения категории обрабатываемых документов, т.е. непосредственно в рамках модели Белла-ЛаПадулы [8].
Теорема 2. Безопасной, и в части защиты конфиденциальности, за счет противодействия понижению категории информации, и в части защиты от атак со стороны приложений, наделяемых вредоносными функциями, в результате прочтения приложением вредоносного файла, при условии: P1(w) << P2(w)<<…<< Pl(w), является полностью изолированная обработка субъектами созданных ими файловых объектов, при этом должны быть реализованы следующие правила контроля доступа (описывающие каноническую матрицу доступа):
1. Субъект С имеет доступ к объекту О в режиме “Записи” и «Чтения» в случае, если выполняется условие: Mc = Mсo.
2. Субъект С не имеет доступа к объекту О случае, если выполняется условие: Mc <,> Mсo.
Доказательство. Теорема доказывается доказательством Леммы 2 и Леммы 3, определяющих правила безопасного включения в каноническую матрицу прав доступа чтения и записи, с учетом того, что реализация данных правил приводит к противоречию с правилами, направленными на защиту от понижения уровня конфиденциальности информации – в противоречие с основополагающими правилами мандатного контроля доступа. Теорема 2 доказана. Следствие 3. Наиболее критичным во всех отношениях является обработка на одном компьютере и открытой, и конфиденциальной (возможно различных уровней) информации. Следуя всему сказанному ранее, обработка открытой информации должна изолироваться в обязательном порядке. В результате, считая, что субъектом Cl обрабатывается открытая информация, получаем обязательное непротиворечивое решение, описываемое следующей матрицей доступа, Mm(o):

Заключение. В заключение отметим, что работе рассмотрены методы (дискреционный и маркерный) и модели обработки информации, направленные на защиту от атак со стороны приложений, наделяемых вредоносными функциями. А это весьма распространенные на сегодняшний день атаки. Сформулированы требования к построению безопасной системы, реализация которых позволяет значительно снизить ущерб от осуществления атак рассматриваемого класса. Особый интерес вызывает рассмотрение задач защиты категорированной информации в комплексе (именно так и должны проектироваться современные системы защиты информации), в данной работе, и в части защиты конфиденциальности, за счет противодействия понижению категории информации, и в части защиты от атак со стороны приложений, наделяемых вредоносными функциями. В результате данного исследования сделан вывод о необходимости пересмотра основополагающих правил мандатного контроля доступа, широко используемых в современных средствах защиты информации. Предложены и обоснованы правила мандатного контроля доступа, реализация которых позволяет решать рассматриваемые задачи защиты категорированной информации в комплексе.
Литература.
1.Шибаева Т.А., Щеглов А.Ю., Оголюк А.А. Защита от внедрения и запуска вредоносных программ // Вопросы защиты информации. Научно-практический журнал. Выпуск 2 (93), Москва, 2011. – С.26-35.
2.Щеглов К.А., Щеглов А.Ю. Контроль доступа к статичным файловым объектам// Вопросы защиты информации. Научно-практический журнал. Выпуск 2 (97), Москва, 2012. – С.
3.Щеглов К.А., Щеглов А.Ю. Принцип и метод дискреционного контроля доступа к создаваемым объектам// Вопросы защиты информации. Научно-практический журнал. Выпуск 1 (96), Москва, 2012. – С.
4.Щеглов К.А., Щеглов А.Ю. Принцип и метод маркерного контроля доступа к создаваемым объектам// Вопросы защиты информации. Научно-практический журнал. Выпуск 1 (96), Москва, 2012. – С.
5.The web hacking incidents database 2009 [Электронный ресурс]// URL: http://www.breach.com/resources/whitepapers/downloads/WP_TheWebHackingIncidents-2009.pdf .
6.Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. – СПб: Наука и техника, 2004.
7.С.С. Корт. Теоретические основы защиты информации. – М.: Гелиос АРВ, 2004.
8.D.E. Bell, L.J. LaPadula. Secure Computer Systems: Unified Exposition and Multics Interpretation.
или введите имя

CAPTCHA