Теорія операційної системи

:: Меню ::

Головна
Представлення даних в обчислювальних системах
Машинні мови
Завантаження програм
Управління оперативною пам'яттю
Сегментна і сторінкова віртуальна пам'ять
Комп'ютер і зовнішні події
Паралелізм з точки зору програміста
Реалізація багатозадачності на однопроцесорних комп'ютерах  
Зовнішні пристрої
Драйвери зовнішніх пристроїв
Файлові системи
Безпека
Огляд архітектури сучасних ОС

:: Друзі ::

Карта сайту
 

:: Статистика ::

 

 

 

 

 

Типові вразливі місця

  Ти маєш намір потопиш корабель?- уточнив він. На обличчі Смерті відбився жах.
ЗРОЗУМІЛО, НЕМАЄ. МАТИМЕ МІСЦЕ ПОЄДНАННЯ НЕВМІЛОГО УПРАВЛІННЯ КОРАБЛЕМ, НИЗЬКОГО РІВНЯ ВОДИ І ОСОРУЖНОГО ВІТРУ.
Т. Пратчетт

Сучасні системи спільного призначення мають розвинену систему безпеки, засновану на поєднанні ACL і повноважень. Методи здобуття і передачі повноважень в цих ОС, як правило, теоретично коректні в тому сенсі, що доведена неможливість встановлення повноваження для користувача або процесу, який не повинен цього повноваження отримувати (сказане не відноситься до систем Windows 95/98/me, в яких ефективні засоби безпеки відсутні за проектом).
У таких системах існує п'ять основних джерел проблем безпеки.

  • Недостатня акуратність користувачів у виборі паролів, що створює умови для успішної словарної атаки, а також витоки паролів, обумовлені іншими причинами, починаючи від горезвісних "паролів на папірцях" і кінчаючи шантажем користувачів і прослухуванням мережі зловмисниками.
  • Запуск користувачами вірусів і інших троянських програм, найчастіше в складі або під виглядом ігор.
  • Помилки адміністратора у формуванні ACL (з деякою натяжкою сюди ж можна зарахувати невдалі комбінації прийнятих в системі прав за умовчанням).
  • Наявність в мережі ОС і додатків з неадекватними засобами забезпечення безпеки.
  • Помилки в модулях самої ОС і застосуваннях, що працюють під її управлінням.

Перше джерело проблем переборне лише організаційними заходами, і лише деякі з них — наприклад, проведення з користувачами виховної роботи — знаходяться у сфері компетенції системного адміністратора. Виняток становить боротьба з прослухуванням мережі: запобігання технічній можливості несанкціонованого підключення до мережі також зазвичай знаходиться на межі області компетенції системного адміністратора, але використання шифрованих мережевих протоколів або хоч би таких, в яких ім'я і пароль передаються в хешуванням вигляді, може значно зменшити користь прослухування для зловмисника.
Друге джерело також слід долати організаційними заходами. Розумною політикою, мабуть, слід рахувати не повну заборону комп'ютерних ігор, а постановку процесу під контроль шляхом створення легального більш менш централізованого сховища цих ігор, що систематично перевіряється на предмет "зарази". Підтримка цього сховища може виконуватися як самим системним адміністратором, так і на громадських засадах.
Третє джерело проблем знаходиться переважно в голові найсистемнішого адміністратора. Він повинен знати точну семантику записів в ACL використовуваної ОС, виключення з правил, хоч би найбільш поширені стандартні помилки, а також те, які і КТО права даються за умовчанням.
Велику допомогу у формуванні оптимальних і безпомилкових ACL і груп надає добре документована організаційна структура компанії, з якої ясно, які службові обов'язки вимагають того або іншого доступу до тих або інших ресурсів і чому, і на підставі яких розпоряджень той або інший рівень доступу має бути змінений. Понад це можна сподіватися лише на акуратність і звичку до систематичної розумової діяльності.
У жодному випадку не слід покладатися на те, що права, що роздаються системою або прикладним пакетом за умовчанням, адекватні і можуть бути залишені без зміни. Так, в Windows Nt/2000/xp на дисковий ресурс, що розділяється, за умовчанням даються права Everyone:full Control (тобто всім користувачам, явно не перерахованим в ACL, даються всі права, у тому числі і на зміну прав).
Четверте джерело, як правило, знаходиться поза контролем системного адміністратора: хоча він і може мати право голосу в рішенні питання про долю таких систем, але зазвичай його голос не виявляється вирішальним. Якщо відсутність або неадекватність засобів безпеки в операційній системі настільного комп'ютера часто можна компенсувати, виключивши зберігання на нім чутливих даних, не запускаючи на нім доступних ззовні сервісів і — в межі — звівши його до ролі малоінтелектуального кінцевого пристрою розподіленої системи, а його локальний диск — до ролі кеша програм і другорядних даних, то з додатками все набагато гірше.
Використовувані в організації застосування і, що саме головне, стиль їх використання зазвичай обумовлені її бізнес-процесом, тому недостатньо продумані спроби не лише міграції в інше застосування, а інколи і установка patches (латок) або зміни налаштувань можуть привести до порушень в бізнес-процесі. Ретельне ж продумування і акуратна міграція є складним, вельми дорогим і все-таки ризикованим процес, на який керівництво організації завжди -по очевидним причинам, — йде украй неохоче. Це в рівній мірі відноситься як до дрібних контор з "документообігом" на основі MS Office, так і до організацій, в яких основним бізнесом-застосуванням є програмно-апаратний комплекс, що самостійно розробляється і підтримуваний, зберігає спадкоємність за даними з самим собою з кінця XIX століття (без жартів — механізовані системи обробки даних, табулятори Холлеріта, з'явилися вже тоді).
В той же час, деякі поширені застосування є справжнім раєм для зломщика, настільки багатим можливостями, що багато зломщиків із спортивного інтересу навіть вважають нижче за свою гідність цими можливостями користуватися. Перш за все йдеться про поштового клієнта Microsoft Outlook, який без всяких запобігань (а старі версії і автоматично) запускає виконувані файли, що прийшли поштою.
Не менш жахлива модель безпеки додатків пакету Microsoft Office, в яких документ може містити макропрограми, у тому числі і здатні модифікувати файли, що не мають відношення до документа. Нові версії пакету містять засоби, що дозволяють в певних межах контролювати виконання цих макропрограм, але крайня непродуманість цих засобів вимушує багато користувачів відключати їх.
Вказані застосування є ідеальною середою для поширення вірусів і інших троянських програм. Антивірусні пакети у жодному випадку не можуть вважатися адекватною мірою, бо виявляють лише відомі віруси, виявити ж новий вірус або троянську програму, написану спеціально для доступу до даних вашої компанії, вони принципово не здатні. Автор не в змозі запропонувати ефективного способу дій при використанні в компанії цих застосувань, і може лише порадити все-таки примусово вимкнути макроси
додатках Office і навчити користувачів не відкривати незнайомі фай-i ли, що прийшли поштою.
Нарешті, п'ята причина — помилки в модулях ОС і додатках — хоча і знаходиться за межами безпосередньої сфери впливу системного адміністратора, але заслуговує на детальніше обговорення, особливо тому, що ми призначаємо нашу книгу не лише експлуатационщикам, але і розробникам програмного забезпечення.

 

:: Реклама ::

 

:: Посилання ::


 

 

 


Copyright © Kivik, 2017