CC BY
22
Губарев А.В.
Юго-Западный государственный университет, г. Курск, аспирант кафедры защиты информации и
систем связи ЮЗГУ, gybarev -av@yandex . ru
МОДЕЛЬ УГРОЗ СИСТЕМЫ ПЕРЕДАЧИ ДАННЫХ МЕЖДУ УПРАВЛЯЮЩИМ ПРОГРАММНЫМ ОБЕСПЕЧЕНИЕМ И АППАРАТНЫМ СРЕДСТВОМ
КЛЮЧЕВЫЕ СЛОВА
Командное слово, модель угроз, субъектно-объектная модель, имитовставка, определение подлинности.
АННОТАЦИЯ
В статье дается описание модели угроз системы передачи данных между управляющим программным обеспечением и аппаратным средством и алгоритма определения подлинности передаваемой информации, который позволяет противодействовать угрозам в данной системе. При описании модели угроз используется субъектно-объектная модель.
Информационная система, в которой происходит обмен сообщениями, всегда может служить объектом нападения со стороны нарушителя, располагающего тем или иным потенциалом. Одной из распространенных атак является активная атака, которая носит название имитации. Атака имитации состоит в том, что нарушитель «вставляет» в канал связи сфабрикованное им сообщение, которое на самом деле не передавалось от легального отправителя к получателю. При этом нарушитель рассчитывает на то, что получатель воспримет это сфабрикованное сообщение как подлинное.
Одним из важных подходов к противодействию атакам типа имитации в настоящее время является проверка имитовставки каждого сообщения. Имитовставка - в протоколах аутентификации сообщений с доверяющими друг другу участниками - специальный набор символов, добавляемый к сообщению и предназначенный для обеспечения его целостности и аутентификации источника данных.
Задача формирования имитовставки сообщения сводится к применению соответствующих алгоритмов, которые представляют собой совокупность сложных математических операций, требующих определенных, в том числе временных, ресурсов. Кроме этого, известные алгоритмы шифрования и формирования имитовставок сообщений используются при передаче информации внутри информационно-вычислительной сети, а также устанавливают строго определенные требования к длине сообщения или блоков сообщения (64 бита, 128 бит и т.д.), что делает невозможным их использование при информационном обмене между управляющим программным обеспечением и аппаратным средством командными словами, длина которых ограничена шириной интерфейса аппаратного средства. С учетом всего вышеизложенного был разработан метод определения подлинности передаваемых командных слов [1], краткое описание которого приведено ниже.
Метод определения подлинности передаваемых командных слов заключается в передаче объединенных в пул командных слов и формировании зависимостей между ними таким образом, чтобы принимающая сторона однозначно смогла определить те слова, которые были выданы легальным источником. Примем, что {А| В|"""|.} - слово, образующееся в результате конкатенации слов Л, Б,... N. Задача состоит в том, чтобы передать из источника в приёмник командное слова из пула командных слов и его номер i, преобразованные в соответствии с
секретным словом Ssec, известным и источнику, и приёмнику, таким образом, чтобы в передаваемом слове не встречались в открытом виде ни S¡, ни i. Для этого источник выполняет следующую последовательность действий:
• Формирует слово С = FA(Ssec,i) ;
• Формирует слово Si = FB (Si,i') ;
Формирует слово Г' = FC(Si,l)
Отправляет в приёмник слово I''} Приёмник, в свою очередь, выполняет следующие операции Определяет номер 1пр= Fc1 (Sl,i''
Определяет слово 1пр = FA (S ,1
Чпр
• Определяет содержимое полученного командного слова Sl= FВ (Sl,lпр
В данном случае РА( А, В) - необратимое преобразование, FB(А, В) и (А, В) -обратимые преобразования слова В в соответствии с ключом А, в результате которых длина получаемое слова равна длине слова В, Fcl(А, В) и Fc1 (А, В) преобразования, обратные Fс (А, В) и Рс( А, В) соответственно.
После получения приемником последнего командного слова из пула, он начинает разбирать принятые командные слова. Назовём номер 1'с , выделенный приёмником из поступившего пула командных слов, ярусом командного слова. В случае, если полученное командное слово выдано легальным источником, то 1'с = i. В то же время в буфере командных слов может одновременно присутствовать несколько слов с одинаковым ярусом. Такая ситуация возможна при навязывании ложной информации (командных слов) посторонним источником, в качестве которого может выступать программная или аппаратная закладка. Для каждого слова,
поступающего в буфер, запоминается его порядковый номер j с начала текущего пула. В случае,
□
когда посторонние источники командных слов отсутствуют, выполняется равенство ] = lпр=m , где т - максимальный ярус слов, записанных в буфере. В общем же случае (когда в буфере есть
посторонние командные слова) ]>1пр , ]>т, т>гПр . Условие записи вновь поступившего
□
□
командного слова в буфер на ярус 1пр выглядит следующим образом:
Кр= Р С 1( ^гЛ
<т+1
В противном же случае слово игнорируется.
После того, как все принятые командные слова распределены по ярусам, необходимо с каждого яруса выбрать по одному слову и составить из него пул командных слов, выданных настоящим источником.
Для выделения из буфера слов легального источника недостаточно обладать информацией о ярусе командного слова, необходимо, чтобы содержимое каждого командного слова источника зависело от содержимого остальных командных слов текущего пула. Наиболее простым средством достижения этого является хеширование сообщений. Каждое командное слово
инф
данных, непосредственно
легального источника Sl состоит из информационной части S обрабатываемых приёмником, и небольшой по объёму имитовставки Sим , сформированной из
инф инф
всех переданных ранее информационных частей командных слов о1 * о,
Ч-1
£ _ I ^инф\ ТЦ, / £инф £инф
01=|°1 хеш I ,0С2
инф
где Рхеш - функция криптографического хеширования нескольких слов и формирования из произвольного объёма данных заданной по размеру имитовставки.
Таким образом, формат командного слова, воспринимаемого приёмником, выглядит, как показано на рис. 1:
,, / ,.|!иф ^ИКф
"I
5'
инф
Рис. 1. Формат командного слова
Пусть Sj r - слово, поступившее в приёмник j-м с начала текущего пула и определённое
синф , сим „ ^
на г-й ярус, Sj r - его информационная часть, Sj r - его имитовставка. Тогда необходимо
- , Г, инф Г, инф Г, инф
построить цепочку из M слов S j-(1) 1, S j(2) 2, ... Sj(M) M при одновременном соблюдении условии:
j( 1) <j (2) <...<] (M) , (2.3)
SUM rn / (~,инф (~,инф (~,инф \ г^ *ж г
j (r),r= FxeW ( Sj (r-1) ,r-1 'Sj (r-2),r-2 '-'Sj (l),l) , где Г = 2-M
Из данных условии выводится алгоритм выбора из буфера слов легального источника, которыИ сводится к поочерёдному выбору слов с ярусов буфера и проверки их номеров и имитовставок.
Как уже было сказано выше, источником посторонних командных слов могут являться программные и аппаратные закладки, являющиеся частью информационной системы, в котороИ происходит передача командных слов от специализированного программного обеспечения к соответствующему аппаратному средству. Стоит отметить, что в процессе моделирования угроз система передачи защищенных командных слов рассматривается как одна из подсистем общеи информационной системы, элементами котороИ являются различные аппаратные средства, а также специализированное программное обеспечение. В рамках данного доклада рассматриваются угрозы, непосредственно связанные с системои передачи защищаемых командных слов и воздеиствующие на нее, которые возникают в результате активного функционирования программных или аппаратных закладок, направленные на объекты, входящие в данную систему, а также на работу всей системы передачи защищенных командных слов в целом. Угрозы, связанные с действиями пользователей, несанкционированным доступом к информации, перехватом информации, а также угрозы целостности и доступности информации и другие, не относящиеся к системе передачи командных слов не рассматриваются.
Для описания системы передачи командных слов с точки зрения обеспечения безопасности можно использовать субъектно-объектную модель, охватывающую класс угроз, соответствующий описанным программным и аппаратным закладкам [2].
Система передачи командных слов может быть абстрагирована с помощью понятий: объект, субъект, операции для пары «объект-субъект».
Данным абстрактным понятиям поставим в соответствие следующие физические представления в информационной системе.
Объект (Oj ) - часть ресурсов информационной системы, с которыми могут взаимодействовать субъекты посредством операций. В рассматриваемой системе передачи данных интересующими нас объектами будут являться передаваемые командные слова, а также аппаратные средства, принимающие и обрабатывающие их.
Субъект (Sj) - элемент, способный осуществить операцию над объектом. Будем рассматривать такой элемент, как пару: ресурсы и операция. В рассматриваемой системе передачи данных в роли субъектов будут выступать специализированное программное обеспечение, осуществляющее передачу командных слов соответствующему аппаратному средству, а также закладки, способные генерировать посторонние командные слова и отправлять их через канал связи соответствующему аппаратному средству.
Множество операций ( R ) - действия, которые могут совершать субъекты над объектами. В рассматриваемой системе передачи командных слов основными операциями будут являться подготовка и передача пула легальных командных слов специализированным программным обеспечением, а также формирование и отправка посторонних командных слов программной или аппаратной закладкой.
Программная или аппаратная закладка как некоторый тип субъекта, который является источником угроз, имеет следующие особенности:
• закладка, являясь программно-аппаратными ресурсами информационной системы, имеет одну и ту же среду существования, что и объекты, а также в пассивном состоянии является частью некоторого объекта;
• угрозы в рассматриваемой информационной системе могут исходить только от активного субъекта - закладки, который в текущий момент времени владеет функцией управления ресурсами и, в общем, случае способный изменять состояния объектов;
• субъекты в информационной системе могут влиять друг на друга через изменяемые ими объекты. Одним из результатов воздействия субъекта на объект могут быть такие
состояния информационной системы, которые могут представлять угрозу для безопасности информационной системы, а также для способности нормального функционирования элементов информационной системы.
Пары (Si,Oj) связываются множеством разрешенных операция Ri. Это множество определяется политикой безопасности информационной системы и является подмножеством всего множества R возможных операция для каждой пары. В то же время, пары ( Si,O ■) могут связываться с множеством таких операций Rk, результатом выполнения которых являются деструктивные воздействия на информационную систему. Задачей метода определения подлинности передаваемых командных слов применительно к рассматриваемой информационной системе является противодействие деструктивным операциям из множества Rk . Очевидно, что
R = RkRi.
Также уместно рассмотреть понятие пользователя (злоумышленника). Он всегда связывается с частью информационной системы (объектом), на которую направлены все его действия. Очевидно, что злоумышленник - это внешний по отношению к системе субъект, который может быть источником угроз. Отметим следующие важные свойства злоумышленника:
• злоумышленник воспринимает объекты и получает информацию о состоянии информационной системы через те активные субъекты, доступ к которым он имеет. Таким образом, злоумышленник должен инициализировать субъект - программную или аппаратную закладку и привести его в активное состояние;
• обобщая понятие субъекта, определенное выше, на злоумышленника, отметим, что злоумышленник является внешним субъектом.
В качестве основных уровней знаний нарушителя об информационной системе можно выделить следующие:
• данные об организации работы, структуре и используемых технических, программных и программно-технических средствах информационной системы;
• сведения об информационных ресурсах информационной системы: порядок и правила передачи информации, структура и свойства информационных потоков;
• данные об уязвимостях, включая данные о недокументированных (недекларированных) возможностях технических, программных и программно-технических средств информационной системы [3];
• сведения о возможных каналах реализации угроз;
• информацию о способах реализации угроз.
В то же время нарушитель не обладает следующими знаниями:
• сведения о секретном ключе и применяемых алгоритмах при передаче командных слов;
• сведения о размере командного слова в целом и каждой из его составных частей;
• сведения о деталях реализации метода определения подлинности передаваемых командных слов.
Основным средством реализации угроз рассматриваемой системы передачи командных слов для злоумышленника является программная или аппаратная закладка.
Модель рассматриваемой информационной системы можно представить в виде ориентированного размеченного графа, вершинами которого являются субъекты Si и объекты 0]. Каждой дуге такого графа поставлена операция г1 : с R . Такая модель представлена на рис. 2.
Для формализации механизма порождения новых объектов воспользуемся следующими определениями.
Определение 1. Объект Oi называется источником для субъекта Sk , если существует субъект Sj, в результате воздействия которого на объект Oi в информационной системе возникает субъект Sk .
Определение 2. Субъект S ■, порождающий новый субъект из объекта Oi, в свою очередь, называется активизирующим субъектом для субъекта Sk .
Рис. 2. Субъектно-объектная модель информационной системы
Для описания процессов порождения субъектов доступа вводится следующее обозначение:
Create (Sj,Oi) — Sk - из объекта Oi порожден субъект Sk при активизирующем воздействии субъекта Sj.
Create называют операцией порождения субъектов. На физическом уровне операция Create означает, что субъект Sj, обладая управлением и ресурсами, может передать Sk часть ресурсов и управление, тем самым его активизировав. Отметим также, что ввиду того, что в информационной системе действует дискретное время, то под воздействием активизирующего субъекта в момент времени t, новый субъект порождается в момент времени t +1. Очевидно, что операция порождения субъектов зависит как от свойств активизирующего субъекта, так и от содержания объекта-источника.
Если рассматривать субъекты и объекты в контексте описанной информационной системы, то свойство активности программных и аппаратных закладок реализуется не только в выполнении действий над объектом с целью создания нового субъекта, но и с целью записи данных в объект. В общем случае необходимо отметить, что поскольку объекты в информационной системе по определению являются пассивными, то для выполнения закладками всех описанных выше действий, необходимо существование потоков информации от субъекта к объекту. Так как данный поток инициируется и реализуется субъектом - закладкой, это означает, что операция порождения потока локализована в субъекте - закладке и отображается состоянием его функционально ассоциированных с ней объектов.
Поток информации между объектом Om и объектом Oj всегда должен мыть связан с некоторой операцией на объектом Oj, реализуемой субъектом Sj и зависящей от Om . Поток информации от объекта Om к объекту Oj обозначим как Stream (Si,Om) — Oj. При этом источником является объект Om , а приемником потока является Oj . Отсюда следует, что поток всегда инициируется субъектом.
С помощью приведенного определения операции Stream над объектами Om и Oj формализуется операции субъекта Si к Oj для передачи ему данных из Om или наоборот. В частном случае операция Stream может создавать новый объект или уничтожать его.
Следует особо подчеркнуть, что согласно определению Stream потоки информации могут быть только между объектами, а не между субъектом и объектом, в виду того, что субъект это активная сущность, т. е. действия, процессы и т.д., а информация - пассивная сущность, которая может размещаться, извлекаться, порождаться, изменяться и т. д. только в объектах. Активная роль субъекта заключается в самой реализации потока, в его локализации в субъекте (через
субъект), в том числе, через задействование в потоке ассоциированных с субъектом объектов.
Типичными потоками в рассматриваемой системе передачи защищенных командных слов будут являться передача объектов, представленных пулами защищенных командных слов, к объекту - соответствующему аппаратному средству через специализированное программное обеспечение, которое в данном случае будет являться субъектом. В то же время, предполагая наличие программных или аппаратных закладок в рассматриваемой информационной системе, в системе передачи защищенных командных слов в результате выполнения операций субъектами, которыми являются соответствующие закладки, над объектами, то есть принимающими командные слова аппаратными средствами, могут образовываться потоки информации, которые несут деструктивный характер для объекта-приемника, то есть аппаратного средства, и всей информационной системы в целом. Именно подмножество таких потоков представляет собой угрозы информационной безопасности системы передачи защищенных командных слов.
К актуальным угрозам, порождаемым информационными потоками между закладкой и принимающим командные слова аппаратным средствам, относятся следующие:
• угроза передачи запрещенных командных слов соответствующему аппаратному средству;
• угроза имитации;
• угроза перехвата передаваемых командных слов средствами программной или аппаратной
закладок;
• угроза несанкционированной модификации передаваемых командных слов;
• угроза потери передаваемых командных слов.
Напомним, что в рамках моделирования угроз не рассматриваются угрозы безопасности информации в сегментах информационной системы, не относящихся к системе передачи защищенных командных слов, поэтому представленный список содержит только угрозы, которые могут деструктивно воздействовать на рассматриваемые нами объекты, то есть передаваемые командные слова, а также аппаратные средства, принимающие указанные командные слова.
Рассмотрим подробнее каждую из описанных выше угроз, а также меры по противодействию данным угрозам в соответствии с методом определения подлинности передаваемых командных слов.
Угроза передачи запрещенных командных слов соответствующему аппаратному средству. Угроза заключается в возможной потере управления над устройством или частичной или полной потере функциональности соответствующего устройства в следствие передачи ему запрещенных командных слов. Реализация данной угрозы возможна при наличии у нарушителя достаточных знаний запрещенных команд, а также соответствующих программных или аппаратных закладок, являющихся источниками запрещенных команд, или возможности изменения команд, передаваемых легальным источником. Мерой противодействия данной угрозе является разработанный метод определения подлинности передаваемых командных слов, который позволяет аутентифицировать только те командные слова, которые были выданы легальным источником, и предотвратить исполнение команд, полученных от постороннего источника.
Угроза имитации. Угроза заключается в навязывании ложных команд аппаратному средству путем передачи ему сформированных по определенному алгоритму команд, что может привести к выполнению устройством неинициированных пользователем действий. Реализация данной угрозы возможна при наличии у нарушителя достаточных знаний алгоритма формирования команд, а также соответствующих программных или аппаратных закладок, являющихся источниками посторонних команд. Мерой противодействия данной угрозе является разработанный метод определения подлинности передаваемых командных слов, который позволяет аутентифицировать только те командные слова, которые были выданы легальным источником, и предотвратить исполнение команд, полученных от постороннего источника.
Угроза перехвата передаваемых командных слов средствами программной или аппаратной закладок. Угроза заключается в возможности осуществления нарушителем несанкционированного доступа к командным словам, передаваемым от управляющего программного обеспечения соответствующему аппаратному средству. Данная угроза обусловлена недостаточностью мер защиты информации от утечки и контроля потоков данных, а также невозможностью осуществления защиты командных слов с помощью криптографических средств (т.к. передаваемые командные слова должны передаваться в доступном для понимания соответствующим аппаратным средством виде, а также в связи с малым размером передаваемых командных слов). Реализация данной угрозы возможна при условии наличия у нарушителя привилегий на установку и запуск программных и аппаратных закладок, осуществляющих
перехват и передачу злоумышленнику командных слов. Мерой противодействия данной угрозе является разработанный метод определения подлинности передаваемых командных слов, который позволяет преобразовывать командные слова по определенному алгоритму в соответствии с секретным ключом с целью исключения передачи командных слов в открытом виде.
Угроза несанкционированной модификации передаваемых командных слов. Угроза заключается в возможности нарушения целостности передаваемых командных слов путем осуществления нарушителем деструктивного воздействия (искажения, замены отдельных бит) на передаваемых командные слова. Реализация данной угрозы возможна при условии наличия у нарушителя привилегий на установку и запуск программных и аппаратных закладок, осуществляющих модификацию передаваемых командных слов. Мерой противодействия данной угрозе является разработанный метод определения подлинности передаваемых командных слов, который проверяет имитовставки принятых командных слов, пытается построить цепочку легальных командных слов и в случае невозможности нахождения такой цепочки (в том числе в результате модификации отдельного командного слова) отправляет запрос на повторную передачу командных слов.
Угроза потери передаваемых командных слов. Угроза заключается в возможности нарушения доступности передаваемых командных слов путем удаления (затирания) передаваемых командных слов. Реализация данной угрозы возможна при условии наличия у нарушителя привилегий на установку и запуск программных и аппаратных закладок, осуществляющих затирание передаваемых командных слов. Мерой противодействия данной угрозе является разработанный метод определения подлинности передаваемых командных слов, который проверяет имитовставки принятых командных слов, каждая их которых зависит от содержимого предыдущего командного слова, пытается построить цепочку легальных командных слов и в случае невозможности нахождения такой цепочки в том числе в результате затирания одного или нескольких командных слов, отправляет запрос на повторную передачу командных слов.
Так как разрабатываемый метод позволяет находить командные слова, переданные легальным источником, среди множества всех принятых командных слов, особый интерес представляет угроза имитации командных слов, в результате которой злоумышленник пытается навязать принимающей стороне посторонние командные слова. В случае, когда в системе передачи командных слов существуют только легальные потоки информации Stream между субъектом и объектом, все M принятых слов выданы легальным источником, и данные командные слова образуют цепочку, удовлетворяющую условию (2.3). Таким образом, мы можем сказать, что все командные слова легального источника будут опознаны и обработаны, то есть невозможна потеря отдельных слов цепочки и замена их словами посторонних источников. В противном же случае, когда в системе передачи командных слов присутствуют деструктивные потоки информации Stream , среди общего количества принятых командных слов будут находиться слова, выданные посторонним источником, в результате чего может возникнуть коллизия в процессе построения цепочки легальных командных слов. Коллизией же при выборе будем называть ситуацию, при которой помимо цепочки из таких легальных командных слов будет сформирована альтернативная цепочка, в которой от 1 до M слов будет выдано посторонним источником.
Следует отметить, что слова, принятые приёмником, не рассматриваются по отдельности, а только как неотъемлемая часть цепочки из M слов. Поэтому обе цепочки имеют все основания быть опознанными как выданные легальным источником. Поэтому, в случае, если алгоритм выявил две или более конкурирующие цепочки сообщений, требуется повторная передача источником всего пула командных слов. В случаях же частого появления коллизий в процессе построения цепочки из легальных командных слов отправляющей стороне необходимо рассмотреть ряд факторов, влияющих на появление коллизий, и учесть их при повторной передаче командных слов. Такими факторами могут являться размеры информативной части и имитовставки, которые зависят от количества посторонних слов. При возникновении коллизий в целях исключения угрозы «отказ в обслуживании» необходимо увеличить размер имитовставки, что существенно снизит вероятность возникновения коллизий. Моделирование системы передачи командных слов, нахождение зависимости вероятности возникновения коллизий от характеристик данной системы рассматриваются в работе [4].
Таким образом, проведенное моделирования угроз системы передачи данных между
управляющим программным обеспечением и аппаратным средством позволяет найти и описать возможные угрозы данной системы, а также разработать меры противодействия данным угрозам, в данном случае, систему передачи защищенных командных слов.
Литература
1. Таныгин М.О. Верификация данных, передаваемых между устройством и программным обеспечением [Текст] // Электронные средства и системы управления: Материалы докладов Международной научно-практической конференции (13-16 октября 2010 г.). - Томск: В-Спектр, 2011: В 2 ч. - Ч. 2. С. 49 - 52.
2. Зегжда Д.П. Основы безопасности информационных систем [Текст] / Д. П. Зегжда, А. М. Ивашко - М.: Горячая линия - Телеком, 2000. - 452 с.
3. Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. - М.: Гостехкомиссия, 1998. - 9 с.
4. Губарев А.В. Моделирование работы системы контроля подлинности командных слов [Текст] / А. В. Губарев // Проблемы информационной безопасности. Компьютерные системы - 2014. - № 4 - С. 169-175.
