Уязвимость защиты веб-контента типа html Guardian Текст научной статьи по специальности «Компьютерные и информационные науки»

По отношению к источнику данных индексы 0инд могут быть как внешними, так и внутренними. Если в качестве источника данных выступает БД с внутренними инструментами индексирования, то из соображений скорости поиска такой индекс логично сделать внутренним. Если же источник данных не предоставляет средства семантической индексации, индекс может быть внешним по отношению к ресурсу.

Интеллектуальный компонент поиска состоит

из двух объектов-агентов: 1Кпоиск=(0; Аользи •••,

1А пользи 1А алгП1, 1А алгПQ).

Агенты пользователя 1Апольз реализуют пользовательский интерфейс для пользователя-человека. Агенты 1АалгП осуществляют поиск информации согласно соответствующему алгоритму поиска на основе индекса или без него.

Графически дерево имен концепта системы семантического поиска можно представить в виде схемы, изображенной на рисунке 3.

Предлагаемый вариант реализации поисковой системы для промышленного предприятия отли-

чается масштабируемостью, хорошей формализацией компонентов и небольшой стоимостью разработки. При этом система поиска может функционировать как самостоятельно, так и внутри корпоративных агентных сообществ и использоваться в большинстве существующих поисковых алгоритмов.

Литература

1. Костров А.В., Александров Д.В. Уроки информационного менеджмента. Практикум: учеб. пособие. М.: Финансы и статистика, 2005. 304 с.

2. Автоматизированные информационные технологии в экономике / М.И. Семенов [и др.]; [под общ. ред. И.Т. Труби-лина]. М.: Финансы и статистика, 2000. 416 с.

3. Летовальцев В.И., Швецов А.Н. Сравнение агентного и сервис-ориентированного подходов к созданию распределенных приложений // Информационные технологии в проектировании и производстве. 2009. № 2. С. 66-71.

4. Швецов А.Н., Летовальцев В.И. Семантическая обработка текста на основе интенсиональной логики для проведения информационного поиска / Интеллектуальные системы: тр. IX Междунар. симпоз.; [под ред. К.А. Пупкова]. М.: РУСАКИ, 2010. С. 146-150.

5. Швецов А.Н. Метаметодология построения мультиа-гентных интеллектуальных систем // Информационные технологии в проектировании и производстве. 2010. № 1. С. 28-33.

УДК 004.056.53

УЯЗВИМОСТЬ ЗАЩИТЫ ВЕБ-КОНТЕНТА ТИПА HTML GUARDIAN

Д.Г. Ермаков, к.ф.-м.н.

(Институт математики и механики УрО РАН, г. Екатеринбург, Ermak@imm.uran.ru)

Рассмотрена задача преодоления защиты информации от копирования, подобная ProtWare's HTML Guardian, стандартными средствами MS Windows - языка сценариев Windows PowerShell и браузера MS Internet Explorer. Показана невозможность защиты контента веб-страницы, так как браузер расшифровывает зашифрованный HTML-код и есть простой и быстрый способ получить этот незашифрованный код средствами PowerShell.

Ключевые слова: информационная безопасность, преодоление защиты, MS Windows PowerShell, MS Internet Explorer, .NET.

Обладатели авторских прав, размещающие свои произведения в Интернете, хотели бы ограничить возможность их несанкционированного копирования. Способы защиты от копирования информации с веб-сайтов хорошо известны (см., например, [1-3]). К ним относятся:

- запрет кеширования страницы;

- запрет копирования элементов страницы;

- отключение (блокирование) функции сохранения картинки;

- блокирование выпадающих меню;

- запрет копирования через стандартное сочетание клавиш Ог1+С;

- защита от копирования модальными окнами;

- шифрование исходного кода страницы и

использование продуктов типа HTML Protector, HTML Power, Encrypt HTML Pro, ProtWare's HTML Guardian.

Среди этих способов наиболее надежным считается шифрование исходного кода страницы и использование продуктов типа ProtWare's HTML Guardian [1].

Перечислим основные способы преодоления данного типа защиты, представленные в [1-3]:

- перепечатка текста, отображаемого браузером, вручную;

- фотографирование экрана, на котором отображается защищенный текст, и распознавание его аналогично тому, как это делается с отсканированным текстом;

- запуск браузера в дополнительном контей-

нере - виртуальной машине, создание копии окна этого контейнера и распознавание аналогично предыдущему варианту.

Данные способы весьма трудоемкие. К тому же они не позволяют сохранить исходное форматирование, и при их применении в текст могут быть внесены дополнительные ошибки и искажения.

Существует программный способ преодоления защиты от копирования типа HTML Guardian штатными средствами MS Windows, лишенный перечисленных недостатков.

Актуальные версии MS Windows (Windows XP, Windows Vista, Windows 7) имеют в своем составе

интернет-браузер MS Internet Explorer и Windows PowerShell - расширяемое средство автоматизации, состоящее из оболочки с интерфейсом командной строки, языка сценариев и среды для разработки и отладки скриптов. Windows PowerShell построен на базе Microsoft .NET Framework, поэтому в его среде можно манипулировать любыми объектами .NET-приложений. Используем эту возможность для доступа к свойствам и методам объектов Internet Explorer и покажем, как может быть преодолена защита информации HTML-страницы, выполненная на основе HTML Guardian (другие способы защиты могут быть преодолены аналогичным образом).

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <!-- saved from url=(0033)http://www.protware.com/demoE.htm -->

<HTML><HEAD><TITLE>Encrypt ASP source, JavaScript, HTML. Protect links & images</TITLE> <META content="" http-equiv=expires> <META name=keywords

content="Encrypt,ASP,source,protect,htmljavascript,vbscript,code,email,scramble "> <META name=description

content="Encrypt ASP source protect html javascript email scramble"> <META content="text/html; charset=iso-8859-1" http-equiv=Content-Type> <META content=No http-equiv=ImageToolbar> <SCRIPT>l 1 l=document. all;var

naa=true;ll1=document.layers;lll=window. sidebar;naa=(!(l1 l&&ll 1 )&& !(!l11&&! ll 1 && ! lll));l11 =navigator.userAgent.toLo werCase0.indexOf('kht')>0;naa|=l11;OOO0=newArray();OOO0[0]=' <!DOCTYPE HTML PUBLIC " - / / W 3 C~ D T D~~~\r 4.01

Transitional~EN"><htm l~9 h e a d~9 s c r i p t > e v~3 (un e~E a p e ( \' f % 7 5 \\ 1 5 6 c~Z 4~] 5 1 % 6 F n % 2 0 q~] 7~f 3 6~k 8~k 9~Z B i~g~s 2 8 w~d 1 n d~g F~] 6 7~k E~-

~] 4 4 e} 2 a r~v~x} 6 a~Z 2~k 0~Z 1 y % 3} 3 D~k} 2}" B q~Z~w 3~u}# % 5 3 t} i~j}}}

6}}~h~d 5 C~g 8 a};~] 0 3~d 7 d e~t} ~q 3~k}@ 3~q} 2}, B f o}}L 6},}$ 3} 3~y} }Q} 3}O 3 5} }i}a~z 2 B~k}o}U} 1 6}-} }&}o}#}}v}-~Z}A}o 6 4 o c} 5 m e n}3 2 E}} 7}< 9}~c 1 4}i~} q}}!} 7}$|} B}{~o~q~|~u}r}a \' ) ) < /~E~G~I~D~F~H~J~, p = \' O l d

b r o w s e r ! ; d l = d| u|| . l a y|A s ; o e = w}5|I w . o~U~* ? 1 : 0|E a|H|J|L t .~3 l & & !|U ; g|V|I c|K||i|r t E l e|h B y I d ;|?|W|Y|> }J b} ? t r u e : f~3|@ ; t N =~2 v i g a t o r . u|@ r A|r|M{-L|>|A C a|@ ( ) ; i z{{ .|Y e x O f~W~Q t~S~U|( > = 0{\r{{{ l{ z i s ={6{8{:{< \' m~- e 7{B{D{F{{{ e{2{<|?|m !{3 N ) { q u o g|G \' i u y \' } ;~M r {U g|6|D f~P c~/~1 ~Q m{0 {return {{{t|X}{~1|A|={w =z|} ; z O F{z|[ l|{—0 n . p|={-c o l{7}{9{; ( " f i|| " ) ! = -

1{\\{H{_{2 7 f ={L s{dz Fz={A{J{' i{< d a{h|t|v|M~1 d~* g s t} t ={} n{ z% zzzz {I|@{tzAz'z c I Ez ({y{1zdz\nzzh ezj{~zzqz c czzR|h|\\z_~1 t{9~<| u =zn E ;|@ t T i| o u tz2z~{0 " ,~l 0 ){tyy- ;zkz|

c N S ( e{hzM (|F | ||?y+{< e . w h i c h = = 2y/y4y6y8y: = 3{hzr s gztzzvzg{_ }yN{ay-lzQ|g|w . c~Tze e E v|w s (y[yU M O U S E~ W{g|EyTzT n my|@|Z nyy\' } ezK {yyU~1yn{# e u|5y& S{tyyylz+|y|Ly\n~Q w Fz{z%z2zuzfzxz7yP|U{hy#za|=y)y2y)y\\|M by{yry<{h~3|Ay \'

|( ;xz 0{tx.z\r{Gx-yk|iy{yo eyq =|=zzz_y$ u 0 (zPzyJxyMy"xz u 1xxEze

ny) .zZ r|yxS a g N a|z9 n u l|l &y4xTxVzZxYx[y4|@}y9~W a(in~T|TEXTARE A | B U T T O N |ye L E~

) $|(z9z;y!xxK 2xNy,y?y7y9y; 1{hzlZyVyXz\nyZx{?y_w .ybyd Eyb V E{1wzymx9yny\\ =xAyOwz

u 3wy3y5wyBw {w,l[zll{.wy]w"yaycyew(w*{-{|[x8y}w0|VxЛx,yO

y,lFwwNw~Iw-y'l yЛw_|iw%ye U P lwbw$wIyf Oyhw+w[wPypl>yr u 2wMz

y-yll@y w2 3yuzKwW{<lr{dzOySluywqx:wsw2 1x>zlz

nxQxy.yO s{h{vz\rzx

X Syv ev{0yP|i{Qz1 \' q w~A s d z х c{Bw>v|

Рис. 1. Исходный текст тестовой страницы. Страница зашифрована

Для проведения эксперимента используем демонстрационную страницу HTML Guardian сайта ProtWare (http://www.protware. com/demoE. htm). Далее перечислим шаги, которые надо выполнить для преодоления защиты.

• Запустим оболочку PowerShell. Создадим переменную, содержащую адрес тестируемой страницы: $BaseAddress=http://www.protware. com/ demoE. htm.

• Создадим объект Internet Explorer: $ie= =new-object -com "InternetExplorer.Application".

Теперь все свойства и методы Internet Explorer стали доступными как свойства и методы экземпляра объекта $ie.

• Откроем в Internet Explorer демонстрационную страницу: $ie.navigate($BaseAddress).

• Обеспечим отображение окна браузера на экране (необязательно): $ie.visible=$true.

• Загрузим базовый файл страницы и все ее компоненты (стили, скрипты, изображения и т.п.):

while($ie.busy) {start-sleep -seconds 5}

while($ie.document.readyState -ne "complete") {start-sleep -seconds 5}

После полной загрузки всех составляющих страницы в окне браузера страница отобразится в хорошо воспринимаемом человеком виде.

Через стандартное меню браузера можно сохранить текст этой страницы и просмотреть его, например, с помощью программы «блокнот». В блокноте будет отображен текст в зашифрованном виде, примерно так, как показано на рисунке 1.

Понятно, что такое содержимое непригодно для дальнейшей обработки.

• Посмотрим, что содержится в теге BODY документа, открытого браузером. Поместим в переменную PowerShel $Body содержимое этого тега, выполнив следующую операцию: $Body= =@($ie.document.getElementsByTagName("Body")) [0].InnerHTML.

• Распечатаем значение этой переменной (результат представлен на рисунке 2): Write-Host $Body.

Таким образом, получен расшифрованный текст с сохранением HTML-разметки, пригодный для дальнейшего использования. Следует отметить, что, если вместо содержимого элемента BODY попробовать получить содержимое элемента HTML, то можно получить содержимое страницы в зашифрованном виде. Затем полученный текст может быть подвергнут дополнительным преобразованиям, проиндексирован, сохранен в файле для дальнейшего использования.

Данные оказываются доступными для несанкционированного копирования потому, что для отображения в браузере была выполнена их расшифровка, и уже в расшифрованном виде они доступны для использования в среде PowerShell как значения набора свойств объекта MS Internet Explorer, доступные через API-функции IE в обход пользовательского интерфейса. То есть получен доступ к области оперативной памяти, где содержатся уже расшифрованные данные.

<P class=s1i>

<SCRIPT src="scroll.js"></SCRIPT> <SCRIPT src="stat.js"></SCRIPT> </P>

<CENTER>

<TABLE border=0 width="85%">

<TBODY>

<TR>

<TD colSpan=3>

<P class=tips align=center><B><U><FONT color=#ff0000>"Best product of its kind, bar none. "</FONT></U></B><BR><FONT color =#000000>WebReview</FONT></P><BR></TD></TR> <TR>

<TD height=79 colSpan=3>

<P class=tborder6 align=left><B>Main HTML Guardian features:</B><BR> <UL class=sli>

<LI class=bli>A world standard for web intellectual property protection<FONT class=sli> - all experts in web design, web security and intellectual property protection <A href="encrypt_asp.htm#p0"><FONT class=bo color=navy>recommend HTML Guardian</FONT></A>. </FONT><BR><BR>

<CENTER><A id=6 title="Encrypt html, password protect website .. compare tools" href="encrypthtml"><FONT class=bo color=#0000ff>Compare HTML Guardian to other tools for website protection</FONT></A><BR><FONT style="COLOR: black; FONT-WEIGHT: normal">[see why it is adopted worldwide as a website protection stan-dard]</FONT></CENTER><BR>

<LI class=bli>Rock solid<FONT class=sli>- it will properly encrypt all html, shtml, <A class=s1i href="scripts.htm"><B>script</B></A> and asp files, not just some of them. HTML Guardian's revolutionary <SPAN class=bo>CodeAnalyzerT</SPAN> engine debugs the encrypted code in realtime and sends the appropriate feedback commands to the encryption engine. This ensures 100% working and error-free encrypted files</FONT>.<BR><BR><A name=options></A>

Рис. 2. Расшифрованное содержимое элемента BODY

Следует отметить, что с точки зрения серверных и клиентских скриптов открытие страницы происходит в штатном режиме, как это делалось бы человеком вручную, законным приложением, и действия по несанкционированному доступу к защищенному контенту не могут быть обнаружены.

Таким образом, рассмотренные программные средства защиты информации от копирования только создают видимость защищенности, что приводит к появлению ложного чувства безопасности у обладателя авторских прав. Затраты на обеспечение такой защиты существенно превосходят затраты на ее преодоление. В то же время потери от применения такой защиты (например, страницы не индексируются поисковыми системами) могут оказаться для правообладателя более существенными, чем потери от несанкционированного копирования [2].

Другие перечисленные ранее способы защиты могут быть преодолены аналогичным образом, в том числе и при их совместном использовании.

Данный подход можно применить и к защищенным (доступным только для чтения) документам MS Office 2010. Для этого следует использовать объектную модель соответствующего приложения MS Office. Подход может использоваться при построении небольших поисковых систем для обеспечения возможности индексирования текста, защищенного от несанкционированного копирования с помощью шифрования, а также в системах защиты информации при фильтрации контента, размещаемого в общем доступе.

Литература

1. Белов В. Защита контента // PC Week/RE. 2004. № 5. URL: http://www.pcweek.ru/themes/detail.php?ID=66653 (дата обращения: 22.03.2011).

2. Касперски К. (ака мыщъх). Защита Web-контента от кражи. URL: http://www.insidepro.com/kk/250/250r.shtml (дата обращения: 22.03.2011).

3. Нуньес Тельес К. Защита содержимого сайта от копирования. URL: http://www.web-sitio.ru/nocopy.html (дата обращения: 22.03.2011).

УДК 004.056

МЕТОДИКА ПОСТРОЕНИЯ МОДЕЛИ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ

(Работа выполнена при поддержке ФЦП «Исследования и разработки по приоритетным направлениям развития научно-технологического комплекса России» на 2007-2013 гг.)

В.Г. Жуков, к.т.н.; М.Н. Жукова, к.т.н.; В.В. Золотарев, к.т.н.; И.В. Ковалев, д.т.н. (Сибирский государственный аэрокосмический университет им. академика М.Ф. Решетнева, г. Красноярск, vadimzhukov@mail.ru, mariem@inbox.ru, amida@land.ru, kovalev.fsu@mail.ru)

Предложена методика построения модели безопасности автоматизированной системы в защищенном исполнении. Рассмотрены этапы работ при построении модели безопасности. Приведена обобщенная схема программной системы автоматизированного построения модели безопасности.

Ключевые слова: модель безопасности, автоматизированная система, проектирование систем защиты информации.

Актуальность проблемы безопасности информации в автоматизированных системах (АС), ее обработки и передачи по каналам связи ни у кого не вызывает сомнений. Работы в этом направлении ведутся в мире уже более 30 лет, в том числе по разработке принципов построения и теории защиты, а также соответствующих стандартов оценки ее прочности. Однако различного рода потери от несанкционированного доступа (НСД) к информации продолжают расти.

При построении защиты информации сложился подход, основанный на представлении процесса ее обработки в виде абстрактной вычислительной среды, в которой работают множество субъектов (пользователей и процессов) с множеством объектов (ресурсы и наборы данных). При этом построение системы защиты заключается в создании защитной среды в виде некоторого множества ог-

раничений и процедур, способных под управлением ядра безопасности запретить несанкционированный и реализовать санкционированный доступ субъектов к объектам и защиту последних от преднамеренных и случайных внешних и внутренних угроз.

Данный подход опирается на теоретические модели безопасности Хартсона, Белла-Лападулы, MMS Лендвера и МакЛина, Биба, Кларка-Вилсо-на и др. [1]. Считается, что перечисленные модели являются инструментарием при разработке политик безопасности, определяющих множество требований, которые должны быть выполнены в конкретной реализации системы. На практике разработчику чрезвычайно сложно реализовать эти модели, и поэтому они рекомендуются лишь для анализа и оценки уровня безопасности АС, а руководствоваться при разработке предлагается спе-