Зегжда Д.П. Информационная безопасность
Подождите немного. Документ загружается.
Как и многие другие ОС, TENEX использовала систему паролей контроля доступа
к файловой системе. Процедура проверки правильности пароля была реализована таким
образом, что позволяла злоумышленнику подобрать пароль за небольшое количество
попыток. Проверка пароля осуществлялась символ за символом, причем выборка
символов осуществлялась из области памяти пользовательского процесса, как только
обнаруживался неверный символ проверка прекращалась. Так как пользователь
контролировал область памяти, откуда считывались символы пароля, он мог
использовать для радикального ускорения процесса перебора механизм подкачки
виртуальных страниц памяти. Для этого вариант пароля помещался на границу
виртуальной страницы таким образом, что подбираемый символ размещался в ее
последнем байте, а следующая страница отсутствовала в физической оперативной
памяти. После этого, если при проверке пароля возникала ситуации подгрузки страницы,
это означало что символ подобран верно (процедура проверки обращалась к следующему
символу только в том случаи, если текущий был верен), в противном случае, процесс
подбора этого символа продолжался. После подбора первого символа можно было
перейти к подбору второго и т.д. Таким образом, вместо того, чтобы проверять для
подбора пароля, состоящего из N символов алфавита мощностью М, М
N
комбинаций,
злоумышленник мог проверить всего M*N комбинаций.
Это полностью дискредитировало всю парольную систему защиты данной ОС.
Индекс: 01. Система: DEC VMS.
Источник информации: "VMS code patch eliminates security breach", Digital
Review, June 1, 1987, p. 3.
Данный случай представляет особый интерес, т.к. система DEC VMS была
тщательным образом исследована на предмет наличия брешей в системе безопасности. В
новой версии системы был добавлен системный вызов, предоставлявший
авторизованным пользователям возможность модификации файла авторизации.
Проверка прав инициировавшего запрос пользователя на модификацию данного файла,
выполнялась на основе анализа содержимого этого же файла. Поэтому в ходе обработки
этого запроса ОС первым делом открывала файл авторизации и считывала из него
соответствующую информацию. Если пользователь не имел соответствующих прав,
выполнение запроса прекращалось. Однако, при задании определенных параметров,
несмотря на то, что неавторизованный пользователь получал отказ, файл авторизации
оставался открытым и доступным для него. Злоумышленник, знавший об этом мог
присвоить себе все права по управлению системой.
Операционная система Unix.
Операционная система Unix разрабатывалась лучшими специалистами в области
создания ОС с одной целью - обеспечить удобную интерактивную среду обработки
данных на компьютерах малой производительности. Поэтому на ранних стадиях
разработки вопросам безопасности уделялось относительно мало внимания. Unix
поддерживает иерархическую файловую систему с возможностями контроля доступа,
основанную на понятие "владельца", установленного для каждого файла. С каждым
файлом связаны идентификаторы владельца и группы, а также атрибуты доступа. Эти
идентификаторы можно изменить с помощью команд chown, chgrp. Идентификаторы
файла определяют права доступа к нему. Все пользователи подразделяются на три
категории:
— владелец файла, его идентификатор совпадает с идентификатором владельца
файла;
— члены группы, его идентификатор группы совпадает с идентификаторам группы
файла;
— прочие — все остальные процессы.
С помощью назначения соответствующих атрибутов доступа можно
регламентировать доступ ( чтение, запись, выполнение) для каждой категории
пользователей. Изменить права доступа может только владелец файла либо root.
Пользователь с этим идентификатором является администратором системы и имеет
неограниченные полномочия. Его действия не регламентируются механизмами контроля
доступа.
Все пользователи системы зарегистрированы в специальном файле /etc/passwd. В
нем указаны имена пользователей, их идентификаторы и пароли в зашифрованном виде.
Всем пользователям кроме root, разрешен доступ к этому файлу только по чтению. Если
злоумышленник получил возможность записи в этот файл, он может создать
пользователя с полномочиями root, и получить полный контроль над системой.
Когда пользователь запускает процесс, как правило, ему присваивается
идентификатор этого пользователя, что дает процессу возможность действовать от имени
данного пользователя и с его правами доступа. Этому механизму недостает гибкости,
поэтому для того, чтобы пользователи могли, например, осуществлять модификацию
файла /etc/passwd в пределах относящейся к ним записи, был введен атрибут SUID.
Наличие у программы этого атрибута означает, что при ее запуске соответствующий
процесс будет иметь идентификатор и права не того пользователя, который его запустил,
а пользователя, являющегося владельцем файла с программой. Как правило, этот атрибут
устанавливается у системных утилит владельцем которых является root, требующих для
своей работы его полномочий. Например, утилита setpass, позволяющая пользователю
изменять свой пароль, должна иметь возможность осуществлять запись в файл
/etc/passwd. При этом безопасность системы полностью зависит от корректности
реализации подобных программ, поскольку они позволяют любому пользователю выйти
за рамки своих полномочий.
Индекс: U2. Система: Unix.
Источник информации: A. S. Tanenbaum. Operating System Design and
Implementation. Prentice-Hall, Englewood Cliffs, NJ, 1987.
Присутствующая во многих версиях Unix утилита lpr, помещает файл в очередь
печати, а при указании опции "-r", еще и удаляет его. В ранних версиях Unix при
использовании указанной опции проверка наличия полномочий на удаление заданного
файла у пользователя, вызвавшего утилиту lpr, отсутствовала. Это позволяло
пользователю удалить любой файл, в том числе и файл /etc/passwd, после чего ни один
пользователь не мог войти в систему.
Индекс: U3. Система: Unix.
Источник информации: А. S. Tanenbaum. Operating System Design and
Implementation. Prentice-Hall, Englewood Cliffs, NJ, 1987.
В ряде версий Unix программа создания каталогов mkdir имела атрибут SUID, а ее
владельцем был root. Создание каталога происходило в две стадии. Сперва посредством
специального системного вызова (mknod) для нового каталога выделялись необходимые
ресурсы и его владельцем назначался roof. После этого с помощью другого системного
вызова(chown) владельцем нового каталога назначался пользователь, вызвавший mkdir.
Поскольку эти два этапа не были реализованы как атомарные операции, у пользователей
имелась возможность стать владельцем любого каталога и файла в системе, в том числе и
файла /etс/passwd. Для этого было достаточно запустить mkdir как фоновый процесс, и
после выполнения первой стадии — создания каталога — приостановить его. После
этого пользователь удалял созданный каталог, и под тем же именем создавал ссылку
(link) на файл паролей /etc/passwd. Затем пользователь инициировал возобновление
выполнения утилиты mkdir, которая делала пользователя владельцем созданного
каталога. Однако, т.к. каталог предварительно был подменен ссылкой на файл
/etс/passwd, пользователь становился его владельцем. Далее, в соответствии со своими
полномочиями владельца, он мог изменять этот файл, получая таким образом полный
контроль над системой.
Индекс: U4. Система: Unix.
Источник информации: А. V. Discolo, "4.2 BSD Unix security", Computer
Science Department, University of California, Santa-Barbara, Apr. 1985.
Во многих версиях Unix команда sendmail позволяла неавторизованному
пользователю прочитать любой файл в системе. Эта программа могла считывать свои
параметры из файла, указанного пользователем, а в том случае, если формат файла не
соответствовал синтаксису команд sendmail, выводила на экран каждую строку, в
которой встретилась ошибка.
Проверка полномочий пользователя на доступ к файлу параметров не
осуществлялась, т.к. sendmail имела атрибут SUID, а ее владельцем был root, так что
пользователь легко мог ознакомиться с содержанием любого файла указав его в качестве
файла параметров программы sendmail (очевидно, что вероятность соответствия строк
интересующего пользователя файла синтаксису, принятому в sendmail, крайне мала).
Индекс: U5. Система: Unix.
Источник информации: М.Bishop. "Security problems with the UNIX operating
system", Computer Science Department, Purdue University, West Lafayette, Indiana,
March, 1982 .
Неправильное использование ограничений доступа к каталогам электронной почты
приводит к возникновению возможности преодоления системы защиты. В ряде версий
Unix почтовая программа после добавления нового сообщения к файлу, в котором
хранятся поступившие сообщения ("почтовый ящик" — mbox), назначает владельцем
этого файла пользователя, на имя которого поступило сообщение. При этом не
производится никаких проверок его атрибутов. В дополнение к этому многие системы
настроены таким образом, что каталоги, содержащие электронную почту пользователей,
доступны по записи для всех. Это означает, что любой пользователь может удалить
"почтовый ящик" пользователя root, и заменить его копией командного интерпретатора с
установленным атрибутом SUID и разрешением для выполнения любым пользователем.
После этого пользователь может послать на имя root любое сообщение. Программа,
обслуживающая почту, добавит это сообщение в конец файла — "почтового ящика" и
назначит ему нового владельца — root. Таким образом, в системе появится командный
интерпретатор, с установленным атрибутом SUID, владельцем root, и доступный для
выполнения для любого пользователя.
Индекс: U7. Система: Unix.
Источник информации: М. Bishop. "Security problems with the UNIX operating
system", Computer Science Department, Purdue University, West Lafayette, Indiana,
March, 1982.
В Unix имеется утилита Uux, реализующая удаленное выполнение ограниченного
множества команд и программ. Командная строка, содержащая имя и параметры
программы, которую необходимо выполнить, передается программой Uux на удаленную
машину, где осуществляется ее анализ и проверка на принадлежность запускаемой
программы к множеству доступных. Если анализ и проверка завершились успешно,
порождается соответствующий процесс. В процедуре анализа командной строки
содержалась ошибка, которая позволяла выполнять программы, не входящие в
множество допустимых.
Разбор командной строки был организован следующим образом. Uux читала
первое слово командной строки (имя команды), проверяла его, а затем пропускала (как
аргументы и опции команды) все последующие символы до первого разделителя команд
(признака конца команды). Затем производился разбор следующей команды и т.д. После
окончания разбора вся строка целиком передавалась командному интерпретатору для
выполнения. Но множество проверяемых разделителей команд было неполным, символы
"|", "L", "," — учитывались, а "&" и "у" — нет. Таким образом, команды, следующие за
неизвестным программе Uux разделителем, не проверялись на принадлежность к
множеству допустимых, но выполнялись. Следовательно, пользователь мог осуществить
удаленный запуск любых программ и выполнение любых команд в обход контроля Uux.
Индекс: U10. Система: Unix.
Источник информации: Е. Н. Spafford. "Crisis and Aftermath", Comm. of the
ACM 32, June 1989, pp. 678-687.
Во многих версиях ОС Unix программа sendmail распространялась с установленной
по умолчанию отладочной опцией, позволявшей неавторизованным пользователям
получать проникать в удаленные системы. Отладочный режим позволяет посылать
сообщения, снабженные программой-получателем, которая запускается на удаленной
машине и осуществляет прием сообщения. Эта возможность использовалась
разработчиками для отладки программы, и в коммерческой версии была оставлена по
ошибке. Злоумышленник мог указать в качестве программы-приемника командный
интерпретатор, а в текст сообщения включить нужные ему команды, что фактически
превращало его в пользователя удаленной системы, несмотря на то, что он не был в ней
зарегистрирован. Известный вирус Р. Моррисона использовал эту возможность для
проникновения в удаленные системы.
Индекс: U11. Система: Unix.
Источник информации: D. Gwyn. "UNIX-wizard digest", Vol.6 No. 15, Nov. 1988.
Команда chfn системы Unix предоставляет пользователям возможность изменить
имя, под которым они зарегистрированы в системе. Поскольку имя пользователя
хранится в файле /etc/passwd, эта программа должна иметь возможность писать в этот
файл. Для этого она имеет атрибут SUID и владельца root. Само по себе изменение имени
не несет никакой угрозы, но команда chfn не осуществляла проверку длины заданного
пользователем имени. Пользователь, знающий об этом, мог создать очень большой
входной буфер, при попытке записи которого окажется, что он не помещается на место
прежней записи, и в файл /etc/passwd будет записана пустая строка. Пустая строка в этом
файле интерпретируется как наличие в системе пользователя с пустыми именем и
паролем, обладающего полномочиями root. Таким образом, злоумышленник мог создать
для себя идентификатор, обладающий максимальными привилегиями.
Индекс: U12. Система: Unix (4.3 BSD on VAX).
Источник информации: J. A. Rochlis, M. W. Eichin, "With microscope and
tweezers: the worm from MITs perspective", Comm. ACM 32, June 1989, pp. 689-899.
Программа-демон fingerd, имеющаяся в каждой Unix системе, предназначена для
передачи удаленным пользователям информации о пользователях локальной системы.
Ошибка в этой программе позволяла неавторизованному пользователю запускать на
удаленной машине любой процесс. Данная программа содержала в себе фрагмент кода
примерно следующего вида
{
char buffer[ 100];
…
gets(buffer);
…
}
Проверка переполнения буфера не осуществлялась. Так как буфер размещался в
стеке, то при его переполнении можно было создать в стеке фрагмент кода и, заменив
адрес возврата из процедуры соответствующим образом, передать управление на этот
код. Посредством формирования соответствующего кода злоумышленник мог вынудить
систему выполнить любую необходимую ему команду, в том числе запустить командный
интерпретатор. Эта возможность наряду с отладочной опцией команды sendmail
использовалась вирусом Р. Морриса для проникновения в Unix системы.
Индекс: U14. Система: Unix(SunOS).
Источник информации: J. Purtilo, RISKS-FORUM Digest, Vol.7 No.2, June
1988.
Процесс-демон rpc.rexd обеспечивает в системе Unix поддержку удаленного
выполнения программ. В реализации механизма идентификации данной программы
присутствовала ошибка. Когда приходил запрос с удаленной системы на выполнение
процесса в локальной системе этот процесс определял идентификатор пользователя,
инициирующего запрос. Если это был root, запрос отвергался, т.к. root удаленной
системы не имеет полномочий на локальной. Если это был не root, rpc.rexd проверял
легальность для локальной системы идентификатора пользователя удаленной системы, и,
в случае наличия в системе пользователя с таким идентификатором, исполнял от его
имени указанный процесс. Это означало, что пользователь, имеющий полномочия root в
одной системе, мог создать пользователя с идентификатором, совпадающим с
идентификатором пользователя удаленной системы, и запустить в удаленной системе
процесс от имени и с полномочиями этого пользователя. Таким образом,
злоумышленник, получивший контроль над одной из систем, мог получить доступ к
другим системам.
Персональные компьютеры.
Распространенное системное программное обеспечение персональных
компьютеров (ПК) характеризуется отсутствием какой-либо политики безопасности. В
первую очередь это касается таких популярных систем как DOS, Windows, Windows 95
Системы, при разработке которых было уделено хотя бы некоторое внимание проблеме
защиты информации, выходят за рамки персональных и, как правило, служат в качестве
серверных ОС, предоставляющих пользователям тот или иной сервис. В качестве
примера можно назвать Novel Netware, Windows NT и многочисленные версии
Unix (SCO, Linux, Solans, QNX). Проблемы защиты информации, обрабатываемой на ПК,
нашли свое отражение в многочисленных публикациях. Наиболее широко представлена
информация о вирусных атаках и механизмах функционирования вирусов,
использующих отсутствие в ОС, применяемых на ПК, даже минимальной защиты. В
качестве примера можно упомянуть публикацию авторов, посвященную этой теме [18] В
силу доступности и известности информации по этому вопросу приводить здесь
многочисленные факты нарушения безопасности в системах на базе ПК представляется
нецелесообразным. Данные об этих нарушениях наряду с упомянутыми в данном
приложении случаями составили основу рассмотренной во второй главе таксономии
ПББ. Приведенные в таблицах этой главы индексы примеров, связанных с нарушениями
информационной безопасности на ПК (IN1, РС1-РС4, МА1, МА2, СА1, АТ1)
соответствуют индексам из [1].