Информационная защита узла обработки информации

 

Министерство образования и науки Российской Федерации

Южно-Уральский государственный университет

Кафедра БИС

Контрольная работа

По предмету: Программно-аппаратная защита информации

Выполнил: студент группы ПС-308

Суворов Н.А.

Руководитель: Мищенко Е.Ю.

Челябинск 2013

Задача

Построение замкнутой программной среды и разрешение одному конкретному приложению запуск с флеш-накопителя.

Постановка задачи

Когда возникает необходимость информационной защиты узла обработки информации, одной из важнейших задач является защита самого узла, системы в которой работает пользователь. Необходимо удостовериться, что пользователь не имеет возможности как то значимо влиять на работу системы, умышленно или случайно. Пользователь может намеренно попытаться нарушить работу системы, или просто принести вирус на флеш-накопителе.

Одним из решений этой проблемы может являться система замкнутой программной среды (ЗПС). Это система, которая позволяет выполняться разрешенным процессам, и блокирует все остальные. Список разрешенных процессов регулируется администратором по запросу пользователя. Работает ЗПС по принципу "все то, что не разрешено - запрещено".

Однако может возникнуть необходимость некоторые программы хранить не на том компьютере, на котором работает пользователь, а на его личном сменном носителе. Такая возможность может возникнуть в случае, когда на данном компьютере пользователь является не единственным. Тогда установка его приложения в общую систему может отнимать ресурсы компьютера, например место на жестком диске, либо эта программа имеет какое-то личное значение для пользователя, в общем, по каким-либо причинам установка данного приложения в систему является нецелесообразной.

В данном случае возникает необходимость запускать стороннее приложение со сменного носителя, но в рамках замкнутой программной среды. Например, пользователь хочет приносить на работу свой любимый аудиоплеер, а устанавливать его на компьютер не допускается внутренним трудовым распорядком фирмы.

Подготовка к работе

1.Установка SecretNet 6.5.

Установка полной версии, настройки после предыдущего удаления восстановились на первоначальные.

.Создаем пользователя без прав администратора, назовем его user.

3.Создаем на флешке папку с программой QIP (может работать автономно), эту же папку с программой переносим на другой сменный носитель (в данном случае это внутренняя память телефона и его microSD карта, то есть копируем дважды).

Действия по разрешению поставленной задачи

Создаем замкнутую программную среду.

Для этого открываем Код безопасности/Secret Net/контроль программ и данных. При первом запуске программы нам предлагается настроить модель данных, контроль целостности в данной работе нам не нужен, отключаем его, настраиваем замкнутую программную среду.

Изначально при первом же запуске, программа создает задачи, которые мы отметили галочками, добавляет ресурсы, связанные с ними, и пересчитывает эталоны для этих ресурсов.

Эти задачи добавляются в замкнутую программную среду, выполнение их не будет останавливаться в случае включения ЗПС. Однако, у меня по какой-то причине при включении замкнутой программной среды пользователь user не мог даже загрузить рабочий стол, вместо него был черный экран и стрелка указателя. Возможно, это объясняется тем, что не все необходимые библиотеки и приложения из автозапуска (в том числе системные) добавлялись в замкнутую программную среду. В любом случае, эта проблема решается добавлением вручную всех этих процессов. Я не знаю, какие именно процессы нужны для запуска Windows, поэтому добавляю в ЗПС группу каталогов вручную, чтобы быть уверенным что абсолютно все необходимые программы и библиотеки будут включены в ЗПС выбираю весь диск С. Возможно, было бы достаточно добавить только каталоги C: \Programm Files и C: \Windows. Добавление производим в субъект "Пользователи", на администратора данное свойство распространяться не будет, далее будет понятно почему.

Теперь необходимо пересчитать эталоны для всех этих файлов, процесс занимает много времени.

Теперь нужно включить ЗПС, режим пока что оставляем мягким. Для этого правой кнопкой нажимаем на субъект R2D2 (данный компьютер), выбираем свойства, там вкладку "режимы".

Удостоверимся, что на администратора ЗПС распространяться не будет, для этого заходим в Локальную политику безопасности/параметры Secret Net/привилегии. Замкнутая программная среда не должна действовать на администратора.

Перезагружаем систему, проверяем все ли в порядке. Для этого заходим от пользователя user, и пробуем запустить некоторые приложения. Попробуем запустить aimp и google chrome, находящиеся в рамках ЗПС (на диске С в Programm files) и приложение QIP, находящееся на флешке. Так как действует мягкий режим, ничего запрещено не будет, но при запуске QIP в правом верхнем углу экрана появится красная иконка Secret Net и система предупредит нас звуковым сигналом. Зайдем за администратора и посмотрим журнал безопасности Secret Net.

Один из процессов, вызываемых программой aimp (их больше чем один):

Один из процессов, вызываемых программой google chrome:

И наконец, один из процессов, вызываемых программой QIP:

Из журнала видно, что запуск программы был бы запрещен, но стоит мягкий режим. Следовательно, изменив режим можно заблокировать процесс с внешнего носителя. Но нам нужно для одной программы с внешнего носителя разрешить запуск, а для всех остальных запретить.

Откроем Контроль программ и данных, добавим в ЗПС новую группу ресурсов по каталогу, выберем папку с программой.

Добавляя таким образом программу мы поступаем не совсем корректно. В нашем случае мы как администратор сами добавили программу пользователю на флешку, следовательно, должны с некоторой долей вероятности быть уверены, что в папке с программой не будет никаких лишних исполняемых файлов, которые мы могли не предусмотреть. И мы знаем, что программа будет запускаться, так как знаем что она автономная и все исполняемые файлы, необходимые для ее работы не могут быть за пределами папки. Таким образом, мы можем быть уверены, что не добавили в ЗПС ничего лишнего, и что тех файлов, которые мы добавили должно быть достаточно для работы программы. Но правильней было бы во всех остальных случаях поступать иначе.

Для корректного добавления программы в ЗПС необходимо добавить в ресурсы ее исходный файл, и связать этот ресурс с ЗПС. После этого, щелкнув правой кнопкой мыши по ресурсу, выбрать "зависимости". Провести поиск зависимостей, и добавить их. Таким образом, мы добавим все исполняемые файлы, которые могут понадобиться для работы программы. В нашем же случае, когда мы добавили весь диск С и весь каталог программы, получим следующее:

Если нажмем добавить, то попытавшись добавить зависимые модули, программа обнаружит, что они уже есть в модели данных, и ничего не добавит:

Однако, она их свяжет зависимостью с группой ресурсов F: /QIP

Пересчитаем эталоны, установим "жесткий" режим ЗПС, перезагрузим компьютер и зайдем от пользователя user.

Все программы, включая программу QIP, находящуюся на сменном носителе запускаются нормально. Естественно, все программные процессы вносятся в журнал Secret Net (это можно отключить). При запуске же других программ со сменного носителя, в том числе и QIP, перенесенного в другую директорию, выскакивает следующее сообщение:

При этом пользователь не испытывает затруднений в изменении файлов, копировании программы в другую директорию, в работе с устройством. Ограничения накладываются только на запуск программ.

Попробовав запустить ту же программу с другого сменного носителя я, от лица пользователя, испытал трудности. Дело в том, что при добавлении в замкнутую программную среду ресурсам присваиваются абсолютные имена, которые зависят от той буквы, которую сменному носителю присваивает Windows.

В нашем случае, добавив программу в ЗПС, группе ресурсов по каталогу было присвоено имя F: /QIP. Когда мы подключаем телефон через USB монтирование происходит несколько иначе, в результате внутренняя память телефона и microSD накопитель определяются как диски G: и I: соответственно.

Спустя пару дней мне удалось достать другую флешку, смонтировалась она как диск F:. Проверив ее работу от лица пользователя user, мной было обнаружено, что программа с нее запускается без проблем. Другие программы при запуске отображают всё то же запрещающее сообщение.

Теперь попробуем обмануть систему. Возьмем другой программный продукт, например, Соло на клавиатуре. Это программа для обучения слепому методу набора на клавиатуре. Она тоже имеет возможность работать автономно. Эта программа хранилась на диске D:, который мы не добавляли в ЗПС, поэтому должна блокироваться. Меняем название папки с "соло" на "QIP" и имя исполняемого файла с "solo. exe" на "qip. exe" таким образом, чтобы полный путь к исполняемому файлу имитировал полный путь к исполняемому файлу разрешенной программы.

Программа запустилась:

Посмотрим журнал Secret Net:

Очевидно, что ЗПС ограничивает запуск нежелательных процессов, однако не имеет возможности проверять подмену файлов. Эта проблема должна решаться средствами подсистемы контроля целостности. Для начала заменяем папку с программой QIP на исходную, которую должны разрешить запускать со сменного носителя. После этого пробуем применить подсистему контроля целостности.

Для этого открываем Контроль программ и данных. Добавляем для компьютера R2D2 новое задание КЦ, добавляем уже существующий ресурс qip. exe, пересчитываем эталоны.

В свойствах задания на контроль целостности указываем в качестве действия (реакции на отказ) блокировку компьютера.

Перезагружаем компьютер, проверяем, чтобы разрешенные процессы запускались, а не разрешенные блокировались. Повторяем подмену. К сожалению, и на этот раз защитить систему не удалось. Злоумышленник в результате изменения полного имени файла смог запустить стороннее приложение, которое при прочих условиях блокируется. В журнале процесс регистрируется как qip. exe, разрешенный, все неудачные попытки запусков других программ так же находятся в журнале. Вот что находится в свойствах файла:

В свойствах видно, что стоит галочка возле параметра "Контролировать", кроме того стоит "Контроль при запуске: имитовставка". Однако по каким-то причинам файл проходит проверку.

защита замкнутая программная среда

Вывод о проделанной работе

В процессе выполнения работы возникла проблема, которую я не смог решить. Скорее всего, я выполнил не все необходимые действия для защиты файла, но несмотря на бесчисленные попытки настроить так, чтобы программа была защищена от подделывания, у меня ничего не получилось.

Система КЦ была настроена по умолчанию так, чтобы при запуске исполняемого файла проверять его целостность. В качестве средства проверки использовалась имитовставка. Из википедии, про имитовставку: "Для проверки целостности (но не аутентичности) сообщения на отправляющей стороне к сообщению добавляется значение хеш-функции от этого сообщения, на приемной стороне также вырабатывается хеш от полученного сообщения. Выработанный на приёмной стороне и полученный хеш сравниваются, если они равны то считается, что полученное сообщение дошло без изменений." (с)

Из этой информации видно (хоть у нас и не сообщения), что КЦ достигается применением хеш-функции. Очень маловероятно, что хеш-функции двух совершенно разных программ случайно совпали. Следовательно, проверка на контроль целостности не дала желаемого результата, подмена файлов не замечается.

Решение данной проблемы мне не удалось. Множество попыток изменения разных настроек ничего не дало, ни при каких их комбинациях. В документации к Secret Net я так же не смог найти решение.

Министерство образования и науки Российской Федерации Южно-Уральский государственный университет Кафедра БИС Контро

Больше работ по теме: