Najsigurnije operacijske dvorane. Najsigurnije Linux distribucije

05.04.2019 Windows 7, XP

Osnovne definicije

Pozvat ćemo operativni sustav zaštićen , ako pruža zaštitu od glavnih klasa prijetnji opisanih u § 1.1. Siguran operativni sustav mora nužno sadržavati sredstva za ograničavanje pristupa korisnika njegovim resursima, kao i sredstva za autentifikaciju korisnika koji počinje raditi s operativnim sustavom. Osim toga, siguran operativni sustav mora sadržavati mjere za sprječavanje slučajnog ili namjernog onesposobljavanja operativnog sustava.

Ako operativni sustav pruža zaštitu ne od svih glavnih klasa prijetnji, već samo od nekih, takav operativni sustav nazvat ćemo djelomično zaštićena . Primjerice, operativni sustav MS-DOS s instaliranim antivirusnim paketom je djelomično zaštićen sustav – zaštićen je od računalnih virusa.

Nazvat ćemo sigurnosna politika skup normi, pravila i praksi koji reguliraju pohranu i obradu vrijednih informacija. Kada se primijeni na operativni sustav, sigurnosna politika određuje koji korisnici mogu raditi s operativnim sustavom, koji korisnici imaju pristup kojim objektima operativnog sustava, koji događaji trebaju biti zabilježeni u sistemskim zapisnicima i tako dalje.

Adekvatna sigurnosna politika Nazvat ćemo je sigurnosnom politikom koja pruža dovoljnu razinu sigurnosti operativnog sustava. Posebno treba istaknuti da odgovarajuća sigurnosna politika nije nužno ona sigurnosna politika kojom se postiže maksimalna moguća sigurnost sustava.

Pristupi izgradnji sigurnioperativni sustavi

Postoje dva glavna pristupa stvaranju sigurnih operativnih sustava - fragmentarno I kompleks.

Na fragmentarno U ovom pristupu zaštita se prvo organizira protiv jedne prijetnje, zatim protiv druge, itd. Primjer fragmentiranog pristupa je situacija u kojoj se kao osnova uzima nezaštićeni operativni sustav (primjerice Windows-95), na koji se instalira antivirusni paket, sustav šifriranja, sustav za snimanje radnji korisnika itd. to.

Glavni nedostatak fragmentiranog pristupa je očit - kada se primjenjuje ovaj pristup, sigurnosni podsustav operativnog sustava je skup različitih softverskih proizvoda, obično proizvedenih od strane različitih proizvođača. Ovi softverski alati rade neovisno jedan o drugome, gotovo je nemoguće organizirati njihovu blisku interakciju. Osim toga, pojedini elementi takvog zaštitnog podsustava možda neće raditi ispravno u prisutnosti jedan drugoga, što dovodi do oštrog smanjenja pouzdanosti sustava. Budući da podsustav zaštite, kreiran na temelju fragmentiranog pristupa, nije integralna komponenta operacijskog sustava, kada se pojedine zaštitne funkcije onemoguće kao posljedica neovlaštenih radnji uljeza, preostali elementi operativnog sustava nastavljaju funkcionirati. normalno, što dodatno smanjuje pouzdanost zaštite.

Na sveobuhvatan pristup organiziranju zaštite sustava zaštitne funkcije uvode se u operativni sustav u fazi projektiranja arhitekture operacijskog sustava i njegov su sastavni dio. Pojedinačni elementi sigurnosnog podsustava, stvoreni na temelju integriranog pristupa, usko sudjeluju jedni s drugima pri rješavanju različitih problema vezanih uz organizaciju informacijske sigurnosti. Budući da je sigurnosni podsustav razvijen i testiran kao cjelina, sukob između njegovih odvojene komponente praktički nemoguće. Sigurnosni podsustav, kreiran na temelju integriranog pristupa, može se projektirati na način da u slučaju fatalnih kvarova u funkcioniranju njegovih ključnih elemenata uzrokuje pad operativnog sustava koji ne dopušta napadaču da biste onemogućili zaštitne funkcije sustava. Kod fragmentiranog pristupa takva organizacija zaštitnog podsustava je nemoguća.

Sigurnosni podsustav operacijskog sustava, kreiran na temelju integriranog pristupa, u pravilu je projektiran tako da su njegovi pojedini elementi zamjenjivi te da se odgovarajući softverski moduli mogu zamijeniti drugim modulima koji implementiraju predviđeno sučelje za interakciju odgovarajućeg softvera. modul s ostalim elementima sigurnosnog podsustava.

Upravne mjere zaštite

Organiziranje učinkovite i pouzdane zaštite operacijskog sustava nemoguće je samo pomoću softvera i hardvera. Ova sredstva nužno moraju biti dopunjena administrativnim zaštitnim mjerama. Bez stalne kvalificirane podrške administratora, čak i najpouzdanija softverska i hardverska zaštita pretvara se u fikciju.

Osnovne upravne mjere zaštite.

1. Stalno praćenje ispravnosti rada operativnog sustava, a posebno njegovog sigurnosnog podsustava. Najprikladnije je organizirati takvu kontrolu ako operativni sustav podržava bilježenje događaja. U tom slučaju operativni sustav automatski bilježi u poseban dnevnik (ili više dnevnika) najvažnije događaje koji su se dogodili tijekom rada sustava.

2. Organizacija i održavanje odgovarajuće sigurnosne politike. Sigurnosna politika se mora stalno prilagođavati, promptno reagirati na promjene u konfiguraciji operativnog sustava, instaliranje, uklanjanje i konfiguracijske promjene aplikativnih softverskih proizvoda i proširenja operativnog sustava, pokušaje napadača da nadvladaju zaštitu operativnog sustava itd.

3. Upućivanje korisnika operacijskog sustava o potrebi pridržavanja sigurnosnih mjera pri radu s operativnim sustavom i nadzor pridržavanja tih mjera.

4. Redovito stvarajte i ažurirajte sigurnosne kopije programa i podataka operativnog sustava.

5. Konstantno praćenje promjena konfiguracijskih podataka i sigurnosne politike operativnog sustava. Preporučljivo je podatke o ovim promjenama pohraniti na neelektroničke medije za pohranu kako bi se napadaču koji je nadišao zaštitu operativnog sustava otežalo prikrivanje neovlaštenih radnji.

Adekvatna sigurnosna politika

Zadatak odabira i održavanja odgovarajuće sigurnosne politike jedan je od najvažnijih zadataka administratora operativnog sustava. Ako je sigurnosna politika usvojena u operativnom sustavu neadekvatna, to može dovesti do neovlaštenog pristupa resursima sustava od strane zlonamjernog korisnika, kao i do smanjenja pouzdanosti operativnog sustava. S druge strane, nije svaka odgovarajuća sigurnosna politika primjenjiva u praksi.

U opći slučaj sljedeća izjava je istinita: što bolja opera Što je sustav zaštićen, to je korisnicima i administratorima teže raditi s njim. To je zbog sljedećih čimbenika.

1. Sigurnosni sustav koji nema inteligenciju nije uvijek u stanju utvrditi je li neka radnja korisnika zlonamjerna. Dakle, sustav zaštite ili ne sprječava neke vrste neovlaštenog pristupa, ili zabranjuje neke potpuno legalne radnje korisnika. Što je veća sigurnost sustava, širi je razred onih legalnih radnji korisnika koje sigurnosni podsustav smatra neovlaštenim. Na primjer, ako korisniku nije dopušteno stvaranje datoteka na tvrdom disku, taj korisnik neće moći pokretati programe koji zahtijevaju stvaranje privremenih datoteka da bi pravilno funkcionirali. Sa stajališta sigurnosne politike o kojoj je riječ, stvaranje privremene datoteke je neovlaštena radnja i nema greške u njenom sprječavanju. Samo što je u ovoj sigurnosnoj politici klasa neovlaštenih radnji toliko široka da onemogućuje korisnicima normalan rad s operativnim sustavom.

2. Svaki sustav koji pruža funkcije informacijske sigurnosti zahtijeva određene napore administratora usmjerene na održavanje odgovarajuće sigurnosne politike. Što više zaštitnih funkcija operativni sustav ima, to više vremena i novca morate potrošiti na održavanje zaštite.

3. Sigurnosni podsustav operativnog sustava, kao i svaki drugi programski paket, troši računalne hardverske resurse. Što su sigurnosne funkcije operativnog sustava složenije, to je više procesorskog vremena, RAM memorija i ostali hardverski resursi računala troše se na održavanje funkcioniranja zaštitnog podsustava, a sve manje resursa ostaje za aplikativne programe. U nekim slučajevima, na primjer, ako operativni sustav podržava autoritativnu kontrolu pristupa s kontrolom protoka informacija, sigurnosni podsustav operativnog sustava može potrošiti više od polovice hardverskih resursa računala.

4 Održavanje prestroge sigurnosne politike može negativno utjecati na pouzdanost operativnog sustava. Jedan primjer takve sigurnosne politike opisan je u Windows NT FAQ. Windows NT dopušta administratorima da ograniče prava sistemskih procesa na pristup objektima operacijskog sustava. Uskratite li pseudo-korisničkom SISTEM-u pod kojim se izvode sistemski procesi pristup izvršnim datotekama sistemskih procesa, operativni sustav se, kao što biste i očekivali, neće moći pokrenuti. U ovom slučaju prestroga sigurnosna politika dovodi do trenutnog pada operativnog sustava, u drugim slučajevima takva sigurnosna politika može dovesti do teško uočljivih grešaka i kvarova tijekom rada operativnog sustava, što je još više opasno.

Stoga pri definiranju odgovarajuće sigurnosne politike ne treba nastojati postići najvišu moguću razinu sigurnosti operacijskog sustava. Optimalna adekvatna sigurnosna politika – ovo je sigurnosna politika koja ne samo da dopušta napadačima izvođenje neovlaštenih radnji, već također ne dovodi do gore opisanih negativnih učinaka.

Ne postoji jedinstvena odgovarajuća sigurnosna politika za sve prilike. Koja će sigurnosna politika biti odgovarajuća ovisi ne samo o arhitekturi operativnog sustava, već i o njegovoj konfiguraciji, instaliranim aplikacijskim programima itd. Sigurnosna politika koja je primjerena za jedan operativni sustav vjerojatno će biti neprikladna za drugu instancu istog operativnog sustava. Većina modernih operativnih sustava prilično je univerzalna i može se koristiti za rješavanje širokog spektra problema. Isti operativni sustav može se koristiti za osiguranje funkcioniranja automatiziranog bankovnog sustava, web poslužitelja i sustava za elektroničko upravljanje dokumentima. Očito je da su sigurnosne prijetnje za sve tri aplikacije operativnog sustava potpuno različite, pa će stoga odgovarajuća sigurnosna politika u svakom slučaju biti drugačija.

Definiranje i održavanje odgovarajuće sigurnosne politike operativnog sustava općenito se može podijeliti u više faza.

1. Analiza prijetnji. Administrator operativnog sustava razmatra moguće sigurnosne prijetnje određenoj instanci operativnog sustava. Među mogućim prijetnjama izdvajaju se one najopasnije u čiju se zaštitu moraju uložiti maksimalni napor i sredstva.

2. Formiranje zahtjeva za sigurnosnu politiku. Administrator određuje koji će se alati i metode koristiti za zaštitu od određenih prijetnji. Na primjer, zaštita od neovlaštenog pristupa određenom objektu operacijskog sustava može se postići pomoću kontrole pristupa, ili kriptografskih sredstava, ili korištenjem neke kombinacije tih sredstava. Administrator mora napraviti slične izbore za svaku sigurnosnu prijetnju operativnog sustava, birajući optimalnu obranu od svake prijetnje. Istodobno, administrator analizira moguće nuspojave različitih opcija sigurnosne politike, procjenjujući u kojoj će mjeri svaka opcija sigurnosne politike pokazati negativne nuspojave. Administrator u pravilu mora napraviti kompromis, prihvaćajući ili nedovoljnu sigurnost operativnog sustava od određenih prijetnji ili određene poteškoće za korisnike pri radu sa sustavom.

3. Formalna definicija sigurnosne politike. Administrator jasno definira kako točno moraju biti ispunjeni zahtjevi formulirani u prethodnoj fazi. Odlučuje mogu li se ovi zahtjevi ispuniti samo korištenjem ugrađenih alata operativnog sustava ili je potrebno instalirati dodatne sigurnosne pakete. U potonjem slučaju odabire se potreban softver. Formulirani su potrebni zahtjevi za konfiguraciju operacijskog sustava, kao i zahtjevi za konfiguraciju dodatnih sigurnosnih paketa, ukoliko je instalacija takvih paketa neophodna. Osim toga, administrator mora osigurati proceduru za unošenje potrebnih promjena u sigurnosnu politiku u hitnim situacijama, na primjer, kada se otkrije da se neovlašteni korisnik prijavio u sustav. Rezultat ove faze je detaljan popis postavki konfiguracije operativnog sustava i dodatnih zaštitnih paketa, koji pokazuju u kojim situacijama koje postavke treba postaviti.

4. Provedba sigurnosne politike. Do početka ove faze administrator operacijskog sustava ima jasnu ideju o tome kakva bi trebala biti odgovarajuća sigurnosna politika. Zadatak ove faze je uskladiti konfiguraciju operativnog sustava i dodatne sigurnosne pakete sa sigurnosnom politikom formalno definiranom u prethodnoj fazi

5. Održavanje i korekcija sigurnosne politike. U ovoj fazi operativni sustav radi u skladu sa sigurnosnom politikom definiranom u trećoj fazi. Zadatak administratora je nadzirati usklađenost sa sigurnosnom politikom i unositi potrebne promjene u nju kako se događaju promjene u radu operativnog sustava. Na primjer, ako je novi softverski proizvod instaliran na operacijskom sustavu, možda će biti potrebno prilagoditi sigurnosnu politiku kako bi softverski proizvod mogao pravilno funkcionirati.

Sigurnosni standardi za operacijske dvoranesustava

Ne postoje posebni sigurnosni standardi za operativne sustave. Za procjenu sigurnosti operativnih sustava, standardi razvijeni za računalni sustavi uopće.

Najpoznatiji standard za sigurnost računalnih sustava je dokument nazvan “Trusted computer system evaluatii kriteriji”, koji je izradilo Ministarstvo obrane SAD-a 1983. Ovaj dokument je poznatiji pod neformalnim nazivom “Narančasta knjiga”. "Narančaste knjige", svi sigurni računalni sustavi podijeljeni su u sedam klasa od D1 (minimalna zaštita, gotovo nikakva zaštita) do A1 (maksimalna zaštita). Osnovni zahtjevi Narančaste knjige primijenjeni na operativne sustave mogu se formulirati kao slijedi (vrlo pojednostavljeno).

Klasa D1. Nema zahtjeva. Ova klasa uključuje sve operacijske sustave koji ne zadovoljavaju zahtjeve najviših klasa

Klasa C1. Operativni sustav podržava selektivnu (diskrecijsku) kontrolu pristupa. Korisnik koji počinje raditi sa sustavom mora potvrditi svoj identitet (autentificirati se).

Klasa C2. Zadovoljeni su svi zahtjevi klase C1. Svi subjekti i objekti operativnog sustava imaju jedinstvene identifikatore. Zabranjene su sve radnje svih subjekata pristupa koje nisu izričito dopuštene. Događaji koji su potencijalno opasni za održavanje sigurnosti operacijskog sustava bilježe se u poseban dnevnik (audit log) kojem mogu pristupiti samo povlašteni korisnici. Sve informacije izbrisane iz RAM-a ili vanjskog medija za pohranu računala fizički se brišu i ne može im naknadno pristupiti bilo koji subjekt pristupa.

Klasa B1. Zadovoljeni su svi zahtjevi klase C2. Podržana je ovlaštena (obavezna) kontrola pristupa objektima operativnog sustava. Podržano je označavanje izvezenih informacija.

Klasa B2. Svi zahtjevi klase B1 su ispunjeni. Sigurnosni podsustav operativnog sustava implementira formalno definiran i jasno dokumentiran sigurnosni model. Prate se skriveni kanali curenja informacija. Sučelje sigurnosnog podsustava je jasno i formalno definirano, njegova arhitektura i implementacija su u potpunosti dokumentirani. Postavljaju se stroži zahtjevi za identifikaciju, autentifikaciju i kontrolu pristupa.

Mnogi poznati operativni sustavi zadovoljavaju zahtjeve klase C2: niz verzija UNIX-a, Windows NT, OS/400, VAX/VMS i IBM MVS s RACF paketom. Vrlo je malo operativnih sustava za osobna računala koji zadovoljavaju zahtjeve viših klasa zaštite. To se objašnjava, s jedne strane, visokim "intenzitetom resursa" zaštitnih podsustava koji zadovoljavaju zahtjeve klase B1 i više, a s druge strane, poteškoćama u osiguravanju normalnog funkcioniranja uobičajenog softvera u takvim operativnim sustava. Ako zahtjevi klase C2 dopuštaju korištenje softvera razvijenog za druga softverska okruženja u zaštićenom operativnom sustavu (na primjer, u Windows NT možete pokrenuti Microsoft Office za Windows 95), tada su zahtjevi viših klasa zaštite toliko strogi da značajno ometati funkcioniranje aplikacijskih programa razvijenih bez uzimanja u obzir ovih zahtjeva. Na primjer, uređivač teksta Microsoft Word, koji se pokreće u operativnom sustavu koji zadovoljava zahtjeve klase B1, neće ispravno funkcionirati pri istovremenom otvaranju dokumenata s različitim sigurnosnim klasifikacijama.

Glavni nedostaci Narančaste knjige uključuju sljedeće:

Kriptografska sredstva informacijske sigurnosti uopće se ne razmatraju;

Pitanja osiguranja zaštite sustava od napada usmjerenih na privremeno onesposobljavanje sustava (napadi uskraćivanja usluge) praktički se ne razmatraju;

Nedovoljna pozornost posvećuje se pitanjima zaštite zaštićenog sustava od negativnih učinaka programskih knjižnih oznaka i računalnih virusa;

Pitanja interakcije više instanci zaštićenih sustava u lokalnoj ili globalnoj računalnoj mreži nisu dovoljno detaljno razmotrena;

Zahtjevi za načine zaštite od curenja povjerljivih informacija iz zaštićenog sustava usmjereni su na pohranjivanje povjerljivih informacija u baze podataka i nisu baš prikladni za zaštitu elektroničkog protoka dokumenata.

Sigurnosni standardi i odgovarajuća sigurnosna politika

Ako je operativni sustav certificiran prema određenoj sigurnosnoj klasi određenog sustava standarda, to ne znači da su informacije koje se pohranjuju i obrađuju u tom sustavu zaštićene u skladu s odgovarajućom klasom. Sigurnost operativnog sustava određena je ne samo njegovom arhitekturom, već i trenutnom sigurnosnom politikom.

U pravilu, certificiranje operativnog sustava za određenu klasu sigurnosti prati izrada zahtjeva za odgovarajuću sigurnosnu politiku, uz strog ispunjenjem kojih će sigurnost određene instance operacijskog sustava zadovoljiti zahtjeve odgovarajuće klase zaštite.

Kao primjer, pogledajmo neke zahtjeve za konfiguraciju operacijskog sustava Windows NT, koji moraju biti ispunjeni kako bi bili u skladu sa sigurnosnom klasom operativnog sustava C2 iz "Narančaste knjige":

Tvrdi diskovi koriste samo NTFS datotečni sustav;

Zabranjeno je korištenje lozinki kraćih od šest znakova;

Emulacija OS/2 i POS1X je zabranjena;

Anonimni i gostujući pristup je zabranjen;

Zabranjeno je pokretanje bilo kakvih programa za ispravljanje pogrešaka;

Prekidač napajanja i gumb RESET nisu dostupni korisnicima;

Zabranjeno je gašenje operativnog sustava bez prijave korisnika;

Sigurnosna politika vezana uz reviziju osmišljena je na način da ako se sigurnosni dnevnik napuni, operativni sustav prestaje s radom (zamrzava se). Nakon toga samo administrator može vratiti sustav u normalan rad;

Zabranjeno je dijeljenje resursa izmjenjivih medija za pohranu (diskete, CD-ROM-ovi, itd.) između korisnika;

Pisanje u direktorij sustava i datoteke za inicijalizaciju operativnog sustava dopušteno je samo administratorima i procesima sustava.

Pri određivanju odgovarajuće sigurnosne politike administrator operacijskog sustava prvenstveno se treba fokusirati na zaštitu operativnog sustava od specifičnih prijetnji njegovoj sigurnosti. Nažalost, u današnje vrijeme često postoji situacija u kojoj administrator oblikuje zahtjeve za sigurnosnu politiku ne na temelju skupa prijetnji protiv kojih je potrebno implementirati zaštitu, već na temelju nekih apstraktnih preporuka za održavanje sigurnosti određenog operativnog sustava. Najčešće se kao takve preporuke uzimaju zahtjevi različitih sigurnosnih standarda računalnih sustava - "najpopularniji" su standardi Narančaste knjige. Kao rezultat toga, moguće je da operativni sustav certificiran za vrlo visoku klasu zaštite može biti ranjiv na određene prijetnje čak i ako sigurnosna politika ispunjava zahtjeve odgovarajuće klase zaštite.

15.04.2001 Ruslan Bogatyrev

Nikada prije u povijesti stvarni svijet nije bio toliko ovisan o umjetnom svijetu, koji je izmislio i izgradio sam čovjek – internet nije samo izgradio mostove između država i kontinenata, već je i približio zločinca žrtvi. Kao rezultat toga, postoji interes za pouzdane i sigurne operativne sustave.

Sigurnost računalnih sustava bila je i ostala glavobolja za one koji brinu o sudbini važnih informacija koje utječu na donošenje odluka, upravljanje financijama, raspodjelu resursa itd. Godine prolaze, a broj ljudi koji se žele okoristiti plodovima tuđeg rada ili namjerno oštetiti ne opada, već se stalno povećava. Štoviše, zbog brzog i raširenog širenja “najboljih praksi” za prevladavanje zaštitnih barijera, zbog očite nepažnje mnogih vlasnika informacija i rijetkog pridržavanja načela neizbježnosti kazne, cijeli svijet je suočen s ozbiljnom i okrutna bolest. Njeno ime je nepoznato, ali njena opasnost je očita. Zahvatila je golemo područje u skrivenom obliku i sada prijeti da se razvije u pravu epidemiju.

Nikada prije u povijesti stvarni svijet nije bio toliko ovisan o umjetnom svijetu, koji je izumio i izgradio sam čovjek. Ne vodite računa o organizaciji učinkovitu zaštitu naše kreacije, mi, za dobrobit razvoja civilizacije, nastojimo sve dublje povezivati informativni kanali ova dva svemira, kako bi se osigurao maksimalan prodor nesavršenijeg svijeta u manje nesavršen. Evolucija računala već je prošla tri važne faze:

koncentracija računalnih i informacijskih resursa (u eri velikih računala);
osiguranje tehničke dostupnosti računalne snage za masovnu publiku (u PC eri);
rušenje prirodnih granica prostora i vremena na ljestvici globalne ekonomije i politike (u eri Interneta).

Ujedinjen digitalnom obliku ideje uvelike su olakšale rješavanje mnogih praktičnih problema, ali su u isto vrijeme neizbježno stvorile osnovu za nanošenje maksimalne štete s minimalni troškovi. Štoviše, zbog ujedinjenja razmjena informacija i jednostavnost rada sa softverskim alatima, čak i neiskusna osoba može uzrokovati štetu. Tek kad smo se suočili s problemom AIDS-a, mogli smo shvatiti da naše tijelo ima svoju obranu na više razina, gdje imunitet igra gotovo ključnu ulogu. Nepostojanje takve sveprisutne zaštitne barijere u svijetu računala u ne tako dalekoj budućnosti obećava donijeti probleme u razmjerima zbog kojih će se nevolje uzrokovane modernim epidemijama činiti malima i beznačajnima. Dolazi vrijeme da se ozbiljno razmisli o činjenici da bez postavljanja umjetnih barijera, bez stvaranja analoga lokalne imunološke zaštite za softver, dalje kretanje postaje sve opasnije.

Kada je riječ o problemima informacijske sigurnosti, obično se pribjegava jednostavnom i provjerenom scenariju: prvo se temeljito zastraši publika brojkama i činjenicama koje karakteriziraju razmjere i prirodu nadolazeće opasnosti, a zatim prijeđu na glavni dio - prezentaciju recepata. za čudesne “lijekove” koji uklanjaju niz navedenih simptoma . Odajući počast tradiciji, nemojmo skrenuti previše s utabanih staza. No, teško da ima smisla lagati: tu ima puno više problema nego rješenja. Stoga će naša pozornost uglavnom pasti na bolne točke računalnih konfiguracija - njihove operativne sustave.

Prema godišnjem izvješću "2001 Computer Crime and Security Survey" Instituta računalna sigurnost u San Franciscu i FBI-u, financijski gubici od računalnih zločina u Sjedinjenim Državama tijekom prošle godine porasli su za 43% sa 265,6 milijuna dolara na 377,8 milijuna dolara. U isto vrijeme, 85% od 538 ispitanika, uglavnom iz industrijskih i vladinih struktura, objavljene činjenice kršenja računalne sigurnosti, a ne samo zbog napada uljeza. Gotovo 64% bilo je zabrinuto zbog nastalih gubitaka, ali ih je samo 35% moglo procijeniti u novčanom smislu. Oko 70% ispitanika izjavilo je da su najčešće napadnuti internetski kanali, a 31% da su napadnuti interni korporativni sustavi. Slučajeve vanjskog upada potvrdilo je 40% ispitanika (2000. - 25%), a 38% zabilježilo je uskraćivanje usluge (27% 2000.). 91% ispitanika požalilo se na kršenje privilegija zbog zaposlenika koji zlorabe njihov rad na internetu, a 94% je pronašlo viruse u svojim sustavima (2000. to je zabilježilo 85%).

Čak i iz ovih oskudnih brojki vidljiv je jasno negativan trend - Internet ne samo da gradi mostove između država i kontinenata, već i približava kriminalca žrtvi. Da parafraziramo poznatu izreku, ako vas ne zanima kibernetički kriminal, vrlo brzo će se on zainteresirati za vas. Ostavimo li po strani vječna pitanja obavještajne i industrijske špijunaže i fokusiramo se samo na “svakodnevnu” stranu stvari, onda su neki od vodećih problema u području informacijske sigurnosti u protekloj godini bili napadi na platne sustave, diskreditiranje tvrtki ( uskraćivanje usluge), industrijska sabotaža, hakiranje korporativnih tajni, kršenje prava intelektualno vlasništvo. Prema procjenama Ureda za znanost i tehnologiju pri predsjedniku Sjedinjenih Država, godišnja šteta koju američkim tvrtkama prouzroče računalni napadači posljednjih godina dosegla je 100 milijardi dolara Gubici od neovlaštenog pristupa informacijama povezanima s aktivnostima američkih financijskih institucija iznosio najmanje 1 milijardu dolara.. godine. Time se američki biznis približio točki u kojoj mu pravovremeno i adekvatno rješavanje sigurnosnih problema postaje ekonomski izvedivo.

Unix u kontekstu sigurnosti

Povijest OS-a neodvojiva je od povijesti i evolucije samih računala. Slučajno se dogodilo da klonovi Unixa danas dominiraju tržištem korporativnih sustava i postali su poveznica između svijeta osobnih i računala visokih performansi. Nažalost, Unix pati od ozbiljnih nedostataka, a fenomen Linuxa natjerao nas je da drugačije pogledamo mnoge probleme, uključujući probleme informacijske sigurnosti.

Unix nema jasan mehanizam za osiguranje integriteta korisničkih programa i datoteke, ne osigurava kontrolu pristupa za pojedinog korisnika; podjela prava provodi se unutar grupa. U običnom Unixu nije tako teško strancu preuzeti privilegije superkorisnika. Računovodstvo i kontrola radnji korisnika, posebno kada se radi sa sigurnosno kritičnim resursima, također nije jača strana običnog UNIX-a. Naravno, uz nešto konfiguracijskog truda od strane administratora sustava, neke se mane mogu eliminirati. Ali, općenito, slika ne izgleda ohrabrujuće.

Rad američke Agencije za nacionalnu sigurnost daje detaljnu analizu problema s kojima se suočava trenutna generacija operativnih sustava u pogledu računalne sigurnosti. Glavni zaključak: potrebni su novi posebno dizajnirani sigurni operativni sustavi. Konkretno, autori kažu da Kerberos sustav, SSL protokoli i IPSEC uvelike su ranjivi zbog činjenice da ako je nemoguće osigurati prisutnost pouzdanog softvera na krajevima veze, zaštita postaje iluzorna.

Evo što je Elias Levy (Aleph1), moderator poznate mailing liste o računalnoj sigurnosti BugTraq, rekao u nedavnom intervjuu: “Mislim da je sigurnosni model u Unixu previše jednostavan. Pristup sve ili ništa nije u odnosu na pristup najmanje privilegija... Trusted Computing Base nikada neće pružiti sve što korisnik treba. S druge strane, smatram da većina implementacija obvezne kontrole pristupa, privilegija itd. previše komplicirano... U konačnici je teško predvidjeti interakcije koje će dovesti do pojave slabe točke. Razmotrite problem sa sendmailom, koji je bio rezultat dopuštenja ugrađenih u Linux kernel."

Levy poziva na napuštanje prakse "krpanja rupa" i početak izgradnje novog OS-a koji u početku zadovoljava sigurnosne zahtjeve.

Ovo je odraz današnjeg sve većeg interesa za pouzdane i sigurne operativne sustave. Sigurnosni zahtjevi trebali bi biti pokretač dizajna OS-a, a ne uvedeni kao pomoćne usluge.

Sigurnosni kriteriji i smjernice

Rad na kriterijima sigurnosti sustava započeo je još 1967. godine, a 1970. godine pojavilo se prvo izvješće pod naslovom “ Sigurnosne kontrole za računalne sustave" Godine 1983. američko Ministarstvo obrane objavilo je " Narančasta knjiga“ – knjiga s narančastim koricama pod naslovom „Kriteriji ocjenjivanja pouzdanih računalnih sustava“. Područje računalnih mreža s obzirom na sigurnost definirano je u tzv. preporukama X.800 – Security Architecture for Open Systems Interconnection for CCITT Applications. Narančasta knjiga definira sustav od povjerenja kao "sustav koji koristi dovoljno hardvera i softvera da omogući grupi korisnika da istovremeno obrađuju informacije različitih stupnjeva osjetljivosti bez kršenja prava pristupa."

Postoje dva glavna kriterija za procjenu pouzdanih sustava:

sigurnosna politika (skup pravila i propisa koji definiraju disciplinu obrade, zaštite i širenja informacija, kao i izbor specifičnih sigurnosnih mehanizama; aktivni sastojak zaštita);
osiguranje (stupanj povjerenja koji se može pružiti određenoj implementaciji OS-a; odražava razinu ispravnosti sigurnosnih mehanizama; pasivna je komponenta zaštite).

Prema Narančastoj knjizi postoje tri uloge: administrator sustava, operater sustava i administrator sigurnosti. Prema zahtjevima TCSEC-a, dokumentacija proizvođača mora sadržavati četiri važna elementa: sigurnosnu politiku; pouzdana računalna sučelja; TCB mehanizmi; smjernice za učinkovito korištenje mehanizama TCB-a.

Općenito govoreći, opseg sigurnih komponenti uključuje više od samih operativnih sustava. Dakle, posebno uz TCSEC “Narančastu knjigu”, koja regulira sigurnosna pitanja u OS-u, postoje slični dokumenti američkog Nacionalnog centra za računalnu sigurnost za DBMS (TDI, “ Ljubičasta knjiga") i mreže (TNI, " Crvena knjiga"). Dakle, Narančasta knjiga nije jedini dokument, iako je važan. U Sjedinjenim Američkim Državama odavno se pojavio čitav niz dokumenata u raznobojnim koricama, nazvanih "Duga" ( Serija Duga; www.radium.ncsc.mil/tpep/library/rainbow). U isto vrijeme, kao što se može vidjeti na bočnoj traci, ponekad se ispod poklopca iste boje pojavio različit materijal.

Izvan Sjedinjenih Država pojavili su se i analozi "Narančaste knjige": to su vodeći dokumenti Državne tehničke komisije (1992.), kao i "Kriteriji procjene sigurnosti informacijske tehnologije" (ITSEC - Kriteriji procjene sigurnosti informacijske tehnologije, 1991. ), vrijedi u Ujedinjenom Kraljevstvu, Njemačkoj, Francuskoj i Nizozemskoj.

Naravno, zbog potrebe za unificiranjem pristupa informacijskoj sigurnosti, na kraju se javila potreba za uklanjanjem dvojnosti regulacije, što se provodilo odvojeno u SAD-u (TCSEC) i Europi (ITSEC). Na sl. Slika 1 prikazuje “obiteljsko stablo” usvajanja novog međunarodnog standarda pod nazivom “Ujedinjeni kriteriji za procjenu sigurnosti u informacijskoj tehnologiji”. Najčešće se jednostavno naziva "Zajedničkim kriterijima", definira međunarodnu normu ISO/IEC 15408 koju su razvili Nacionalna sigurnosna agencija i Grupa za elektroniku i sigurnost prijenosa Nacionalnog instituta za standarde i tehnologiju (SAD). podaci (UK ), Savezna agencija za informacijsku tehnologiju (Njemačka), Središnja služba za sigurnost informacija (Francuska), Nizozemska nacionalna agencija za sigurnost podataka, Tijelo za sigurnost podataka (Kanada).

Zajednički kriteriji V2.1 opisani su u tri knjige:

Uvod i opći model (CCIMB-99-031).
Funkcionalni zahtjevi na sigurno (CCIMB-99-032).
Zahtjevi osiguranja sigurnosti (CCIMB-99-033).

„Jedinstveni kriteriji” razlikuju 11 funkcionalnih klasa:

revizija;
kriptografska podrška;
Prijenos podataka;
zaštita podataka korisnika;
identifikacija i autentifikacija;
upravljanje sigurnošću;
povjerljivost;
zaštita sigurnosnih funkcija ciljnog sustava;
korištenje resursa;
pristup ciljnom sustavu;
pouzdane staze/kanale.

Svaka od ovih klasa sadrži nekoliko obitelji, a svaka obitelj sadrži od jedne do nekoliko komponenti.

Kriteriji formulirani u TCSEC, ITSEC i CCITSE definiraju podjelu računalnih sustava na 4 razine sigurnosti (A, B, C, D) ovisno o stupnju pouzdanosti. Razina A je najviša. Slijedi razina B (prema silaznoj sigurnosti postoje klase B3, B2, B1). Tada je najčešća razina C (ocjene C2 i C1). Najniža razina je D (sustavi koji nisu mogli dobiti certifikat za gore navedene klase).

Slijedeći kompromis između sigurnosnih zahtjeva, učinkovitosti sustava i njegove cijene, velika većina tvrtki danas nastoji dobiti certifikat klase C2.

Književnost

1. P. Hristov. Sigurnost podataka u OS UNIX // “Otvoreni sustavi”, 1993, br.3
2. V. Galatenko. Informacijska sigurnost // “Otvoreni sustavi”, 1995., br. 4, 1996., br. 1
3. R. Bogatyrev. Linux: podrijetlo nove programske filozofije // PC World, 2001, br.1.
4. 2001 Computer Crime and Security Survey // Computer Security Institute, San Francisco, 12. ožujka 2001.; www.gocsi.com/prelea_000321.htm
5. Zajednički kriteriji za procjenu sigurnosti informacijske tehnologije (CCITSE) V2.1 // 1998; www.radium.ncsc.mil/tpep/library/ccitse/ccitse.html
6 P. Loscocco i sur. Neizbježnost neuspjeha: pogrešna pretpostavka sigurnosti u modernim računalnim okruženjima // Nacionalna sigurnosna agencija, 1998.

Ruslan Bogatyrev

Teme TCSEC knjige o računalnoj sigurnosti postavljene u seriji “Duga”.

TCSEC (1983., 1985., Narančasta knjiga, 5200.28-STD).
TNI, Tumačenje pouzdane računalne mreže (1987., 1990., Crvena knjiga, NCSC-TG-005, NCSC-TG-011).
TDI, Trusted DBMS Interpretation (1991, Ljubičasta knjiga, NCSC-TG-021).
Formalni sustavi verifikacije (1989., "Purple Book", NCSC-TG-014).
Manufacturing Trusted Systems (1992-1994, Purple Books, NCSC-TG-024).
Zaštita pristupa (1992., Ljubičasta knjiga, NCSC-TG-028).
Distribucija povjerenja (1988., "Tamnoljubičasta knjiga", NCSC-TG-008).
Stvaranje dokumentacije (1988., The Ruby Book, NCSC-TG-007).
RAMP (1995, Ružičasta knjiga, NCSC-TG-013).
Analiza tajnih kanala (1993., Svijetloružičasta knjiga, NCSC-TG-030).
Sigurnosno testiranje (1991., "Bright Orange Book", NCSC-TG-023).
Diskrecijska kontrola pristupa (1987., "Neonska knjiga", NCSC-TG-003).
Pravila za izradu korisničkih priručnika (1991., The Peach Book, NCSC-TG-026).
Upravljanje konfiguracijom (1988, Jantarna knjiga, NCSC-TG-006).
Računalni sigurnosni zahtjevi (1985, The Bright Yellow Book, CSC-STD-003-85).
Tehnička pojašnjenja za zahtjeve računalne sigurnosti (1985., Žuta knjiga, CSC-STD-004-85).
Credible Disaster Recovery (1991, Žuta knjiga, NCSC-TG-022).
Writing Guidelines for Assurance Management (1992, Yellow-Green Book, NCSC-TG-016).
Prikupljanje podataka u automatiziranim informacijskim sustavima (1991., Blijedozelena knjiga, NCSC-TG-025).
Upravljanje lozinkama (1985., Zelena knjiga, CSC-STD-002-85).
Rječnik terminologije računalne sigurnosti (1988., Dark Green Book, NCSC-TG-004).
Sigurnosno modeliranje (1992., Plava knjiga, NCSC-TG-010).
Kompetencija sigurnosnog administratora (1992., Tirkizna knjiga, NCSC-TG-027).
Identifikacija i autentifikacija (1991., Svijetloplava knjiga, NCSC-TG-017).
Ponovno korištenje objekata (1992., Svijetloplava knjiga, NCSC-TG-018).
Upitnici u evaluaciji pouzdanih sustava (1992., Plava knjiga, NCSC-TG-019).
Koncepti certifikacije i akreditacije (1994., Plava knjiga, NCSC-TG-029).
Evaluating Credibility Products (1990, The Bright Blue Book, NCSC-TG-002).
Tumačenje podsustava računalne sigurnosti (1988., The Sky Blue Book, NCSC-TG-009).
Upravljanje pouzdanošću (1989, Brown Book, NCSC-TG-015).
Auditing in Trusted Systems (1988, Brown Book, NCSC-TG-001).
TRUSIX (1989, "Srebrna knjiga", NCSC-TG-020).

Sigurnosne klase računalnog sustava (TCSEC, Common Criteria)

Klasa D. Minimalna razina sigurnosti. Ova klasa uključuje sustave koji su bili prijavljeni za certifikaciju, ali je nisu prošli. Dok u ovaj sat nijedan OS nije registriran.

Klasa C1. Selektivna zaštita pristupa. Osigurava prisutnost pouzdane računalne baze (TCB), ispunjavanje selektivnih sigurnosnih zahtjeva. Osigurana je odvojenost korisnika od podataka (mjere za sprječavanje čitanja ili uništavanja podataka, mogućnost zaštite privatnih podataka). Trenutno nema dostupnih certifikata za ovu klasu.

Klasa C2. Zaštita upravljanog pristupa. Sustavi ove klase sposobni su implementirati jasnije definiranu kontrolu u smislu selektivne zaštite pristupa. Radnje korisnika povezane su s postupcima identifikacije/autentikacije. Dodjeljivanje i oduzimanje privilegija pristupa korisnicima. Osim toga, sigurnosno kritični događaji se revidiraju, a resursi se izoliraju. Sljedeće je certificirano za ovu klasu: AIX 4.3.1, OS/400 V4R4M0 s oznakom značajke 1920, AOS/VS II, izdanje 3.10, OpenVMS VAX i Alpha verzija 6.1, CA-ACF2 MVS izdanje 6.1, NT radna stanica i NT poslužitelj, ver. 4.0, Guardian-90 w/Safeguard S00.01.

Klasa B1. Označena sigurnost. Uz C2 zahtjeve, potreban je neformalni opis modela sigurnosne politike, označavanje podataka i provedba kontrole pristupa imenovanim subjektima i objektima. Certificirano za ovu klasu: CA-ACF2 MVS izdanje 6.1 zajedno s CA-ACF2 MAC, UTS/MLS, verzija 2.1.5+ (Amdahl), SEVMS VAX i Alpha verzija 6.1, ULTRIX MLS+ verzija 2.1 na VAX Station 3100, CX platformi /SX 6.2.1 (Harris Computer Systems), HP-UX BLS izdanje 9.0.9+, Trusted IRIX/B izdanje 4.0.5EPL, OS 1100/2200 izdanje SB4R7 (Unisys).

Klasa B2. Strukturirana zaštita. U ovoj klasi sustava, TCB se mora temeljiti na dobro definiranom i dokumentiranom formalnom modelu sigurnosne politike. Selektivna i prisilna kontrola pristupa odnosi se na sve subjekte i objekte u sustavu. Tajni kanali su otkriveni. TCB se mora jasno rastaviti na elemente koji su kritični i nekritični sa sigurnosnog gledišta. Jačaju se mehanizmi autentifikacije. Upravljanje mehanizmima pouzdanosti pruža se u obliku podrške za funkcije administratora sustava i operatera. Ovo pretpostavlja postojanje strogih mehanizama upravljanja konfiguracijom. Sustav je relativno otporan na upad. Trusted Xenix 4.0 (Trusted Information Systems) certificiran je za ovu klasu.

Klasa B3. Sigurnosne domene. TCB mora zadovoljiti zahtjeve referentnog nadzornog mehanizma koji kontrolira apsolutno sav pristup subjekata objektima i istovremeno biti dovoljno kompaktan da se može analizirati i testirati. Potreban je sigurnosni administrator. Mehanizmi revizije prošireni su kako bi uključili mogućnosti upozorenja za sigurnosno kritične događaje. Potrebni su postupci oporavka sustava. Sustav je izuzetno otporan na provale. XTS-300 STOP 5.2.E (Wang Government Services) certificiran je za ovu klasu.

Razred A1. Provjeren dizajn. Ova klasa sustava funkcionalno je ekvivalentna klasi B3 u smislu da nisu potrebne dodatne arhitektonske značajke ili drugi zahtjevi sigurnosne politike. Značajna je razlika u tome što su formalna specifikacija dizajna i odgovarajuće metode verifikacije potrebni kako bi se osiguralo da je TCB pravilno implementiran. Ne postoji OS registriran u ovoj klasi.

Kao što se ranije očekivalo, Kaspersky Lab radi na stvaranju sigurnog operativnog sustava za industrijske upravljačke sustave. Najavu ovog projekta osobno je objavio Evgeny Kaspersky, direktor tvrtke tvrtka, na konferenciji ITU Telecom World 2012 u Dubaiju.

U svom govoru Evgeniy je govorio o opasnostima cyber oružja i pristupu tvrtke u osiguravanju zaštite kritičnih industrijskih sustava. “Dugoročno gledano, kibernetičko oružje će bez sumnje nanijeti štetu svima: napadačima, žrtvama i samo vanjski promatrači. Za razliku od tradicionalnog oružja, elemente cyber oružja neprijatelj može lako reprogramirati. Opstanak u takvim uvjetima može jamčiti samo nova, naprednija sigurnosna paradigma za kritične informacijske sustave,” naglasio je Evgeny Kaspersky.

Glavne točke izvješća Evgeniya Kasperskog.

Tradicionalni malware već ima učinke prelijevanja na kritičnu infrastrukturu.
Incidenti poput nestanka struje 2003. godine u Sjedinjenim Državama i Kanadi uzrokovani su kvarovima softvera i nemogućnošću praćenja stvarnog stanja elektroenergetskih sustava.
Tekuća utrka u cyber naoružanju čini problem zaštite kritične infrastrukture još ozbiljnijim:
- Crv Stuxnet i trojanac Duqu otkriveni su 2010. odnosno 2011. godine;
- Tijekom 2012. već su otkriveni malware Gauss i Flame, kao i miniFlame.
Cyber oružje je univerzalno i ne poznaje granice. Njegov utjecaj na kritične industrijske sustave može biti razoran.
Ispravna zaštita ranjivih industrijskih sustava je prioritet broj jedan.

Tijekom svog govora Evgeny Kaspersky opisao je glavne mjere za osiguranje zaštite industrijskih kontrolnih sustava. Novi, pouzdani sustav za dobivanje pouzdanih informacija o radu industrijskog pogona trebao bi biti prvi korak prema tome učinkovitu zaštitu od cyber oružja. Zato Kaspersky Lab trenutno radi na stvaranju sigurnog operativnog sustava koji može postati čvor od povjerenja u industrijskom sustavu upravljanja.

Crv Stuxnet je prvi primjer kibernetičkog oružja za čiju je upotrebu doznala šira javnost. Autori Stuxneta otvorili su Pandorinu kutiju, pokazujući svijetu koliko učinkoviti mogu biti napadi na ključnu infrastrukturu. Sada čak i školarac može lako zamisliti moguće posljedice uspješnog destruktivnog napada na energetske, industrijske ili financijske objekte.

Nakon što je Stuxnet otkriven, pronađeno je nekoliko njegovih rođaka: Duqu, Flame i Gauss. Ovi programi imaju neke zajedničke značajke, ali im se razlikuju ciljevi, funkcionalnost i vrijeme izrade. Ako prije države, braneći svoje vanjske političkih interesa, upotrijebio diplomatska, gospodarska i vojna sredstva, sada izvršiti određene zadatke, umjesto aviona, projektila, tenkova ili brodova, mogu koristiti poseban malware. Vodeće svjetske sile već imaju potrebu da se zaštite od neprijateljskih neprijateljskih akcija u kibernetičkom prostoru i planiraju povećati svoje kibernetičke sposobnosti. To stvara lančanu reakciju i prisiljava druge zemlje da također okupe timove visoko kvalificiranih programera i hakera za razvoj specijaliziranih cyber alata - i za obranu i za napad. Cyber utrka u naoružanju uzima sve više maha.

Danas možemo reći da za očuvanje suvereniteta država mora ne samo braniti društveno-ekonomske i političke interese, već i pažljivo štititi svoje informacijski prostor. I sada gotovo da dolazi u prvi plan zadatak kontrole informacijskih sustava koji su ključni za državu.

Anatomija napada

Najopasnije mete cyber napada su prije svega ključni sustavi informacijska infrastruktura(FIAC), upravljanje kritičnim objektima: električna energija, transport, vađenje resursa, proizvodni procesi u tvornicama i tvornicama.

Osim industrijskih objekata, postoje mnoge organizacije za koje neovlašten pristup pristup informacijama može postati ozbiljan problem: banke, medicinske i vojne ustanove, istraživački instituti i poduzeća. Takve organizacije također mogu postati mete kibernetičkih napada, ali prvenstveno govorimo o zaštiti industrijskih objekata.

Za upravljanje objektima FIAC koristi ovaj ili onaj softver koji, nažalost, nije bez pogrešaka i ranjivosti. Prema studiji Sveučilišta Carnegie Mellon, broj grešaka u vojnom i industrijskom softveru u prosjeku je pet do deset na 1000 linija koda. To se odnosi na softver koji se koristi u praksi i koji je već prošao faze testiranja i implementacije. S obzirom da jezgra operativnog sustava Windows sadrži više od 5 milijuna linija koda, a jezgra Linuxa 3,5 milijuna, nije teško izračunati broj teoretski mogućih ranjivosti koje bi se mogle koristiti za izvođenje cyber napada.

Da bi izvršio učinkovit cyber napad, napadač mora, naravno, dobro razumjeti unutarnju strukturu napadnutog objekta. Zato se napadi obično sastoje od nekoliko faza.

U prvoj, izvidničkoj, fazi prikupljaju se informacije o unutarnjoj strukturi mreže, opremi i softveru koji se tamo koristi - napadače zanimaju njihove značajke i karakteristike. U ovoj fazi često nisu napadnuti ciljani objekti, već izvođačke tvrtke koje su provele automatizaciju (sistemski integratori), budući da su one u pravilu manje odgovorne za informacijsku sigurnost, ali istovremeno imaju vrijedne podaci. Osim toga, takve tvrtke imaju mogućnost autoriziranog pristupa ciljnoj tehnološkoj mreži, što napadači mogu iskoristiti u kasnijim fazama napada. U fazi prikupljanja informacija također mogu biti napadnute uslužne tvrtke, partneri i dobavljači opreme.

U drugoj fazi prikupljene informacije pažljivo se analiziraju i odabire se najučinkovitiji vektor napada. Ovisno o tome, određuje se koje se ranjivosti u programskom kodu moraju koristiti za prodor u sustav te koje funkcionalnosti maliciozni kod mora imati kako bi se postigao željeni cilj. Nakon čega se stvara maliciozni program s potrebnim “streljivom”.

Nakon toga, ako je moguće, kupuju se softveri i oprema slični onima koji se napadaju te se na njima provode testovi malwarea.

Konačno je riješen problem dostave zlonamjernog softvera na stranicu. Raspon mogućnosti ovdje se proteže od relativno jednostavne metode socijalni inženjering do visokotehnoloških metoda prodora kroz sigurne komunikacijske kanale. Kao što je pokazao slučaj MD5 kripto napada, ako imate želju, upornost i računalne resurse, može se puno postići.

Specifičnosti automatiziranih sustava upravljanja procesima

Dva su najozbiljnija problema u sigurnosti ključnih informacijskih infrastrukturnih sustava. To su nedostaci sigurnosnih modela razvijenih za industrijske sustave i nedostaci okruženja u kojima se ti modeli izvode.

Donedavno se pri izradi modela informacijske sigurnosti za kritične industrijske objekte smatralo da je dovoljna fizička izolacija objekta za njegovu zaštitu. Sigurnosni model takvih objekata u pravilu se temelji na načelima “sigurnosti nejasnoćom” (sigurnost kroz prikrivanje) i “zračnog procjepa” (fizička izolacija). Međutim, incident sa Stuxnetom pokazao je da ti principi više ne funkcioniraju, a ovakav pristup sigurnosti beznadno je zastario.

U industrijskim objektima ključni informacijski infrastrukturni sustavi su automatizirani sustavi upravljanja procesima (APCS), kao i sustavi zaštite u hitnim slučajevima (EPS). O ispravnom i stabilnom radu ovih sustava ovisi sigurnost cijelog objekta.

Sustav upravljanja procesima karakterizira izrazita softverska i hardverska heterogenost. Tipična tehnološka mreža poduzeća u pravilu uključuje SCADA poslužitelje pod Windows kontrole ili Linux, DBMS poslužitelji (SQL Server ili Oracle), mnogi programabilni logički kontroleri (PLC) raznih proizvođača, operatorske ploče (HMI), pametne senzore i komunikacijski kanal s ERP sustavima poslovne razine. Istodobno, prema rezultatima nedavnog istraživanja DHS-a, tehnološka mreža u prosjeku ima 11 (!) točaka izravne veze s korporativnom mrežom.

Karakteristike sustava upravljanja procesima određuju mnogi čimbenici, kao što su iskustvo stručnjaka sistem integratora koji su proveli implementaciju, njihovo razumijevanje ekonomske isplativosti metoda zaštite, trenutni trendovi u području automatizacije i još mnogo toga.

U velikoj većini slučajeva sigurnost sustava upravljanja procesima nije glavni prioritet u radu sistem integratora. Naravno, takvi hardverski i softverski sustavi prolaze certifikaciju, ali to se u pravilu svodi na birokratske procedure.

Problem ranjivosti

Pri ocjeni ranjivosti sustava upravljanja procesima potrebno je uzeti u obzir njihov dug životni vijek – desetke godina! Štoviše, do sredine 2000-ih pojam “softverska ranjivost” nije niti postojao, a takvi sigurnosni problemi jednostavno nisu uzeti u obzir pri razvoju sustava. Većina automatiziranih sustava upravljanja procesima koji trenutno rade u industriji nisu dizajnirani imajući na umu kibernetičke napade. Na primjer, većina komunikacijskih protokola koje koriste SCADA i PLC uopće ne uključuju nikakvu provjeru autentičnosti ili autorizaciju. To dovodi do činjenice da je svaki uređaj koji se pojavi u tehnološkoj mreži sposoban primati i izdavati upravljačke naredbe bilo kojem drugom uređaju.

Drugi ozbiljan problem je što je uz tako dug životni ciklus sustava upravljanja procesima, ažuriranje i instaliranje novog softvera u sustav ili zabranjeno regulatornom dokumentacijom ili je povezano sa značajnim administrativnim i tehnološkim poteškoćama. Dugi niz godina ažuriranje softvera sustava upravljanja procesima praktički nije učinjeno. Istodobno, u javnosti postoji dosta informacija o ranjivostima kontrolera i SCADA sustava, ranjivostima OS-a, DBMS-a pa čak i pametnih senzora.

Tvrtke koje proizvode SCADA i PLC također ne pomažu u poboljšanju situacije kibernetičke sigurnosti. Arhiva vijesti ICS-CERT-a prilično jasno ilustrira činjenicu da dobavljači ne posvećuju dužnu pažnju sigurnosti svojih rješenja - kako softverskih tako i hardverskih. Prijave i lozinke servisa ugrađene u PLC, SSH i SSL ključeve, mogućnost napada na sustav prekoračenjem međuspremnika, mogućnost zamjene komponenti sustava zlonamjernim i provođenje DoS i XSS napada - to su najčešće otkrivene ranjivosti u njima .

Osim toga, većina dobavljača uključuje alate za daljinsku administraciju u svoje hardverske i softverske sustave, ali je njihova konfiguracija prepuštena integratorima. Sami integratori često ignoriraju te postavke, zbog čega su sustavi za upravljanje procesima često dostupni s interneta uz zadanu prijavu i lozinku. U međuvremenu, u globalna mreža postoje specijalizirani tražilice, sposoban detektirati uređaje kojima se može pristupiti pomoću zadane prijave i lozinke ili bez njih. Dobivši ove informacije, svatko ima priliku daljinski upravljati sustavom.

Na temelju navedenog može se tvrditi da komponente suvremenih sustava upravljanja procesima mogu biti hakirane, zaražene, raditi neispravno i dovesti do kvara opreme, mogu netočno informirati operatera i potaknuti ga na donošenje pogrešnih odluka, što, opet, može dovesti do hitnog slučaja..

Naravno, u svakom objektu postoje sustavi hitne zaštite (EPS). Međutim, takve mjere osmišljene su za sprječavanje nesreća uzrokovanih slučajnim čimbenicima i mogu biti beskorisne protiv koordiniranog ciljanog napada.

Osim toga, želja za ekonomskom učinkovitošću dovodi do toga da se proizvodnja opreme za zaštitu u hitnim slučajevima distribuira među mnogim ugovornim tvrtkama. Svaki od njih ima mogućnost ugradnje skrivenih funkcija na nekoliko razina - od upravljačkog softvera do procesorskog čipa.

Povijesno su se tvrtke za industrijsku opremu i softver usredotočile na stabilnost i otpornost svojih rješenja. Donedavno je ovakav pristup svakako bio opravdan, ali sada je vrijeme da se ozbiljno obrati pozornost na osiguranje informacijske sigurnosti, privlačenje specijaliziranih tvrtki za suradnju i ispitivanje njihovih proizvoda.

Tako se svijet nalazi u situaciji da s jedne strane neke zemlje već posjeduju kibernetičko oružje, a s druge da su ključni informacijski sustavi država otvoreni za napad. Ovisno o stupnju razvoja informatičke tehnologije u zemlji i stupnju automatizacije pojedinog industrijskog objekta, može biti lakše ili teže napasti ga, no moguć je i cyber napad.

Točka povjerenja

Trenutno postoji potreba za stvaranjem rješenja koja mogu pružiti pouzdanu zaštitu za kritične industrijske objekte i druge objekte i organizacije koji su osjetljivi na upade i curenje informacija. Međutim, koliko god dobro takva rješenja funkcionirala, korištenje ranjivih operativnih sustava i softvera u sustavima upravljanja procesima neće omogućiti proizvođačima sigurnosne opreme da jamče sigurnost sustava. A u slučaju kritičnih objekata takva su jamstva neophodna.

Nema smisla računati na to da će svi programeri sustava upravljanja procesima hitno izvršiti totalnu provjeru i ažuriranje svog softvera koji koriste, a da će menadžeri poduzeća pravovremeno ažurirati rješenja koja već imaju instalirana. A ako to uzmete u obzir životni ciklus budući da se takvi sustavi procjenjuju na desetljeća, postat će očito da će prema evolucijskom scenariju implementacija zaštićenih sustava upravljanja procesima zahtijevati značajno vrijeme.

No, globalno rješenje problema ranjivosti nije jedino moguće rješenje koje može osigurati sigurnost industrijskih objekata.

Koje su opasnosti posjedovanja ranjivog softvera? Ranjivosti su rupe koje se mogu koristiti za prodor malware. Bilo koja komponenta sustava kontrole procesa može biti zaražena. A zaražena komponenta može obavljati operacije u tehnološkoj mreži zlonamjerne radnje, što dovodi do katastrofe, au isto vrijeme dezinformira operatera.

U ovoj situaciji operater je kritičan važan sustav je prisiljen upravljati tehničkim procesima bez ikakvog jamstva da su informacije na temelju kojih donosi odluke točne. Zapravo, ovo je jedan od ključnih problema sigurnosti sustava - uostalom, cijena greške u ovoj vrsti objekata je vrlo visoka.

Za siguran rad industrijskog pogona, kritično je važno da operater primi pouzdane informacije i upravljati proizvodnjom na temelju tih informacija. To će izbjeći pogreške u upravljanju i pomoći, ako je potrebno, zaustaviti proizvodnju na vrijeme kako bi se spriječila nesreća.

Trenutno ne postoji OS i softver koji bi se mogli koristiti u industrijskim okruženjima i čijim se rezultatima u potpunosti može vjerovati. I to nam nije ostavilo drugog izbora nego da počnemo samostalno razvijati takve alate.

Osnovni sigurnosni alat je operativni sustav. Smatramo da je za kontrolu informacija koje kolaju industrijskom mrežom prije svega potrebno koristiti ovaj sustav. To će jamčiti da su informacije točne, pouzdane i da ne sadrže nikakve štetne komponente.

Siguran OS

Koje zahtjeve treba zadovoljiti u najvećoj mogućoj mjeri? sigurno okruženje kontrolirati informacijsku infrastrukturu?

OS se ne može temeljiti ni na jednom postojećem softverskom kodu, pa se mora pisati od nule.
Kako bi se zajamčila sigurnost, ne smije sadržavati pogreške ili ranjivosti u kernelu koji kontrolira preostale module sustava. Kao posljedica toga, kernel mora biti verificiran sredstvima koja ne dopuštaju postojanje ranjivosti i koda dvostruke namjene.
Iz istog razloga, kernel mora sadržavati kritični minimum koda, što znači da što više koda, uključujući upravljačke programe, mora kontrolirati kernel i izvršavati s niskim privilegijama.
Konačno, takvo okruženje mora imati snažan i pouzdan sigurnosni sustav koji podržava različite modele sigurnosti.

U skladu s tim, Kaspersky Lab stvara vlastiti operativni sustav, čija je glavna značajka temeljna nemogućnost izvođenja nedeklarisane funkcionalnosti u njemu.

Samo na temelju takvog OS-a može se izgraditi rješenje koje omogućuje operateru ne samo da vidi što se stvarno događa u proizvodnji, već i da je kontrolira. Bez obzira na proizvođače određenog OS-a, DBMS-a, SCADA-e i PLC-a, neovisno o stupnju njihove sigurnosti ili prisutnosti ranjivosti u njima. Štoviše, bez obzira na stupanj njihove infekcije.

Zapravo, govorimo o novoj generaciji inteligentnog sustava zaštite u hitnim slučajevima. Sustav zaštite koji uzima u obzir cijeli kompleks pokazatelja poduzeća odjednom. Sustav zaštite koji ne dopušta da dođe do nezgode pogrešne radnje operatera, niti kao rezultat pogrešaka u softveru sustava upravljanja procesima, niti kao rezultat cyber napada. Između ostalog, takav će sustav moći nadopuniti tradicionalne ESD alate, što će omogućiti praćenje složenijih i složenijih scenarija onoga što se događa.

Takvo rješenje trebalo bi biti ugrađeno u postojeće sustave upravljanja procesima kako bi se oni zaštitili i osiguralo pouzdano praćenje ili bi se trebalo uzeti u obzir pri projektiranju novih sustava upravljanja procesima - u oba slučaja, osiguravajući korištenje modernim principima sigurnosti.

| 26.11.2014

Dok se programeri bore za dizajn i funkcionalnost svojih pametnih telefona i tableta, korisnici postavljaju pitanja o njihovoj sigurnosti. Prije svega, ovaj problem zabrinjava one koji koriste gadgete na poslu. Ali obični potrošači ne žele postati žrtve kriminalaca.

Prijetnje, odakle si?

Prije razmatranja mobilnih operativnih sustava sa sigurnosnog stajališta, BlackBerry treba isključiti s njihove liste, iako je on taj koji je prvi na listi sustava u sigurnosnim ocjenama. Da, dugo je razvoj Research In Motiona (bivše ime tvrtke) bio vodeći u poslovnom okruženju, a i danas pronalazi poklonike, ali bilo bi naivno očekivati reinkarnaciju ekosustava.

Ostaje plemenito trojstvo: Android, iOS i Windows Phone – koji je najsigurniji? Prvo, prisjetimo se odakle dolaze te sigurnosne prijetnje. Cilj broj jedan svakog napadača je dobiti pristup podacima (uključujući lozinke) ili sistemske datoteke. To se može učiniti na dva načina: uvođenjem zlonamjernog koda putem mreže (Bluetooth, NFC, Wi-Fi) ili korištenjem trojanaca.

Hakiranje rukama korisnika

U pravilu, druga metoda je najjednostavnija, s obzirom na ogroman broj aplikacija u specijaliziranim prodavaonicama. Često korisnik nije previše pažljiv na zahtjeve softvera, a instalirajući ga, a da to ne zna, daje pravo na neovlaštene radnje. U najboljem slučaju, nakon takve instalacije postat ćete žrtva dosadnih reklama, u najgorem ćete se oprostiti od novca na računu ili lozinkama.

U ovoj situaciji pobjeđuje iOS, čije aplikacije Apple pažljivo provjerava prije stavljanja u trgovinu. da i Windows aplikacije sadrži pažljivo filtriran sadržaj, što njegove mogućnosti čini jednakima onima iOS-a. Google jednostavno organizira povremeno skeniranje sadržaja svog skladišta na viruse.

Kada je riječ o mogućnostima daljinskog prodora, iOS tu gubi: natjecanje Mobile Pwn2Own ‘2014 pokazalo je sigurnosne nedostatke na Safari preglednik(detalji se ne otkrivaju, ali se pouzdano zna da hakerima nije trebalo puno vremena da dođu do svih podataka). No Windows Phone ugodno je iznenadio: programeri su uspjeli doći samo do kolačića. Android nas, najvjerojatnije, također ne bi iznevjerio da nije bilo praznine u NFC modulu - uz njegovu pomoć lako je organizirati pristup svim resursima putem Bluetootha (na primjer, ovako smo uspjeli sinkronizirati Samsung Galaxy S5 s drugim računalom).

Tko ima jaču srž?

Što se tiče sigurnosti samog OS-a, mogućnosti su gotovo iste: sve tri područje sustava je zaštićen od pisanja, a svaka aplikacija radi u vlastitom izoliranom sandboxu (pješčaniku) u ime neprivilegiranog korisnika. U takvom okruženju potencijalni zlonamjerni softver ne može modificirati ne samo sistemske podatke, već ni pokrenute aplikacije. Istraživanje je pokazalo da je tijekom cijelog postojanja iOS-a u njemu otkriveno više od 300 ranjivosti, dok je u Androidu - samo 36. Ali to nije kriterij, jer se rupe u iOS-u brzo popune. Windows Phone još nema tako obimnu statistiku, ali stručnjaci kažu da po tom pitanju nije ništa slabiji od svojih konkurenata.

S poslovnog gledišta, najvišu razinu sigurnosti ne treba tražiti od operativnog sustava, već od dobavljača. Tako, poseban razvoj SAFE (Samsung For Enterprise) i KNOX dodatak pokazuju najveću sigurnost, unatoč tome što se temelje na Androidu. Ukratko, neospornog lidera nema, iako, ne ulazeći u detalje, za korporativni segment preferencije treba poredati sljedećim redoslijedom: iOS, Windows Phone, Android. I za individualna uporaba– Android, iOS, Windows Phone.

Windows Phone pokazuje ozbiljnu otpornost na hakiranje i druge sigurnosne parametre, osim toga, dobro se uklapa u opću politiku korporativnog sektora, ali potrebno je neko vrijeme da se dobiju rezultati sveobuhvatnog testa ranjivosti. Najnovija proširenja za iOS i odobrenje za njihovu upotrebu na uređajima moduli trećih strana smanjiti ocjenu otpornosti na napade. Android značajno ovisi o ljudski faktor, iako su inovacije kernela u verziji 4.4 (SELinux) poboljšale njegovu otpornost na pucanje. Ali što vrijedi snaga sustava ako zlonamjerni softver koji je neoprezno instalirao korisnik može lako prebaciti najvrednije informacije u ruke napadača?

Danas se svijet računala aktivno razvija. Dokaz za to mogao bi biti broj distribucija koje postoje na ovaj trenutak. Sada njihov broj prelazi tisuću. Oni su raznoliki i skrojeni za razne svrhe i zadatke. Ova publikacija bavit će se distribucijom Linuxa pod nazivom Tails. Ovo je najsigurniji i najanonimniji OS na svijetu.

Tails vam omogućuje postizanje visokog stupnja sigurnosti pri radu na internetu. Zbog činjenice da je sav promet obavijen anonimnim TOR mreža, postiže se visoka razina sigurnosti. No, stvar ne završava na TOR mreži, već standardno sustav zamjenjuje MAC adrese mrežnih mehanizama tako da je nemoguće identificirati sam uređaj s kojeg se pristupa mreži.

Sigurnost operativnog sustava

Sigurni operativni sustav Tails razlikuje se od ostalih po tome što se ne instalira na računalo, već se može pokrenuti samo s unaprijed pripremljenog operativnog sustava ili CD-a. Posebna značajka OS-a je da se učitava u RAM računala i pokreće iz njega. Na posao Tails HDD Ne trebate računalo, ali ako želite možete pristupiti datotekama na mediju.

Ovaj sustav ne ostavlja nikakve tragove na računalu; kada isključite računalo ili uklonite uređaj za pokretanje, RAM se briše i jednostavno prepisuje nulama. Ovo je kako bi se osiguralo da nitko nikada ne može napraviti snimku RAM-a. Minimum za normalan rad OS-a trebao bi biti 2 GB. Također, jedan od članaka koji se nalaze na stranicama stranice pomoći će vam da se uvjerite da radi.

Još jedna značajka OS-a o kojem se raspravlja je da ne sprema ništa, nikakve datoteke ili postavke. Što god spremili i koje god postavke napravili na ovom sustavu, nakon sljedećeg ponovnog pokretanja sve se briše. Svaki put kada se pokrene čist, siguran operativni sustav, i cijelo vrijeme tijekom pokretanja morate odabrati jezik, a također ako trebate postaviti lozinku.

Ako trebate nešto spremiti, dodatnim manipulacijama još uvijek možete stvoriti trajnu pohranu koja će sadržavati neke podatke. Da biste to učinili, morate se pokrenuti s već unaprijed instaliranog flash pogona za pokretanje na drugi USB flash pogon i ponovno instalirati Tails. Kada se sustav klonira na drugi uređaj, na drugom mediju pojavit će se funkcija za trajno spremanje podataka koju je tada potrebno konfigurirati. Nakon svih manipulacija, završit ćete s šifriranom pohranom kojoj se može pristupiti samo kada se pokrenete s drugog flash pogona i unesete lozinku.

Sigurnost softvera i OS-a

Što se tiče unaprijed instaliranog softvera, imamo set softvera otvorenog koda kojem možete vjerovati. Programeri tvrde da softver ne sadrži stražnja vrata i zlonamjerni kod. Također, zbog sigurnosti i anonimnosti, ne preporučuje se instaliranje softvera trećih strana.

Tails ima skup programa koji su nestandardni za većinu operativnih sustava, na primjer uslužni program za rad s PGP enkripcijom. Uz njegovu pomoć možete upravljati ključevima, šifrirati i dešifrirati tekst i datoteke. Također su prisutni Bitcoin, Electrum wallet, manager KeePass lozinke. Također, u Tailsu postoji player za , obični Firefox preglednik, koji je potpisan kao "nesiguran preglednik", Pidgin messenger i još mnogo toga.

Rezimirajmo što imamo s operacijskom dvoranom Sustav repova. Također, koje su glavne prednosti ovog OS-a:

Kada flash pogon za podizanje sustava S vama se možete podići na bilo koje računalo, bilo na zabavi, na poslu ili u internetskom kafiću, gdje je to potrebno, a razina sigurnosti ostavlja mnogo za poželjeti.
Zahvaljujući enkripciji prometa kroz TOR mrežu, pružatelj ne vidi što osoba radi, a stranica ne može identificirati korisnika.
Zamjena MAC adrese sprječava prepoznavanje uređaja kada je povezan na javni WI-FI.
Prepiska putem ovog OS-a može biti šifrirana, dostupne transakcije putem Bitcoina, novčanika s lažnom MAC adresom provode se iz TOR mreže.
Ako postoji trajna pohrana, ona je šifrirana.
operacijski sustav radi iz RAM-a i nakon rada se resetira, ne ostavlja tragove na računalu.

Kada radite s Tailsom, možete biti sigurni u svoju anonimnost i sigurnost ako vam je stvarno potrebna. Ovdje je poveznica na službenu web stranicu distribucije Tails https://tails.boum.org/. Svoja pitanja možete postaviti u komentarima ili otići na stranicu "Kontakti", ispuniti i poslati mi obrazac.