автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Модели и средства выявления угроз нарушения информационной безопасности штатных механизмов обнаружения скрытых информационных воздействий в ядре OC WINDOWS

РОССИЙСКИЙ ГОСУДАРСТВЕННЫЙ ГУМАНИТАРНЫЙ УНИВЕРСИТЕТ

004Ы2 с^оы

Левыкин Михаил Владимирович

МОДЕЛИ И СРЕДСТВА ВЫЯВЛЕНИЯ УГРОЗ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ШТАТНЫХ МЕХАНИЗМОВ ОБНАРУЖЕНИЯ СКРЫТЫХ ИНФОРМАЦИОННЫХ ВОЗДЕЙСТВИЙ В ЯДРЕ ОС WINDOWS

Специальность: 05.13.19 - методы и системы защиты информации,

информационная безопасность

Автореферат диссертации на соискание ученой степени кандидата технических наук

-КЕН ?0Ю

Москва-2010

004607960

Работа выполнена на кафедре Компьютерной Безопасности Российского государственного гуманитарного университета

Научный руководитель: Официальные оппоненты:

Ведущая организация:

д.ф.-м.н., профессор A.A. Грушо

д.т.н., профессор С.Н. Смирнов, к.т.н. В.Б. Нетыкшо

Институт проблем

информационной

безопасности,

МГУ имени М.В. Ломоносова

Защита состоится 27 сентября 2010 г. в 14 часов на заседании диссертационного совета Д 212.198.13 при Российском государственном гуманитарном университете по адресу: г. Москва, Миусская пл., д. 6.

С диссертацией можно ознакомиться в библиотеке Российского государственного гуманитарного университета.

Автореферат разослан 05 августа 2010 г.

Ученый секретарь диссертационного совета, к.т.н. ст. науч. сотр.

СГ^-^Д.Б. Халяпин

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ.

Актуальность проблемы:

В настоящее время человечество вплотную подошло к рубежу, за которым начинается новый этап его развития, получивший название «информационного общества». Активная информатизация различных сфер общественных отношений приводит к необходимости решения задач, направленных на обеспечение информационной безопасности его национальных информационно-телекоммуникационных инфраструктур. Основополагающим документом, регламентирующим политику России в области информационной безопасности, является Доктрина информационной безопасности Российской Федерации, утвержденная в сентябре 2000 года Президентом Российской Федерации1. Реализация мероприятий по обеспечению информационной безопасности Российской Федерации, отнесенных Доктриной к первоочередным, невозможна без глубокой комплексной научной проработки стоящих на этом направлении задач. В Доктрине даны общие формулировки проблем, на решение которых должны быть ориентированы задачи, изложенные в Перечне научно-технических проблем обеспечения информационной безопасности Российской Федерации (физико-математические, технические). Среди технических проблем этого Перечня2, следующие положения включают разработку методов обнаружения скрытых от используемых средств обеспечения безопасности деструктивных информационных воздействий.

«Разработка моделей угроз безопасности систем и способов их реализации, определение критериев уязвимости и устойчивости систем к деструктивным воздействиям, разработка методов и средств мониторинга для выявления фактов применения несанкционированных информационных воздействий, разработка методологии и методического аппарата оценки ущерба от воздействия угроз информационной безопасности» (п. 46 Перечня)

«Разработка методов и средств обеспечения информационной безопасности информационных и телекоммуникационных систем, в том числе автоматизированных систем управления безопасностью,

1 Доктрина информационной безопасности-Российской Федерации. «Российская газета» (утв. Президентом РФ от 9 сентября 2000 г. N Пр-1895) N 187, от 28.09.2000.

2 Перечень основных направлений и приоритетных проблем научных исследований в области информационной безопасности Российской Федерации.

аО

)

методов и средств распределения ключей и защиты информации и информационных ресурсов от несанкционированного доступа и разрушающего информационного воздействия. антивирусных технологий, методов и средств контроля состояния защищенности от НСД современных и перспективных технических средств и каналов связи, решение проблемы гарантированного уничтожения остаточной информации на магнитных носителях, исследование и развитие методов построения защищенных систем, использующих ненадежные (с точки зрения информационной безопасности) элементы, включая проблему их тестирования»3 (п. 48 Перечня).

Под скрытым информационным воздействием в настоящей работе понимается скрытое от комплекса средств обеспечения информационной безопасности несанкционированное воздействие на защищаемую информацию и (или) другие ресурсы защищаемой информационной системы (ИС). Под методом обнаружения скрытого информационного воздействия в операционной системе ЮС) понимается алгоритмическое обеспечение и программные механизмы, с помощью которых осуществляется противодействие скрытию от комплекса средств обеспечения информационной безопасности несанкционированного воздействия на ресурсы ИС. Следует отметить, что методы скрытия и обнаружения информационного воздействия в большинстве случаев близки по технологии их реализации с точностью до направленности действия. Для обнаружения информационного воздействия чаще всего средство защиты использует те же принципы, что и средство скрытия. Этот факт в значительной степени связан с тем обстоятельством, что и те, и другие средства в качестве инструментария используют одни и те же особенности и механизмы ядра ОС. В последнее время как со стороны иностранных авторов: Батлер Дж.4, Рутковская Ж.5, Велер Р.6, Эриксон Дж.7, Бланден Б.8, так

3 Шерстюк В.П. МГУ: научные исследования в области информационной безопасности. www.ipib.msu.ru/dociroients/Sherstuk: VP.doc

4 Холунг Г., Батлер Дж.. Руткиты: внедрение в ядро Windows. СПб.: Питер, 2007. - 285 е.: ил.

s Rutkowska Joanna. Rootkits Detection on Windows Systems - October 2004, http://invisiblethings.orK/papers/rninderground2004 Win Ttks detection.ppt

6 Vieler Ric. Professional rootkits. USA. 2007, Wiley Publishing, Inc. Indianapolis, Indiana, Published simultaneously in Canada.

7 Erickson Jon. Hacking: The art of exploitation, 2nd edition. USA. 2008, No starch press, Inc. 555 De Haro

Street, Suite 250, San Francisco, CA 94107.

и со стороны российских - Зайцев О.9, Колисниченко Д.10, большое внимание уделяется скрытым информационным воздействиям на уровне ядра ОС Windows. Особую роль в вопросах, связанных с использованием и изучением скрытых информационных воздействий, играют Интернет - источники.

Согласно информации, представленной на сайте одной из ведущих российских компаний в области защиты информации11, в последние 10-15 лет наблюдается значительный рост числа несанкционированных информационных воздействий деструктивного характера на уровне ядра ОС Windows одной из самых распространенных ОС в мире12. Это обстоятельство обусловлено многими практическими работами в этой области, их доступностью и относительной простотой в использовании.

Следует отметить тот факт, что значительная часть современных средств защиты информации (СЗИ), в частности антивирусные программные продукты, направлены на обнаружение скрытых информационных воздействий на уровне ядра ОС Windows. Более того, часто утверждается, что многие из них используют скрытые информационные воздействия для обеспечения самозащиты и для контроля подобных скрытых информационных воздействий13.

Учитывая рост интереса к скрытым информационным воздействиям, разработки современных ОС семейства Windows предлагают для разработчиков СЗИ интегрированные в ОС механизмы выявления таких воздействий на уровне ядра. Такие механизмы представлены практически во всех подсистемах ядра ОС Windows:

! Blunden Bill. The rootkit arsenal. USA. 2009, Wordware Publishing, Inc. 1100 Summit Ave., Suite 102 Piano, Texas 75074.

' Зайцев O.B. ROOTKITS, SPYWARE/ADWARE, KEYLOGGER &BACKDOORS: обнаружения и защита. - СПб.: БХВ-Петербург, 2006. - 304 е.: ил.

10 Колисниченко Д.Н. Rootkits под Windows. Теория и практика программирования «шапок-неведимок», позволяющих скрывать от системы данные, процессы, сетевые соединения. - СПб.: Наука и Техника, 2006. - 320 е.: ил.

"Securelist www.secure1ist.com

12 Top Operating System Share Trend http://www.netmarketshare.com/os-market-share.aspx?qprid=:9

13 McMillan Robert. Symantec, Kaspersky Criticized for Cloaking SoftwareCompanies are accused of using rootkit-like techniques to hide information from users. Jan 13, 2006,

http://www.pcworld.com/article/124365/svmantec kaspersky criticized for cloaking software.html

системном реестре14; файловой системе15; сетевой подсистеме; контроле процессов и потоков16 и т.д. Операционные системы семейства Windows предлагают программный интерфейс уровня ядра17 для реализации на его основе средств обнаружения скрытых информационных воздействий. С учетом широкого использования ОС семейства Windows, а также применения руткитов18, растет популярность этого программного интерфейса.

Во многих зарубежных источниках представлен частичный анализ защищенности штатных механизмов обнаружения скрытых информационных воздействий на уровне ядра ОС Windows, а также уязвимостей в них. Однако проблема в настоящее время не разрешена. В этой области еще много нерешенных задач. Результаты исследования некоторых из них представлены в данной диссертационной работе.

Целью диссертационной работы является разработка методов и средств устранения скрытых информационных воздействий на уровне ядра ОС Windows на основе анализа штатных механизмов их обнаружения и определения уязвимостей.

В соответствии с поставленной целью в диссертационной работе решаются следующие задачи:

• анализ штатных механизмов обнаружения скрытых информационных воздействий в ОС Windows и разработка их логических моделей для поиска уязвимостей в этих механизмах;

• разработка инструментальных средств устранения скрытых информационных воздействий на уровне ядра ОС;

14 CmRegisterCallback. Windows Driver Kit: Kernel-Mode Driver Architecture. Built on November 19,2009 http://msdn.microsoft.com/en-us/Iibrarv/aa9Q6439.aspx

15 FsRtlRegisterFileSystemFilterCallbacks. Windows Driver Kit: Installable File System Drivers. Built on November 23,2009 http://msdn.microsoft.com/en-us/library/ms795401.aspx

16 PsSetCreateProcessNotifyRoutine. Windows Driver Kit: Kernel-Mode Driver Architecture. Built on November 19,2009. http://msdn.microsoft.com/en-us/librarv/ms802952.aspx

17 Под программным интерфейсом уровня ядра понимается набор штатных механизмов выявления скрытых информационных воздействий на уровне ядра ОС Windows

18 Холунг Г., Батлер Дж.. Руткиты: внедрение в ядро Windows. СПб.: Питер, 2007. - 285 е.: ил.

• экспериментальное обоснование существования уязвимостей в штатных механизмах обнаружения скрытых информационных воздействий на примере ОС Windows ХР.

Объектом настоящего исследования являются штатные механизмы обнаружения скрытых информационных воздействий на уровне ядра ОС Windows. Предметом исследования являются уязвимости штатных механизмов обнаружения скрытых информационных воздействий на уровне ядра ОС Windows.

В ходе проведения исследований применялись следующие методы: теория графов; математическое моделирование средств защиты информации в компьютерных системах; системный анализ; анализ алгоритмов; дизассемблирование; отладка; реинжиниринг19; реверсинг20.

Научная новизна работы характеризуется тем, что в результате ее выполнения разработан метод анализа штатных механизмов обнаружения скрытых информационных воздействий на уровне ядра ОС Windows, с использованием которого найдены новые уязвимости в рассмотренных механизмах.

На защиту выносятся следующие основные результаты:

1. Метод анализа штатных механизмов обнаружения скрытых информационных воздействий на уровне ядра ОС Windows, основанный на локализации закрытого программного кода, реализующего эти механизмы;

2. Решение задачи восстановления логической схемы штатных механизмов управления доступом к реестру, контроля создания и удаления процессов, фильтрации сетевого трафика, полученное на основе анализа этих механизмов предложенным автором методом;

3. Экспериментальное обоснование выводов и положений теоретических исследований по поиску

19 Восстановление исходного алгоритма и его модели на основе анализа исполняемого кода.

20 Восстановление исходного кода на основе анализа исполняемого кода.

уязвимостей в штатных механизмах защиты ядра ОС Windows.

Практическая значимость исследования определяется тем, что его результаты позволили показать отсутствие должного уровня защищенности самих штатных механизмов. Найдены новые уязвимости в рассматриваемых механизмах, существование которых обосновано экспериментально. Использование таких уязвимостей может повлечь за собою уязвимости в СЗИ, построенных на их основе. Вместе с тем, контролируя найденные уязвимости можно повысить надежность СЗИ, построенных на их основе. Как следствие, результаты работы могут быть использованы для повышения надежности СЗИ, опирающихся на ненадежные с точки зрения безопасности штатные механизмы защиты информации в ОС Windows.

Теоретическая значимость настоящего исследования состоит в разработке нового метода анализа штатных механизмов обнаружения скрытых информационных воздействиях на уровне ядра ОС Windows и выявления с его помощью новых уязвимостей этих механизмов.

Внедрение и апробация результатов исследований.

Результаты диссертации использованы:

1) в ОАО «Газпром промгаз» при создании испытательного стенда, предназначенного для оценки эффективности обнаружения программных закладок уровня ядра (скрытых информационных воздействий) антивирусным программным обеспечением, используемым в ОАО «Газпром промгаз»;

2) в учебном процессе РГГУ при проведении лабораторных работ по курсу Вычислительные сети ИИНиТБ ФЗИ для ознакомления студентов

• с устройством сетевой архитектуры ОС Windows ХР и интерфейсом сетевого программирования на уровне ядра ОС Windows ХР;

• с механизмами использования скрытых каналов по памяти в стеке протоколов TCP/IP для передачи информации в обход штатных средств фильтрации сетевого трафика ОС Windows ХР.

Результаты внедрения подтверждены двумя актами:

1) ОАО «Газпром промгаз»

2) РГГУ ИИНиТБ ФЗИ КБ.

Результаты диссертации докладывались на семинарах кафедры

Компьютерной Безопасности ИИНиТБ РГГУ.

Результаты диссертационного исследования прошли

апробацию на следующих международных конференциях:

1) XXXIV Международная конференция и дискуссионный научный клуб «Информационные технологии в науке, образовании, телекоммуникациях и бизнесе (весенняя сессия)», Украина, Крым, Ялта-Гурзуф, 2007 г.

2) XXXV Международная конференция и дискуссионный научный клуб «Информационные технологии в науке, образовании, телекоммуникациях и бизнесе (весенняя сессия)», Украина, Крым, Ялта-Гурзуф, 2008 г.

3) XXXVII Международная конференция и дискуссионный научный клуб «Информационные технологии в науке, образовании, телекоммуникациях и бизнесе (осенняя сессия)», Украина, Крым, Ялта-Гурзуф, 2009 г.

Публикации: Основные положения диссертационной работы опубликованы в 5-ти научных статьях, в том числе две из них опубликованы в журнале, включенном ВАК РФ в перечень ведущих рецензируемых научных журналов и изданий.

Структура и объем работы.

Диссертация состоит из введения, трех глав, заключения, списка литературы из 61 наименований и приложения. Основная часть работы изложена на 120 страницах с вычислительными примерами, таблицами, рисунками, листингами и исходными текстами программ.

СОДЕРЖАНИЕ РАБОТЫ

В первой главе обозначен тип рассматриваемых в дальнейшей работе скрытых информационных воздействий, представлены его определения и классификация. Описаны методы обнаружения скрытых информационных воздействий, к которым относятся методы перехвата, обратного вызова, фильтрации. Анализируются способы их реализации в ОС Windows. Представлен краткий обзор архитектуры ядра ОС Windows, а также штатных механизмов обнаружения скрытых информационных воздействий на уровне ядра. Дано обоснование актуальности и новизны задач, решенных в диссертационной работе.

Под скрытыми информационными воздействиями на уровне ядра ОС Windows понимаются руткиты этого уровня - вредоносные программы (набор программ), предназначенные для осуществления скрытого от СЗИ несанкционированного воздействия на ресурсы информационной системы, подлежащие защите, с целью скрытия от СЗИ деятельности других вредоносных программ и самой себя. Под методом обнаружения скрытого информационного воздействия в ОС понимается - логическое обеспечение и программные механизмы, с помощью которых осуществляется противодействие скрытию от комплекса средств обеспечения информационной безопасности несанкционированного воздействия на ресурсы защищаемой информационной системы. В работе представлено описание методов обнаружения скрытых информационных воздействий, основанных на перехвате системных вызовов, обратном вызове и фильтрации.

Под штатным механизмом обнаружения скрытых информационных воздействий понимается реализованный программными средствами ядра ОС Windows алгоритм обнаружения таких воздействий. Штатный механизм обнаружения скрытых информационных воздействий реализован как интерфейс программирования (определенный набор функции), используя который проектировщики и разработчики СЗИ могут создавать средства защиты от подобных воздействий.

В диссертационной работе рассмотрены следующие штатные механизмы.

1. Механизм обнаружения скрытых информационных воздействий, контролирующий доступ к системному реестру на уровне ядра ОС. Данный механизм, представлен следующими функциями ОС Windows:

CmRegisterCallback21 /CmUnregisterCallback22 - для ОС Windows XP; их расширениями CmRegisterCallbackEx23 для ОС Windows Vista и более поздних ОС семейства NT. Этот механизм реализует метод обратного вызова, то есть регистрацию драйвера, который будет вызываться при обращениях к системному реестру на уровне исполнительной системы24 ядра, то есть диспетчера конфигурации.

2. Механизм обнаружения скрытых информационных воздействий, контролирующий создание и удаления процессов, потоков, загрузку образов на уровне ядра ОС, который представлен следующими функциями ОС Windows: PsSetCreateProcessNotifyRoutine25 - для ОС Windows XP, PsSetCreateProcessNotifyRoutineEx26 - для ОС Windows Vista и более поздних ОС семейства NT. Так же как и механизм контроля реестра, данный механизм реализует метод обратного вызова регистрирует функции, которые будут вызываться при создании и удалении процессов.

3. Механизм обнаружения скрытых информационных воздействий, контролирующий доступ к ресурсам сети (фильтрацию сетевых пакетов) на уровне ядра ОС (штатный межсетевой экран). Данный механизм реализуется сервисом Брандмауэр Windows в виде интерфейса программирования, доступного как на уровне пользователя, так и на уровне ядра. Основная функция этого механизма фильтрации сетевого трафика27.

21 CmRegisterCallback htto://msdn.microsoft.coro/en-us/librarv/ff541918%28v=VS.85%29.aspx

22 CmUnRegisterCallback htto://msdn.microsoft.com'en-us/librarv/ffi41928%28v^VS.85%29.aspx

23 CmRegisterCallbackEx http://msdn.microsoft.com,^n-us/librarv/fr541921%28v=VS.85%29.aspx

24 Руссинович M., Соломон Д.. Внутреннее устройство Microsoft Windows: Windows Server 2003, Windows XP, Windows 2000. Мастер-класс. / Пер. с англ. - 4-е изд. - М.: Издательство «Русская редакция»; СПб.: Питер, 2006. 992 стр.: ил.

25 PsSetCreateProcessNotifyRoutine http://msdn.microsoft.com/en-us/librarv/ff559951%28VS.85%29.asnx

26 PsSetCreateProcessNotifyRoutineEx httD-V/msdn. microsoft.com/en-us/librarv/ff559953%28VS.85%29.aspx

27 Windows Firewall Interfaces http://msdn.microsoft.com/en-us/librarv/aa366449%28\'=VS.85%29.aspx

Во второй главе представлено описание разработанного автором метода анализа механизмов уровня ядра ОС Windows. На основе проведенного анализа каждого из штатных механизмов восстановлена его логическая схема, позволяющая дать теоретическое обоснование новых уязвимостей для рассматриваемого механизма. Результаты представленного в первой главе диссертации анализа штатных механизмов не позволяет обосновать защищенность самих механизмов. С использованием предложенного в работе метода анализа удалось восстановить логические схемы исследуемых механизмов. В свою очередь, это позволило выявить новые угрозы в рассмотренных механизмах.

На основании предложенного метода в условиях закрытого исходного кода анализируемой ОС удалось установить, что интересующие механизмы реализованы на уровне исполнительной системы и каждый из них контролирует доступ к одному из компонентов исполнительной системы. Следовательно, создав средство защиты, основанное на одном из штатных механизмов, можно с его помощью контролировать доступ к компоненту исполнительной системы, точнее, к защищаемому объекту в этом компоненте.

С помощью штатного механизма можно создать средство обеспечения безопасности объекта на уровне ядра, например ключа реестра. Используя интерфейс системных вызовов можно создать средство осуществляющее попытку доступа к защищаемому объекту ядра. Средство защиты, построенное на основе штатного механизма, обнаружит эту попытку и воспрепятствует ей. В момент обнаружения попытки доступа контекст исполнения данной задачи находится на уровне ядра ОС, а именно - в самом средстве защиты. В этот момент сегмент стека хранит в себе всю цепочку вызовов с уровня интерфейса системных вызовов (используемого при создании средства, осуществляющего доступ к защищаемому объекту) до штатного механизма (используемого при создании средства защиты рассматриваемого объекта). Таким образом, в момент попытки доступа к защищаемому объекту, инициированной испытателем, средство защиты, основанное на штатном механизме, имеет доступ ко всей цепочке вызовов функции начиная со средства нападения и заканчивая средством защиты. Взяв за вершины функции, вызываемые в рассматриваемой цепочке, а их дуги за вызовы, можно построить граф, описывающий работу данного штатного механизма. Этот граф позволяет определить и локализовать участок закрытого программного кода, отвечающий за работу штатного механизма, что, в свою очередь,

дает возможность восстановить логическую схему работы анализируемого механизма.

В диссертационной работе рассмотрен механизм обратного вызова реестра. Логическая схема данного механизма восстановлена с помощью предложенного в работе метода анализа. Согласно этой схеме существует массив СшрСаПВаскУесЮг, в котором хранятся адреса обработчиков - функции обратного вызова работы с реестром. В переменной СтрСаИВаскСошП хранится количество установленных обработчиков. В ходе выполнения системного вызова - функции работы с системным реестром уровня ядра, например ШЭеЫеКеу, вызывается функция СшрСаНСаНВаскБ, которая обращается к этому массиву и поочередно вызывает все установленные обработчики. Таким образом, имея сведенья о массиве обработчиков и количестве элементов в нем, можно контролировать механизм обратного вызова реестра, который, в свою очередь, позволяет осуществлять контроль доступа к реестру на уровне диспетчера конфигурации.

Рассмотрим следующую ситуацию. Любой модуль уровня ядра имеет доступ во все адресное пространство на уровне ядра. Соответственно, он имеет доступ к массиву, содержащему в себе все адреса обработчиков. Находя в памяти этот массив, модуль ядра может обнулить его и переменную, в которой хранится количество установленных в системе обработчиков - функций обратного вызова реестра. Тогда функция СгпрСаПВаскУесСог будет вызвана в процессе выполнения системного сервиса взаимодействия с реестром, однако прочитав значение количества установленных обработчиков, которое после изменения равно нулю, она вернет управление системному вызову. Как следствие, контролируя массив обработчиков и переменную счетчика обработчиков, можно контролировать сами обработчики, а также средства обнаружения скрытых информационных воздействий, основанные на данном штатном механизме уровня ядра ОС.

При построении средств контроля доступа к реестру, основанных только на рассматриваемом механизме, нельзя гарантировать контроль доступа, так как в логическую схему реализации данного механизма заложена уязвимость, которая связанна с отсутствием возможности контроля самого механизма. Однако, контролируя неэкспортируемые переменные ядра, необходимые для функционирования штатного механизма контроля доступа к реестру на уровне ядра ОС, а именно - СтрСаИВаскУейог (массив обработчиков обратного вызова) и СшрСаПВаскСоип! (переменную, хранящую

количество установленных в системе обработчиков), данную уязвимость можно устранить.

Далее в работе рассмотрен штатный механизм контроля создания и удаления процессов. Логическая схема данного механизма, как и предыдущего, была восстановлена с помощью разработанного автором метода анализа. Она позволила убедиться в том, что при создании нового процесса подсистема Windows уведомляется о его создании. При этом поочередно вызываются несколько процедур. Адреса этих процедур, аналогично тому, как это реализуется механизмом контроля реестра, хранятся в массиве PspCreateProcessNotifyRoutine, а их количество в переменной PspCreateProcessNotifyRoutineCount. При этом сам массив PspCreateProcessNotifyRoutine скрыт от разработчика. Таким образом повлиять на работу остальных обработчиков или удалить их без самостоятельной предварительной установки нельзя.

Для того, чтобы установить свой собственный обработчик, необходимо использовать штатный механизм Windows - функция PsSetCreateProcessNotifyRoutine28. Первый параметр этой функции -адрес функции-обработчика. Второй - может принимать значения:

0 - для установки обработчика;

1 - для его удаления.

Таким образом, в случае необходимости создания монитора, отслеживающего порождение процессов, можно, используя данный механизм, установить обработчик (для отслеживания необходимых ему процессов) и самостоятельно его удалить.

Однако каждый модуль уровня ядра имеет доступ во все адресное пространства ядра. Как следствие, он имеет доступ к массиву, содержащему адреса обработчиков. Любой массив элементов - это адрес первого элемента массива (плюс смещение - тип каждого элемента). Определив адрес первого элемента (иначе говоря, самого массива PspCreateProcessNotifyRoutine), можно, переходя от элемента к элементу, найти все установленные в системе обработчики. А также можно обнулить элементы массива и переменную, хранящую в себе их количество. Таким образом можно удалить все обработчики, установленные средствами защиты. Результатом таких действий будет отключение контроля и аудита создания и удаления процессов.

При построении средств контроля создания и удаления процессов, основанных только на рассматриваемом механизме, нельзя

28 PsSetCreateProcessNotifyRoutine http'.//msdn.microsoft.com/en-us/Hbrarv/ms802952.aspx

гарантировать контроль за деревом процессов, так как в логическую схему реализации данного механизма заложена уязвимость, которая связанна с отсутствием возможности контроля самого механизма. Однако контролируя неэкспортируемые переменные ядра, необходимые для функционирования рассматриваемого механизма, а именно - PspCreateProcessNotifyRoutine (массив обработчиков обратного вызова) и PspCreateProcessNotifyRoutineCount (переменную, хранящую количество установленных в системе обработчиков), данную уязвимость можно устранить.

В диссертационной работе рассмотрен штатный механизм фильтрации сетевого трафика. Логическая схема механизма фильтрации сетевого трафика была восстановлена с помощью разработанного метода анализа. Она позволила показать, что дополнительные сервисы фильтрации пакетов и механизмы создания IP-ловушек, реализованные в штатном брандмауэре Windows (то есть механизмы защиты), находятся на уровне более высоком, чем NDIS-библиотека (интерфейс, реализующий сетевое взаимодействие). Анализ восстановленной схемы с использованием предложенного в работе метода показал, что создание NDIS-драйвера позволяет получать доступ ко всем сетевым пакетам до обработки этих пакетов брандмауэром Windows - штанным средством фильтрации сетевого трафика на уровне ядра ОС Windows. Таким образом, с помощью NDIS-библиотеки можно построить средство скрытой передачи сетевого трафика, так как пакеты, поступающие на данное средство, будут обрабатываться до того, как они будут обработаны средством фильтрации, построенным на основе рассматриваемого механизма.

Однако NDIS-библиотека также позволяет создавать средства фильтрации сетевого трафика с их первичной обработкой на уровне ядра ОС. Она предоставляет доступ ко всем сетевым фрагментам на канальном уровне (уровне доступа к среде передачи данных), что, в свою очередь, позволяет устранить уязвимость в этом штатном механизме.

В третьей главе описан разработанный автором экспериментальный стенд, позволивший: получить доступ к ядру ОС и его интерфейсам; экспериментально обосновать возможность использования разработанного автором метода анализа, основанного на локализации закрытого исходного кода уровня ядра ОС. Это позволило подтвердить справедливость выводов, изложенных во второй главе.

На разработанном стенде, для каждого из механизмов, рассматриваемых во второй главе, экспериментально обоснованны результаты их анализа. По каждому из рассмотренных механизмов проводились две серии экспериментов, итоговые результаты которых позволяют констатировать следующее:

• первая серия испытаний подтверждает возможность использования данного штатного механизма в целях обнаружения скрытых информационных воздействий, за счет создания на его основе средств защиты;

• вторая серия испытаний подтверждает существование уязвимости средств обнаружения скрытых информационных воздействий, построенных на базе данного штатного механизма.

Экспериментальное обоснование уязвимости в штатном механизме контроля реестра.

Первая серия испытаний заключалась в экспериментальном обосновании возможности использования механизма обратного вызова реестра, для контроля факта удаления ключей реестра. Для этого был создан драйвер, использующий рассматриваемый штатный механизм, который вел аудит удаления ключей реестра, а при попытке удалить защищаемый ключ - возвращал статус «отказано в доступе». В ходе данной серии экспериментов была осуществлена попытка удаления защищаемого ключа с помощью редактора реестра. Эксперименты с высокой степенью надежности показали, что возвращается статус «отказано в доступе».

Вторая серия испытаний заключалась в обнулении (отключении) массивов, отвечающих за работу штатного механизма контроля доступа к реестру, рассматриваемых во второй главе (СтрСаНВаскУесШг, СтрСаИВаскСошП) и в повторении первой серии. В результате экспериментов редактор реестра удалил защищаемый ключ, что не протоколировалось с помощью используемого драйвера (средства защиты построенного на базе рассматриваемого штатного механизма). Данный факт подтверждает уязвимость средств защиты

контроля доступа к реестру, построенных на основе штатного механизма обратного вызова реестра.

Экспериментальное обоснование уязвимости в штатном механизме контроля создания и удаления процессов.

Первая серия испытаний заключается в экспериментальном обосновании возможности использования штатного механизма отслеживания создания и удаления процессов для обнаружения факта создания нового процесса и его удаления. Для проведения испытаний был создан драйвер, использующий рассматриваемый штатный механизм, который вел аудит состояния в ходе создания всех новых процессов и их удаления, представляя результаты такого аудита в виде отладочной информации. В результате серии испытаний осуществлялась попытка создания процесса Консоль Windows (cmd.exe) из оболочки системы (explorer.exe) и его удаление. Факт создания процесса протоколировался используемым драйвером.

Вторая серия заключалась в обнулении (отключении) массивов отвечающих за работу штатного механизма контроля создания и удаления процессов, рассматриваемых во второй главе (PspCreateProcessNotifyRoutine, PspCreateProcessNotifyRoutineCount) и в повторении первой серии экспериментов. В ходе этих экспериментов, процесс explorer.exe надежно создавал и удалял приложение cmd.exe, однако, этот факт не протоколировался с помощью используемого драйвера. Полученный результат подтверждает уязвимость средств защиты контроля создания и удаления процессов, построенных на базе рассматриваемого штатного механизма.

Экспериментальное обоснование уязвимости в штатном механизме фильтрации сетевого трафика.

Первая серия испытаний заключалась в экспериментальном обосновании возможности использования штатного механизма фильтрации сетевого трафика для блокирования всего трафика. Для проведения таких экспериментов был сконфигурирован брандмауэр Windows, использующий рассматриваемый штатный механизм в режим блокирования, который вел учет всех попыток подключений, представляя результаты такого аудита в виде отладочной информации. В ходе экспериментов этой серии осуществлялась попытка подключения к telnet-сервису, которая блокировалась, со стороны брандмауэра Windows. Результаты протоколировались средствами аудита брандмауэра и анализатором сетевого трафика.

Вторая серия испытаний заключался в создании NDIS-драйвера, передающего и получающего скрытую в полях заголовка IP-пакета информацию. В ходе этих опытов брандмауэр Windows был, как и в первой серии, сконфигурирован в режим блокирования всего сетевого трафика. В результате экспериментов данной серии принимающий NDIS-драйвер в обход брандмауэра Windows получал скрытую информацию в поле заголовка IP- пакета и выводил эту информацию на экран. Результаты подтверждали уязвимость средств фильтрации сетевого трафика (в виде брандмауэра Windows), построенных на базе штатного механизма фильтрации сетевого трафика на уровне ядра ОС Windows.

В заключении изложены основные теоретические и практические результаты работы.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ

В результате диссертационного исследования были решены следующие поставленные задачи:

• разработан метод анализа штатных механизмов обнаружения скрытых информационных воздействий на уровне ядра ОС Windows, основанный на локализации закрытого программного кода, реализующего эти механизмы;

• представлено решение задачи восстановления логической схемы штатных механизмов управления доступом к реестру, контроля создания и удаления процессов, фильтрации сетевого трафика, полученное на основе анализа этих механизмов предложенным автором методом;

• представлено экспериментальное обоснование теоретических исследований по поиску уязвимостей в штатных механизмах защиты ядра ОС Windows.

На основе полученных результатов был сделан следующий

вывод.

Проанализированные в работе штатные механизмы обнаружения скрытых информационных воздействий уровня ядра Windows позволяют создавать эффективные средства обнаружения скрытых информационных воздействий, осуществляющие контроль доступа и аудит на уровне исполнительной системы на уровне ядра ОС Windows. Однако данные механизмы содержат в себе уязвимости, позволяющие отключать (обходить) данные механизмы и средства обнаружения скрытых информационных воздействий, построенные на их основе. Следовательно, нельзя гарантировать осуществление аудита и контроля доступа со стороны средств защиты, основанных (использующих) исключительно на данных штатных механизмах.

ОСНОВНЫЕ ПУБЛИКАЦИИ АВТОРА ПО ТЕМЕ ДИССЕРТАЦИИ

1. Левыкин М.В. Методы блокирования скрытых каналов по памяти в стеке протоколов TCP/IP. // Труды XXXIV Международной конференции и дискуссионного научного клуба «Информационные технологии в науке, образовании, телекоммуникации и бизнесе (весенняя сессия)», Украина, Крым, Ялта-Гурзуф, 25 мая - 4 июня 2007 г., 2 с.

2. Левыкин М.В. Анализ защищенности штатного механизма построения изолированной программной среды в ОС Линукс. Труды XXXV Международной конференции и дискуссионного научного клуба «Информационные технологии в науке, образовании, телекоммуникации и бизнесе (весенняя сессия)», Украина, Крым, Ялта-Гурзуф, 25 мая - 4 июня 2008 г., 2 с.

3. Левыкин М.В/. Обход штатного межсетевого экрана ОС Windows ХР. // Научный журнал Вестник РГГУ №10/09: Серия «Информатика. Защита информации. Математика» Москва 2009, 11 с.

4. Левыкин М.В.-. Скрытая загрузка объектов уровня ядра ОС Windows. Труды XXXVI Международной конференции и дискуссионного научного клуба «Информационные технологии в науке, образовании, телекоммуникации и бизнесе (осенняя сессия)», Украина, Крым, Ялта-Гурзуф, 1-10 октября 2009 г., 2 с.

5. Левыкин М.В.: Анализ защищенности штатного механизма контроля доступа к реестру на уровне ядра ОС Windows ХР. // Научный журнал Вестник РГГУ №12/55: Серия «Информатика. Защита информации. Математика» Москва 2010,9 с.

Подписано в печать: 10.07.2010 г.

Печать офсетная. Усл. печ. л. 1,5.

Тираж: 100 экз. Заказ №216.

Отпечатано в типографии РИА «Медиа-пресс»

г. Москва, Покровский б-р., д.20/3 стр.4.

ВВЕДЕНИЕ.

ГЛАВА 1. ШТАТНЫЕ МЕХАНИЗМЫ ОБНАРУЖЕНИЯ СКРЫТЫХ ИНФОРМАЦИОННЫХ ВОЗДЕЙСТВИЙ НА УРОВНЕ ЯДРА ОС WINDOWS.

1.1. Скрытые информационные воздействия.

1.2. Методы обнаружения скрытых информационных воздействий.

1.2.1. Метод перехвата.

1.2.2. Метод обратного вызова.

1.2.3. Метод фильтрации.

1.3. Штатные механизмы обнаружения скрытых информационных воздействий.

1.4. Архитектура ОС Windows и уровень реализации штатных механизмов обнаружения скрытых информационных воздействий в ее иерархии

1.5. Штатные механизмы обнаружения скрытых информационных воздействий на уровне ядра ОС Windows.

1.6. ВЫВОДЫ.

ГЛАВА 2. АНАЛИЗ ШТАТНЫХ МЕХАНИЗМОВ ОБНАРУЖЕНИЯ СКРЫТЫХ ИНФОРМАЦИОННЫХ ВОЗДЕЙСТВИЙ НА УРОВНЕ ЯДРА ОС WINDOWS С ЦЕЛЬЮ ПОСТРОЕНИЯ ЛОГИЧЕСКИХ СХЕМ И ПОИСКА УЯЗВИМОСТЕЙ.

2.1. Метод анализа штатных механизмов обнаружения скрытых информационных воздействий на уровне ядра ОС Windows, основанный на локализации закрытого программного кода, реализующего эти механизмы.

2.1.1. Этап 1: локализация программного кода, реализующего штатный механизм обнаружения скрытых информационных воздействий на уровне ядра ОС Windows.

2.1.2. Этап 2: построение логической схемы штатного механизма обнаружения скрытых информационных воздействий на уровне ядра ОС Windows.

2.1.3. Выводы.

2.2. СИСТЕМНЫЙ РЕЕСТР ОС WINDOWS.

2.2.1. Системный реестр.

2.2.2. Логическая схема штатного механизма контроля доступа к реестру на уровне ядра ОС Windows.

2.2.3. Уязвимость штатного механизма контроля доступа к реестру на уровне ядра ОС Windows.

2.2.4. Выводы.

2.3. ПРОЦЕССЫ ОС WINDOWS.

2.3.1. Механизм создания нового процесса.

2.3.2. Логическая схема штатного механизма контроля создания и удаления процессов на уровне ядра ОС Windows.

2.3.3. Уязвимость штатного механизма контроля создания и удаления процессов на уровне ядра ОС Windows.

2.3.4. Выводы.

2.4. СЕТЕВАЯ АРХИТЕКТУРА ОС WINDOWS.

2.4.1. Описание сетевой архитектуры ОС Windows.

2.4.2. Логическая схема штатного механизма контроля доступа к сети (фильтрации пакетов) на уровне ядра ОС Windows.

2.4.3. Уязвимость штатного механизма контроля доступа к сети на уровне ядра ОС Windows.

2.4.4. Выводы.

2.5. ВЫВОДЫ.

ГЛАВА 3. ЭКСПЕРИМЕНТАЛЬНОЕ ПОДТВЕРЖДЕНИЕ НОВЫХ УЯЗВИМОСТЕЙ В ШТАТНЫХ МЕХАНИЗМАХ ОБНАРУЖЕНИЯ СКРЫТЫХ ИНФОРМАЦИОННЫХ ВОЗДЕЙСТВИЙ НАУРОВНЕ ЯДРА

ОС WINDOWS

3.1. ЭКСПЕРИМЕНТАЛЬНЫЙ СТЕНД.

3.1.1. Линейка ОС семейства Windows NT.

3.1.2. Отладчики ядра Windows.

3.1.3. Использование Виртуальной Машины (ВМ) VMware для отладки ядра ОС.

3.1.4. Описание экспериментального стенда.

3.2. Экспериментальное исследование штатного механизма управления доступом к реестру в ОС Windows.

3.2.1. Экспериментальное обоснование возможности использования штатного механизма контроля реестра.

3.2.2. Экспериментальное обоснование уязвимости в штатном механизме контроля реестра.

3.2.3. Устранение уязвимости в штатном механизме контроля реестра.

3.2.4. Выводы.

3.3. Экспериментальное исследование штатного механизма контроля создания и удаления процессов на уровне ядра ОС Windows.

3.3.1. Экспериментальное обоснование возможности использования штатного механизма контроля создания и удаления процессов

3.3.2. Экспериментальное обоснование уязвимости в штатном механизме контроля создания и удаления процессов.

3.3.3. Устранение уязвимости в штатном механизме контроля создания и удаления процессов.

3.3.4. Выводы.

3.4. Экспериментальное исследование штатного механизма фильтрации сетевого трафика на уровне ядра ОС Windows.

3.4.1. Экспериментальное обоснование возможности использования штатного механизма фильтрации сетевого трафика.

3.4.2. Экспериментальное обоснование уязвимости в штатном механизме фильтрации сетевого трафика.

3.4.3. Устранение уязвимости в штатном механизме фильтрации сетевого трафика.

3.4.4. Выводы.

3.5. ВЫВОДЫ

В настоящее время человечество вплотную подошло к рубежу, за которым начинается новый этап его развития, получивший название «информационного общества». Активная информатизация различных сфер общественных отношений приводит к необходимости решения задач, направленных на обеспечение информационной безопасности его национальных информационно-телекоммуникационных инфраструктур. Основополагающим документом, регламентирующим политику России в области информационной безопасности, является Доктрина информационной безопасности Российской Федерации, утвержденная в сентябре 2000 года Президентом Российской Федерации [8]. Реализация мероприятий по обеспечению информационной безопасности Российской Федерации, отнесенных Доктриной к первоочередным, невозможна без глубокой комплексной научной проработки стоящих на этом направлении задач. В Доктрине даны общие формулировки проблем, на решение которых должны быть ориентированы задачи, изложенные в Перечне основных направлений и приоритетных проблем научных исследований в области информационной безопасности Российской Федерации. Среди технических проблем этого перечня, следующие положения включают разработку методов обнаружения скрытых от используемых средств обеспечения безопасности деструктивных информационных воздействий:

Разработка моделей угроз безопасности систем и способов их реализации, определение критериев уязвимости и устойчивости систем к деструктивным воздействиям, разработка методов и средств мониторинга для выявления фактов применения несанкционированных информационных воздействий, разработка методологии и методического аппарата оценки ущерба от воздействия угроз информационной безопасности» (п. 46 Перечня) [34];

Разработка методов и средств обеспечения информационной безопасности информационных и телекоммуникационных систем, в том числе автоматизированных систем управления безопасностью, методов и средств распределения ключей и защиты информации и информационных ресурсов от несанкционированного доступа и разрушающего информационного воздействия, антивирусных технологий, методов и средств контроля состояния защищенности от НСД современных и перспективных технических средств и каналов связи, решение проблемы гарантированного уничтожения остаточной информации на магнитных носителях, исследование и развитие методов построения защищенных систем, использующих ненадежные (с точки зрения информационной безопасности) элементы, включая проблему их тестирования» (п. 48 Перечня) [34].

Под скрытым информационным воздействием в настоящей работе понимается скрытое от комплекса средств обеспечения информационной безопасности несанкционированное воздействие на защищаемую информацию и (или) другие ресурсы защищаемой информационной системы (ИС). Под методом обнаружения скрытого информационного воздействия в операционной системе (ОС) понимается алгоритмическое обеспечение и программные механизмы, с помощью которых осуществляется противодействие скрытию от комплекса средств обеспечения информационной безопасности несанкционированного воздействия на ресурсы ИС. Следует отметить, что методы скрытия и обнаружения информационного воздействия в большинстве случаев близки по технологии их реализации с точностью до направленности действия. Для обнаружения информационного воздействия средство защиты, как правило, использует те же принципы, что и средство скрытия. Этот факт в значительной степени связан с тем обстоятельством, что и те, и другие средства в качестве инструментария используют одни и те же особенности и механизмы ядра ОС. В последнее время как со стороны иностранных авторов: Батлер Дж.[32], Рутковская Ж.[68,69], Велер Р.[71], Эриксон Дж.[46], Бланден Б.[38], так и со стороны российских - Зайцев О.[9], Колисниченко Д.[14], большое внимание уделяется скрытым информационным воздействиям на уровне ядра ОС Windows.

Согласно информации, представленной на сайте одной из ведущих российских компаний в области защиты информации [74], в последние 10-15 лет наблюдается значительный рост использования несанкционированных информационных воздействий деструктивного характера на уровне ядра ОС Windows - одной из самых распространенных ОС в мире [72]. Это обстоятельство обусловлено многими практическими работами в этой области, доступностью этих работ и относительной простотой в использовании.

Следует отметить тот факт, что значительная часть современных средств защиты информации (СЗИ), в частности антивирусные программные продукты, направлены на обнаружение скрытых информационных воздействий на уровне ядра ОС Windows. Более того, часто утверждается, что многие из них используют скрытые информационные воздействия для обеспечения самозащиты и для контроля подобных скрытых информационных воздействий [54].

Учитывая такой рост интереса к скрытым информационным воздействиям современные ОС семейства Windows предлагают для разработчиков СЗИ интегрированные в них механизмы выявления таких воздействий на уровне ядра. Подобные механизмы представлены практически во всех подсистемах ядра ОС Windows: системном реестре [42,43,47]; файловой системе [48]; сетевой подсистеме; контроле процессов и потоков [60-62]. Операционные системы семейства Windows предлагают набор штатных механизмов обнаружения скрытых информационных воздействий на уровне ядра, использование которых осуществляется с помощью программного интерфейса уровня ядра. С учетом широкого использования ОС семейства Windows, а также ростом применения скрытых агентов (руткитов [32]), растет популярность этого программного интерфейса для реализации средств обнаружения скрытых информационных воздействий.

Во многих западных источниках представлен частичный анализ штатных механизмов обнаружения скрытых информационных воздействий на уровне ядра ОС Windows, а также уязвимостей в них. Среди этих источников можно выделить работы [38,51,52,66-59,71]. Однако проблема анализа штатных механизмов защиты на уровне ядра в настоящее время не разрешена. Отсутствие открытого исходного кода, реализующего исследуемые механизмы, не позволяет должным образом провести их анализ. В связи с этим обстоятельством необходимо в условиях закрытого исходного кода разработать новые методы анализа, позволяющие исследовать низкоуровневые интерфейсы ядра ОС Windows, в которых реализованы указанные механизмы. Целью данного анализа является восстановление логической схемы механизмов обнаружения скрытых информационных воздействий на уровне ядра ОС : Windows. Под логической схемой понимается модель, описывающая алгоритм работы механизма, а также архитектурные и алгоритмические особенности (в том числе уязвимости) его реализации. Также модели используются для поиска уязвимостей в исследуемых штатных механизмах. Критерием правильности полученных результатов, а именно - их экспериментальное обоснование.

Целью диссертационной работы является разработка методов и средств устранения скрытых информационных воздействий на уровне ядра ОС Windows на основе анализа штатных механизмов их обнаружения и определения уязвимостей.

В соответствии с поставленной целью в диссертационной работе решаются следующие задачи:

• анализ штатных механизмов обнаружения скрытых информационных воздействий в ОС Windows и разработка их логических моделей для поиска уязвимостей в этих механизмах;

• разработка инструментальных средств устранения скрытых информационных воздействий на уровне ядра ОС;

• экспериментальное обоснование существования уязвимостей в штатных механизмах обнаружения скрытых информационных воздействий на примере ОС Windows ХР.

Объектом настоящего исследования являются штатные механизмы обнаружения скрытых информационных воздействий на уровне ядра ОС Windows.

Предметом исследования являются уязвимости штатных механизмов обнаружения скрытых информационных воздействий на уровне ядра ОС Windows.

В ходе проведения исследований применялись следующие методы: теория графов; математическое моделирование средств защиты информации в компьютерных системах; системный анализ; анализ алгоритмов; дизассемблирование; отладка; восстановление исходного алгоритма и его модели на основе анализа исполняемого кода (методы «реинжиниринга»); восстановление исходного кода на основе анализа исполняемого кода (методы «реверсинга»).

Научная новизна работы характеризуется тем, что в результате ее выполнения разработан новый метод анализа штатных механизмов обнаружения скрытых информационных воздействий на уровне ядра ОС Windows, с использованием которого найдены новые уязвимости в рассмотренных механизмах.

На защиту выносятся следующие основные результаты:

1. Метод анализа штатных механизмов обнаружения скрытых информационных воздействий на уровне ядра ОС Windows, основанный на локализации закрытого программного кода, реализующего эти механизмы;

2. Решение задачи восстановления логической схемы штатных механизмов управления доступом к реестру, контроля создания и удаления процессов, фильтрации сетевого трафика, полученное на основе анализа этих механизмов предложенным автором методом;

3. Экспериментальное обоснование выводов и положений теоретических исследований по поиску уязвимостей в штатных механизмах защиты ядра ОС Windows.

Практическая значимость исследования определяется тем, что его результаты позволили показать отсутствие должного уровня защищенности штатных механизмов обнаружения скрытых информационных воздействий в ядре ОС Windows. Найдены новые уязвимости в рассматриваемых механизмах, существование которых обосновано экспериментально. Использование таких уязвимостей может повлечь за собою уязвимости в СЗИ, построенных на их основе. Вместе с тем, контролируя найденные уязвимости, можно повысить надежность СЗИ, построенных на основе штатных механизмов. Как следствие, результаты работы могут быть использованы для повышения надежности СЗИ, опирающихся на ненадежные с точки зрения безопасности штатные механизмы защиты информации в ОС Windows.

5 I

Теоретическая значимость настоящего исследования состоит в разработке нового метода анализа штатных механизмов обнаружения скрытых информационных воздействиях на уровне ядра ОС Windows и выявления с его помощью новых уязвимостей этих механизмов.

Внедрение и апробация результатов исследований.

Результаты диссертации использованы:

1) в ОАО «Газпром промгаз» при создании испытательного стенда, предназначенного для оценки эффективности обнаружения программных закладок уровня ядра (скрытых информационных воздействий) антивирусным программным обеспечением, используемым в ОАО «Газпром промгаз»;

2) в учебном процессе Российском государственном гуманитарном университете (РГГУ) при проведении лабораторных работ по курсу «Вычислительные сети» факультета защиты информации (ФЗИ) Института информационных наук и технологий безопасности (ИИНиТБ) для ознакомления студентов: с устройством сетевой архитектуры ОС Windows ХР и интерфейсом сетевого программирования на уровне ядра ОС Windows ХР; • с механизмами использования скрытых каналов по памяти в стеке протоколов TCP/IP для передачи информации в обход штатных средств фильтрации сетевого трафика ОС Windows ХР.

Результаты внедрения подтверждены двумя актами:

1) ОАО «Газпром промгаз» от 25.02.2010;

2) РГГУ ИИНиТБ ФЗИ КБ от 16.02.2010.

Результаты диссертации докладывались на семинарах кафедры Компьютерной

Безопасности ИИНиТБ РГГУ.

Результаты диссертационного исследования прошли апробацию на следующих международных конференциях:

1) XXXIV Международная конференция и дискуссионный научный клуб «Информационные технологии в науке, образовании, телекоммуникациях и бизнесе (весенняя сессия)», Украина, Крым, Ялта-Гурзуф, 2007 г.

2) XXXV Международная конференция и дискуссионный научный клуб «Информационные технологии в науке, образовании, телекоммуникациях и бизнесе (весенняя сессия)», Украина, Крым, Ялта-Гурзуф, 2008 г.

3) XXXVII Международная конференция и дискуссионный научный клуб «Информационные технологии в науке, образовании, телекоммуникациях и бизнесе (осенняя сессия)», Украина, Крым, Ялта-Гурзуф, 2009 г.

Публикации; Основные положения диссертационной работы опубликованы в 5-ти научных статьях [15-19], в том числе две из них [17,19] опубликованы в журнале, включенном ВАК РФ в перечень ведущих рецензируемых научных журналов и изданий.

Структура и объем работы.

Диссертация состоит из введения, трех глав, заключения, списка литературы из 76 наименований и приложения. Основная часть работы изложена на 128 страницах с таблицами, рисунками, листингами, протоколами проведенных экспериментов и исходными текстами программ.

3.5. ВЫВОДЫ.

В данной главе представлено экспериментальное обоснование теоретических исследований по поиску уязвимостей в штатных механизмах защиты уровня ядра ОС Windows. Для проведения экспериментального обоснования был разработан стенд, с помощью которого были проведены исследования штатных механизмов управления доступа к реестру, контроля создания и удаления процессов, фильтрации сетевого трафика. Для каждого из этих механизмов были проведены серии испытаний, позволившие экспериментально обосновать найденные новые уязвимости в этих механизмах. В данной главе приводится описание примеров устранения найденных новых уязвимостей штатных механизмов обнаружения скрытых информационных воздействий.

ЗАКЛЮЧЕНИЕ.

В результате диссертационного исследования были решены следующие поставленные задачи:

• разработан метод анализа штатных механизмов обнаружения скрытых информационных воздействий на уровне ядра ОС Windows, основанный на локализации закрытого программного кода, реализующего эти механизмы;

• представлено решение задачи восстановления логических моделей штатных механизмов управления доступом к реестру, контроля создания и удаления процессов, фильтрации сетевого трафика, полученное на основе анализа этих механизмов предложенным автором методом;

• представлено экспериментальное обоснование теоретических исследований по поиску уязвимостей в штатных механизмах защиты уровня ядра ОС Windows.

На основе полученных результатов был сделан следующий вывод.

Проанализированные в работе штатные механизмы обнаружения скрытых информационных воздействий на уровне ядра ОС Windows позволяют создавать эффективные средства обнаружения скрытых информационных воздействий, осуществляющие контроль доступа и аудит на уровне исполнительной системы ядра ОС Windows. Однако данные механизмы содержат в себе уязвимости, позволяющие отключать эти механизмы и средства защиты, построенные на их основе. Следовательно, нельзя гарантировать осуществление аудита и контроля доступа со стороны средств защиты, основанных исключительно на данных штатных механизмах.

1. Грушо А.А., Тимонина Е.Е. Модель невлияния для сети. Обозрение прикладной и промышленной математики, т. 7 (1), Москва: ТВП, 2000.

2. Грушо А.А., Тимонина Е.Е. Проблемы компьютерной безопасности. Сб. научных докладов "Информационные технологии в производстве, медицине, психологии и этике" Академии информационных управленческих технологий. - М.: Центр Управления Полетами, 2003.

3. Грушо А.А., Тимонина Е.Е. Распределенные атаки на распределенные системы. М.: Информационный бюллетень JET INFO, 2006.

4. Грушо А.А., Тимонина Е.Е. Стохастические скрытые каналы. Материалы международного семинара "Информатика и общество" I&S'04 (10-24 января). - Низкие Татры, 2004.

5. Грушо А.А., Тимонина Е.Е. Теоретические основы защиты информации. М.: 1996.

6. Грушо А.А., Тимонина Е.Е. Языки в скрытых каналах. Труды XXX международной конференции "Информационные технологии в науке, образовании, телекоммуникации, бизнесе", Украина, 2003.

7. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. Электронный ресурс., URL: http://www.termika.ru/dou/docs/detail.php?ID=T660

8. Доктрина информационной безопасности Российской Федерации. «Российская газета» (утв. Президентом РФ от 9 сентября 2000 г. N Пр-1895) N 187, от 28.09.2000.

9. Зайцев О.В. Rootkits, spyware/adware, keylogger &backdoors: обнаружения и защита. СПб.: «БХВ-Петербург», 2006. - 304 с.

10. Исходный код рутки га Hacker Defender. Электронный ресурс., URL: https://www.rootkit.com/vault/hf/hxdefl00r.zip

11. Исходный код руткита rk 044. Электронный ресурс., URL: www.rootkit.com/vault/hoglund/rk044.zip

12. Касперски К. Искусство дизассемблирования / Касперски К., Е. Рокко. -СПб.: «БХВ-Перетрубрг», 2008. 896 с.

13. Комиссарова В. Программирование драйверов для Windows. СПб.: «БХВ-Петербург», 2007. - 256 с.

14. Колисниченко Д.Н. Rootkits под Windows. Теория и практика программирования «шапок-неведимок», позволяющих скрывать от системы данные, процессы, сетевые соединения. СПб.: Наука и Техника, 2006. - 320 с.

15. Левыкин М.В. Обход штатного межсетевого экрана ОС Windows ХР. Научный журнал Вестник РГГУ №10/09: Серия «Информатика. Защита информации. Математика » Москва 2009, 11 с.

16. Левыкин М.В. Анализ защищенности штатного механизма контроля доступа к реестру в ядре ОС Windows ХР. Вестник РГГУ №12/10: Серия «Информационная безопасность», Москва 2010, 9 с.

17. Машевский Ю., Монастырский А., Сапронов К. Возможности rootkit и борьба с ними, 19 авг 2005. Электронный ресурс., URL: http://www.securelist.com/ru/analysis?pubid= 167237574

18. Неббет Г. Справочник по базовым функциям API Windows NT/2000.: Пер. с англ. М.: Издательский дом «Вильяме», 2002. - 528 с.

19. Орвик П. Windows Driver Foundation: разработка драйверов.: Пер. с англ. / П. Орвик, Г. Смит. М.: Издательство «Русская редакция»; СПб.: «БХВ-Петербург», 2008. - 880 с.

20. Побегайло А.П. Системное программирование в Windows. СПб.: «БХВ-Петербург», 2006. - 1056 с.

21. Руссинович М., Соломон Д. Внутреннее устройство Microsoft Windows: Windows Server 2003, Windows ХР, Windows 2000. Мастер-класс. / Пер. с англ. 4-е изд. - М.: Издательство «Русская редакция»; СПб.: Питер, 2006. - 992 стр,

22. Солдатов В.П. Профаммирование драйверов Windows. 3-е изд., перераб. и доп. М.: ООО «Бином-Пресс», 2006. - 576 с.

23. Стивене У.Р. Протоколы TCP/IP. Практическое руководство / Пер. с англ. и коммент. Глебовского А.Ю. СПб.: «Невский диалект»; СПб.: «БХВ-Петербург», 2003. - 672 с.

24. Тимонина Е.Е. Скрытые каналы (обзор). Jet Info. изд. "Джет Инфо Паблишер 14(114)., 2004.

25. Таненбаум Э. Современные операционные системы. 2-е изд. СПб.: Питер, 2006. - 1038 с.

26. Таненбаум Э. Компьютерные сети. 4-е изд. СПб.: Питер, 2005. - 992 с.

27. Таненбаум Э., Вудхал А. Операционные системы разработка и реализация. СПб.: Питер, 2006. - 576 с.

28. Таненбаум Э. Архитектура компьютера. 4-е изд. СПб.: Питер, 2006. - 699 с.

29. Холуиг Г., Батлер Дж. Руткиты: внедрение в ядро Windows. СПб.: Питер, 2007.-285 с.

30. Хонейкатт Дж. Реестр Microsoft Windows ХР. Справочник профессионала: практ. пособ. / Пер. с англ. М.: Издательство «ЭКОМ», 2006. — 656 с.

31. Шилдт Г. Полный справочник по С. 4-е изд.: Пер. с англ. М.: Издательский дом «Вильяме», 2005. - 704 с.

32. Шерстюк В.П. Научные исследования в области информационной безопасности. // Информационное общество, вып. №1, 2005. 48-53 с. Электронный ресурс., URL:http://emag.ns.ru/arc/infosoc/emag.nsf7BPA/892ea7cb332e596cc32571cb00319 141

33. Barbosa Е. Finding some non-exported kernel variables. Электронный ресурс., URL:http://www.reverse-engineering.info/SystemInformation/GetVarXP.pdf

34. Bhavin Bharat Bhansali. Man-in-the-middle attack. February 16, 2001. Электронный ресурс., URL:http://www.giac.org/certifiedprofessionals/practicals/gsec/0455.php

35. Blunden B. The rootkit arsenal. USA. Wordware Publishing, Inc. 1 100 Summit Ave., Suite 102 Piano, Texas 75074, 2009.

36. Callback Functions Tutorial. Marius Bancila. September 16, 2005. Электронный ресурс., URL:http://www.codeguru.com/cpp/cpp/cpp mfc/callbacks/article.php/c 10557

37. Chris Sanders. Understanding Man-In-The-Middle Attacks. Электронный ресурс., URL: http://www.windowsecurity.com/articles/Understanding-Man-in-the-Middle-Attacks-ARP-Part2.html

38. С++ Callback Solution. Электронный ресурс., URL: http://www.partow.net/programming/templatecallback/index.html

39. CmRegisterCallback. Windows Driver Kit: Kernel-Mode Driver Architecture. November 19, 2009. Электронный ресурс., URL: http://msdn.microsoft.com/en-us/library/aa906439.aspx

40. CmUnRegisterCallback. Windows Driver Kit: Kernel-Mode Driver Architecture. November 19, 2010. Электронный ресурс., URL: http://msdn.microsoft.com/en-us/library/tY541928(v=VS.85).aspx

41. Debugging Tools for Windows 32-bit Version. Электронный ресурс., URL: http://www.microsoft.eom/whdc/devtools/debugging/installx86.mspx//b

42. Eilam Eldad. Reversing: secret of reverse engineering. USA. Wiley Publishing, Inc. Indianapolis, Indiana, Published simultaneously in Canada, 2005.

43. Erickson J. Hacking: The art of exploitation, 2-nd edition. USA. No starch press, Inc. 555 De Haro Street, Suite 250, San Francisco, CA 94107, 2008.

44. Filtering Registry Calls. Электронный ресурс., URL: http://msdn.microsoft.com/en-us/library/ff545879.aspx

45. FsRtlRegisterFileSystemFilterCallbacks. Windows Driver Kit: Installable File System Drivers. Built on November 23, 2009 Электронный ресурс., URL: http://msdn.microsoft.com/en-us/library/ms795401.aspx

46. Hooking revealed API. Ivo Ivanov. The code project. General Reading. Hardware & System. General. Электронный ресурс., URL: http://www.codeproject.com/KB/system/hooksys.aspx

47. Installable File System Drivers. Электронный ресурс., URL: http://msdn.microsoft.com/en-us/librarv/ff551834%28VS.85%29.aspx

48. Kernel-mode backdoors for Windows NT. Электронный ресурс., URL: http://www.fsl.cs.sunvsb.edu/~dquigley/files/vistasecuritv/p620x06 Kerne I M ode BackdoorsforWi ndows NT. txt

49. Kernel-mode backdoors for Windows NT. Электронный ресурс., URL: http://www.phrack.org/issues.html?issue=62&id=6//article

50. Lampson B.W. A Note of the Confinement Problem //Communications of ACM, c. 613-615, October 1973.

51. NDIS Library Functions. Windows Driver Kit: Network Drivers. November 19, 2010. Электронный ресурс., URL: http://msdn.microsoft.com/en-us/library/ee486423 .aspx

52. NTIUusion: A portable Win32 userland rootkit. Электронный ресурс., URL: http://ww w. phrack.org/issues. html? issue=62&id= 12#article

53. OmegacmLabs: Firewalls. Outpost Firewall Pro. 2006. Электронный ресурс., URL: http://www.securitv 1 ab.ru/analytjcs/254727.php

54. Orkblutt SSDT hook example (hiding processes) correction. Электронный ресурс., URL: https://www.rootkit.com/newsread.php7newsidM50

55. Paolo Tonella, Alessandra Potrich. Reversing engineering of object oriented code. Springer Science +Business Media, Inc. USA, New York, 223 Spring Street, 2005.

56. PsSetCreateProcessNotifyRoutine. Windows Driver Kit: Kernel-Mode Driver Architecture. Built on November 19, 2009. Электронный ресурс., URL: http://msdn.microsoft.com/en-us/Hbrarv/ms802952.aspx

57. PsSetCreateThreadNotifyRoutine. Windows Driver Kit: Kernel-Mode Driver Architecture. Built on November 19, 2009. Электронный ресурс., URL: http://msdn.microsoft.com/en-us/library/ff559954(v^VS.85).aspx

58. PsSetLoadlmageNotifyRoutine. Windows Driver Kit: Kernel-Mode Driver Architecture. Built on November 19, 2009. Электронный ресурс., URL: http://msdn.microsoft.com/en-us/librarv/ms802949.aspx

59. Rowland C.H. Covert Channels in the TCP/IP Protocol Suite. // 11-14-1996, Psionic Technologies Inc., 2002.

60. Reversing Engineering code with IDA Pro. Syngress publishing, Inc. USA, 2008.

61. Robert Kuster. WinDbg. From A to Z. Электронный ресурс., URL: http://windbg.info/doc/2-windbg-a-z.html

62. Russinovich M. Unearthing RootKits. June 2005. Электронный ресурс., URL: http://www.windowsitDro.com/articIe/intermediate/unearthing-root-kits.aspx

63. Russinovich M., Solomon D., Ionescu A. Windows internals Covering Windows Server 2008 and Windows Vista. Fifth Edition. USA. Published by Microsoft press. 2009.

64. Rutkowska J. Rootkits Detection on Windows Systems. October 2004. Электронный ресурс., URL:http://invisiblethings.org/papers/ITUnderground2004 Win rtks detection.ppt

65. Rutkowska J. Concepts for the Stealth Windows Rootkit (The Chameleon Project), September 2003. Электронный ресурс., URL: http://invisiblethings.org/papers/chameleon concepts.pdf

66. Stealth hooking : Another way to subvert the Windows kernel. Электронный ресурс., URL: http://www.phrack.org/issues.html?issue=65&id=4

67. Vieler R. Professional rootkits. USA. Wiley Publishing, Inc. Indianapolis, Indiana, Published simultaneously in Canada. 2007.

68. Top Operating System Share Trend. Электронный ресурс., URL: http://www.netmarketshare. com/os-market-share. aspx?qprid=9.

69. Types of Windows Drivers. Windows Driver Kit: Kernel-Mode Driver Architecture. Электронный ресурс., URL: http://msdn.microsoft.com/en-us/library/ff564864.aspx

70. Securelist. Электронный ресурс., URL: www.securelist.com.

71. Windows Driver Kit. Электронный ресурс., URL: http://msdn.microsoft.com/en-us/Hbrarv/ff557573%28VS.85%29.aspx.

72. Windows Driver Kit: Kernel-Mode Driver Architecture. Электронный ресурс., URL: http://msdn.microsoft.com/en-us/librarv/ff557560%28VS.85%29.aspx