2. С целью контроля доступа выделяется контроль пользователя при доступе в систему. Также могут иметь место контроль при запуске процесса (прежде всего, здесь интерес представляет установка пароля ответственного лица) и контроль при доступе к локальным и сетевым ресурсам.
3. С целью снятия блокировки используется контроль администратора безопасности. Кроме того, пользователь может выставить блокировку на некоторые приложения и т.д. Для их снятия существует контроль пользователя.
Особенности парольной защиты, исходя из принадлежности пароля.
С точки зрения принадлежности пароля в классификации выделены «пользователь», к которому относится прикладной пользователь системы и администратор, а также «ответственное лицо», в качестве которого может, например, выступать начальник подразделения. Авторизация ответственного лица может устанавливаться для реализации физического контроля доступа пользователя к ресурсам, прежде всего, к запуску процесса. При этом особенностью здесь является то, что авторизация ответственного лица осуществляется не при доступе в систему, а в процессе функционирования текущего пользователя.
Например:
Требуется обеспечить физически контролируемый доступ к внешней сети. На запуск соответствующего приложения устанавливается механизм авторизации ответственного лица (его учётные данные хранятся в системе защиты). Тогда при запуске соответствующего приложения появится окно авторизации ответственного лица, и
приложение может быть запущено только после его успешной авторизации. При этом приложение запускается только на один сеанс.
Таким образом, приложение физически запускается ответственным лицом с локальной консоли защищаемого объекта. В результате ответственное лицо будет знать, кто и когда запросил доступ в сеть lntemet, так как сам принимает решение - разрешать доступ или нет. Если доступ разрешается, ответственное лицо может полностью контролировать данный доступ, т.к. запуск приложения возможен только в его присутствии.
В соответствии с классификацией принадлежности учетной записи введена и классификация способов задания учетных данных (идентификаторов и паролей). Соответсвенно назначение учетных данных могут осуществлять как владелец учетной записи, так и администратор (принудительно).
Реализация механизмов парольной защиты.
Ввод идентификатора и пароля может осуществляться, как с применением штатных средств компьютера - клавиатуры, устройств ввода (например, дисковод - с дискеты), так и с использованием специализированных устройств аутентификации - всевозможных аппаратных ключей, биометрических устройств ввода параметров и т.д.
Естественно, что для сравнения вводимой и эталонной информации, эталонные учетные данные пользователей должны где-то храниться. Возможно хранение эталонных учётных данных непосредственно на защищаемом объекте. Тогда при вводе учётных данных из памяти считываются эталонные значения и сравниваются с вводимыми данными.
Кроме того, эталонные данные могут располагаться на сервере. Тогда эталонные значения на защищаемом объекте не хранятся, а вводимые данные передаются на сервер, где и сравниваются с эталоном. При этом именно с сервера разрешается или запрещается доступ субъекту, который ввел учетные данные.
Очевидно, что хранить эталонный пароль как на защищаемом объекте, так и на сервере в открытом виде недопустимо. Поэтому для хранения пароля используется необратимое преобразование (Хеш-функция), позволяющая создавать некий образ пароля - прямое преобразование. Этот образ однозначно соответствует паролю, но не позволяет осуществить обратное преoбразoвание - из образа восстановить пароль. Образы паролей уже могут храниться на защищаемом объекте, т.к. их знание не позволяет злоумышленнику восстановить исходный пароль.
Угрозы преодоления парольной защиты.
Обобщённая классификация основных угроз парольной защите представлена на рисунке. Данная классификация вводится как в соответствии со статистикой известных угроз, так и в соответствии с потенциально возможными угрозами. Кроме того, при построении данной классификации учитывался анализ принципов работы механизмов идентификации и аутентификации.
Рассмотрим представленные угрозы. Наиболее очевидными явными угрозами являются физические – хищение носителя (например, дискеты с паролем, электронного ключа с парольной информацией и т.д.), а также визуальный съём пароля при вводе (с клавиатуры, либо с монитора). Кроме того, при использовании длинных сложных паролей пользователи подчас записывают свой пароль, что также является объектом физического хищения.
К техническим явным угрозам можно отнести подбор пароля – либо автоматизированный (вручную пользователем), либо автоматический, предполагающий запуск пользователем специальной программы подбора паролей. Кроме того, для сравнения вводимого и эталонного значений пароля, эталонное значение пароля должно храниться на защищаемом объекте (либо на сервере в сети). Это эталонное значение без соблюдения соответствующих мер по хранению паролей (хеширование, разграничение доступа к области памяти или реестра, где хранятся пароли), может быть похищено злоумышленником.
Естественно, что наиболее опасными являются скрытые угрозы, например:
1. технический съем пароля при вводе;
2. модификация механизма парольной защиты;
3. модификация учетных данных на защищаемом объекте.
Первая группа скрытых угроз наиболее очевидна. Пароль должен быть каким-либо образом введен в систему - с клавиатуры, со встроенного или дополнительного устройства ввода, из сети (по каналу связи). При этом злоумышленником может быть установлена соответствующая программа, позволяющая перехватывать поступающую на защищаемый объект информацию. Развитые подобные программы позволят автоматически фильтровать перехватываемую информацию по определенным признакам - в том числе, с целью обнаружения паролей. Примером таких программ могут служить сниферы клавиатуры и канала связи. Например, снифер клавиатуры позволяет запоминать все последовательности нажатий кнопок на клавиатуре (здесь пароль вводится в явном виде), а затем фильтровать события по типам приложений.
Злоумышленник, установив подобную программу, и задав режим ее запуска при входе в систему какого-либо пользователя, получит его пароль в открытом виде. Затем, например, троянская программа может выдать этот пароль по сети на другую рабочую станцию. Таким образом, если в системе зарегистрировано несколько пользователей, то один пользователь может узнать пароль другого пользователя, а затем осуществить доступ в систему с правами последнего и т.д.
Второй тир скрытых угроз предполагает возможность отключить механизм парольной защиты злоумышленником, например, загрузить систему с внешнего носителя (дисковода или CD-ROM). Если механизм парольной защиты представляет собой некий процесс (в добавочной системе защиты), то выполнение данного процесса можно остановить средствами системного монитора, либо монитора приложений, например, встроенными средствами в оболочку Far. Подобная возможность существует для ОС Windows 9Х/Ме.
Третья группа скрытых угроз заключается в модификации учетных данных на защищаемом объекте. Это осуществляется либо путем их замены, либо путем сброса в исходное состояние настроек механизма защиты. примером может служить известная программная атака на BIOS - сброс настроек BIOS в исходное состояние посредством изменения контрольных сумм BIOS.
Из сказанного может быть сделан весьма важный вывод, подтверждающий, сделанные ранее: каким бы ни был механизм парольной защиты, он сам по себе в отдельности, без применения иных механизмов защиты, не может обеспечить, сколько-нибудь высокого уровня безопасности защищаемого объекта.
Другой вывод состоит В том, что невозможно сравнивать между собою альтернативные подходы к реализации механизма защиты (в частности, механизма парольной защиты), так как можно оценивать лишь уровень защищенности, обеспечиваемый всей системой защиты в целом, то есть обеспечиваемый совокупностью механизмов защиты (с учетом их реализации), комплексированных в системе.
Способы усиления парольной защиты.
Основные механизмы ввода пароля.
Усиление парольной защиты за счёт усовершенствования механизма ввода пароля.
Способы ввода пароля:
Наиболее очевидный способ ввода пароля, который реализован практически во всех ОС, состоит в вводе пароля с клавиатуры. Недостатком данного способа является возможность визуального съёма пароля злоумышленником. При этом в меньшей степени опасность представляет набор пароля пользователем на клавиатуре - этому можно противодействовать организационными мерами. В большей степени угроза состоит в том, что при задании сложного пароля пользователь стремится его куда-нибудь записать, чтобы не забыть.
В качестве противодействия угрозе визуального съема пароля могут использоваться внешние носители информации. При этом могут использоваться как стандартные средства ввода информации (например, дискета), так и средства, предполагающие подключение специальных средств ввода парольной информации - всевозможные электронные ключи, «таблетки» и т.д. На этих носителях записывается пароль, который считывается системой при аутентификации пользователя. Здесь может задаваться достаточно большая длина пароля без угрозы его визуального съема. Применение для ввода пароля стандартного или специального носителя с точки зрения обеспечиваемого уровня безопасности практически равноценно. Вопрос выбора носителя определяется его ценой, долговечностью, удобством хранения.
Недостатком применения внешних носителей информации для ввода пароля является потенциальная угроза его хищения злоумышленником. Для противодействия хищению злоумышленником носителя информации с паролем могут рассматриваться следующие альтернативные способы защиты:
1. Использование биометрических характеристик пользователя -подход, позволяющий отказаться от внешнего носителя с паролем как такового. При этом идентификатором пользователя становятся его биометрические параметры. Причем ввиду их однозначного соответствия пользователю эти параметры служат одновременно и паролем.
2. Комбинирование способа ввода пароля с клавиатуры и способа ввода пароля с внешнего носителя. Например, механизм ввода пароля с клавиатуры может рассматриваться как дополнение к механизму ввода пароля с внешнего носителя.
Страницы: 1, 2, 3
