Логотип Автор24реферат
Задать вопрос
Реферат на тему: Безопасность операционных систем
100%
Уникальность
Аа
32083 символов
Категория
Информационная безопасность
Реферат

Безопасность операционных систем

Безопасность операционных систем .doc

Зарегистрируйся в два клика и получи неограниченный доступ к материалам,а также промокод Эмоджи на новый заказ в Автор24. Это бесплатно.

Введение

Наличие высокого уровня зависимости бизнес-процессов от инфокоммуникационных технологий (ИКТ), сложность используемых технологий, а также большое количество потенциальных угроз информационной безопасности определяют необходимость их исследования и разработки современных моделей и методов обеспечения защиты.
Как правило, многие операционные системы работают не изолированно, а в составе локальных и глобальных компьютерных сетей. Таким образом, отдельные ОС в составе единой сети взаимодействуют между собой для решения комплекса поставленных задач, которые также включают в себя защиту информации.
Сегодня, невозможно выстроить лишенную недостатков систему обеспечения информационной безопасности. Какими бы совершенными ни были аппаратные, программные средства защиты или технические решения, всегда остаются уязвимости, которыми может воспользоваться потенциальный злоумышленник. Однако чтобы уменьшить вероятность компрометации личных данных, собственник информационных ресурсов обязан планомерно создавать систему безопасности, используя как можно больше известных на сегодняшний день надежных механизмов защиты. Одним из главных помощников в этом является подсистема защиты операционных систем.
В работе определена актуальность исследования вопроса защиты операционной системы от наиболее актуальных угроз безопасности на основе rootkit-технологий, исследованы направления их использования для нарушения безопасности системы. В работе предложен алгоритм реализации средства защиты операционной системы Windows на основе rootkit-технологий, который позволит реализовать защищенный канал на основе технологии скрытия отдельных процессов и файлов, для осуществления фильтрации доступа, защиты и сокрытия данных от злоумышленников.
1.1. Воздействие вредоносных программ на информационные процессы в компьютерных системах данные, полезные для злоумышленника
Угрозы воздействия вредоносных программ на информационные процессы в компьютерных системах (КС) относятся к классу угроз доступа (проникновения) в операционную среду автоматизированного рабочего места должностного лица (АРМ ДЛ). Такого рода угрозы делятся [9]:
- на угрозы непосредственного доступа, осуществляемые с использованием программных и программно-аппаратных средств ввода/вывода АРМ ДЛ;
- угрозы удаленного доступа, реализуемые с использованием протоколов взаимодействия АРМ ДЛ в распределенной вычислительной сети (РВС) КС.
Основным инструментом реализации угроз доступа в операционную среду являются вредоносные программы различного типа. Особенностью вредоносных программ является их многообразие и, как следствие, многообразие способов и последствий их внедрения и применения.
Основными группами уязвимостей в отношении угроз воздействия вредоносных программ в КС являются [2; 3]:
-уязвимости системного ПО (в том числе протоколов сетевого взаимодействия);
-уязвимости прикладного ПО (в том числе средств защиты информации).
В свою очередь уязвимости системного, ПО возникают:
-в средствах ОС, предназначенных для управления локальными ресурсами АРМ ДЛ, и драйверах;
-в средствах ОС, предназначенных для выполнения вспомогательных функций, - утилитах архивирования и дефрагментации;
-в протоколах сетевого взаимодействия.
Подобные уязвимости представляют собой
функции и процедуры, изменение параметров которых определенным образом позволяет использовать их для выполнения тех или иных деструктивных действий.
Уязвимости протоколов сетевого взаимодействия связаны с особенностями их программной реализации и обусловлены ограничениями на размеры применяемых буферов, недостатками процедуры аутентификации, отсутствием проверок правильности служебной информации и др.
Уязвимости прикладного ПО КС аналогичны уязвимостям системного ПО с тем лишь отличием, что они проявляются не в операционной среде, а в среде прикладных программ. [6]
Основными способами реализации угроз воздействия вредоносных программ в КС являются:
-непосредственный доступ в операционную среду АРМ ДЛ;
-удаленный (с использованием протоколов сетевого взаимодействия) доступ к информации АРМ ДЛ.
Первая группа способов связана с доступом [4]:
-к информации и командам, хранящимся в базовой системе ввода/вывода (BIOS) АРМ ДЛ, с возможностью перехвата управления загрузкой ОС и получением прав доверенного пользователя;
-в операционную среду АРМ ДЛ с возможностью выполнения деструктивных действий путем вызова штатных программ ОС или запуска специально разработанных программ, реализующих такие действия;
-в среду функционирования прикладных программ;
-непосредственно к информации оператора АРМ ДЛ (к файлам с текстовой и графической информацией, полям и записям в базах, данных) с возможностью ее модификации, уничтожения или блокирования доступа к ней.
Рассмотренные способы могут быть реализованы в случае получения физического доступа к самому АРМ ДЛ или к средствам ввода информации в АРМ ДЛ. Их можно объединить по условиям реализации на три группы [5]:
-реализуемые с использованием отчуждаемых носителей информации в ходе загрузки ОС и направленные на перехват управления загрузкой с изменением необходимой технологической информации для получения несанкционированного доступа (НСД) в операционную среду АРМ ДЛ;
-реализуемые после загрузки ОС, непосредственно направленные на выполнение деструктивных действий с информацией с использованием как стандартных функций ОС, или прикладных программ общего пользования, так и функций специально созданных программ, таких как:
•просмотр и модификации реестра;
•поиск текстов в текстовых файлах по ключевым словам;
•просмотр и копирования записей в базах данных
•быстрый просмотр графических файлов, их редактирование;
•реконфигурация программной среды в интересах нарушителя.
Способами удаленного доступа к информации АРМ ДЛ являются:
-перехват пакетов, в которых передаются идентификаторы операторов и их статические пароли для подключения к удаленным маршрутизаторам по протоколам, не предусматривающих шифрование, а также подмену, модификацию идентификаторов и паролей;
-выявление используемых протоколов, доступных портов сетевой службы, идентификаторов соединений, определение активного сетевого сервиса, подбор идентификаторов и паролей операторов путем передачи запросов сетевой службе и анализа ответов от них;
-получение НСД путем преодоления парольной защиты с помощью вредоносной программы для перехвата пароля;
-создание условий, когда ОС не в состоянии обрабатывать поступающие пакеты;
На руку злоумышленникам играет фактически сложившаяся практика использования иностранных стандартов для построения современных систем обработки данных и отсутствие признанных отечественных систем. Для любого программиста оставить так называемый «Backdoor» для отладки, либо личного пользования, либо как защиту от возможной неуплаты гонорара элементарно. «Оснований» для подобных действий может быть великое множество, включая «возможные» требования спецслужб страны разработки программного продукта. Все это выливается в многочисленные скандалы с обнаружением различного рода уязвимостей в продуктах самых разных фирм. Всем известное программное обеспечение Internet Explorer от фирмы Microsoft служило источником не одного десятка уязвимостей операционной системы Windows различных модификаций, но продолжает упорно оставаться в качестве базового приложения в системе Windows. [4]
Результатом реализации информационных процессов в КС является:
-наличие и обработка в КС разнообразной информации;
-наличие у нарушителя информации об уязвимостях процедур информационного обеспечения КС в отношении воздействия вредоносных программ;
-наличие у лиц, ответственных за безопасность информации в КС, данных о состоянии ее защищенности от вирусных атак.
Из этого следует, что для определения понятия качества информационного процесса в КС необходим определенный набор характеристик информационного обеспечения, характеристик его уязвимостей в отношении воздействия вредоносных программ и характеристик защищенности информации от вирусных атак как специфичных видов деятельности.
1.2. Средства защиты, модель защиты операционной системы от атак
В числе наиболее актуальных и опасных угроз информационной безопасности рассматривается rootkit-технология, основной функцией которой служит функция обеспечения «привилегированного» доступа к системным ресурсам, скрытие данных от системы и пользователя

Зарегистрируйся, чтобы продолжить изучение работы

. Большинство rootkit разработаны с целью одновременного сокрытия определенных файлов, сетевых соединений, блоков памяти и записей в реестре [7].
Rootkit-технологи и позволяют вредоносной программе решать достаточно широкий спектр задач [6]:
1.Маскировка собственного присутствия в системе и присутствия защищаемого вредоносного программного обеспечения.
2.Защита от удаления, которая, чаще всего, заключается в активном противодействии уничтожения самого себя и защищаемого им ПО.
3.Шпионаж. Перехват API-функций позволяет rootkit осуществлять мониторинг их вызовов.
что идеально подходит для решения задач шпионажа.
4.Защита от антивирусов. Rootkit может контролировать все файловые операции и операции с реестром в пораженной системе. Следовательно, он может обнаружить факт установки или запуска антивирусного программного обеспечения и активно противодействовать этому процессу.
5.Защита от антируткитов. Для защиты от антируткитов применяются методики, идентичные методикам защиты от антивируса, но они могут быть дополнены специальными приемами (подмена содержимого системных файлов, анализ которых необходим антируткитам для поиска перехватов).
Условно все rootkit-технологии можно разделить на две категории [5]: работающие в режиме пользователя (usermode); работающие в режиме ядра (kernel-mode).
Первая категория rootkit основана на перехвате функций библиотек пользовательского режима, вторая - на установке в систему драйвера, осуществляющего перехват функций уровня ядра.
Техники обхода системных механизмов защиты и техники сокрытия в системе, как и любая мощная технология, могут быть использованы как для нарушения уровня защиты системы, так и для обеспечения ее безопасности.
Обнаружить действующий в системе rootkit очень сложно, но данный процесс, возможно, предотвратить на этапе его внедрения в систему, что наиболее возможно реализовать на основе возможностей самих rootkit-технологий.
Следует отметить, что для внедрения файлов rootkit в операционную систему, должен быть использован жёсткий диск. Если файл и его основная методика известны антивирусному приложению, то он может быть обнаружен в процессе записи. Таким образом, наиболее целесообразно и эффек тивно использовать средство защиты системы, которое позволит создать защищенный канал на основе rootkit -технологий и значительно затруднит возможность её обнаружения злоумышленником или вредоносной программой для взлома. При этом основной идеей создания средства защиты является скрытие отдельных процессов и файлов и реализация указанной идей в системе Windows имеет следующие особенности:
-исполнительная система Windows работает в режиме ядра и предоставляет службы поддержки для всех подсистем окружения: Win32, POSIX и OS/2. Адреса этих системных служб перечислены в структуре ядра, называемой таблицей диспетчеризации системных служб (System Service Dispatch Table, SSDT);
-на основе номера системной службы, возможно, получить ее адрес из таблицы диспетчеризации;
- информация об общем размере передаваемых параметров для каждой службы содержится в таблице параметров системных служб (System Service Parameter Table, SSPT); [8]
-таблица дескрипторов системных служб, KeServiceDescriptorTable, экспортируется ядром. В ней есть указатель на часть таблицы SSDT, содержащую информацию об основных системных службах, реализованных в библиотеке Ntoskml.exe и являющихся основной частью ядра. В таблице KeServiceDescriptorTable есть также указатель на SSPT;
-для вызова определенной функции, диспетчер системных служб KiSystemService умножает идентификационный номер желаемой функции на четыре, получая при этом смещение адреса функции в таблице SSDT;
-таблица KeServiceDescriptorTable хранит и количество служб. Это число используется для определения максимального смещения в таблицах SSDT и SSPT;
-каждый элемент таблицы SSTP имеет размер в один байт и задает размер данных в байтах, которые соответствующая функция из SSDT принимает в качестве параметров;
- диспетчер системных служб включается инструкцией INT 2Е или SYSENTER. В этот момент процесс переключается в режим ядра.
Если используется какая-либо подсистема окружения (такая, как Win32), то на первом этапе происходит вызов одной из функций Ntdll.dll, которая, в свою очередь, помещает в регистр ЕАХ номер системной службы, а в регистр EDX - адрес параметров функции в адресном пространстве пользователя. Диспетчер системных служб сверяет количество параметров и копирует их из пользовательского стека в стек ядра. После этого происходит вызов одной из служб из таблицы SSDT в соответствии с номером, находящемся в регистре ЕАХ. [9]
Таким образом, если rootkit будет загружен в систему как драйвер устройства, он сможет изменить таблицу SSDT так, что вместо Ntoskml.exe или Win32k.sys будет вызвана указанная функция, а при обращении любого приложения пользовательского уровня к ядру будет производиться обращение к разработанному rootkit.
На основе указанного алгоритма, возможно, реализовать возврат приложениям отфильтрованной информации о системе, полностью скрывая присутствие и информацию об используемых ресурсах.
Предлагаемая система контроля является мощным средством для разграничения доступа к данным и процессам. При этом реализация указанной системы имеет следующие особенности:
-процессы, выбранные пользователем, должны быть невидимыми для таких приложений, как диспетчер задач, Process Explorer;
-процессы не должны быть доступны для таких функций Windows API, как EnumProcesses(), OpenProcess(), EnumProcessModules();
-файлы, выбранные пользователем, должны быть невидимыми для файловых менеджеров;
-файлы не должны быть доступны для таких функций Windows API, как FindFile(), OpenFileQ и другим API- функциям.
Таким образом, реализация системы скрытия данных позволит реализовать возможности rootkit-технологий для:
-фильтрации доступа по имени процесса;
-фильтрации доступа имени пользователя;
-защиты файлов и программ пользователя от IР-атак;
-сокрытия данных от злоумышленников;
-защиты данных от изменений и уничтожения вирусом.
1.3. Классы угроз и анализ безопасности операционных систем на примере ubuntu
На сегодняшний день в мире существует большое количество операционных систем, как, например, известные многим семейство Windows, а также Unix-подобныс (Plan 9, Minix, Open Solaris и пр.) системы. Авторы же хотели затронуть вопрос еще об одной, которая называется Ubuntn (далее по тексту ОС Ubuntu).
ОС Ubuntu является системой, основанной на Debian GNU/Linux, которая в свою очередь является одним из самых популярных дистрибутивов GNU/Linux (далее просто Linux). Первая версия Ubuntu появилась на свет 20 октября 2004 года, каждая новая версия системы выходит раз в полгода: в апреле и октябре. Первая часть номера версии (до точки) соответствует двум последним цифрам года, вторая часть - порядковому номеру месяца выхода. Например, Ubuntu 4.10 означает, что он вышел в октябре 2004 года. Чаще всего данную ОС используют для рабочих станций, персональных компьютеров, а также серверов. Главной её особенностью является бесплатная поддержка обновлений. Также есть специальные версии системы, которые помечаются как LTS (Long Term Support -«поддержка в течение длительного периода»), такие версии поддерживаются компанией Canonical дольше, чем другие версии.
Прежде чем обратиться к анализу специфики обеспечения безопасности и защиты данных, отличающей (X Ubuntu от конкурентов, остановимся кратко на основных этапах ее развития и особенностях устройства.
За всё время существования данного дистрибутива (с 2004 года до сегодняшнего дня) вышло 23 версии Ubuntu. Каждое обновление вносило что-то новое, улучшающее удобство и простоту операционной системы. Из года в год релизы имели различные кодовые имена, состоящие из двух английских слов: названия животного и эпитета

50% реферата недоступно для прочтения

Закажи написание реферата по выбранной теме всего за пару кликов. Персональная работа в кратчайшее время!

Промокод действует 7 дней 🔥

Магазин работ

Посмотреть все
Посмотреть все
Больше рефератов по информационной безопасности:

Средства защиты информации на всех уровнях модели OSI

23139 символов
Информационная безопасность
Реферат
Уникальность

Особенности второго периода развития методов и средств защиты информации

11370 символов
Информационная безопасность
Реферат
Уникальность

Направления и методы защиты машиночитаемых документов

11131 символов
Информационная безопасность
Реферат
Уникальность
Все Рефераты по информационной безопасности
Закажи реферат

Наш проект является банком работ по всем школьным и студенческим предметам. Если вы не хотите тратить время на написание работ по ненужным предметам или ищете шаблон для своей работы — он есть у нас.