Проблема безопасности программного обеспечения

Анализ трафика (trafic analysis) — захватчик анализирует частоту и методы контактов пользователей в системе [16, 28 и др.]. При этом можно выяснить правила вступления в связь, после чего производится попытка вступить в контакт подвидом законного пользователя.

Маскарад (masquerade) — захватчик использует для входа в систему ставшую ему известной идентификацию законного пользователя [17, 28 и ДР.].

"Подкладывание свиньи" (piggback) — нарушитель подключается к линиям связи и имитирует работу системы с целью осуществления незаконных манипуляций. Например, он может имитировать сеанс связи и получить данные под видом легального пользователя. Пользователь, не подозревая об этом, передает информацию и/или получает ее. Таким образом, может осуществляться не только шпионаж, но и Дезинформация, что также отрицательно сказывается на работе АИС и объекта управления в целом.

Повторное использование объектов (object reutilization) — состоит в восстановлении и повторном использовании удаленных объектов системы.

Примером реализации подобного злоупотребления служит удаление файлов операционной системой. Когда ОС выдает сообщение, что, некоторый файл удален, то это не означает, что информация, содержащаяся в дан69ном файле уничтожена в прямом смысле слова. Данное сообщение означает, что система пометила блоки памяти, ранее составлявшие содержимое файла, специальным флажком, говорящим о том, что данный блок не входит в состав какого-либо файла и может быть использован для размещения в нем другой информации. Но информация, которая была в данном блоке, никуда не исчезает до момента записи на это место другой информации. Таким образом, если прочесть содержание блока, можно получить доступ к "удаленной " информации (даже средствами ОС). Одной из разновидностей повторного использования объектов является работа с компьютерным"мусором". Компьютерным "мусором" являются данные, оставшиеся в памяти компьютера после завершения работы. Осуществляя сбор компьютерного "мусора" с помощью специальных программных средств, нарушитель имеет возможность проанализировать содержание информационной деятельности пользователей.

Запуск "воздушного змея". Для реализации подобного программного злоупотребления/используется такая последовательность действий. В двух или более банках открываются счета. Денежные средства переводятся из одного банка в другой с повышающимися размерами. Суть злоупотребления заключается в том, чтобы замаскировать необеспеченный денежными средствами перевод. Данный цикл повторяется многократно, пока на конкретном счете не осядет значительная сумма [39]. После этого денежные средства снимаются и операции прекращаются. Следует отметить, что данное злоупотребление требует точного расчета и синхронизации последовательности действий нарушителей.

Несмотря на то, что  данное злоупотребление не относится  к "чисто" компьютерным, оно подготавливается и реализуется с помощью компьютера и программного обеспечения. В данном случае компоненты информационных и коммуникационных технологий используются в качестве средства подготовки и средства реализации преступления.

"Раздеватели". С развитием рынка "персональных" технологий, получило широкое распространение такое злоупотребление, как нелегальное распространение, исполь зование и/или изменение программных средств [27, 40, 41 и др.].

Под нелегальным распространением понимается продажа, обмен или бесплатное распространение программного продукта, авторские права на который принадлежат третьему лицу, без его Согласия.

Нелегальное использование — это использование программного продукта без согласия владельца авторских прав.

Нелегальное изменение — это внесение в код программы или внешний вид (интерфейс) изменений, не оговоренных с владельцем авторских прав, с тем, чтобы измененный продукт не попадал под действие авторских прав.

Следует отметить, что  проблема нелегального копирования  и распространения программного обеспечения является актуальной. Это  вызвано влиянием ряда объективных и субъективных факторов (социальных, экономических и др.). В условиях зарождения рынка сформировались группы специалистов, выполняющих работы по вскрытию средств защиты программных продуктов и нелегальному их распространению. Кроме того, некоторая часть программного обеспечения не обладает средствами защиты или они настолько слабы, что их устранение требует минимальных знаний в области информационных технологий.

С целью защиты программных  продуктов от несанкционированного копирования (НСК), начали развиваться методы и средства защиты, основные из которых рассмотрены в [6, 41, 42, 43, 44].

Одновременно с этим на рынке появилось специальные  средства для реализации НСК и "взлома" систем защиты [27, 33, 40 и др.].

Группа специальных  средств, который предназначены для реализации НСК и снятия защиты в [41] названа "раздевателем". Раздеватель — комплекс специально разработанных программных средств, ориентированных на исследование защитного механизма программного продукта от НСК и его преодоление. В данную группу входят следующие программные разработки, используемые для "вскрытия" защиты [42]:

• эмуляторы среды, предназначенные  для подделки среды, в которой  работает защищаемая программа;

• симулятор микропроцессора 8088;

• специальные отладчики  для работы в защищенном режиме для 386-го микропроцессора.

Развитие средств связи  и электронной почты выделило злоупотребление, которое относится  к классу "компьютерного хулиганства" и в литературе получило название "пинание" (pinging) [28]. Суть данного злоупотребления заключается в том, что, используя стандартные или специально разработанные программные средства, злоумышленник; может вывести из строя электронный адрес, бомбардируя его многочисленными почтовыми сообщениями. Следствием "пинания" могут стать осложнения и возможность непреднамеренного игнорирования полученной электронной почты.

Необходимо отметить, что при планировании и разработке злоупотреблений нарушителями могут  создаваться новые, не приведенные  в данной классификации, а также  применяться любые сочетания описанных злоупотреблений.

Анализ средств преодоления  систем защиты программного обеспечения

Проблемы защиты авторских  прав на программное обеспечение  в области контроля над его  использованием и дальнейшим распространением в настоящее время принято решать при помощи программно-технических средств - систем защиты ПО. В то же время для обхода и отключения подобных систем защиты существует множество инструментальных средств. Возникает задача сопоставить возможности средств защиты ПО (СЗПО) с возможностями средств их преодоления. Результаты такого анализа будут полезны для оценки рисков при производстве программных продуктов, а так же планировании и оценке уровня стойкости систем защиты ПО.

В рамках исследования проблем  защиты программного обеспечения можно рассматривать три следующих глобальных вопроса:

1. Что защищать? Вопрос связан с классификацией ПО и оценкой возможностей по защите ПО.  
 
2. Как защищать? Вопрос связан с анализом и классификацией мер и средств защиты ПО.  
 
3. От чего защищать? Вопрос связан с анализом и классификацией угроз ПО и средств их реализации.

Если первые два вопроса  в настоящее время освещены хотя бы частично, третий вопрос представляет собой серьезное "белое пятно" в области исследований в сфере защиты ПО, хотя определенные исследования по этой теме велись. С другой стороны, без четкого понимания угроз безопасности ПО и возможностей средств реализации подобных угроз сложно вообще говорить об эффективной защите программного обеспечения, что подтверждается существующей практикой в области защиты информационных систем. Следовательно, для серьезного исследования вопросов защиты ПО необходимо осуществить анализ и классификацию средств реализации атак на программное обеспечение.

Следует сразу отметить, что лишь малая часть из рассматриваемых типов программного обеспечения является специфическими программными средствами, предназначенными для несанкционированного отключения систем защиты ПО. Большинство же указанных средств относится к системному программному обеспечению и рассматривается как "инструментарий злоумышленника" в силу двойственности технологий.

В настоящее время  существуют лишь неформальные классификации  средств преодоления СЗПО, они  основываются на традиционно сложившемся  разделении программных средств  в предметной области и в силу этого являются не совсем полными и частично противоречивыми.

В данной работе предлагается классификация по функциональному  признаку (она частично совпадает  с "традиционной" классификацией средств преодоления СЗПО), в ее рамках средства упорядочены по степени сложности и стадии анализа исследуемого ПО.

1. Программы-каталогизаторы, или файловые оболочки ОС.

В стандартные возможности  таких программ входят функции просмотра  атрибутов файлов (тип, дата создания/модификации, размер, флаги доступа и др.), подсчета их количества и общего объема в каталоге приложения, просмотра файлов и т.п. При помощи этого типа программных средств, как правило, реализуется предварительный анализ защищенных продуктов и первичная локализация СЗПО.

Примером подобного использования может быть сравнение дат создания всех файлов в каталоге установленного приложения (или системном каталоге). В случае использования системой защиты каких-либо динамических библиотек разница в датах их создания позволит легко локализовать файлы, относящиеся к СЗПО (как правило, даты создания "рабочих" файлов пакета совпадают, дата создания модулей СЗПО отличается от них, так как СЗПО часто поставляются отдельно как внешняя библиотека).

Аналогичным же образом  локализуются и файлы, хранящие счетчики количества запусков ПО, даты этих файлов постоянно обновляются. А при помощи обычного текстового просмотра объектного модуля можно довольно легко определить тип и производителя СЗПО, так как обычно эта информация включается в тело защищенного модуля самой СЗПО.

2. Программы поиска файлов и  текстовых и двоичных последовательностей  в текстовых и двоичных файлах.

Данный тип программ позволяет производить поиск  заданной последовательности (маски  поиска) в одном или сразу нескольких файлах с выдачей результатов в виде списка смещений относительно начала файла, по которым был найден искомый фрагмент; а также всех файлов, удовлетворяющих определенному критерию или содержащих вышеописанную последовательность. При помощи указанных средств реализуется вторичный анализ СЗПО и локализация ключевых фрагментов СЗПО.

Обычно средства файлового  поиска используются для следующих  целей: поиска известных сигнатур СЗПО в объектных модулях; поиска строк с сообщениями СЗПО (например, "Программа не зарегистрирована!" или "Спасибо за регистрацию!"), поиска файлов СЗПО с известными именами/сигнатурами.

Первый и последний  виды использования рассматриваемого типа ПО ориентированы на отыскание  стандартных элементов СЗПО, исследованных  ранее и адаптации "типовых  решений" к исследуемой версии СЗПО. Второй вид использования поисковых программ ориентирован на локализацию процедур СЗПО, отвечающих за идентификацию и аутентификацию легального пользователя ПО.  

 Большинство СЗПО  реализует в процессе своей  работы диалог с пользователем  (как минимум на уровне сообщений об ошибках), локализация элементов этого диалога позволяет довольно легко локализовать "ядро" СЗПО, а иногда даже определить пароль легального пользователя.

3. Программы - мониторы файловой  системы (File Monitors)

Этот тип ПО позволяет отслеживать изменения, происходящие в файловой системе при запуске определенных программ. В большинстве таких программ предусмотрена система фильтров для формирования протоколов работы отдельных приложений. При помощи данного типа средств реализуется анализ работы СЗПО с файлами.

Например, подобные программы  позволяют выяснить, что именно и  где изменяют распознанные на этапах первичного и вторичного анализа  модули СЗПО, либо определить модуль, производящий изменения в определенном файле. Эта информация позволяет точно локализовать счетчики количества запусков ПО, скрытые файлы систем "привязки" ПО, "ключевые файлы", файлы с информацией о функциях ПО, разрешенных для использования в рамках данной лицензии на продукт и т.п., а также модули и конкретные процедуры СЗПО, работающие с этими данными.

 
4. Программы - мониторы  системных файлов ОС (Registry Monitors)

Программные средства этого  типа предназначены для отслеживания изменений, вносимых приложениями в  конфигурационные файлы ОС. В рассматриваемом контексте данные программы позволяют реализовать анализ работы СЗПО с системными файлами (более специфично для ОС семейства Windows).

Рассматриваемые средства позволяют определять, работает ли СЗПО с файлами конфигурации ОС, какие изменения она туда вносит и какие данные использует. В результате подобного анализа становится возможным обнаружить скрытые счетчики количества запусков ПО, сохраненные даты первой установки ПО на ЭВМ пользователя, записи с лицензионными ограничениями функциональности ПО и т.п. Такой анализ дает результаты, подобные результатам анализа работы СЗПО с файлами.

5. Программы - мониторы вызовов  подпрограмм ОС (API Monitors)

ПО этого типа предназначено  для отслеживания вызова системных  функций одним или несколькими  приложениями с возможностью фильтрации/выделения групп отслеживаемых системных функций или приложений. Применение таких программ позволяет проводить анализ использования СЗПО системных функций.

Учитывая, что все действия ПО (и СЗПО), связанные с работой  с файловой системой, работой с конфигурацией ОС, реализацией диалога с пользователем, работой с сетью и многим другим, реализуются посредством вызова функций ОС. Анализ использования СЗПО системных функций позволяет довольно подробно изучить механизмы работы систем защиты, найти их слабые места и разработать пути их обхода.

Например, практически  все современные системы защиты от копирования оптических дисков базируются на довольно небольшом наборе системных  функций по работе с данным видом  накопителей информации, отслеживание этих функций позволяет найти и нейтрализовать механизмы проверки типа носителя внутри СЗПО.