Телефон: 8-800-350-22-65
WhatsApp: 8-800-350-22-65
Telegram: sibac
Прием заявок круглосуточно
График работы офиса: с 9.00 до 18.00 Нск (5.00 - 14.00 Мск)

Статья опубликована в рамках: XXXIX Международной научно-практической конференции «Технические науки - от теории к практике» (Россия, г. Новосибирск, 22 октября 2014 г.)

Наука: Технические науки

Секция: Информатика, вычислительная техника и управление

Скачать книгу(-и): Сборник статей конференции

Библиографическое описание:
Десницкий В.А., Чеулин А.А. ОБОБЩЕННАЯ МОДЕЛЬ НАРУШИТЕЛЯ И ВЕРИФИКАЦИЯ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ СО ВСТРОЕННЫМИ УСТРОЙСТВАМИ // Технические науки - от теории к практике: сб. ст. по матер. XXXIX междунар. науч.-практ. конф. № 39. – Новосибирск: СибАК, 2014.
Проголосовать за статью
Дипломы участников
У данной статьи нет
дипломов

ОБОБЩЕННАЯ  МОДЕЛЬ  НАРУШИТЕЛЯ  И  ВЕРИФИКАЦИЯ  ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ  СИСТЕМ  СО  ВСТРОЕННЫМИ  УСТРОЙСТВАМИ

Десницкий  Василий  Алексеевич

канд.  техн.  наук,  старший  научный  сотрудник  лаборатории  проблем  компьютерной  безопасности  СПИИРАН,  РФ,  г.  Санкт-Петербург

E -maildesnitsky@comsec.spb.ru

Чеулин  Андрей  Алексеевич

канд.  техн.  наук,  старший  научный  сотрудник  лаборатории  проблем  компьютерной  безопасности  СПИИРАН,  РФ,  г.  Санкт- Петербург

E-mail: 

 

GENERALIZED  INTRUDER  MODEL  AND  VERIFICATION  OF  INFORMATION  SYSTEMS  WITH  EMBEDDED  DEVICES

Desnitsky  Vasily

candidate  of  Science,  senior  researcher  of  the  laboratory  of  computer  security  problems  os  SPIIRAS,  Russia,  St.  Petersburg

Chechulin  Andrey

candidate  of  Science,  senior  researcher  of  the  laboratory  of  computer  security  problems  os  SPIIRAS,  Russia,  St.  Petersburg

 

АННОТАЦИЯ

Предложены  обобщенная  модель  нарушителя  на  основе  анализа  существующих  классификаций  нарушителей  и  верификация  спецификаций  в  качестве  метода  тестирования  защищенности  устройств  в  процессе  проектирования.  Тестирование  позволяет  разработчику  выявить  потенциальные  угрозы  и  осуществить  отбор  возможных  типов  нарушителей  в  зависимости  от  функциональности  устройств  и  ожидаемых  сценариев  использования,  после  чего  формируется  список  возможных  атак  на  это  устройство.  Верификация  включает  анализ  спецификаций  на  предмет  проверки  условий,  необходимых  для  выполнения  выявленных  видов  атак.

ABSTRACT

We  proposed  a  generalized  intruder  model  based  on  the  analysis  of  existing  intruder  classifications  and  verification  of  specifications  in  the  design  process  as  a  method  of  security  testing  of  devices.  Testing  allows  the  developer  to  reveal  potential  threats  and  carry  out  the  selection  of  possible  types  of  intruders,  depending  on  the  functionality  of  the  devices  and  the  expected  use  cases,  after  that  a  list  of  possible  attacks  on  the  device  is  formed.  Verification  includes  an  analysis  of  specifications  for  checking  conditions  being  necessary  for  realization  of  the  revealed  types  of  attacks.

 

Ключевые  слова:  встроенные  устройства;  нарушитель;  верификация.

Keywords:  embedded  devices;  intruder;  verification.

 

Сложность  разработки  защищенных  информационно-телекоммуникационных  систем  со  встроенными  устройствами  обуславливается  разнородностью  устройств  системы,  используемых  отличающихся  коммуникационных  протоколов,  изменчивостью  топологии  системы  во  времени,  мобильностью  и  автономностью  отдельных  устройства  и  ограничениями  на  аппаратные  ресурсы  устройств.

В  современной  научно-технической  литературе  вопросы  проектирования,  интеграции  и  верификации  механизмов  защиты  систем  со  встроенными  устройствами  освещены  в  недостаточной  степени.  Так,  в  настоящее  время  нет  единой  методология,  которую  могли  бы  использовать  разработчики  информационно-телекоммуникационных  систем  для  постановки  и  реализации  требований  безопасности.  На  практике  основная  трудность,  с  которой  сталкиваются  разработчики  систем,  состоит  в  (1)  сложности  анализа  и  моделирования  требований  к  защите  и  (2)  недостатке  опыта  разработчиков  в  области  безопасности  программно-аппаратного  обеспечения.

Модель  нарушителя  позволяет  выявлять  и  специфицировать  возможные  атаки  на  встроенные  устройства,  описывать  их  сценарии  и  сформулировать  возможные  цели  нарушителя,  пытающегося  скомпрометировать  устройство  и  его  сервисы.  Модель  будет  также  способствовать  оценке  конкретных  атак  с  точки  зрения  их  выполнимости,  а  также  потребления  ресурсов,  которые  нарушителю  необходимо  затратить  для  успешного  проведения  атаки.  Модель  нарушителя  используется  для  разработки  средств  проектирования  механизмов  защиты  от  различных  классов  атак  на  встроенное  устройство  и  тестирования  устройства  на  предмет  его  подверженности  тем  или  иным  угрозам  информационной  безопасности.

ОБЗОР  ИСТОЧНИКОВ  ЛИТЕРАТУРЫ

Существует  ряд  работ  в  области  анализа  угроз  информационной  безопасности  и  нарушителей  систем  со  встроенными  устройствами.  В  [6,  с.  753]  и  [5,  с.  1]  обосновывается  необходимость  и  важность  построения  модели  угроз  как  элемента  процесса  проектирования  и  разработки  защищенных  встроенных  устройств.  Kommerling  и  др.  [7,  с.  10]  рассматривают  вопросы  противодействия  несанкционированному  раскрытию  информации,  в  частности,  борьбы  с  извлечением  секретных  данных  и  программного  кода  из  смарт-карт.  При  этом  авторы  выделяют  основные  четыре  типа  атак:  (1)  программные  атаки,  которые  базируются  на  использовании  уязвимостей  коммуникационных  протоколов,  шифрующих  алгоритмах  в  сервисах;  (2)  прослушивание  аналоговых  интерфейсов  и  микросхем  на  основе  анализа  электромагнитного  воздействия;  (3)  атаки  типа  «внесение  неисправностей»  (fault  generation),  используемые  для  повышения  привилегий  доступа;  (4)  микро-пробирование  (microprobing)  для  осуществления  прямого  доступа  к  микросхемам.

Abraham  и  др.  [3,  с.  208]  рассматривают  классификацию  нарушителя  на  основе  уровня  компетенции  нарушителя  и  знаниях  о  его  возможностях.  При  этом  основное  внимание  уделяется  следующим  видам  атак:  (1)  атаки  на  микросхемы,  включая  метод  «внесения  неисправностей»  и  прослушивание  (что  согласуется  с  классификацией  атак  Kommerling  [7,  с.  9]);  (2)  атака  замены  электронных  модулей,  отвечающих  за  функции  защиты  (substitution  attack).

Howard  [5,  с.  1]  предложил  классификацию  атак  в  соответствии  с  наиболее  типичными  злонамеренными  воздействиями,  встречающимися  на  практике:  использованием  данных  профилей  других  пользователей;  злонамеренная  модификация  данных;  раскрытие  секретной  информации;  отказ  доступа;  получение  привилегий.  Однако,  эта  классификация  в  большей  степени  характеризует  возможности  нарушителя,  нежели  его  цели.

Rae  и  др.  [10,  с.  251]  разделили  нарушителей  на  несколько  групп  в  зависимости  от  уровня  взаимодействия  нарушителя  со  встроенным  устройством.  Eby  и  др.  [4,  c.  221]  предложили  механизм  по  связыванию  моделирования  защиты  в  процесс  разработки  компонентов  защиты  встроенных  устройств.  В  частности,  в  работе  представлен  инструмент  для  анализа  защищенности,  который  может  быть  интегрирован  с  существующими  средствами  в  рамках  совместной  среды  проектирования  с  учетом  вопросов  безопасности,  функциональности  и  архитектуры  системы.  Pauli  и  др.  [9]  предложили  базирующийся  на  анализе  угроз  подход  к  проектированию  и  анализу  архитектур  защищенных  информационных  систем.  В  рамках  данного  подхода  были  промоделированы  угрозы  информационной  безопасности  с  использованием  специально  подготовленных  примеров  неправильного  использования  (misuse  cases).  С  другой  стороны  Myagmar  и  др.  в  [8]  исследуют,  как  моделирование  угроз  может  быть  использовано  в  качестве  основы  для  спецификации  требований  к  защите  информационно-телекоммуникационных  систем.

Serpanos  и  др.  [12,  с.  1678]  рассматривают  вопросы  безопасности  и  конфиденциальности  распределенных  систем  интеллектуальных  камер,  включая  требования  к  защите,  возможные  атаки,  типовые  риски,  представляя  имеющиеся  решения  по  анализу  как  на  уровне  отдельных  узлов  сети,  так  и  на  уровне  всей  системы.  В  [11,  с.  1]  предложена  экспериментальная  установка,  при  помощи  которой  встроенные  устройства  атакуются  с  использованием  нескольких  образцов  данных  посредством  изменения  напряжения  источника  питания.  При  помощи  экспериментальной  установки  исследуется  влияние  эффекта  блокировки  данных  (latch  up  effect)  на  возможности  нарушителя.

ОБОБЩЕННАЯ  МОДЕЛЬ  НАРУШИТЕЛЯ

В  данном  разделе  предлагается  обобщенная  модель  нарушителя  встроенного  устройства,  которая  описывает  возможные  типы  нарушителя,  пытающегося  скомпрометировать  устройство  или  его  сервисы.  Данная  модель  относится  к  классу  аналитических  моделей  и  может  использоваться  в  процессах  верификации  и  тестирования  устройств.  В  частности,  модель  нарушителя  может  применяться  для  автоматизации  процесса  верификации  спецификаций  системы  на  предмет  наличия  возможных  уязвимостей  и  разработки  тестов  в  рамках  динамического  тестирования  готовых  программно-аппаратных  реализаций  встроенных  устройств.  Предложенная  модель  нарушителя  базируется  на  классификации  нарушителя  по  двум  направлениям:  типу  доступа  к  встроенному  устройству  и  по  возможностям  нарушителя.  Рассмаотрим  следующие  классификации  нарушителя. 

1.  Классификация  нарушителя  по  типу  доступа  к  встроенному  устройству 

Данная  классификация  определяет  тип  доступа  нарушителя  к  встроенному  устройству  при  помощи  прямого  и  непрямого  каналов  [10,  с.  251].  Данная  классификация  является  иерархической,  причем  каждый  следующий  типа  взаимодействия  с  устройством  включает  функциональные  возможности  предыдущих  типов.  Выделяются  следующие  основные  типы  нарушителей:

·     тип  0:  нарушитель  не  имеет  доступа  к  встроенному  устройству  и,  по  сути,  нарушители  данного  типа  воздействуют  на  устройство  опосредованно,  зачастую  с  использованием  методов  социального  инжиниринга;

·     тип  1:  нарушитель  взаимодействует  со  встроенным  устройством  опосредованно,  осуществляя  непрямой  доступ  к  устройству,  например  удаленный  доступ  через  сеть  Интернет  с  использованием  протоколов  TCP/IP;

·     тип  2:  нарушитель  может  воздействовать  на  встроенное  устройство  напрямую,  находясь  при  этом  на  некотором  от  него  расстоянии,  к  примеру  с  использованием  интерфейсов  Wi-Fi,  IR,  Bluetooth;

·     тип  3:  нарушитель  имеет  физический  доступ  к  устройству,  например  с  использованием  интерфейсов  последовательного  порта  и  USB,  но  не  имеет  возможности  исследовать  и  модифицировать  его  внутренние  электронные  компоненты;

·     тип  4:  нарушитель  имеет  полный  доступ  к  встроенному  устройству  и  всем  его  микросхемам  и  внутренним  интерфейсам,  таким  как  интерфейсы  шины  памяти,  периферийных  шин,  а  также  отладочному  интерфейсу.

2.  Классификация  по  возможностям  нарушителя

Для  оценки  уровня  защищенности  важно  определить  сложность  возможных  компрометирующих  действий  нарушителя  с  учетом  возможных  вовлеченных  инструментов,  знаний  и  времени.  В  соответствии  с  классификацией  [3,  с.  208]  выделяются  следующие  три  уровня  возможностей  нарушителя:

·     уровень  1:  нарушитель  не  имеет  или  имеет  недостаточные  знания  о  встроенном  устройстве,  а  также  может  использовать  программные  инструменты,  находящиеся  в  публичном  доступе.  Нарушители  данного  уровня  могут  в  большей  степени  эксплуатировать  уже  существующие  общеизвестные  уязвимости,  нежели  чем  обнаруживать  новые.

·     уровень  2:  нарушитель  владеет  информацией  о  встроенном  устройстве  и  может  осуществлять  доступ  к  специализированным  атакующим  средствам.  Нарушитель  имеет  достаточное  время  и  информацию  для  поиска  ранее  неиспользовавшихся  уязвимостей;

·     уровень  3:  нарушитель  представляет  собой  группу  нарушителей  уровня  2  и  способен  к  осуществлению  глубокого  анализа  встроенного  устройства  при  помощи  специализированных  инструментов  анализа.

В  соответствии  с  приведенными  выше  классификациями  модель  нарушителя  описывает  анализ  возможностей  нарушителя,  возможные  атаки  на  устройство,  а  также  особенности  защиты  для  противодействия  таким  атакам  всех  существующих  типов  нарушителей.

1)  Нарушитель  0-го  типа  не  могут  совершать  каких-либо  серьезных  атакующих  действий  напрямую,  однако  пытаются  получить  доступ  к  целевому  встроенному  устройству  с  возможным  использованием  социальной  инженерии.  Атаки  социальной  инженерии  базируются  на  анализе  поведения  пользователей  целевого  устройства  или  системы,  в  которую  оно  встроено  или  с  которой  оно  взаимодействует.  Предполагаемая  защита  от  атакующих  данного  типа  включает  в  первую  очередь  обучение  пользователей  особенностям  защиты  от  социально  инженерных  атак.

2)  Для  нарушителя  типа  1  встроенное  устройство  представляет  собой  некоторый  хост  —  IP-адрес  в  рамках  некоторой  сети.  Поэтому  его  атакующие  воздействия  оказываются  во  многом  аналогичными  атакам  на  персональные  компьютеры  и  серверные  станции.  Нарушитель  способен  прослушивать  коммуникационные  каналы,  исследовать  удаленные  сервисы  целевого  устройства  и  осуществлять  поиск  ошибок  программно-аппаратного  обеспечения,  затрагивающих  безопасность  устройства.  Предполагается,  но  не  является  обязательным,  чтобы  нарушитель  был  знаком  с  целевой  системой,  тем  не  менее,  атака  может  проводиться  без  каких-либо  предварительных  знаний.  Фактически,  нарушитель  данного  типа  не  использует  каких-либо  особенностей  встроенных  устройств,  отличающих  их  от  других  видов  сетевых  устройств.

Основной  угрозой  нарушителей  1-го  типа  являются  перехват,  анализ  и  подделка  сообщений,  передаваемых  по  сети  для  выполнения  сетевых  атак  на  встроенное  устройство.  В  соответствии  с  классификацией  нарушителя  по  уровням,  нарушитель  уровня  1  ограничен  использованием  типовых  программных  средств,  таких  как  Nessus  или  Nmap.  Применяются  подходящие  последовательности  команд,  эксплуатирующие  уязвимости  в  программном  коде  (эксплойты)  из  открытых  баз  данных  для  сбора  данных  с  использованием  этих  инструментов.  Нарушители  уровня  2  на  основе  имеющейся  у  них  информации  способны  создать  свои  собственные  эксплойты  для  атаки  устройств.  Нарушители  уровня  3  могут  выполнять  распределенные  атаки  и  проводить  криптографический  анализ  протоколов,  которые  использованы  для  коммуникации  встроенного  устройства.  Примерами  атак,  которые  могут  быть  произведены  нарушителем  типа  1,  являются

·     перехват,  модификация  и  подделка  TCP/IP-сообщений  от  встроенного  устройства  —  атака  типа  man-in-the-middle; 

·     классические  сетевые  атаки  (атаки  DDoS,  TCP  SYN  Flood  и  другие); 

·     атаки  на  основе  использования  конкретных  уязвимостей  встроенного  устройства  (атаки  с  использованием  некорректных  сетевых  пакетов,  на  основе  переполнения  буфера  и  другие); 

·     криптографический  анализ  зашифрованных  сообщений; 

·     воздействия  на  систему  аутентификации; 

·     атаки  на  систему  обновления  встроенного  устройства.

3.  С  точки  зрения  нарушителя  2-го  типа  встроенное  устройство  представляет  собой  реальный  объект,  физический  доступ  к  которому  запрещен  или  значительно  ограничен.  Чтобы  выполнить  большинство  атак  нарушителю  требуется  открыть  беспроводной  интерфейс  встроенного  устройства,  такой  как  Bluetooth,  Wi-Fi  или  IR.  Среди  первоначальных  угроз,  которые  могут  быть  реализованы,  может  быть  также  атака  получения  информации  по  сторонним  каналам  (например,  анализ  электромагнитного  излучения).

Возможны  атаки  на  типовые  беспроводные  интерфейсы,  анализ  и  подделка  сообщений,  атаки  на  компоненты  устройства,  ответственные  за  обработку  данных  от  различных  сенсоров.  В  соответствии  с  классификацией  нарушителей  по  уровням  возможностей,  нарушители  уровня  1  практически  не  имеют  возможности  выполнять  атаки,  так  как  они  не  имеют  достаточных  знаний  и  технических  средств.  Нарушители  уровня  2  могут  использовать  свои  беспроводные  модули  с  самостоятельно  подготовленным  программный  обеспечением.  Нарушители  уровня  3  способны  проводить  те  же  атаки,  что  и  нарушители  уровня  2,  включая  удаленное  воздействие  на  встроенное  устройство  высокочастотным  излучением.  Примерами  атак,  которые  может  быть  выполнены  нарушителем  типа  2,  является 

·     атака  по  стороннему  каналу  на  основе  параметров  удаленного  доступа  (например,  световые  характеристики  или  электромагнитное  излучение);

·     перехват,  модификация  и  подделка  сообщений  от  устройств  через  Bluetooth,  Wi-Fi,  InfraRed  и  другие  типы  удаленных  соединений,  а  также  криптографический  анализ  сообщений;

·     атаки  с  использованием  сенсоров  встроенного  устройства  (здесь  имеются  в  виду  только  сенсоры,  предполагающие  удаленный  доступ,  например  воздействие  лазером  на  светочувствительные  сенсоры);

·     атаки  на  интерфейсы  встроенного  устройства,  которые  позволяют  получить  удаленный  доступ  на  устройство;

·     удаленные  атаки  на  устройства  посредством  прямого  воздействия  на  их  аппаратные  компоненты  (к  примеру,  радиочастотные  атаки).

4.  С  точки  зрения  нарушителя  3-го  типа  встроенное  устройство  рассматривается  как  «черный  ящик»  с  неограниченным  физическим  доступом  к  внешним  интерфейсам.  Нарушители  данного  типа  могут  подсоединяться  напрямую  ко  всем  открытым  интерфейсам  устройства.  Возможности  нарушителя  3-го  типа  включают  возможности  нарушителя  2-го  типа  и  расширены  возможностью  создания  полностью  контролируемой  среды  для  исследования  различных  характеристик  устройства  (в  том  числе  энергопотребления,  производительности  и  других).

В  соответствии  с  классификацией  по  уровням  нарушителя,  нарушитель  уровня  1  может  эксплуатировать  известные  уязвимости  в  процессе  легитимного  соединения  между  персональным  компьютером  и  встроенным  устройством  в  процессе  реализации  угрозы.  Нарушители  уровня  2  могут  использовать  специальное  оборудование  для  прямого  подсоединения  к  портам  устройства.  Нарушители  уровня  3  могут  осуществлять  любые  атаки,  включающие  помещение  устройства  в  полностью  контролируемую  среду,  что  значительно  увеличивает  их  возможности  в  сравнении  с  нарушителями  2-го  типа.  Примерами  атак,  которые  могут  выполняться  нарушителями  типа  3,  являются  атаки  по  сторонним  каналам  на  основе  различных  характеристик  с  использованием  прямого  доступа;  атаки  на  интерфейсы  встроенного  устройства  с  использованием  прямого  доступа  к  ним;  помещение  поддельного  встроенного  устройства  в  систему  вместо  оригинального;  атаки  с  использованием  данных  от  сенсоров  встроенного  устройства  (путем  помещения  устройства  в  полностью  контролируемую  среду);  компрометация  или  замена  сенсоров.

5.  Для  нарушителя  4-го  типа  устройство  представляет  собой  множество  взаимосвязанных  микросхем,  причем  атакующий  имеет  неограниченный  доступ  к  ним.  Нарушитель  может  проводить  дизассемблирование  устройства  и  использовать  аппаратные  эксплойты:  внутренние  интерфейсы,  скрытые  порты,  а  также  осуществлять  нелегитимные  воздействия  с  использованием  межкомпонентной  коммуникации.  Нарушитель  данного  типа  может  осуществлять  чтение  или  модификацию  данных,  расположенных  внутри  электронных  компонентов  устройства,  в  том  числе  ключей  шифрования.

В  соответствии  с  классификацией  по  уровням  возможностей,  нарушители  уровня  1  и  2  практически  не  имеют  возможностей  по  выполнению  атак,  поскольку  они  не  имеют  необходимых  знаний  и  технических  средств  (кроме  некоторых  видов  DoS-атак,  не  требующих  специальных  технических  навыков).  Нарушители  уровня  3  могут  воплощать  любые  из  перечисленных  угроз. 

Примерами  атак,  которые  могут  выполняться  нарушителями  типа  3,  являются  чтение  или  модификация  данных  непосредственно  с  микросхем,  а  также  неавторизованная  замена  аппаратных  компонентов  устройства.

ВЕРИФИКАЦИЯ

Модель  нарушителя  описывает  возможные  типы  нарушителей  и  атаки,  исходя  из  возможностей  нарушителя  и  типа  доступа  к  устройству.  Модель  нарушителя  используется  для  тестирования  встроенных  устройств,  которое  рассматривается  в  качестве  метода  тестирования  безопасности  устройства  и  нацелено  на  выявление  уязвимостей  в  процессе  его  проектирования.  В  таблице  1  приведена  цепочка  действий  по  использованию  модели  нарушителя.

Таблица  1. 

Использование  модели  нарушителя

Входной  элемент

 

Результаты

Свойства  безопасности  и  нарушители

Угрозы  и  атаки

Свойства  безопасности  и  тесты

Проверка  свойств

 

Применяется  следующий  подход  к  тестированию,  состоящий  из  двух  этапов:  статическое  тестирование  и  динамическое  тестирование.  На  стадии  проектирования  встроенного  устройства  статическое  тестирование  позволяет  разработчику  выявить  потенциальные  угрозы  информационной  безопасности,  которым  подвержено  устройство.  Для  статического  анализа  требуется  информация  об  устройстве  и  его  функциональности,  в  том  числе  информация  о  коммуникационных  интерфейсах,  используемых  криптографических  алгоритмах,  длине  ключей  и  другая.  При  более  детальном  рассмотрении  статическое  тестирование  состоит  из  двух  стадий.

Первая  стадия  представляет  собой  исследование  спецификации  встроенного  устройства  и  выбор  возможных  типов  нарушителей,  имеющих  цель  его  скомпрометировать  в  зависимости  от  функциональности  устройства  и  ожидаемых  сценариев  использования.  Полученные  типы  нарушителей  анализируются  в  соответствии  с  моделью  нарушителя,  после  чего  формируется  список  возможных  атак  на  это  устройство.

На  второй  стадии  проводится  анализ  спецификации  устройства  с  целью  реализации  условий,  необходимых  для  выполнения  такой  атаки,  в  том  числе  проверка  наличия  определенных  аппаратных  компонентов  и  коммуникационных  интерфейсов,  которые  могут  использоваться  в  качестве  стартовой  точки  для  проведения  атаки.  Если  все  эти  условия  выполняются,  делается  вывод  о  том,  что  встроенное  устройство  потенциально  уязвимо  перед  данной  атакой.  В  противном  случае  можно  сделать  однозначный  вывод  о  невозможности  такой  атаки.

Динамическое  тестирование,  напротив,  применяется  на  финальной  стали  процесса  проектирования  встроенного  устройства  для  проверки  возможных  атак  на  физической  реализации  устройства.  Исследование  реакции  устройства  на  некорректные  и  граничные  значения  входных  данных  служит  примером  динамического  тестирования.  В  частности,  динамическое  тестирование  включает  анализ  открытых  портов  устройства,  инсталлированных  на  него  программных  сервисов  и  использования  средств  защиты  против  специализированных  сетевых  атак.  При  обнаружении  каких-либо  нарушений,  в  том  числе  различных  ошибок  в  программном  обеспечении,  связанных  с  функциями  защиты,  соответствующие  итерации  процесса  разработки  должны  повторяться  с  последующим  повторением  динамического  тестирования.

Тестирование  как  метод  проверки  безопасности  подразумевает  итеративное  выполнение,  причем  тесты  проводятся  повторно  после  каждого  изменения  компонентов  устройства  или  связей  между  ними.  Целесообразно  выполнять  тесты  вновь,  как  после  устранения  уязвимости,  так  и  после  любого  изменения  функциональности  устройства.  В  результате  автоматизация  тестирования  позволит  ускорить  процесс  разработки.

ДЕМОНСТРАЦИОННЫЙ  СЦЕНАРИЙ

Рассматриваемый  сценарий  представляет  собой  систему  защищенной  передачи  данных  между  персональным  компьютером  с  одной  стороны  и  сервером,  расположенным  во  внешней  зоне,  с  другой.  Вся  коммуникация  осуществляются  через  сеть  Интернет  с  использованием  специализированного  устройства  «Защищенного  коммуникационного  шлюза»  (Secure  Connection  Gateways,  SCG).  SCG  представляет  собой  встроенное  устройство,  которое  соединяет  хосты  системы,  и  предоставляет  требуемую  функциональность  защищенной  маршрутизации.  При  этом  на  серверной  стороне  соединения  расположена  база  данных,  в  которой  сохраняется  критически  важная  пользовательская  информация  (Personal  Database).

Подсоединение  к  базе  данных  осуществляется  с  использованием  аутентификации,  причем  аутентифицированный  пользователь  обменивается  данными  с  сервером  базы  данных  через  SCG.  Некоторая  часть  передаваемых  данных  временно  сохраняется  в  SCG  до  их  последующей  отправки  пользователю.  Это  сделано  для  проведения  специализированного  анализа  и  поддержки  процесса  защиты  пользователя  от  вредоносного  программного  обеспечения.  На  рис.  1  показан  данный  сценарий  —  его  элементы  и  процедцры  передачи  данных  в  системе.

Определены  следующие  требования  к  защите  системы:  аутентификация  пользователя,  целостность  и  конфиденциальность  передаваемых  пользовательских  данных,  целостность  и  конфиденциальность  пользовательских  данных,  хранимых  в  базе  данных.  В  таблице  2  приведены  четыре  типа  нарушителей  применительно  к  рассматриваемому  сценарию  в  контексте  статического  анализа.  В  работе  динамический  анализ  был  проведен  в  большей  степени  для  нарушителя  типа  1,  тогда  как  статический  анализ  был  выполнен  для  выявления  нарушителей  всех  описанных  типов.

 

scenario

Рисунок  1.  Демонстрационный  сценарий

 

Статический  анализ  позволяет  классифицировать  все  учитываемые  угрозы,  атаки  и  тесты  системы  в  терминах  свойств  защиты.  Мы  рассмотрим  данные  полученные  для  свойства  «конфиденциальность  передаваемых  данных»:  угрозы  компрометации  данных  неавторизованным  пользователем  [1,  с.  20].  При  этом  чтобы  выполнить  атаку  нарушителю  необходимо  выполнить  два  следующих  шага:  (1)  перехватить  информационный  поток  и  (2)  дешифровать  его  или  провести  криптографический  анализ.  На  первом  шаге 

·     нарушитель  типа  1  осуществляет  перехватит  трафик  в  сети  (возможно  для  нарушителей  всех  уровней);

·     нарушитель  типа  3  способен  перехватить  трафик  на  интерфейсах  шлюза  (нарушители  уровня  2  и  3);

·     нарушитель  типа  4  осуществляет  перехват  трафика  на  основе  атаки  по  сторонним  каналам,  а  также  перехват  внутри  шлюза  (атакующий  уровня  3).

Таблица  2. 

Пример  статического  тестирования

Тип

Цель

Пример  теста

Тип  1

SCG  как  хост  в  сети  Интернет

Имеется  ли  защита  против  DDoS-атак?

Тип  2

Беспроводные  соединения  и  интерфейсы

Какие  используются  беспроводные  протоколы?  Входят  ли  они  в  список,  действительно,  безопасных  протоколов?

Тип  3

Проводные  соединения  и  интерфейсы

Какой  протокол  используется?  Входят  ли  он  в  список,  действительно,  безопасных  протоколов?

Тип  4

SCG  как  физический  объект

Имеется  ли  какая-либо  защита  от  атак  по  сторонним  каналам?

 

Вне  зависимости  от  типа  нарушителя  на  стадии  дешифрования 

·     нарушитель  типа  1  способен  нарушить  свойство  конфиденциальности  только  для  незашифрованного  трафика;

·     нарушитель  уровня  2  может  использовать  уязвимости  в  используемом  протоколе  шифрования,  обнаруженные  ранее;

·  нарушитель  уровня  3  может  выполнять  атаки,  требующие  значительных  объемов  ресурсов,  как  например,  последовательный  перебор  ключей  шифрования,  используемых  в  коммуникационном  протоколе.

Также  нарушитель  уровня  3  способен  проводить  криптографический  анализ  и  осуществлять  подбор  достаточно  длинных  паролей  с  целью  поиска  новых  уязвимостей.  Классифицируем  возможные  атаки  в  соответствии  с  типом.

·     Нарушитель  типа  1  может  перехватывать  сообщения  от  устройств  системы  в  рамках  трафика  по  протоколу  TCP/IP  и  проводить  криптографический  анализ  зашифрованных  сообщений.

·     Нарушитель  типа  3  может  проводить  атаки  по  сторонним  каналам,  атаки  на  интерфейсы  встроенного  устройства  с  использованием  прямого  доступа  к  ним,  а  также  модифицировать  настройки  таблицы  маршрутизации  на  шлюзе  с  целью  перехватывать  конкретные  информационные  потоки.

·     Нарушитель  типа  4  способны  осуществлять  съем  данных  непосредственно  с  микросхем  устройства  (например,  данные  об  используемых  криптографических  ключах).

При  рассмотрении  угроз  и  атак  для  некоторого  свойства  защиты  задаются  тесты,  которые  необходимо  выполнить  для  проверки  защищенности  системы  [2,  с.  116].  Для  перехвата  трафика  применяется  динамический  анализ,  который  включает  модификацию  таблиц  маршрутизации  (как  результат  отсутствия  шифрования  в  протоколе  SNMP  версий  1  и  2),  тогда  как  статический  анализ  представляет  собой  анализ  защиты  устройства  от  атак  по  сторонним  каналам.

На  втором  шаге  для  осуществления  дешифрования  применение  динамического  анализа  включает  передачу  информации  и  последующий  поиск  заданных  сигнатур  в  трафике  (анализ  наличия  шифрования).  Примеры  динамического  тестирования  приведены  в  таблице  3.  Статический  анализ  же  представляет  собой  проверку  спецификаций  на  наличие  шифрования,  а  также  криптографическую  стойкость  используемых  протоколов  и  шифров.

Таблица  3. 

Примеры  динамического  тестирования

Тип

Цель

Пример  теста

Тип  1

SCG  как  хост  в  сети  Интернет

Какого  максимального  уровеня  DDoS-атаки  встроенное  устройство  способно  выдержать  без  учерба  для  функциональности?

Тип  2

Беспроводные  соединения  и  интерфейсы

Какой  минимальный  уровень  шума  требуется  для  невозможности  связи  сервера  базы  данных  и  SCG?

Тип  3

Проводные  соединения  и  интерфейсы

Может  ли  быть  успешно  выполнена  атака  «грубой  силы»  на  систему  аутентификации?

Тип  4

SCG  как  физический  объект

Какое  физическое  воздействие  должно  быть  оказано  на  устройство  для  успешной  DoS-атаки?

 

ЗАКЛЮЧЕНИЕ

Статья  посвящена  исследованию  вопросов  безопасности  информационно-телекоммуникационных  систем  со  встроенными  устройствами.  Задача  построения  среды  автоматизированного  тестирования  встроенных  устройств  включает  построение  модели  нарушителя,  позволяющей  сформировать  систему  тестов,  каждый  из  которых  ориентирован  на  проверку  выполнимости  того  или  иного  требования  к  безопасности  и  ограничений,  задаваемых  для  каждой  категории  нарушителя.  Работа  выполнена  при  финансовой  поддержке  РФФИ  (13-01-00843,  13-07-13159,  14-07-00697,  14-07-00417),  программы  фундаментальных  исследований  ОНИТ  РАН  (контракт  №  2.2),  проекта  ENGENSEC  программы  Европейского  Сообщества  TEMPUS  и  государственных  контрактов  №  14.604.21.0033  и  14.604.21.0137  .

 

Список  литературы:

1.Десницкий  В.А.,  Котенко  И.В.,  Чечулин  А.А.  Конфигурирование  защищенных  систем  со  встроенными  и  мобильными  устройствами  //  Вопросы  защиты  информации.  —  №  2.  —  С.  20—28.  —  2012.

2.Чечулин  А.А.,  Котенко  И.В.,  Десницкий  В.А.  Анализ  информационных  потоков  для  построения  защищенных  систем  со  встроенными  устройствами  //  Системы  высокой  доступности.  —  №  2.  —  С.  116—122.  —  2012.

3.Abraham  D.G.,  Dolan  G.M.,  Double  G.P.,  Stevens  J.V.  Transaction  security  system  //  IBM  Systems  Journal.  —  №  30(2).  —  P.  206—228.  –  1991.

4.Eby  M.,  Werner  J.,  Karsai  G.,  Ledeczi  A.  Integrating  Security  Modeling  into  Embedded  System  Design  //  Proceedings  of  14th  Annual  IEEE  International  Conference  and  Workshops  on  the  Engineering  of  Computer-Based  Systems  (ECBS  '07)  .  —  P.  221—228.  —  2007.

5.Howard  M.  Secure  systems  begin  with  knowing  your  threats  //  2004  —  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://archive.devx.com/upload/free/Features/zones/security/  articles/2000/10oct00/mh1000[1]-1.asp.  —  2000  (дата  обращения  12.12.2012)

6.Kocher  P.,  Lee  R.,  Mcgraw  G.,  Ravi  S.  Security  as  a  new  dimension  in  embedded  system  design  //  Proceedings  of  the  41st  Design  Automation  Conference  (DAC  ’04).  —  P.  753—760.  —  2004.

7.Kommerling  O.,  Kuhn  M.G.  Design  principles  for  tamper-resistant  smartcard  processors  //  Proceedings  of  the  USENIX  Workshop  on  Smartcard  Technology.  —  P.  9—20.  —  1999. 

8.Myagmar  S.,  Lee  A.J.,  Yurcik  W.  Threat  Modeling  as  a  Basis  for  Security  Requirements  //  Symposium  on  Requirements  Engineering  for  Information  Security  (SREIS’05).  2005.

9.Pauli  J.,  Xu  D.  Threat-Driven  Architectural  Design  of  Secure  Information  Systems  //  Proceedings  of  the  International  Conference  on  Enterprise  Information  Systems  (ICEIS’05).  2005. 

10.Rae  A.J.,  Wildman  L.P.  A  Taxonomy  of  Attacks  on  Secure  Devices  //  Department  of  Information  Technology  and  Electrical  Engineering,  University  of  Queensland.  Australia.  —  P.  251—264.  —  2003.

11.Sastry  J.K.R.,  Bhanu  J.S.,  SubbaRao  K.  Attacking  embedded  systems  through  fault  injection  //  2nd  National  Conference  on  Emerging  Trends  and  Applications  in  Computer  Science  (NCETACS).  —  P.  1—5.  —  2011.

12.Serpanos  D.N.,  Papalambrou  A.  Security  and  Privacy  in  Distributed  Smart  Cameras  //  Proceedings  of  the  IEEE.  —  vol.  96.  —  №  10.  —  P.  1678—1687.  —  2008.

Проголосовать за статью
Дипломы участников
У данной статьи нет
дипломов

Оставить комментарий