Добавлен: 29.10.2018
Просмотров: 48103
Скачиваний: 190
776
Глава 9. Безопасность
ленного действия, устроить лазейки, позволяющие инсайдеру получить впоследствии
неавторизованный доступ, и организовать фальсифицированный вход в систему.
В Интернете полно вредоносных программ, в число которых входят троянские кони,
вирусы, черви, программы-шпионы и руткиты. Каждая из этих программ представляет
угрозу конфиденциальности и целостности данных. Хуже того, в результате атак вре-
доносных программ может произойти захват власти над машиной и превращение ее
в зомби-машину, рассылающую спам или способствующую проведению новых атак.
Многие атаки по всему Интернету совершаются армиями зомби-машин под командо-
ванием удаленного владельца программ-роботов.
К счастью, существует ряд способов самозащиты систем. Лучшей стратегией является
глубоко эшелонированная оборона, в которой используется множество технологий.
К ним, в частности, относятся брандмауэры, сканеры вирусов, цифровая подпись
кода, «тюремное заключение» и обнаружение проникновения, а также инкапсуляция
мобильного кода.
Вопросы
1. Тремя компонентами безопасности являются конфиденциальность, целостность
и доступность. Дайте описание приложения, обладающего целостностью и доступ-
ностью, но не обладающего конфиденциальностью, приложения, которое требует
конфиденциальности и целостности, но не требует высокой степени доступности,
и приложения, которое требует конфиденциальности, целостности и доступности.
2. Одной из технологий создания безопасной операционной системы является
минимизация размера высоконадежной вычислительной базы — TCB. Какая из
следующих функций нуждается в реализации внутри TCB и какая может быть
реализована за пределами TCB:
а) переключение контекста процесса;
б) чтение файла с диска;
в) добавление пространства свопирования;
г) прослушивание музыки;
д) получение GPS-координат смартфона.
3. Что такое тайный канал? Каково основное требование к существованию тайного
канала?
4. В полной матрице контроля доступа строки используются для доменов, а столб-
цы — для объектов. Что произойдет, если какой-нибудь объект необходим в двух
доменах?
5. Предположим, что у системы в некий момент времени есть 5000 объектов и 100 до-
менов. 1 % объектов доступен (в некой комбинации из прав на чтение, запись
и исполнение — r, w и x соответственно) во всех доменах, 10 % доступны в двух
доменах, а остальные 89 % доступны только в одном домене. Предположим, что
для хранения прав доступа (некой комбинации r, w и x) идентификатора объекта
или идентификатора домена требуется одна единица пространства. Какой объем
пространства требуется для хранения полной матрицы защиты, матрицы защиты
в виде ACL-списка и матрицы защиты в виде перечня возможностей?
Вопросы
777
6. Объясните, какая реализация матрицы защиты больше подходит для следующих
операций:
a) предоставление доступа к чтению файла всем пользователям;
б) отмена доступа к записи в файл всем пользователям;
в) предоставление доступа к записи в файл пользователям Джону, Лизе, Кристи
и Джеффу;
г) отмена доступа к выполнению файла со стороны пользователей Яны, Майка,
Молли и Шейна.
7. В этой главе рассматривались два различных защитных механизма: перечни воз-
можностей и списки управления доступом. Скажите, какие из этих механизмов
могут использоваться для решения следующих проблем защиты:
а) Кен хочет, чтобы его файлы могли читать все, кроме его офисного помощника;
б) Митч и Стив хотят совместно пользоваться некоторыми секретными файлами;
в) Линда хочет, чтобы некоторые ее файлы были общедоступными.
8. Представьте информацию о владельцах и разрешениях, показанную в листинге
каталога операционной системы UNIX, в виде матрицы защиты.
Примечание
: пользователь asw является членом сразу двух групп: users и devel,
а пользователь gmw — членом только одной группы users. Обоих пользователей
и обе группы следует представить в виде доменов, чтобы у матрицы было четыре
строки (по одной для каждого домена) и четыре столбца (по одному для каждого
файла):
–rw–r––r–– 2 gmw users 908 May 26 16:45 PPP–Notes
–rwxr–xr–x 1 asw devel 432 May 13 12:35 prog1
–rw–rw–––– 1 asw users 50094 May 30 17:51 project.t
–rw–r––––– 1 asw devel 13124 May 31 14:30 splash.gif
9. Представьте права доступа, показанные в листинге каталога в предыдущей задаче,
в виде ACL-списков.
10. Измените ACL-список из предыдущей задачи для одного файла для предостав-
ления или отмены доступа, которые не могут быть выражены с помощью rwx-
системы UNIX. Объясните это изменение.
11. Предположим, что имеются три уровня безопасности, 1, 2 и 3. Объекты A и B на-
ходятся на уровне 1, C и D — на уровне 2, а E и F — на уровне 3. Процессы 1 и 2
находятся на уровне 1, 3 и 4 — на уровне 2, а 5 и 6 — на уровне 3. Укажите для
каждой из следующих операций, является ли она допустимой согласно модели
Белла — Лападулы, модели Биба или согласно обеим моделям.
а) процесс 1 ведет запись в объект D;
б) процесс 4 осуществляет чтение из объекта A;
в) процесс 3 осуществляет чтение из объекта C;
г) процесс 3 ведет запись в объект C;
д) процесс 2 осуществляет чтение из объекта D;
е) процесс 5 ведет запись в объект F;
ж) процесс 6 осуществляет чтение из объекта E;
778
Глава 9. Безопасность
з) процесс 4 ведет запись в объект E;
и) процесс 3 осуществляет чтение из объекта F.
12. В схеме Amoeba для защиты возможностей пользователь может попросить сервер
создать новый элемент перечня возможностей с меньшими правами, который
затем может передать своему другу. Что произойдет, если друг попросит сервер
удалить еще больше прав, чтобы он смог передать новый элемент перечня возмож-
ностей кому-нибудь еще?
13. В модели, показанной на рис. 9.9, отсутствует стрелка от процесса B к объекту 1.
Можно ли разрешить поставить такую стрелку? Если нет, то какое правило это
нарушит?
14. Если в модели, показанной на рис. 9.9, разрешены сообщения от процесса к про-
цессу, какие правила будут к ним применены? В частности, к каким процессам
может, а к каким не может отправить сообщение процесс B?
15. Рассмотрите стеганографическую систему, приведенную на рис. 9.12. Каждый
пиксел может быть представлен в пространстве цветов как точка в трехмерной
системе с осями R, G и B. Используя это пространство, объясните, что происходит
с цветовым разрешением при таком же использовании стеганографии, как на этом
рисунке.
16. Взломайте следующий моноалфавитный шифр. Открытый текст состоит только из
букв и является хорошо известной цитатой из стихотворения Льюиса Кэрролла.
kfd ktbdfzm eubdkfdpzyiom mztxku kzyg ur bzha kfthcm
ur mfudm zhx mftnm zhx mdzythc pzq ur ezsszcdm zhx gthcm
zhx pfa kfd mdz tm sutythc fuk zhx pfdkfdi ntcm fzld pthcm
sok pztk z stk kfd uamkdim eitdx sdruid pd fzld uoi efzk
rui mubd ur om zid uok ur sidzkfzhx zyy ur om zid rzk
hu foiia mztxkfd ezindhkdi kfda kfzhgdx ftb boef rui kfzk
17. Дан шифр с секретным ключом, имеющий матрицу 26 × 26 со столбцами и стро-
ками, озаглавленными буквами A, B, C, ..., Z. Открытый текст шифруется по два
символа. Первый символ указывает столбец, а второй — строку. Ячейка на пере-
сечении строки и столбца содержит два символа зашифрованного текста. Каким
ограничениям должна отвечать матрица и сколько в ней ключей?
18. Рассмотрите следующий способ шифрования файла. Алгоритм шифрования ис-
пользует два массива размером n байт, A и B. Первые n байт считываются из файла
в A. Затем A[0] копируется в B[i], A[1] копируется в B[j], A[2] копируется в B[k]
и т. д. После того как все n байт скопированы в массив B, этот массив записывается
в выходной файл, и в A считываются еще n байт. Эта процедура продолжается до
тех пор, пока не будет зашифрован весь файл. Заметьте, что здесь шифрование
производится не заменой одних символов другими, а изменением порядка их
следования. Сколько ключей должно быть перепробовано для исчерпывающего
поиска в пространстве этих ключей? Назовите преимущества такой схемы над
шифром моноалфавитной подстановки.
19. Шифрование с секретным ключом эффективнее, чем шифрование с открытым
ключом, но оно требует, чтобы отправитель и получатель заранее договорились
об используемом ключе. Предположим, что отправитель и получатель никогда
не встречались, но существует доверенная третья сторона, у которой есть общий
Вопросы
779
секретный ключ с отправителем и еще один общий секретный ключ с получателем.
Как при таких обстоятельствах отправитель и получатель могут установить новый
общий секретный ключ?
20. Приведите простой пример математической функции, которая в первом прибли-
жении будет односторонней функцией.
21. Предположим, что два незнакомых человека, A и B, хотят обмениваться инфор-
мацией, используя шифрование с секретным ключом, но не имеют общего ключа.
Предположим, что оба они доверяют третьей стороне, C, имеющей общеизвестный
открытый ключ. Как при таких обстоятельствах эти два незнакомых человека
могут создать новый общий секретный ключ?
22. По мере распространения интернет-кафе людям понадобились способы проник-
новения в любую точку мира и ведения в ней бизнеса. Опишите способ создания
документа с подписью, использующий смарт-карты (предположим, что все ком-
пьютеры оборудованы считывателями смарт-карт). Насколько безопасна будет
ваша схема?
23. Текст на естественном языке в формате ASCII может быть сжат с помощью раз-
личных алгоритмов сжатия по крайней мере на 50 %. Учитывая это обстоятельство,
определите, сколько текста в формате ASCII (в байтах) вместит в себя графиче-
ское изображение размером 1600 × 1200 пикселов, если в методе стеганографии
использовать биты младших разрядов каждого пиксела? Насколько увеличится
размер изображения в результате применения данной технологии (предполагает-
ся, что шифрование не применяется или шифрование не увеличивает размеров
данных)? Чему равна эффективность данной схемы, то есть отношение полезной
информации к общему числу передаваемых байтов?
24. Предположим, что узкая группа политических диссидентов, живущих в государ-
стве с репрессивным режимом, использует стеганографию, чтобы посылать во
внешний мир сообщения о положении в их стране. Правительство знает об этом
и борется с группой, посылая поддельные изображения, содержащие фальшивые
стеганографические сообщения. Как диссидентам помочь людям отличить на-
стоящие сообщения от фальшивых?
25. Перейдите по адресу
www.cs.vu.nl/~ast
и щелкните на ссылке
covered
writing
. Сле-
дуя инструкциям, извлеките пьесы. Ответьте на следующие вопросы:
а) Каковы размеры исходного и полученного файлов с зебрами?
б) Какие пьесы тайно хранятся в файле с зебрами?
в) Сколько байт тайно хранится в файле с зебрами?
26. Ничего не отображать на экране при вводе пароля безопаснее, чем отображать
звездочку при вводе каждого символа, поскольку при втором варианте кто-нибудь
стоящий рядом может подсмотреть длину пароля. Если предположить, что пароль
состоит только из букв в верхнем и нижнем регистре и цифр и должен содержать
минимум пять и максимум восемь символов, насколько безопаснее вообще ничего
не отображать на экране?
27. После
получения диплома вы подаете заявление с просьбой принять вас на работу
директором крупного университетского компьютерного центра, который только
что отправил в утиль древние универсальные системы и перешел на большие сете-
780
Глава 9. Безопасность
вые серверы под управлением системы UNIX. Вас приняли на работу, и буквально
через 15 минут после того, как вы к ней приступили, в ваш кабинет ворвался по-
мощник и закричал: «Студенты вскрыли алгоритм, которым мы пользуемся для
шифрования паролей, и опубликовали его в Интернете». Что вы будете делать?
28. Схема защиты Морриса — Томпсона с n-разрядными случайными числами (со-
лью) была разработана, чтобы затруднить взломщику отгадывание паролей при
помощи зашифрованного заранее словаря. Защищает ли такая схема от студентов,
пытающихся угадать пароль привилегированного пользователя? Предполагается,
что файл паролей доступен для чтения.
29. Предположим, что у взломщика есть доступ к файлу паролей. Насколько больше
времени понадобится взломщику на взлом всех паролей в системе, использующей
схему защиты Морриса — Томпсона с n-разрядными случайными числами (солью),
по сравнению со взломом паролей в системе, не использующей эту схему?
30. Назовите три характеристики, которыми должен обладать хороший биометриче-
ский индикатор, чтобы его можно было использовать в качестве аутентификатора
при входе в систему.
31. Механизмы аутентификации разбиваются на три категории: что-нибудь, что знает
пользователь, что-нибудь, что он имеет, и что-нибудь, что он собой представляет.
Представьте себе систему аутентификации, использующую сочетание этих трех
категорий. Например, сначала она запрашивает у пользователя логин и пароль,
затем просит вставить пластиковую карту (с магнитной полосой) и ввести ПИН-
код и, наконец, просит предоставить отпечатки пальцев. Можете ли вы придумать
два недостатка такой процедуры?
32. У
факультета вычислительных систем есть локальная сеть с большим количеством
машин, работающих под управлением операционной системы UNIX. Пользователь
на любой машине может ввести команду вида
rexec machine4 who
и эта команда будет выполнена на компьютере machine4 без входа пользователя
в систему этого удаленного компьютера. Это свойство реализовано за счет того,
что ядро пользовательской машины отправляет команду и ее UID удаленной
машине. Надежна ли такая схема при надежности всех ядер? А что, если одна из
машин представляет собой персональный компьютер студента, на котором не
установлено никакой защиты?
33. Схема одноразовых паролей Лэмпорта использует пароли в обратном порядке.
А не проще ли было сначала использовать f(s), потом f(f(s)) и т. д.?
34. Существует ли какой-нибудь реальный способ использования аппаратуры MMU
для предотвращения атаки переполнения буфера, показанной на рис. 9.21? Объ-
ясните, почему да или почему нет.
35. Опишите работу стековых «канареек» и возможные способы их обхода взлом-
щиками.
36. При проведении TOCTOU-атаки используются условия состязательности между
взломщиком и жертвой. Один из способов предотвращения условий состязатель-
ности состоит в создании транзакций доступа к файловой системе. Объясните,
как этот подход может работать и какие проблемы могут при этом возникнуть?