Разрушение системного окружения: "наборы отмычек" и средства создания образа состояния системы
Создание образа системного окружения для нейтрализации механизма проверки контрольных сумм
Существует несколько средств для создания зеркального образа системных томов (табл. 14.3). Эти мощные утилиты помогают сэкономить время и при возникновении внештатной ситуации могут оказаться просто незаменимыми. Однако их побитовая точность фиксирования состояния системы может быть использована для того, чтобы обвести вокруг пальца механизмы обеспечения безопасности, основанные на проверке контрольных сумм текущих системных данных.
Очевидно, что для осуществления подобной атаки требуется высокий уровень доступа к целевой системе, поскольку все перечисленные в табл. 14.3 процедуры требуют перезапуска системы или физического удаления жесткого диска. Впрочем, если взломщик получит этот вид доступа, то с уверенностью можно сказать, что он сможет отвести душу по-настоящему (читателям, которым в это не верится, стоит еще раз перечитать раздел о "наборах отмычек"). Подумайте о практическом применении приложений, основанных на использовании такой системной информации, как содержимое списка процессов, данных о загрузке центрального процессора и т.д. На основе этих данных генерируются контрольные суммы, применяемые в дальнейшем при санкционировании некоторых видов транзакций.
Таблица 14.3. Некоторые технологии копирования состояния системы и связанные с ними программные продукты.
Технология | Программный продукт | Адрес URL |
---|---|---|
Дублирование жестких дисков | Image MASSter OmniClone line | http://www.ics-iq.com http://www.logicube.com |
Клонирование дисков | Drive Image FlashClone Norton Ghost RapiDeploy | http://www.powerguest.com http://www.ics-iq.com http://www.symantec.com http://www.altiris.com |
Работа с виртуальными дисками, защищенными от записи | VMWare | http://www.vmware.com |
Восстановление системы | 9Lives (WIN Bx only) SecondChance (только WIN 9x) | http://www.duomark.com/9Lives http://www.powerquest.com |
Контрмеры
Физическая безопасность всегда должна быть во главе списка защитных мероприятий любой информационной системы. Двери с надежными замками могут предотвратить атаки, направленные на копирование или клонирование системных данных.
Положение становится более серьезным при взломе, при котором злоумышленники пользуются приложением, ранее приобретенным самой компанией. Надежные приложения должны быть основаны на технологиях, которые никак не связаны с функционированием системных компонентов, обеспечивающих возможность использования списка процессов, файловой системы или других данных, которые могут быть легко воспроизведены с помощью средств создания образа системы. Если производители программного обеспечения не спешат делиться техническими подробностями и обосновывать надежность своих программ, лучше поискать какую-нибудь альтернативу.