Programy ohrozujici bezpecnost

v teto casti se budeme zabyvat pouze aplikacnimi programy

programy mohou poskodit ci zcela znicit data, zpusobit kompromitaci utajovanych skutecnosti, omezit a popripade vyloucit funkcnost celeho systemu.

Utoky proti integrite a utajeni dat

Trapdoors

pojmem oznacujeme nedokumentovany vstup do programoveho modulu, nejcasteji byva vytvoren v ramci tvorby tohoto modulu za ucelem snazsiho ladeni:

• doplneni prikazu do mnoziny prikazu, ktere modul normalne vykonava. Doplneny prikaz napr. aktivuje ladici tisky apod.
• spatne osetrene vstupy modulu, modul nerozezna nepripustna vstupni data, ale nechova se a nich korektne
• nekdy jsou trapdoors nutne pro provedeni auditu systemu

trapdoors jsou obvykle odstraneny pred dokoncenim modulu, ale mohou byt opomenuty, ponechany za ucelem ladeni dalsich modulu ci snazsi spravy dokonceneho programu, nebo pro ziskani neopravneneho pristupu k bezicimu programu

Trojske kone (trojan horses)

program, ktery krome svych "radnych" funkci vykonava jeste dalsi skryte akce

objevit Trojskeho kone v programu o stovkach tisic ci milionech radku je velmi obtizne, navic v tomto smyslu muze byt program upraven az nasledne po otestovani a zarazeni do provozu

Salamovy utok (salami attack)

jde o programy, ktere se snazi vyuzivat ve svuj prospech malych zaokrouhlovacich chyb na hranici presnosti pocitace

...ve velkem mnozstvi

program, prevadejici na programatorovo konto zaokrouhlovaci chyby pri vypoctu uroku

• program zajistujici bezhotovostni platby, ktery cas od casu zvysi klientovi poplatky o malou sumu, kterou pak prevede na vhodny ucet
• upraveny scheduler, spoustejici vybrane programy v case behu jinych

salamovy utok je opet velmi tezko detekovatelny, nebot byva provaden v rozsahlych SW systemech, navic nepusobi viditelne problemy

objeveni casto pouze nahodne

Skryte kanaly (covert channels)

v prostredich spravujicich klasifikovane informace zpravidla aplikacni programatori po ukonceni vyvoje nemaji pristup k bezicim programum

chteji-li ziskat pristup ke zpravovanym informacim, vytvori skryty kanal

implementace je naprosto obecna:

• zdanlive chyby na vypisech
• existence ci neexistence specifickych souboru
• vznik jistych systemovych udalosti
• nepatrne zmeny front-endu
• ...

zvlaste vhodne pro unik maleho mnozstvi informace, opet prakticky nedetekovatelne

Utoky proti dosazitelnosti sluzeb systemu

Hladove programy (greedy programs)

• na mnoha pocitacich bezi s velmi nizkou prioritou programy, ktere vykonavaji nejruznejsi zdlouhave vypocty, ktere "nepospichaji"
  nechtene ci umyslne zvyseni priority muze znamenat zahlceni celeho systemu
• dalsim pripadem procesy generujici velke mnozstvi synovskych procesu, mnohdy chybou programu
• programy bezici v nekonecne smycce
  operacni systemy casto obsahuji obranne mechanimy, ktere nasilne ukonci programy, jez bezi prilis dlouho
• v dobe provadeni I/O operace nebezi virtualni cas procesu, tedy procesy generujici velmi velke mnozstvi I/O operaci mohou bezet takrka neomezene dlouho

Viry

(maly) program s autoreprodukcni schopnosti

• zpravidla se pripoji nebo nahradi cast kodu napadeneho programu, pri spusteni tohoto programu se nejprve provede kod viru, ktery se nainstaluje do pameti a prevezme nebo pozmeni nektere funkce systemu
• viry casto obsahuji obranne mechanismy proti detekci, jsou schopny instanci od instance podstatnym zpusobem menit vlastni kod, po nainstalovani do pameti provedou operace, jez ostatnim programum ucini pouzitou oblast pameti nedostupnou
• velmi casto po urcitou dobu pouze provadeji reprodukci bez jakychkoliv vedlejsich projevu - v dobe odhaleni tak muze byt napadena drtiva vetsina programu
• sireni viru castecne omezuje nastup systemu poskytujicich ochranu pameti a dokonalejsi spravu prostredku, tyto systemy vsak byvaji komplikovane a dokazi tak poskytnout ukryt mnohem komplexnejsim virum
• nasledky virove nakazy maji nejruznejsi podobu - od prevazne neskodnych zvukovych ci obrazovych efektu, ktere pouze rozptyluji obsluhu a zatezuji pocitac az po rozsahla poskozeni ci zniceni veskerych dat a programu
• podminkou sirena viru je neopatrna manipulace s programovym vybavenim, prenaseni vetsinou nelegalniho software atp.
• dobrou onranou je krome proskoleni personalu tez rozdeleni veskerych programu a souvisejicich dat do oddilu, ktere jsou navzajem dostatecne oddeleny, tak aby nemohlo dochazet k sireni viru z jednoho oddilu do druheho.

Cervy (worms)

sitova obdoba viru, maji schopnost prostrednictvim komunikacnich linek se sirit z jednoho pocitace na druhy

• obecne vzato maji stejne zhoubne ucinky jako viry, avsak diky schopnostem samovolne se sirit v dnes jiz celosvetovem meritku je jejich expanze daleko rychlejsi (radove hodiny!) a dopad tedy daleko vetsi
• obranou je rovnez kvalitni sprava programoveho vybaveni, pouzivani pouze dobre otestovanych programu a rozdeleni site na domeny, mezi kterymi dochazi k minimalnimu sdileni informaci, ktere je navic podrobeno dukladne kontrole

Metody vyvoje bezpecneho programoveho vybaveni

programatori maji k dispozici mnoho prostredku jak prekonat obranne mechanismy systemu

pri vyvoji software je tedy nutne pouzivat metody eliminujici tyto snahy

Peer reviews

rozsahly ukol, ktery tym resi je rozdelen na mensi casti, moduly, jejichz reseni ma za ukol nektery clen tymu

dokonceny navrh reseni a dokonceny kod jsou podrobeny oponenture ostatnich clenu tymu na spolecnem sezeni

doporuceny rozsah modulu je 30 - 60 radek

Modularita, zapouzdreni, ukryti informaci

• program ma byt rozdelen na male navzajem nezavisle moduly
  vyhodou snadna udrzovatelnost, srozumitelnost, znovupouzitelnost, opravitelnost, testovatelnost
• moduly mezi sebou maji minimum vazeb, veskere interakce se odehravaji pres precizne definovane a zdokumentovane rozhrani
• staci, aby vsechny moduly meli definovany vstup, vystup a funkci, je nezadouci sirit zpusob, jak modul svoji funkci provadi - nemuze tak dochazet k umyslnym pozmenovanim ostatnich modulu

Nezavisle testovani

je obtizne prokazovat spravnost programu - to ze nebyly nalezeny chyby muze pouze znamenat, ze byla pouzita nevhodna metodika testovani

testovani by mel provadet nezavisly tym - snizuje se nebezpeci, ze vysledny program obsahuje nezadouci kod, ci ze nebyl dodrzen puvodni cil projektu.

Sprava konfiguraci (Configuration management)

hlavnim cilem je zajisteni dostupnosti a pouzivani spravnych verzi software

obcas je potreba vratit se k verzi pred provedenim jistych uprav, tento problem je zavaznejsi v prostredi, kde na projektu pracuje cely tym

• Sprava konfiguraci zajistuje udrzovani integrity programu a dokumentace, veskere zmeny jou vyhodnocovany a zaznamenavany
• Sprava konfiguraci zabranuje umyslnym zmenam jiz odzkousenych programu (vkladani trapdoors, logickych bomb, ...)

Hlavni duvody pro zavedeni spravy konfiguraci

1. Zabranuje nechtenym ztratam predchozich verzi software
2. Odstranuje komplikace pri vyvoji nekolika podobnych verzi (napr. pro ruzne platformy) zaroven
3. Poskytuje mechanismus pro kontrolovane sdileni modulu, z nichz je skladan vytvareny system

Za ucelem udrzeni prehledu je nutne vest dukladnou dokumentaci vsech kopii, spravou konfiguraci se zpravidla zabyva vycleneny pracovnik.

Programator pracuje na vlastnim exemplari modulu, ktery po ukonceni etapy jej preda sprave konfiguraci vcetne popisu provedenych uprav a celkove charakteristiky a dale jiz v nem nemuze cinit zmeny.

Je vhodne, aby spravce konfiguraci prijimal programy vyhradne ve zdrojove forme se soupisem a popisem provedenych zmen. Nutne vest detailni log co, kdo, kdy delal.

Dukazy spravnosti programu

Halting problem -> neexistuje obecna metoda jak overit, ze program dela jen to co ma a nic jineho

existuje metoda spocivajici v prevedeni programu v soustavu logickych formuli, pomoci kterych lze overit, zda jistym vstupum odpovidaji pozadovane vysledky

problemem je korektnost prevodu na logicke formule a velka casova slozitost vyhodnocovani

na vetsi systemy zatim prakticky nepouzitelne

Kontrolni mechanismy operacniho systemu

Ne vsechny programy jsou vyvijeny podle techto zasad, mnohe z nedostatku programu vsak muze pokryt vhodne navrzeny operacni system

Spolehlivy software

Program je funkcne korektni pokud vykonava spravne vsechny ocekavane funkce a nic vic.

Spolehlivym software (trusted software) rozumime programy o kterych verime, ze jsou funkcne korektni a ze tuto korektnost vynucuji i modulu, ktere samy spousteji.

operacni system je zpravidla spolehlivy sw.

Vlastnosti spolehlivych programu

• Funkcni korektnost - viz. vyse
• Zajisteni integrity - pgm. zachova korektnost pouzivanych dat i v pripade nespravnych prikazu nebo prikazu zadanych neopravnenymi uzivateli
• Omezena prava - program majici pristup k utajovanym datum minimalizuje pristup k temto datum, pristup nepostupuje dalsim ne-spolehlivym programum
• Vhodna uroven opravneni - program byl zkousen v souladu s mirou utajeni dat, ktera spravuje a s ohledem na prostredi, ve kterem bezi

Spolehlivy sw. zajistuje pristup k citlivym datum pro (obecne nespolehlive) uzivatele, kterym neni mozne dat primy pristup k prvotni reprezentaci dat. Dale zajistuje provadeni sensitivnich operaci.

Vzajemne podezrivani (Mutual suspicion)

ne vsechny programy jsou spolehlive, ani s pomoci OS neni vzdy mozne spolehlivost vynutit

programy vytvorene podle konceptu vzajemneho podezrivani pracuji jako kdyby ostatni moduly byly vadne

• neveri volajicim, ze predavaji korektni vstupy
• overuji, ze volana rutina predala spravna data
• s ostatnimi komunikuji pouze prostrednictvim dobre chraneneho rozhrani

Omezeni (Confinement)

pouzivaji operacni systemy proti podezrelym programum

podezrely program ma prisne vymezeno, jake systemove zdroje smi pouzivat

Parcelizace informaci (Information compartement)

veskera data a programy v systemu jsou rozdelena do nekolika oblasti, kazda informace lezi prave v jedne oblasti, kazdy program muze pracovat s daty z nejvyse jedne oblasti, do ktere sam patri

Access Log

system musi zaznamenavat co, kdo, kdy, s cim a jak dlouho delal

podle stupne utajeni se voli mnozina zaznamenavanych aktivit, zejmena je nutne zaznamenavat chyby (nepovolene pristupy, spatna hesla, ...)

Administrativni nastroje ochrany

nekdy muze byt vhodne ovlivnovat primo lidsky faktor, a ne az vysledny produkt

Standardy vyvoje programu

neni vhodne povolovat programatorum, aby pracovali zcela dle sveho, je treba mit na pameti, ze vysledny kod musi byt verifikovatelny, udrzovatelny apod.

nejcatejsi administrativni kontroly vyvoje software

Standardni navrh - obsahuje popis povolenych vyvojovych prostredku, jazyku, metodologii

Standardy pro tvorbu dokumentace, stylu kodovani, jazyka - popis, jak ma vysledny kod vypadat, volby nazvu promennych, styl komentaru, ...

Standardy programovani - zavazne popisy, jakym zpusobem se provadi programatorska prace v globalnim meritku, rozpisy peer reviews, auditu programu apod.

Standardy testovani - soupis pouzivanych verifikacnich metod, archivovani vysledku testu ...

Standardy konfiguracniho managementu - zpusoby vymeny produktu, zpusob zaznamenavani zmen, ...

standardy jsou dulezite pri tymove praci, zabranuji vzniku modulu, kterym rozumi pouze autor

Dodrzovani standardu vyvoje programu

aby byly efektivni, musi byt standardy dusledne dodrzovany za vsech okolnosti

typickymi situacemi, kdy vznikaji tendence je porusovat jsou okamzky, kdy projekt nabira zpozdeni proti planu, po odchodu klicovych pracovniku apod.

dodrzovani standardu by meli podporovat pravidelne audity bezpecnosti (security audits) provadene nezavislym bezpecnostnim tymem

Rozdeleni ukolu

je vhodne praci rozdelit mezi vice lidi, kteri se znaji co mozna nejmene

omezuje se tak nebezpeci vzniku bezpecnost ohrozujicich programu, navic pokud programator ocekava, ze jeho kod bude podroben zkoumani nezavisleho testovaciho tymu, omezi sve nekale aktivity

Charakter prijimanych pracovniku

firmy bezne sestavuji profily svych potencialnich pracovniku a prijimane podrobuji vsestranemu zkoumani, zda nebodou predstavovat hrozbu pro bezpecnost - obvykle jsou reference z drivejsich pusobist, psychologicke testy apod.

po prijeti ma pracovnik povetsinou velmi omezeny pristup k senzitivnim informacim, az casem ziskava duveru a tim i rozsahlejsi bezpecnostni opravneni

Sledovani pracovniku

je vhodne vest co nejpodrobnejsi informace o pracovnicich, zejmena o:

• vybranych zalibach (hrani, drogy, sex, jine financne narocne konicky)
• neobvyklych zmenach chovani pracovnika
• nenadalych zmenach majetkovych pomeru