но относящиеся как к системам с разделением времени, так и к сетевым и персональным компьютерам, работающим в сети.

5.4.1. Понятие безопасности

Термины безопасность и защита иногда смешиваются. Тем не менее часто бывает полезно провести границу между общими проблемами, связанными с гарантией того, что файлы не читаются и не модифицируются неавторизованными лицами, с одной стороны, и специфическими механизмами операционной системы, привлекаемыми для обеспечения безопасности, с другой стороны. Чтобы избежать путаницы, мы будем применять термин безопасность для обозначения общей проблемы и термин механизмы защиты при описании специфических механизмов операционной системы, используемых для обеспечения информационной безопасности в компьютерных системах. Однако фаница между этими двумя терминами определена не четко. Сначала мы познакомимся с вопросами безопасности, чтобы понять природу проблемы. Затем мы рассмотрим механизмы защиты и модели, способствующие обеспечению безопасности.

Проблема безопасности многогранна. Тремя ее наиболее важными аспектами являются природа угроз, природа злоумышленников и случайная потеря данных. Все эти вопросы не будут обойдены вниманием в этой главе. К наиболее распространенным причинам случайной потери данных относятся:

1. Форс-мажор : пожары, наводнения, землетрясения, войны, восстания, животные, питающиеся магнитными лентами или гибкими дисками.

2. Аппаратные и программные ошибки: сбои центрального процессора, нечитаемые диски или ленты, ошибки при передаче данных, ошибки в программах.

3. Человеческий фактор: неправильный ввод данных, неверные вставленный диск или заправленная лента, запуск не той программы, потерянные диск или лента и т. д.

Большая часть этих проблем может быть разрешена при помощи своевременного создания соответствующих резервных копий, хранимых на всякий случай вдали от оригинальных данных.

Проблема злоумышленников представляется более интересной. В литературе по безопасности злоумышленником и иногда неприятелем называют человека, сующего свой нос в чужие дела. Злоумышленники подразделяются на два вида. Пассивные злоумышленники просто пытаются прочитать файлы, которые им не разрешено читать. Активные злоумышленники пытаются незаконно изменить данные. При разработке защиты системы от злоумышленников важно знать врага, против которого нужно возводить укрепления, в лицо. Наиболее распространенными категориями злоумышленников являются:

1. Случайные любопытные пользователи, не применяющие специальных технических средств. У многих людей есть компьютеры, соединенные с общим файловым сервером. И если не установить специальной защиты, благодаря естественному любопытству многие люди станут читать чужую

электронную почту и другие файлы. Например, во многих системах UNIX новые только что созданные файлы по умолчанию доступны для чтения всем желающим.

2. Члены организации, занимающиеся шпионажем. Студенты, системные программисты, операторы и другой технический персонал часто считают взлом системы безопасности локальной компьютерной системы святым долгом. Как правило, они имеют высокую квалификацию и готовы посвящать достижению поставленной перед собой цели значительное количество времени.

3. Те, кто совершают решительные попытки личного обогащения. Некоторые программисты, работающие в банках, предпринимали попытки украсть деньги у банка, в котором они работали. Их схемы варьировались от изменения способов округления сумм в программах, для сбора, таким образом, с миру по нитке, до шантажа ( Заплатите мне, или я уничтожу всю банковскую информацию ).

4. Лица, занимающиеся коммерческим и военным шпионажем. Шпионаж представляет собой серьезную и хорошо финансированную попытку конкурента или другой страны украсть профаммы, коммерческие тайны, ценные идеи и технологии, схемы микросхем, бизнес-планы и т. д. Часто такие попытки включают подключение к линиям связи или установку антенн, направленных на компьютер для улавливания его электромагнитного излучения.

Очевидно, что попытка предотвратить кражу военных секретов враждебным иностранным государством отличается от противостояния шалостям студентов, встраивающих забавные сообщения в систему. Необходимые для поддержания секретности и защиты усилия зависят от предполагаемого противника.

Еще один аспект проблемы безопасности касается права пользователя на конфиденциальность личной информации. Это довольно запутанная тема, связанная с различными юридическими и моральными вопросами. Должно ли и имеет ли право правительство собирать досье на всех и каждого, чтобы поймать лиц, уклоняющихся от налогов или получающих незаконные пособия? Должна ли полиция иметь возможность слежки за всем и вся, пытаясь победить организованную преступность? Есть ли права доступа к частной информации у работодателей и страховых компаний? Что происходит, когда эти права вступают в конфликт с индивидуальными правами граждан? Все эти вопросы имеют чрезвычайно большое значение, но они находятся за пределами рассмотрения данной книги.

5.4.2. Знаменитые дефекты систем безопасности

Подобно знаменитым Титанику и Гинденбургу в транспортной индустрии, в области компьютерной безопасности также были моменты, о которых эксперты предпочли бы не вспоминать. У утилиты Ipr системы UNIX, печатающей файл на

принтере, есть входной параметр, позволяющий удалять печатаемый файл после вывода на принтер. В ранних версиях системы UNIX любой пользователь мог распечатать и удалить с помощью этой утилиты файл паролей.

Другой способ взлома системы UNIX заключался в установке связи с файлом паролей файла с именем core, находящимся в рабочем каталоге пользователя. Затем взломщик намеренно вызывал сбой с сохранением образа памяти SETUID-npo-граммы, который система записывала в файл core, то есть поверх файла паролей. Таким образом, пользователь мог заменить содержимое файла паролей, указав в новом файле несколько строк по собственному усмотрению (задавая их в качестве аргументов команды).

Еще один механизм обхода защиты системы UNIX включал использование команды

mkdiг foo

Утилита mkdir была SETUID-программой, владельцем которой являлась система (root). Эта программа создавала г-узел для каталога foo при помощи системного вызова mknod, после чего изменяла владельца каталога foo со своего идентификатора UID (то есть root) на UID пользователя. Когда системы были медленными, пользователю иногда удавалось успеть быстро удалить г-узел каталога и создать связь с файлом паролей под именем foo после системного вызова mknod, но до вызова chown. Если утилита mkdir выполняла системный вызов chown, она делала пользователя владельцем файла паролей. Поместив необходимые команды в файл сценария оболочки, взломщик мог пытаться выполнить эту операцию снова и снова, пока трюк не срабатывал.

Операционная система TENEX была очень популярна на машинах DEC-10. Теперь она уже не используется, но эта система навечно останется в анналах по компьютерной безопасности благодаря следующей ошибке разработчиков. Система TENEX поддерживала страничную организацию памяти. Чтобы пользователи могли отслеживать поведение собственных программ, можно было запрограммировать систему на вызов функции пользователя при каждом страничном прерывании.

Для защиты файлов в системе TENEX также использовались пароли. Для получения доступа к файлу программа должна была указать операционной системе правильный пароль во время открытия файла. Операционная система проверяла пароль символ за символом, останавливаясь, как только видела, что пароль неверен. Чтобы взломать защиту системы TENEX, злоумышленник мог аккуратно расположить пароль в памяти так, как указано на рис. 5.18, а, поместив первый символ пароля в конце одной страницы, а остальные символы - в начале следующей страницы.

Затем необходимо гарантировать отсутствие в памяти второй страницы, для чего можно, например, много раз обратиться к другим страницам. После этого программа пыталась открыть файл жертвы с помощью тщательно подбираемого пароля. Если первый символ пароля угадан пользователем неверно, система остановит проверку на первом же символе, ответив соответствующим сообщением, и страничного прерывания не произойдет. Если же первый символ верен, опера-