Методы защиты программных средств вне доверенной вычислительной среды тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Цивин, Сергей Владимирович

Современный этап развития информационных технологий характеризуется постоянным увеличением доли функций, реализуемых с помощью программных средств (ПС). Одновременно возрастает ответственность возлагаемых на ПС функций, увеличивается сфера и разнообразие условий их применения. В то же время многие вопросы безопасности применения ПС еще недостаточно исследованы, и многие проблемы не решены.

Ярким примером является проблема несанкционированного копирования (НСК) или "компьютерное пиратство". Эта проблема приносит значительный материальный ущерб производителям и правообладателям ПС. Несмотря на то, что проблема остро стоит в течение длительного времени, для нее до сих пор не найдено эффективного технического решения, которое, с одной стороны, обеспечивало бы надежную защиту, а с другой, не создавало помех работе пользователя и имело приемлемую стоимость [11].

Нерешенные проблемы имеются и в рамках задачи защиты ПС в интересах их пользователей. До недавнего времени этот аспект проблемы безопасного применения ПС считался более «благополучным», поскольку проблема, как правило, рассматривалась не самостоятельно, а в рамках обеспечения безопасности информационной системы в целом. Для решения задачи защиты ПС в такой постановке разработаны эффективные механизмы, и, в частности, механизмы, основанные на криптографических методах. Однако развитие информационных технологий привело к появлению новых сфер применения ПС, где подобный подход оказывается неприменимым.

Примером может служить технология мобильных программных агентов [38, 45], которая является новым шагом в развитии концепции распределенных вычислений [40]. Эта технология имеет большие перспективы в приложениях электронной коммерции, а также для управления, диагностирования и обеспечения безопасности вычислительных сетей, в частности, в системах обнаружения вторжения [35, 43]. Мобильные программные агенты (МПА) представляют собой разновидность ПС, отличительная особенность которых состоит в том, что они имеют возможность автономно перемещаться по узлам сети (хостам). Это приводит к возникновению новой угрозы: оператор хоста может атаковать программного агента, находящегося на контролируемом им хосте. Эта проблема безопасности ПС получила название проблемы злоумышленного хоста [44].

Проблема ИСК и проблема злоумышленного хоста сходны тем, что в обоих случаях вычислительная среда, в которой функционируют ПС, не является доверенной. Для проблемы ИСК субъектом, в интересах которого осуществляется защита, является правообладатель ПС, а субъектом, контролирующим вычислительную среду, является пользователь ПС. Интересы этих субъектов, как правило, не совпадают. В случае проблемы злоумышленного хоста защита ПС осуществляется в интересах пользователя, а вычислительная среда контролируется оператором хоста.

Проблемы безопасности ПС, которые приводят к необходимости решения задачи защиты ПС вне доверенной вычислительной среды, показаны на рис. 1.

Рис. 1. Проблемы безопасности ПС, требующие обеспечения защиты ПС вне доверенной вычислительной среды

Задача защиты ПС вне доверенной вычислительной среды представляет собой наиболее сложный и малоисследованный аспект обеспечения безопасности применения ПС. Традиционный подход, опирающийся на аппаратные средства, входящие в вычислительную среду, в данном случае оказывается неприменимым. В условиях враждебной вычислительной среды защита ПС может основываться либо на использовании вспомогательных аппаратных средств, либо на защитных свойствах самих ПС. Первый подход приводит к удорожанию ПС и ограничивает сферу их применения, а иногда и вообще неприемлем (например, когда необходимо обеспечить полностью программное решение). Второй подход, хотя он часто используется на практике, не имеет проработанного теоретического обоснования.

С точки зрения обеспечения безопасности, свойства ПС невыгодно отличаются от свойств многих других объектов защиты. С одной стороны, ПС являются информационным объектом и не обладают естественными защитными свойствами физических объектов, например, физической оболочкой. С другой стороны, условия применения ПС не позволяют эффективно использовать для их защиты методы, традиционно применяемые для обеспечения безопасности других информационных объектов. Рассмотрим проблемы безопасности применения ПС более подробно.

Разработка ПС требует значительных усилий и капиталовложений. В то же время их несанкционированное копирование практически не требует материальных затрат. Схема осуществления ИСК проста. Пользователь каким-либо образом, возможно законным, приобретает экземпляр ПС, после чего осуществляет его незаконное копирование и распространение.

Известная схема защиты от ИСК состоит в том, чтобы искусственными мерами создать связь между экземплярами ПС и некоторыми внешними по отношению к ПС объектами, копирование которых затруднено. Такие объекты называют идентифицирующими элементами [21]. В качестве идентифицирующего элемента может быть использован физический объект, индивидуальные характеристики вычислительной среды или некоторый информационный объект (серийный номер, ключ активации и т.п.) Для обеспечения взаимосвязи ПС и идентифицирующего элемента к ПС добавляют некоторую функцию, осуществляющую взаимодействие с этим элементом. Схема защиты ПС от ИСК показана на рис. 2.

Прямая атака на такую схему защиты состоит в копировании идентифицирующего элемента. Однако, в большинстве случаев, более эффективной оказывается косвенная атака, направленная на модификацию или фальсификацию работы функции проверки идентифицирующего элемента. Функция взаимодействия с идентифицирующим элементом является слабым местом защиты от НСК и определяет низкую эффективность таких методов в целом. Таким образом, основная трудность защиты от НСК состоит в отсутствии эффективных методов защиты текста ПС от изучения и модификации.

Актуальность проблемы защиты ПС от НСК объясняется также тем, что ее решение позволило бы обеспечить техническую защиту авторского права и на другие объекты, например, данные, представленные в электронном виде (справочные системы, базы данных, и т.п.) Для осуществления защиты данные представляются в

Экземпляр ПС

Функция проверки идентифицирующего ^ элемента соответствие

Рис. 2. Схема защиты ПС от НСК маскированном виде. Доступ к ним возможен только с помощью специализированного ПС. Схема защиты авторских прав на данные показана на рис. 3.

ПС доступа к данным маскирование/ демаскирование

Маскированные данные

Пользователь

Рис. 3. Защита авторских прав на данные

Эффективность такой защиты определяется эффективностью защиты ПС доступа к данным от ИСК. Кроме того, ПС должно быть защищено от изучения, чтобы нарушитель не мог восстановить алгоритм демаскирования данных.

Другая упомянутая нами проблема - проблема злоумышленного хоста - затрагивает интересы пользователей мобильных программных агентов. Вычислительная среда, в которой функционирует агент, называется агентной платформой. Агентная платформа, на которой агент начинает свою жизнь, называется домашней. Эта платформа контролируется пользователем агента и является доверенной. Остальные агентные платформы являются потенциально враждебными.

Находясь на враждебной платформе, агент уязвим для широкого класса атак. Например, агент уязвим даже для таких простых атак, как неправильное выполнение системных функций платформы или задержка исполнения агента до тех пор, пока его цель не потеряет смысл. Очевидно, что обеспечить защиту от некоторых из этих атак невозможно. В то же время путем защиты текста ПС от изучения можно добиться того, что атаки нарушителя будут иметь случайный характер [44].

Таким образом, уже на интуитивном уровне видно, что для решения задачи защиты ПС вне доверенной вычислительной среды основным условием является обеспечение скрытности деталей реализации ПС от нарушителя, т.е. создание аналога физической защитной оболочки вокруг ПС. Различные методы защиты ПС по-разному пытаются решить эту задачу. Классификация существующих методов защиты показана на рис. 4.

Рис. 4. Классификация известных методов защиты ПС

В основу первого уровня классификации положена степень зрелости методов защиты. Исследование проблемы защиты ПС вне доверенной вычислительной среды находится в начальной фазе, поэтому основная масса используемых методов защиты принадлежит к классу интуитивных методов. Формализованные методы защиты ПС до сих пор не получили широкого распространения. Кроме того, большинство из них опирается на использование вспомогательных аппаратных средств, например, криптопроцессоров [34, 36, 41, 46], что ограничивает область их применения.

Одним из принципиально новых направлений в области защиты ПС является метод вычислений с зашифрованными функциями, предложенный Т. Сандером и С. Чудиным [52, 53, 54]. Данный метод основан на оригинальной идее, заключающейся в переносе защиты с синтаксического уровня на семантический (маскируется не текст ПС, а реализуемая им функция). В результате уязвимость, порождаемая отсутствием оболочки вокруг текста ПС, становится неактуальной. В тоже время метод по своей природе не является универсальным, т.к. зашифрованная функция вырабатывает зашифрованный результат, который не может быть использован без взаимодействия с доверенными компонентами информационной системы.

Недостатки интуитивных методов очевидны, однако анализ этих методов дает возможность «нащупать» подходы к формальному решению проблемы. С этой точки зрения все методы данного класса можно разделить на две группы: методы, использующие для защиты универсальные свойства ПС, и методы, использующие особенности конкретных вычислительных сред и/или инструментов нарушителя [11, 23, 24]. Методы второй группы не являются универсальными и не могут служить основой для построения формализованных методов защиты.

В числе методов первой группы можно назвать маскирование [11], осуществляющее преобразование кодов, и алгоритмы запутывания [44], осуществляющие преобразование структуры ПС. Оба метода изменяют свойства ПС, увеличивая трудоемкость задачи изучения деталей реализации ПС нарушителем. Основные недостатки данной группы методов проистекают из их неформального характера. Эффективность этих методов практически полностью зависит от субъективных факторов, кроме того, для этих методов невозможно получить достоверную оценку защищенности.

Целью настоящей работы является разработка и анализ методов защиты ПС вне доверенной вычислительной среды без использования вспомогательных аппаратных средств.

Задачи исследования:

1. Разработать метод защиты ПС вне доверенной вычислительной среды путем формального преобразования кодов.

2. Разработать метод защиты ПС вне доверенной вычислительной среды путем формального преобразования структуры.

3. Разработать комбинированный метод защиты ПС вне доверенной вычислительной среды, сочетающий в себе преобразование кодов и структуры.

4. Провести анализ характеристик разработанных методов.

Методы исследования основаны на использовании аппарата теории графов, теории схем программ, теории конечных автоматов и имитационного моделирования.

Научная новизна работы состоит в следующем:

1. Предложен метод защиты ПС путем формального преобразования их кодов, основанный на использовании множества одноразовых алгоритмов маскирования.

2. Предложен метод защиты ПС путем формального преобразования их структуры, основанный на замене статических связей по управлению динамическими.

3. Предложен метод защиты ПС путем комбинирования преобразований их кодов и структуры.

4. Предложена методика исследования характеристик методов защиты ПС с помощью имитационного моделирования.

Практическая ценность:

1. Разработан эффективный метод защиты ПС вне доверенной вычислительной среды, основанный на комбинированном преобразовании.

2. Разработана методика получения характеристик методов защиты ПС, позволяющая выбирать оптимальное сочетание защищенности и вычислительной эффективности.

3. Разработаны технология и программные средства, реализующие комбинированный метод защиты ПС.

13

Основные результаты диссертационной работы и разработанное программное обеспечение внедрены при построении систем защиты ПС для ЗАО «Лукойл-информ». Результаты внедрения подтверждены соответствующими актами.

Автор выражает глубокую благодарность своему научному руководителю С.Л. Зефирову, а также В.В. Андрианову, В.Г. Пучкову, С.Л. Бочкареву, А.И. Иванову, Л.Н. Сапегину за оказанную поддержку и ценные замечания. Автор особо признателен В.Б. Голованову, предоставившему ценные литературные источники.

4.4. Основные результаты и выводы

1. Сформулированы требования к реализации метода защиты ПС: переносимость и вычислительная эффективность.

2. Показана принципиальная возможность обеспечения переносимости для комбинированного метода защиты. Показано, что все источники возможной непереносимости реализации метода связаны с использованием преобразований текста ПС на уровне машинных команд. Для преодоления указанных препятствий предложено использовать псевдокод.

3. Рассмотрены вопросы вычислительной эффективности метода защиты ПС. Показано, что снижение производительности ПС, вызванное необходимостью интерпретации псевдокода, может быть уменьшено за счет иерархического построения программы.

4. Описаны основные этапы технологического процесса защиты ПС.

Заключение

В результате проведенных исследований в диссертационной работе получены следующие основные научные и практические результаты:

1. На основе анализа свойств ПС как объекта защиты показана принципиальная возможность защиты ПС вне доверенной вычислительной среды путем обеспечения скрытности деталей реализации ПС.

2. Для обеспечения скрытности деталей реализации ПС предложено использовать формальные преобразования текста ПС, усиливающие их свойства защищенности.

3. Разработан метод динамического кодирования, обеспечивающий защиту ПС с помощью формального преобразования кодов.

4. Разработан метод автоматного преобразования, обеспечивающий защиту ПС с помощью формального преобразования структуры.

5. Разработан метод комбинированного преобразования, сочетающий преобразование кодов и структуры ПС.

6. Предложена имитационная модель для исследования характеристик методов защиты ПС.

7. С помощью модельных экспериментов проведен анализ разработанных методов защиты. Для каждого метода определена эффективность защиты и величина накладных расходов на защиту.

8. Разработаны технология и программные средства, реализующие метод защиты, основанный на комбинированном преобразовании.

1. Батырь А. Не пора ли сменить замки? // PC Magazine Russian Edition- 1999. -№1.

2. Вентцель E.C. Теория вероятностей. M.: Наука, 1969. - 576 с.

3. Герасименко В. А. Защита информации в автоматизированных системах обработки данных. М.: Энергоатомиздат, 1994. -кн.1,кн.2.

4. Герасименко В. А., Малюк А. А. Основы защиты информации.- М.: Инкомбук, 1997. 537 с.

5. Грушо А. А., Тимонина Е. Е. Теоретические основы защиты информации. М.: Изд-во Агентства "Яхтсмен", - 1996. -192 с.

6. Гусенко М.Ю. Метод поэтапной декомпиляции исполняемой программы //Методы и технические средства обеспечения безопасности информации: Тезисы докл. Российской науч,-техн. конф., Санкт-Петербург, 13-15 октября 1999 г. С.-Пб.: ГТУ, 1999

7. Дал У., Дейкстра Э., Хоор К. Структурное программирование.- М.: Мир, 1975.-248 с.

8. Ершов А. П. Введение в теоретическое программирование. -М: Наука, 1977.

9. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство: ГОСТ Р 51188-98. Введ. 01.07.99. — М.,1998.

10. Защита программного обеспечения: Пер. с англ. / Под ред. Д. Гроувера. М.: Мир, 1992 - 280 с.

11. Изосимов А. В., Рыжко А. Л. Метрическая оценка качества программ. М.: изд-во МАИ, 1989.

12. ИткинВ. Э. Логико-термальная эквивалентность схем программ // Кибернетика. 1972. - № 1. - С. 5-27.

13. Короткий С. Ловушка для взломщика // Мир ПК 1999. - №4. -С. 154-159.

14. Котов В. Е., Сабельфельд В. К. Теория схем программ. -М.: Наука, 1991.-248 с.

15. Лазарев И. А. Информация и безопасность. Композиционная технология информационного моделирования сложных объектов принятия решений. М.: Моск. гор. центр НТИ, 1997. -336 с.

16. Летичевский А. А. Функциональная эквивалентность дискретных преобразователей I // Кибернетика. 1969. - № 2. - С.5-15.

17. Мельников В. В. Защита информации в компьютерных системах. М.: Финансы и статистика; Электронинформ, 1997.

18. Отавин А. Д. Мониторинг работы приложений \Vin32 //Методы и технические средства обеспечения безопасности информации: Тезисы докл. Российской науч.-техн. конф., Санкт-Петербург, 13-15 октября 1999 г. С.-Пб.: ГТУ, 1999

19. Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных: Учеб. пособие для вузов / Белкин П. Ю., Михальский О. О., Першаков А. С. и др. М.: Радио и связь, 1999. - 168 с.

20. Расторгуев С. П. Принципы целостности и изменчивости в решении задачи обеспечения безопасности // Защита информации. Конфидент. 1998. - №3.

21. Расторгуев С. П., Дмитриевский Н. Н. Искусство защиты и "раздевания" программ. М.: Совмаркет, 1991.

22. Расторгуев С. П. Программные методы защиты информации в компьютерах и сетях. М.: Изд-во агентства "Яхтсмен", 1993.

23. Растригин J1. А. Современные принципы управления сложными объектами. -М.: Сов. Радио, 1980.

24. Теория и практика обеспечения информационной безопасности /Под ред. П.Д. Зегжды. М.: Изд-во агентства "Яхтсмен", 1996. -192 с.

25. Цивин С. В., Голованов В. Б. Обеспечение безопасности в ОС SCO UNIX // Специальная техника средств связи: Науч.-техн. сборник. Серия «Системы, сети и технические средства конфиденциальной связи». Вып. 2. - Пенза: ПНИЭИ, 1997. - С. 2632.

26. Цивин С. В. Противодействие изучению исполняемого кода путем маскирования // Безопасность и конфиденциальность информации в сетях и системах связи: Тезисы докладов науч,-техн. конф., Пенза, 6-9 октября 1998 г. Пенза: ПНИЭИ, 1998. -С. 60.

27. Цивин С. В. Оценка эффективности защиты программных средств // Специальная техника средств связи: Науч.-техн. сборник. Серия «Системы, сети и технические средства конфиденциальной связи». Вып. 2. - Пенза: ПНИЭИ, 1999. - С. 7982.

28. Цивин С. В. Защита программных средств путем преобразования их структуры // Защита информации в сетях и системах связи: Тезисы докладов науч.-техн. конф., Пенза, 25-28 апреля 2000 г. Пенза: ПНИЭИ, 2000. - С. 5.

29. Шеннон Р. Имитационное моделирование систем искусство и наука: Пер. с англ. / Под ред. Е. К. Масловского. - М.: Мир, 1978,-418 с.

30. AmirH., Shlomit S. Pinter Public protection of software //ACM Transactions on Computer Systems. -1987. -V. 5, №. 4 P. 371393.

31. AsakaM., OkazawaS., Taguchi A., Goto S. A Method of Tracing Intruders by Use of Mobile Agents // Proceedings of the 9th Annual Internet Society Conference INET'99. San Jose, California, June 1999.

32. BestR. Microprocessor for Executing Encrypted Programs //US Patent 4,1683396 September 1979.

33. Common Criteria for Information Technology Security Evaluation. Introduction and General Model: ISO/IEC 15408 May 1998.

34. Farmer W., GuttmannJ., Swarup V. Security for Mobile Agents: Authentication and State Appraisal // Proceedings of the European Symposium on Research in Computer Security (ESORICS). -Springer LNCS 1146, 1996.-P. 118-130.

35. Fenton N., Whitty R. Axiomatic Approach to Software Metrication. // The Computer Journal 1986. - V. 29.

36. FuggettaA., PiccoG. P., VignaG. Understanding Code Mobility //IEEE Transactions on Software Engineering. -1998. V. 24, №5.

37. GoldreichO., OstrovskyR. Software protection and Simulation on Oblivious RAMs: Technical Report TR-93-072. -1993. 44 p.

38. HalsteadM. Elements of Software Science Elservier, North-Holland, 1977.

39. HelmerG., Wong J., HonavarV., Miller L. Intelligent Agents for Intrusion Detection // Proceedings of the IEEE Information Technology Conference. Syracuse, NY, September 1998. - P. 121-124.

40. Hohl F. Time Limited Blackbox Security: Protecting Mobile Agents from Malicious Hosts In: Mobile Agents and Security / Edited by Vinga G. - Springer-Verlag, 1998. - P. 92-113.

41. Jansen W. A. Mobile Agents and Security // Canadian Information Technology Security Symposium, May 1999.

42. Kent S. T. Protecting Externally Supplied Software in Small Computers: Ph. D. Thesis. MIT/LCS/TR-255, 1980.

43. Lars R., Sverker J. Simulated Social Control for Secure Internet Commerce // New Security Paradigms'96. ACM Press, 1996.

44. Luckham D. C., Park D. M., Paterson M. S. On Formalized Computer Programs // J. Computer and System Sci. 1970. - V. 4, № 3. - P. 220-249.

45. McCabe T. A Complexity Measure // IEEE Trans. Software Eng. -1976. -SE-2, №. 4. p. 308-320.

46. Palmer E. An Introduction to Citadel a secure crypto coprocessor for workstations // Proceedings of the IFIP SEC'94 Conference. -1994.

47. Prather R. An Axiomatic Theory of Software Complexity Measure. // The Computer Journal. 1984. - V. 27, № 4, - P. 340-347.

48. Sander T., Tschudin C. Protecting Mobile Agents Against Malicious Hosts In: Mobile Agents and Security / Edited by Vinga G. - Springer-Verlag, 1998.

49. Sander T., Tschudin C. Towards Mobile Cryptography: Technical Report 97-049, International Computer Science Institute, Berkley.1997.

50. Sander T., Tschudin C. On Software Protection via Function Hiding. // 2nd International Workshop on Information Hiding, December1998.

51. Torn A., AnderssonT., EnholmK. An Effort-Length-Complexity Metrics Model for Software: TUCS Technical Report № 99, March 1997.

52. WeyukerE. Evaluating Software Complexity Measures //IEEE Trans. Software Eng. 1988. - V. 14. - P. 1357-1365.