ГОСТ Р ИСО/МЭК 18045—2013
В.2.1.1 Обход мер безопасности
Обход включает любой способ, посредством которого нарушитель мог бы избежать осуществления мер без
опасности путем:
a) использования возможностей интерфейсов ОО или утилит, которые могут взаимодействовать с ОО:
b
) наследования привилегий или других возможностей, которые следовало бы наоборот запретить;
c) (когда важна конфиденциальность) чтения чувствительных данных, сохраненных или скопированных
в недостаточно защищенные области.
В ходе независимого анализа уязвимостей, выполняемого оценщиком, следует рассмотреть (когда это умест
но) каждый из следующих аспектов:
a) Нападения, основанные на использовании возможностей интерфейсов или утилит, обычно использу
ют в своих целях отсутствие требуемых мер безопасности для этих интерфейсов. Например, получение доступа
к функциональным возможностям, которые реализованы на более низком уровне, чем тот. на котором осуществля
ется управление доступом. Возможные варианты включают:
1) изменение предопределенной последовательности вызова функций;
2) выполнение дополнительной функции;
3) использование некоторого компонента в непредусмотренном контексте или с непредусмотренной целью:
4) использование подробностей реализации, представленных в менее абстрактных представлениях:
5) использование задержки между временем проверки доступа и временем использования.
b
) Изменение предопределенной последовательности вызова компонентов следует рассматривать, когда
имеется предусмотренный порядок вызова интерфейсов ОО (например команд пользователя) для выполнения не
которой функции безопасности (например открытия файла длядоступа и затем чтения данных из него). Если функ
ция безопасности вызывается на одном из интерфейсов ОО (например проверка управления доступом), то оцен
щику следует рассмотреть, возможен ли обход функции безопасности путем выполнения соответствующего вызова в
более поздней точке последовательности или пропуска ее целиком.
c) Выполнение дополнительного компонента (в предопределенной последовательности) является формой
нападения, похожей на только что описанную, но включает вызов некоторого другого интерфейса ОО в некото рой
точке последовательности. Оно может также включать нападения, основанные на перехвате передаваемых по сети
чувствительных данных путем использования анализаторов сетевого трафика (дополнительным компонен том здесь
является анализатор сетевого трафика).
d) Использование некоторого компонента в непредусмотренном контексте или с непредусмотренной целью
включает использование для обхода функции безопасности не относящегося к делу интерфейса ОО, используя
его для достижения цели, которая для него не планировалась или не предполагалась. Скрытые каналы являются
примером этого типа нападения. Использование недокументированных интерфейсов (которые могут быть небезо
пасными) также попадает в эту категорию (включая недокументированные возможности по поддержке и помощи).
e) Использование подробностей реализации, приведенных в менее абстрактных представлениях, опять
включает использование скрытых каналов, через которые нарушитель использует в своих целях дополнительные
функциональные возможности, ресурсы или атрибуты, представленные в ОО как последствия процесса усовер
шенствования (например использование переменной, обеспечивающей блокировку, в качестве скрытого канала).
Дополнительные функциональные возможности также могут обеспечиваться тестовыми фрагментами кода, содер
жащимися в программных модулях ОО.
f) Использование задержки между временем проверки доступа и временем использования включает сцена
рии. в которых выполняется проверка управления доступом и предоставляется доступ, а нарушитель впоследствии
способен создать условия, при которых во время выполнения проверки доступа мог бы произойти сбой
проверки доступа. Примером является пользователь, порождающий фоновый процессдля чтения и отправки
высокочувстви тельных данных на терминал пользователя и затем осуществляющий выход из системы и повторный
вход в систему на более низком уровне чувствительности. Если фоновый процесс не завершается при выходе
пользователя из си стемы, то проверки в соответствии с мандатным управлением доступом могут быть фактически
обойдены.
д)Нападения, основанные на наследовании привилегий, в основном базируются на незаконном приобре
тении привилегий или возможностей некоторого привилегированного компонента обычно путем выхода из него
неконтролируемым или непредусмотренным способом. Возможные варианты включают:
1) выполнение данных, не предназначенных для выполнения или преобразование их в возможные для вы
полнения;
2) генерацию непредусмотренных исходных данных для некоторого компонента;
3) нарушение предположений и свойств, на которые полагаются компоненты более низкого уровня.
h) Выполнение данных, не предназначенных для выполнения или преобразование их в возможные для вы
полнения. включает нападения с использованием вирусов (например помещение в некоторый файл выполняемого
кода или команд, которые автоматизировано выполняются при редактировании данного файла или получении до
ступа к нему, наследуя, таким образом, привилегии, которые имеет владелец файла).
i) Генерация непредусмотренных исходных данных для некоторого компонента может приводить к непреду
смотренным результатам, которыми может воспользоваться нарушитель. Например, если ОО является приложени
ем. реализующим функции безопасности, которые можно обойти при получении пользователем доступа к базовой
операционной системе, то может оказаться возможным получить такой доступ сразу после выполнения входной
последовательности, исследуя, пока пароль аутентифицируется, результаты ввода различных управляющих или
escape-последовательностей.
227