ГОСТ Р ИСО/МЭК 18045—2013
j) Нарушение предположений и свойств, на которые полагаются компоненты более низкого уровня, включает
нападения, основанные на выходе из-под действия ограничений приложения для получения доступа к базовой
операционной системе, чтобы обойти функции безопасности, реализуемые приложением. В этом случае пред
положение. которое нарушается, состоит в том. что для пользователя приложения невозможно получить такой
доступ. Подобное нападение можно предвидеть, если функции безопасности реализуются приложением, работа
ющим под управлением системы управления базами данных: опять же есть возможность обхода функций безопас
ности. если нарушитель сможет выйти из-под действия ограничений приложения.
k) Нападения, основанные на чтении чувствительных данных, сохраненных в недостаточно защищенных
областях (применимо, когда важна конфиденциальность), включают следующие вопросы, которые следует рас
сматривать как возможные способы получения доступа к чувствительным данным:
l) сбор «мусора» на диске:
2) доступ к незащищенной памяти;
3) использование доступа к совместно используемым по записи файлам или другим совместно используе
мым ресурсам (например к файлам подкачки);
4) Активация восстановления после ошибок, чтобы определить, какой доступ могут получить пользовате
ли. Например, после отказа автоматическая система восстановления файлов для файлов без заголовков может
использовать каталог для потерянных и найденных файлов, которые присутствуют на диске без меток. Если 0 0
реализует мандатное управление доступом, то важно исследовать, какой уровень безопасности поддерживается
для этого каталога (например наивьюший для системы) и кто имеет доступ к этому каталогу.
Существует множество различных методов, использование которых позволяет оценщику идентифицировать
программу скрытого удаленного администрирования (так называемый «бэкдор». backdoor), среди них выделяют
два основных. Во-первых, оценщик может случайно выявить во время тестирования интерфейс, для которого есть
возможность неправильного использования. Во-вторых, можно провести тестирование каждого из внешних интер
фейсов ФБО в режиме отладки кода, чтобы идентифицировать любые модули, которые не являются вызванными как
часть тестирования документированных интерфейсов, а затем провести анализ этого невызываемого участка
программного кода в целях вынесения заключения о том. является ли он внедренной программой удаленного ад
министрирования («бэкдороги»),
В случае, когда объектом оценки является программное обеспечение, где «Подвиддеятельности по оценке»
ADVJMP.2 и «Подвид деятельности по оценке» ALC_TAT.2 или компоненты более высокого уровня включаются в
пакет доверия, оценщик может во время проведения анализа инструментов разработки рассмотреть программ ные
библиотеки и пакеты, которые связаны между собой программой-компилятором на стадии компиляции, чтобы сделать
заключение о том. что на данной стадии не были выявлены «бэкдоры».
В.2.1.2 Вмешательство
Вмешательство включает любое нападение, основанное на попытке нарушителя повлиять на режим выпол
нения функции безопасности или механизма (т.е. исказить или блокировать выполнение), например путем:
a) доступа к данным, на конфиденциальность или целостность которых полагается функция или механизм
безопасности:
b
) вынуждения ОО функционировать в необычных или непредусмотренных условиях:
c) отключения или задержки обеспечения безопасности
d) физического изменения ОО.
В ходе независимого анализа уязвимостей оценщику следует рассмотреть (когда это уместно) каждый
из следующих аспектов:
a) Нападения, основанные на доступе к данным, на конфиденциальность или целостность которых полага
ется функция или механизм безопасности, включают:
1) чтение, запись или модификацию внутренних данных прямо или косвенно:
2) использование некоторого компонента в непредусмотренном контексте или с непредусмотренной целью;
3) использование взаимного влияния компонентов, которые невидимы на более высоком уровне абстрак
ции.
b
) Чтение, запись или модификация внутренних данных прямо или косвенно охватывают следующие типы
нападений, которые следует рассмотреть:
1) чтение «секретов», хранимых внутри ОО. таких как пароли пользователей;
2) подмена внутренних данных, на которые полагаются механизмы, обеспечивающие безопасность:
3) изменение переменных среды (например логических имен) или данных в файлах конфигурации или вре
менных файлах.
c) Может оказаться возможным обмануть доверенный процесс для модификации защищенного файла, к ко
торому этот процесс платно не должен обращаться.
d) Оценщику следует также рассмотреть следующие «опасные характеристики»:
1) исходный код вместе с компилятором, постоянно имеющиеся в наличии в ОО (например может оказаться
возможным изменение исходного кода, связанного с входом в систему);
2) интерактивный отладчик и средства внесения изменений (например гложет оказаться возможным измене
ние исполняемого образа);
3) возможность внесения изменений на уровне контроллеров устройств, на котором файловой защиты
не существует;
4) диагностический код. который присутствует в исходном коде и может быть опционально включен;
228