ГОСТ Р ИСО/МЭК 18045—2013
5) инструментальные средства разработчика, оставленные в ОО.
е)Использование некоторого компонента в непредусмотренном контексте или с непредусмотренной целью
включает, например случай, когда ОО является приложением, полагающимся на операционную систему, а пользо ватели
используют знания пакета текстового процессора илидругого редактора, чтобы изменить свой собственный командный
файл (например чтобы приобрести большие привилегии).
О Использование взаимного влияния компонентов, которое невидимо на более высоком уровне абстракции,
включает нападения, использующие совместный доступ к ресурсам, коща модификация ресурса одним компонен
том может влиять на режим выполнения другого (доверенного) компонента, например на уровне исходного кода,
через использование глобальных данных или косвенных механизмов, таких как совместно используемая память
или семафоры.
д) Следует всегда учитывать нападения, основанные на принуждении ОО функционировать в необычных
или непредусмотренных обстоятельствах. Возможные варианты включают:
1) генерацию непредусмотренных исходных данных для некоторого компонента;
2) нарушение предположений и свойств, на которые полагаются компоненты более низкого уровня.
h) Генерация непредусмотренных исходных данных для компонента включает исследование режима функ
ционирования ОО. когда имеет место:
1) переполнение буферов ввода команд (возможно «разрушение стека» или перезапись другой области хра нения.
которыми нарушитель может быть способен воспользоваться в своих интересах, или принудительная выда ча
аварийногодампа, который может содержать чувствительную информацию, такую как открытый текст паролей); 2)
ввод неправильных команд или параметров (включая установку параметра в состояние «только для чте
ния» для интерфейса, который предполагает выдачуданных через этот параметр);
3) вставка маркера конца файла (например CTRL/Z или CTRL/D) или нулевого символа в журнал аудита.
i) Нарушение предположений и свойств, на которые полагаются компоненты более низкого уровня, вклю
чает нападения, использующие ошибки в исходном коде, где предполагается (явно или неявно), что относящиеся
к безопасностиданные находятся в конкретном формате или имеют конкретный диапазон значений. В таких случа ях
оценщику следует формируя данные в другом формате или присваивая им другие значения, сделать заключе ние.
могут ли нападения привести к нарушению таких предположений и, если это так. может ли это предоставить
преимущества нарушителю.
j) Корректный режим выполнения функций безопасности может зависеть от предположений, которые нару
шаются в критических обстоятельствах, когда исчерпываются лимиты ресурсов или параметры достигают своего
максимального значения. Оценщику следует рассмотреть (если это целесообразно) режим функционирования ОО,
когда эти пределы достигаются, например:
1) изменение дат (например исследования, как ведет себя ОО при переходе датой критического порога);
2) переполнение дисков;
3) превышение максимального числа пользователей;
4) заполнение журнала аудита;
5) переполнение очередей сигналов безопасности, выдаваемых на консоль:
6) перегрузка различных частей многопользовательского ОО. который сильно зависит от компонентов связи;
7) забивание сети или отдельных хостов трафиком;
8) заполнение буферов или полей.
k) Нападения, основание на отклкнении или задержке обеспечениябезопасности, включают следующие аспекты:
l) использование прерываний или функций составления расписаний, чтобы нарушить последовательное
выполнение операций;
2) нарушения при параллельном выполнении;
3) использование взаимного влияния между компонентами, которое невидим/} на более высоком уровне
абстракции.
I) Использование прерываний или функций составления расписаний, чтобы нарушить последовательность
выполнения операций, включает исследование режима функционирования ОО при:
1) прерывании команды (по CTRL/C. CTRL/Y и т.п.);
2) порождении второго прерывания до того, как будет распознано первое.
т ) Необходимо исследовать результаты завершения процессов, критических для безопасности (например
выполнения в фоновом режиме программы аудита). Аналогично может оказаться возможной такая задержка ре
гистрации записей аудита или вьщачи/получения предупреждающих сигналов, что они становятся бесполезными
для администратора (так как нападение может уже достичь цели).
п) Нарушения при параллельном выполнении включают исследование режима функционирования ОО. ког
да два или более субъектов предпринимают попытку одновременного доступа. Возможно. ОО и сможет справиться
с блокировкой, необходимой, когда два субъекта предпринимают попытку одновременного доступа, но при этом
его поведение станет не полностью определенным при наличии дополнительных субъектов. Например, критичный
по безопасности процесс может быть переведен в состояние ожидания получения ресурса, если два других про
цесса осуществляют доступ к ресурсу, который ему требуется.
о) Использование взаимного влияния компонентов, которое невидимо на более высоком уровне абстракции,
может обеспечить способ задержки критического по времени доверенного процесса.
р) Среди физических нападений могут быть выделены следующие категории: физическое зондирование
(сканирование), физическая манипуляция, физическая модификация и подмена.
229