Увеличение рыночного сегмента мобильных и компьютерных устройств, снабженных модулями приема и обработки сигналов глобальных навигационных спутниковых систем (ГНСС), далее именуемые «целевыми устройствами», увеличение рыночного спроса на них открывает перспективы для разработки новых технологий, в том числе и по направлению «информационная безопасность». Авторами была предложена концепция[1] разграничения доступа к данным на основе геопространственного положения пользовательского устройства (далее «геопространственные характеристики пользователя», «координатные данные»). Концепция предполагает разработку информационных систем хранения и защиты данных, в которых доступ к защищаемым данным предоставляется только в том случае, если субъект доступа находится в одной из зон геопространства, сопоставленной с запрашиваемым объектом доступа (далее «разрешающая зона»). На основе концепции авторами проводится разработка технологии разграничения доступа к данным на основе геопространственного положения пользователей (далее «целевая технология»). Технология предполагает разработку инструментальных программных средств (далее «ИС-геоРД» или «целевые системы»), осуществляющих хранение и защиту данных, а также предоставляющих избирательный доступ к этим данным на основе настраиваемых политик доступа, в зависимости от координат субъектов, запрашивающих данные.
В процессе разработки целевой технологии была поставлена задача обеспечения устойчивости целевых систем к взлому с целью предотвращения несанкционированного доступа к защищаемым посредством технологии данным. Под «взломом» в работе понимается осуществление злонамеренного субъективного (антропогенного) воздействия на целевые системы, приводящее к реализации угроз их информационной безопасности. Для разрешения проблемы защиты от взлома поставлены задачи:
- провести анализ целевой технологии с целью выявления и оценки потенциальных угроз информационной безопасности информационных систем класса ИС-геоРД;
- выявить уязвимости, через которые возможна реализация потенциальных угроз, оценить их критичность;
- сформировать технологические решения по устранению выявленных уязвимостей.
Потенциальные угрозы информационной безопасности «систем разграничения доступа к данным на основе геопространственных характеристик пользователя»
При проведении анализа целевой технологии на предмет выявления потенциальных угроз информационной безопасности особое внимание уделено рассмотрению преднамеренных субъективных внешних угроз, так как решения по защите от объективных и внутренних субъективных угроз не представляют особой специфики - они идентичны угрозам безопасности всего класса «информационные системы».
Целевые ИС функционируют по принципу «клиент-сервер», предполагают централизованное, удаленное хранение данных, доступ к которым осуществляется посредством обращения к серверному модулю ИС-геоРД с мобильных устройств пользователей посредством клиентских программных модулей (рис. 1):
Рис.1. Обобщенная схема функционирования информационных систем разграничения доступа на основе геопространственного положения пользователей
По результатам анализа архитектуры целевых систем с учетом их функционала (хранение и предоставление доступа к данным), а также специфики работы с данными (удаленное хранение и передача), выявлен ряд субъективных внешних угроз:
- угроза нарушения конфиденциальности информации (а именно несанкционированный доступ к защищаемым данным, T 1 - здесь и далее код угрозы, T - от англ. threat, угроза);
- угрозы нарушения целостности информации, включая:
- o искажение хранимых на серверной стороне данных (T 2);
- o подмена передаваемых клиенту данных на участке сервер-клиент (T 3);
- угроза нарушения доступности (угроза отказа удаленного сервиса, T 4).
Потенциальные уязвимости «информационных систем разграничения доступа к данным на основе геопространственных характеристик пользователя»
Для выявления уязвимостей составлена функциональная схема взаимодействия основных компонентов целевых систем. На схеме (рис. 2) отмечены участки, потенциально имеющие уязвимости, через которые возможна реализация атак, с целью осуществления каждой из угроз (участки обозначены узлами с нумерацией римскими цифрами, коды уязвимостей далее - через латинскую «V» - от англ. vulnerability).
Рис. 2. Уязвимости целевых информационных систем
Через уязвимость V1 возможна атака подменой координат клиента (А1, здесь и далее - код атаки). Атакующий, находящийся вне «разрешающей зоны», может осуществить попытку перехвата сообщения от клиентского ПО и подменить истинные координаты на координаты одной из «разрешающей зон». Второй вариант атаки (А2) - фальсификация сообщения клиентского ПО (то есть осуществление запроса к серверной стороне без использования ПО «ИС-геоРД клиент», с эмуляцией формата и протокола его взаимодействия с серверной стороной). В случае успешно осуществленной атаки злоумышленник может получить права доступа, позволяющие осуществить чтение защищаемых данных (тем самым нарушив принцип конфиденциальности), или изменить защищаемые данные на серверной стороне (нарушая их целостность). Процесс авторизации через подмену истинных координат назовем «компрометацией разрешающей зоны». Так же, в случае несанкционированного делегирования прав злоумышленником может быть проведена атака типа «отказ в обслуживании» (As1, от англ. secondary attack, вторичная атака) путем осуществления множественных параллельных запросов значительных объемов данных, что может повлечь за собой перегрузку и нарушение работоспособности серверной стороны, что нарушает принцип доступности данных.
Через уязвимость V2 возможна подмена собственных координат пользовательского устройства, получаемых клиентским ПО системы разграничения доступа от встроенного модуля ГНСС (атака А3). В таком случае атакующий может попытаться фальсифицировать передаваемые от ГНСС модуля координатные данные и, как и в случае атак А1 и А2, заменить их на координаты одной из «разрешающих зон». Указанная атака аналогично атакам А1 и А2 ставит под угрозу конфиденциальность и целостность защищаемых данных.
Через уязвимость V3 возможен перехват третьей стороной передаваемых авторизованному клиенту данных, подлежащих защите (атака А4). Перехват может быть осуществлен различными способами, зависящими от используемой транспортной среды передачи данных. В случае простого перехвата передаваемых данных произойдет нарушение конфиденциальности данных, в случае перехвата с подменой (искажением) - нарушение конфиденциальности и целостности.
При подведении итогов анализа потенциальных угроз информационной безопасности целевых систем произведена оценка критичности выявленных уязвимостей. Уязвимостям присвоены оценки по трехбалльной шкале (оценка «3» - высокая критичность, «2» - средняя, «1» - низкая). В качестве основного критерия, определяющего степень критичности, использован показатель объема данных, для которых нарушается конфиденциальность, целостность или доступность при реализации соответствующих угроз через соответствующие уязвимости (таб. 1):
Таблица 1 Оценка критичности уязвимостей информационной безопасности целевых систем
Уязвимости |
Атаки |
Реализуемые угрозы |
Критичность уязвимостей |
V1 |
A1 |
T1, T2 |
3 |
A2 |
T1, T2 |
||
As1 |
T4 |
||
V2 |
А3 |
Т1, Т2 |
2 |
V3 |
А4 |
Т1, Т3 |
1 |
Устранение потенциальных уязвимостей «систем разграничения доступа к данным на основе геопространственного положения пользователя»
Как было указано выше, атаки А1 и А2 производятся путем фальсификации запроса клиентского ПО целевых систем, при этом в рамках А1 происходит искажение сообщения (запроса) клиентского ПО (с подменой координат), в рамках А2 - самостоятельное формирование всего сообщения третьими инструментальными средствами, без использования клиентского ПО. Для ликвидации такой возможности предложено двухступенчатое решение, предусматривающее:
- контроль подлинности клиентского ПО;
- защиту сетевого трафика между клиентским и серверным ПО целевых систем.
Под контролем подлинности подразумевается: во-первых, проверка самого факта использования клиентского ПО (с целью исключения атаки А2), во-вторых, проверка целостности последнего, то есть отсутствия изменений программного кода, произведенных злоумышленником. Данная задача может быть решена с помощью подписания программных компонентов клиентского ПО электронной цифровой подписью, с возможностью ее проверки на серверной стороне. Защита сетевого трафика подразумевает передачу служебных запросов между клиентским и серверным ПО через шифруемое сетевое соединение, например, с использованием протокола SSL (англ. Secure Sockets Layer - «уровень защищённых сокетов»).
Как отмечалось выше, проведение атаки As1 возможно лишь при условии предварительного выполнения атаки А1 или А2, соответственно с введением методов защиты от последних, возможность проведения первой исключается. Функциональная схема решения по защите от проведения атак A1, A2, As1 и ликвидации уязвимости V1 приведена на схеме (рис.3):
Рис. 3. Функциональная схема технического решения ликвидации уязвимости V1
Согласно описанию атаки А3, выполняющейся через уязвимость V2, злоумышленник может провести подмену собственных координат на этапе передачи от встроенного модуля ГНСС к клиентскому ПО целевых систем. Реализация такой атаки сильно коррелирует с конечной аппаратно-программной платформой, на которой функционируют компоненты клиентского ПО. Для современных платформ целевых устройств, рассматриваемых в данной работе, существует два варианта взаимодействия со встроенными модулями ГНСС:
- через API операционной системы (англ., application programming interface - интерфейс программирования приложений) для семейств Android и iOS;
- путем обращения непосредственно к драйверу модуля для семейств Symbian и WindowsMobile.
Соответственно, в зависимости от особенностей платформы, злоумышленник может произвести подмену (модификацию) драйвера устройства (с целью управления и искажения его вывода) или осуществить модификацию программного кода компонентов операционной системы (с целью перехвата функций API). Для решения данной проблемы предложено использовать механизм так называемой «двухфакторной авторизации». Суть двухфакторной авторизации заключается в использовании нескольких независимых механизмов аутентификации, при этом один из них является главным, а второй - подтверждающим. Подключение целевых устройств к сети Интернет осуществляется посредством услуг «мобильного доступа в сеть» на основе ряда технологий беспроводного доступа операторов сотовой связи (таких как GPRS, EDGE, CDMA), а также с помощью технологии WiFi. Операторы сотовой связи постоянно располагает достоверной информацией о местоположении своих пользователей с точностью разрешения не менее одной ячейки зоны покрытия (соты). Таким образом, возможна реализация целевой системы с использованием подтверждения положения пользователя от независимой стороны - поставщика услуги мобильного доступа в сеть интернет. Алгоритм взаимодействия клиентского и серверного ПО дополняется шагом - запросом от серверного компонента целевой системы к поставщику мобильного доступа в сеть, которым пользуется клиент. Необходимым условием предоставления прав доступа является совпадение координат, полученных от пользователя, и координат, полученных от поставщика мобильного доступа в сеть (с допуском на погрешности определения координат системами ГНСС и средствами операторов сотовой связи).
Рис. 4. Функциональная схема технического решения ликвидации уязвимости V2
Рассматривая потенциальный сценарий использования уязвимости V3 через осуществление атаки А4, следует отметить, что защищаемые данные могут быть перехвачены двумя способами - на уровне сетевого взаимодействия (путем «прослушивания» сетевого трафика между сервером и клиентом) и непосредственно на оборудовании клиента (как специализированными программами-анализаторами сетевого трафика, так и вирусным ПО). Решение, сформированное для ликвидации уязвимости V1 и предполагающее организацию защищенного сетевого соединения, автоматически закрывает уязвимость V3, так как в случае перехвата трафика злоумышленник получит зашифрованные данные. В связи с этим, а также с низкой критичностью рассматриваемой уязвимости (см. табл.1), специальное решение не предлагается. Однако стоит отметить, что потенциал целевой технологии позволяет осуществлять шифрование передаваемых данных на серверной стороне, с использованием координатной информации пользователя в качестве криптографического ключа, с последующей ее дешифровкой на стороне клиента. Такой подход позволяет использовать произвольные алгоритмы шифрования требуемой стойкости и не ограничиваться алгоритмом шифрования, заложенным в избранную технологию организации защищенных сетевых соединений (например, SSL).
Выводы
Анализ особенностей технологии разграничения доступа на основе геопространственного положения пользователей позволил определить перечень угроз безопасности информационных систем, работающих под управлением указанной технологии. Выявлены потенциальные уязвимости указанных информационных систем, оценена их критичность. Сформирован ряд технологических решений, ликвидирующих данные уязвимости. В целом можно утверждать, что комплекс предложенных мер обеспечивает должную защиту целевых информационных систем от угроз, специфичных для данного класса информационных систем.
Рецензенты:
- Малинников Василий Александрович, д.т.н., профессор, первый проректор, проректор по УР, МИИГАиК, г. Москва.
- Журкин Игорь Георгиевич, д.т.н., профессор, зав. кафедрой вычислительной техники и автоматизированной обработки аэрокосмической информации, МИИГАиК, г. Москва
[1] Впервые концепция публично освещена на 67-й «Научно-технической конференции студентов, аспирантов и молодых ученых МИИГАиК» (2012 г.) в докладе Хусаиновой Рены Фаридовны «Пространственное позиционирование в качестве средства разграничения доступа к информации».