Нечепуренко АЮ, Муджири ТМ Реализация средств защиты информации на уровне драйвера Windows NT

Сборник тезисов докладов четвертой международной научной конференции студентов, аспирантов и молодых ученых "Комп'ютерний моніторінг та інформаційні технології (КМІТ - 2008)", Донецк, ДонНТУ - 2008. - с. 111-112

РЕАЛИЗАЦИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ НА УРОВНЕ ДРАЙВЕРА WINDOWS NT

А.Ю. Нечепуренко, Т.М. Муджири

Донецкий национальный технический университет

В архитектуре процессора Intel x86 определено четыре уровня привилегий, или колец, предназначенных для защиты кода и данных системы от случайной или умышленной перезаписи кодом с меньшим уровнем привилегий. Впервые концепция колец защиты появилась в процессоре i80386. Кольца – это не физическое устройство, а логический механизм. Всего процессоры x86 используют четыре кольца, обозначенных номерами от 0 до 3.

Код, выполняющийся на нулевом кольце, имеет наивысший приоритет. Программе "нулевого кольца" разрешено делать все – обрабатывать прерывания, работать напрямую с аппаратными средствами. На нулевом кольце выполняется ядро операционной системы.

Пользовательские программы выполняются на третьем кольце, поэтому их иногда называют "программами третьего кольца". Эти программы не имеют права напрямую работать с аппаратными средствами.

Изначально планировалось такое распределение колец:

0 – ядро операционной системы;
1 – драйверы операционной системы;
2 – программный интерфейс операционной системы;
3 – прикладные программы,

но сложилось так, что обычно используется только два кольца: нулевое с максимальными привилегиями и третье – с минимальными привилегиями. Linux, как и Windows, тоже использует только два кольца – нулевое (для режима ядра) и третье (для пользовательского режима).

Для чего нужно знание архитектуры ОС и понимание драйверов применительно к сфере защиты информации?

Этот вопрос можно рассматривать с различных точек зрения:

С точки зрения разработчика средств защиты информации;
С точки зрения преодоления средства защиты.

Допустим, нам необходимо разработать средство защиты. Типовая структура такого средства на данный момент выглядит примерно так (зависимость слева направо):

Криптоядро	Контроль доступа
	Криптозащита данных	Локальные, сетевые
	Система выявления нарушителя	Локальные, сетевые

Реализация почти всех перечисленных элементов системы защиты для ОС NT возможна только с применением драйверов:

Защита локальных данных – либо драйвер шифрующей файловой системы, либо драйвер-фильтр для прозрачного шифрования, либо перехват вызовов системных сервисов.
Защита сетевых данных – драйвер протокола, NDIS-драйвер (Network Driver Interface Specification) промежуточного уровня, собственная сетевая служба, фильтр стандартной сетевой службы (такие службы реализованы как драйверы файловых систем), перехват вызовов системных сервисов.
Выявление нарушителя – для всех вышеприведенных вариантов – анализ событий, регистрация в журнале, запрос на подтверждение подозрительных действий.

Для специализированного оборудования должны быть разработаны драйвера для интеграции в эту схему.

При выборе способа реализации системы также жизненно важным может быть документированность этого способа, при том, что большая часть ОС NT не документирована.

Примеры драйверов:

Архитектура NT исключает использование устройства, если для него нет драйвера. Прикладному ПО доступ к аппаратуре запрещен. Поэтому самым очевидным примером драйверов является драйвер устройства. В области защиты информации задача написания таких драйверов весьма актуальна.
Драйвер виртуального устройства не работает с каким-либо специализированным аппаратным устройством, однако, предоставляет прикладным программам такие возможности по работе со стандартными ресурсами компьютера и ОС (процессор, память, порты, регистры, служебные структуры ОС), которые без драйвера были бы недоступны.

Системная архитектура NT представляет собой набор модулей, связанных друг с другом стандартными интерфейсами. Благодаря этим интерфейсам можно производить как замену стандартных модулей на собственные, так и вставлять новые модули в "разрыв" связей между старыми. Такое устройство ОС позволяет разрабатывать новые модули (драйвера или службы) для различных целей:

"прозрачная", т.е. невидимая для прикладных программ, обработка данных (шифрование и компрессия данных на диске или в компьютерной сети);
расширение набора предоставляемых ОС сервисов;
"прозрачное" сканирование на наличие вирусов;
средства сбора статистики о событиях для различных компонентов системы.

Таким образом, обеспечение безопасности любой операционной системы сводится к использованию решений, затрагивающих низкоуровневые особенности этих систем. Примерами программных комплексов, встречающихся в повседневной жизни практически любого современного пользователя и работающих "прозрачно" для него, могут служить антивирусы (контроль действий приложений, например, Антивирус Касперского), межсетевые экраны (контроль сетевой активности, например, интегрированный в ОС Windows брандмауэр). Подобное программное обеспечение реализует защиту пользовательской среды, используя для этого драйверы уровня ядра, встраиваемые в конкретную операционную систему в виде модулей. Менее распространены драйверы специальных шифрующих устройств, а также драйверы виртуальных зашифрованных контейнеров.

Литература

Комиссарова В. Программирование драйверов для Windows. –СПб.Ж БХВ-Петербург, 2007. – 256с.
Руссинович М. Соломон Д. Внутреннее устройство Microsoft Windows: Windows Server 2003, Windows XP и Windows 2000. Мастер-класс4-е изд. – М.: Издательско-торговый дом «Русская редакция»; СПб.: Питер; 2005. – 992 с.
Сорокина С.И. и др. Программирование драйверов и систем безопасности: Учеб. Пособие/ Сорокина С.И., Тихонов А.Ю., Щербаков А.Ю. – СПб.: БХВ-Петербург, М.: Издатель Молгачева С.В., 2003. – 256с.