Жадыны қорғау технологиялары

Жұмыс түрі: Реферат
Тегін: Антиплагиат
Көлемі: 12 бет
Таңдаулыға:

Қазақстан Республикасы білім және ғылым министрлігі

Қарағанды техникалық университеті

Ақпараттық технология және қауіпсіздік

кафедрасы

РЕФЕРАТ

Пәні: Компьютерлік ақпаратты қорғаудың технологиялары

Жетекшісі: Тайлақ Б. Е.

Студент: Аман Б. Б

СИБ 19-3 тобы

Қарағанды 2021

Мазмұны

Кіріспе 3

1 Жадыны қорғау технологиялары 5

1. 1 ASLR технологиясы 5

1. 2 NX-Bit технологиясы 7

2 Жадыны қорғаудың ОЖ құралдары және әдістері 9

2. 1 Жадыны сегменттеу арқылы қорғау 9

2. 2 Парақтық жады 11

2. 3 Capability негізінде адрестеу 12

Қорытынды 13

Пайдаланылған әдебиеттер тізімі 14

Кіріспе

Компьютердегі ақпаратты қорғау және деректердің қауіпсіздігін реттеу өте маңызды мәселе. Пайдаланушылар өз деректерінің қауіпсіздігін қамтамасыз етуі керек. Цифрлық технологиялардың дамуымен электрондық ұрлықтардың саны артты. Жеке деректер туралы ақпаратты техникалық қорғау пайдаланушы туралы Жеке деректерді де, оның банктік деректемелерін, парольдер мен хат алмасуды да сақтауға көмектеседі. Қауіпсіздік деңгейін арттыру үшін кешенде бірнеше қорғаныс әдістерін қолдану керек.

Файлдарды шифрлау арқылы компьютердегі ақпаратты қорғау

Жеке деректердің ең көп тарағаны-бұл ақпарат бар сақтау құрылғыларының жоғалуы. Сыртқы қатты дискілер немесе флэш-карталар сияқты ақпарат құралдарында құнды ақпаратты сақтау өте қауіпті. Әр түрлі жерлерде құрылғыларды үнемі пайдалану арқылы ағып кету қаупі артады:

жұмыс;
оқу;
компьютерлік клубтар;
кітапханалар;
және т. б.

Аталған барлық жерлерде ДК жұқтырылуы мүмкін және олар вирустық БҚ арқылы ұрлануы мүмкін. Ұмытпау адами фактор. Жеке ақпаратты пайдалану үшін қараусыз қалған флэш-диск қызығушылығымен де, әдейі де көрінуі мүмкін. Ішкі қатты диск те осындай жағдайларға ұшырайды. Әрине, оны ұрлау қиын болады, өйткені олар файлдарды "қазып" алады. Екі жағдайда да жеке файлдарды көздің қарашығынан қорғау үшін оларды шифрлау керек.

Mac және Windows отбасыларының операциялық жүйелерінің кеңейтілген нұсқаларында шифрлау үшін негізгі бағдарламалық жасақтама бар. Оларды пайдалану оңай және бір фалдан бүкіл қатты дискіге шифрлай алады. Интернетте мұндай бағдарламалардың көптеген аналогтары бар, олардың көпшілігі тегін лицензияға ие. Шифрлау бағдарламалары келесі принцип бойынша жұмыс істейді-кодталатын объект бағдарламалық жасақтамада жұмыс істейтін белгілі бір алгоритмге сәйкес түрлендіріледі. Шифрлау процесінде фалдар оларды ашу үшін кодтауды өзгертеді және алдымен оларды декодтау керек. Барлық осы әрекеттер Пайдаланушы өзі ойлап тапқан кілтті енгізу арқылы ғана жасалады. Файл кілттің ұзындығына және таңбалар жиынтығына негізделген кодталады. Жүйеге пароль орнатумен немесе дискіні іске қосумен бірге шифрлауды қолданған дұрыс. Бұл әдіс пайдаланушының ақпараты мен жеке деректерін сенімді техникалық қорғауды қамтамасыз етеді.

Компьютердегі ақпаратты қорғау және деректер қауіпсіздігін реттеу

Жаңарту арқылы компьютердегі ақпаратты қорғау

Жүйені, антивирусты және шифрлауды толық қорғау үшін жеткіліксіз. ДК пайдаланушылары операциялық жүйенің өзі де, үшінші тарап бағдарламалары да жиі жаңартылатынын бірнеше рет байқайды. Көптеген жаңартулар графикалық интерфейсті өзгертпейді және қосымша функцияларды қоспайды. Мұндай жаңартулардың қандай пайдасы бар?Жаңартылған ақпараттың көп бөлігі бағдарламалық элемент кодтарындағы жүйелік түзетулер болып табылады. Қарапайым тілмен айтқанда, бағдарламалар мен операциялық жүйелердің әрқайсысы қателіктерге ұшырайды. Жаңартулар жалпы жүйенің тұрақты жұмыс істеуі үшін анықталған осалдықтарды түзетуге бағытталған. Жүйелік кодтардағы осалдықтарды зиянкестер жиі пайдаланады. Егер жүйе тұрақты жұмыс істемесе, крекер еніп, оны қызықтыратын ақпаратты ұрлай алатын алшақтық пайда болады. Хакерлер жасаған көптеген вирустар жүйедегі бұзылуларды автоматты түрде іздеуге және жеке деректерді ұрлауға бағытталған. Бұл әрекеттерді тоқтату және қорғаныс деңгейін жоғарылату үшін амалдық жүйені және басқа қосымшаларды жаңартуды өшіруге болмайды. Уақытылы жаңартулар қауіпсіздік деңгейін арттырып қана қоймайды, сонымен қатар жүйенің жұмысын жақсартады.

Жадыны қорғау технологиялары

ASLR технологиясы

ASLR (ағылш. address space layout randomization - "адрестік кеңістікті рандомизациялау") - операциялық жүйелерде қолданылатын технология, оны пайдалану кезінде процестің адрестік кеңістігінде маңызды деректер құрылымдарының орналасуы кездейсоқ түрде өзгереді, атап айтқанда орындалатын файл кескіндері, жүктелетін кітапханалар, үйінділер және стектер.

ASLR технологиясы осалдықтардың бірнеше түрін пайдалануды қиындату үшін жасалған. Мысалы, егер буфердің толып кетуін немесе басқа әдісті қолдана отырып, шабуылдаушы басқаруды ерікті мекен-жайға беру мүмкіндігіне ие болса, онда ол шелл-кодты орналастыруға болатын стек, үйінді немесе басқа мәліметтер құрылымының қай мекен-жайы бойынша орналасқанын білуі керек. "Кітапханаға оралу" (return-to-libc) типті шабуыл кезінде де ұқсас проблемалар туындайды: шабуылдаушыға кітапхана жүктелген мекен-жай белгісіз болады. Келтірілген мысалдарда шабуыл жасаушыдан нақты мекенжайлар жасырылады, егер дұрыс мекенжайды табу мүмкін болмаса, қосымша авариялық аяқталуы мүмкін, сол арқылы шабуыл жасаушыны қайта шабуыл жасау мүмкіндігінен айырып, жүйелік әкімшінің назарын аударады.

Жүзеге асыру

OpenBSD

OpenBSD әзірлеушілері алғашқылардың бірі болып ASLR енгізді. ASLR әдепкі бойынша қосылады.

Linux

Linux ядросында ASLR қарапайым нұсқасы 2005 жылдан бастап қол жетімді (2. 6. 12 нұсқасынан бастап) . ASLR-дің неғұрлым күрделі және толық нұсқалары патч түрінде ұсынылады (PaX, ExecShield және т. б. ) . Атауында "қатты" сөзі бар дистрибуцияларда, сондай-ақ Ubuntu дистрибуциясының заманауи нұсқаларында күшті опциялар әдепкі бойынша қосылады. ASLR жұмыс істеуі үшін (орындалатын файлдарды кездейсоқ мекен-жайлар бойынша жадқа орналастыру үшін) орындалатын файлдар position-independent executable режимінде (орындалатын файлдарға арналған позициялық-тәуелсіз кодтың бір түрі) құрастырылуы керек.

Microsoft Windows

Windows ОЖ-де ASLR технологиясы Windows Vista-дан бастап (2007) Арнайы жалаушалармен жиналған орындалатын файлдар мен кітапханалар үшін қолданылады. ASLR-ге Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows 8. 1 сияқты Windows-тың кейінгі нұсқаларында қолдау көрсетіледі. ASLR арнайы жалаушаларсыз жиналған қосымшалар үшін пайдаланылмайды және Windows-тың бұрынғы нұсқаларымен үйлесімділік режимінде жұмыс істейді. Windows XP және Windows Server 2003-де ASLR-ді кез-келген таңдалған қосымшалар үшін Microsoft EMET (жетілдірілген Mitigation Experience Toolkit) көмегімен қосуға болады.

Mac OS X

Кітапханаларды жүктеу кезіндегі кейбір кездейсоқтық Mac OS X v10. 5 Leopard. OS X 10. 8 Mountain Lion (2012) aslr жүйенің ядросының бөлігі болып табылады.

iOS

IOS ОЖ-де ASLR технологиясы 4. 3нұсқасынан бастап қолданылады. Ядро үшін iOS қолданылады.

Кемшіліктері

Бұл бөлімнің стилі энциклопедиялық емес немесе орыс тілінің нормаларын бұзады.

Бөлімді Википедияның стилистикалық ережелеріне сәйкес түзету керек.

ASLR пайдалану үшін орындалатын файлдарды арнайы жалаушалармен жинау керек. Нәтижесінде код тұрақты мекенжайларды пайдаланбайды, бірақ:

орындалатын файлдар кодының мөлшері артады;
әр Орындалатын файлдың жадына жүктеу уақыты артады;
ASLR жоқ ОС нұсқалары үшін жасалған бағдарламалық жасақтама мен кітапханаларға қосымша сәйкессіздік болады.
Сонымен қатар, қорғауды жадтың сарқылуы немесе Heap Spray әдістері арқылы айналып өтуге болады.

NX-Bit технологиясы

Атрибут (бит) NX-Bit (ағылш. AMD терминологиясындағы no execute bit) немесе XD-Bit (ағылш. Intel терминологиясындағы execute disable bit) - беттерге қосылған, орындауға тыйым салынған бит деректердің код ретінде орындалуын болдырмау мүмкіндігін іске асыру үшін. Ол жергілікті немесе қашықтан шабуылдайтын жүйеде еркін кодты орындауға мүмкіндік беретін "буфердің толып кетуі" түріндегі осалдықтың алдын алу үшін қолданылады. Технология операциялық жүйенің ядросынан бағдарламалық қолдауды қажет етеді .

NX (XD) - жүйені бағдарламалардың қателіктерінен, сондай-ақ оларды пайдаланатын вирустардан, трояндық аттардан және басқа да зиянды бағдарламалардан қорғау үшін қосылған x86 және x86-64 архитектураларындағы жад бетінің атрибуты (биті) .

AMD битті ағылшын тілінен "NX" деп атады. no execute. Intel сол битті ағылшын тілінен "XD" деп атады. execution disable.

Қазіргі компьютерлік жүйелерде жад белгілі бір атрибуттары бар беттерге бөлінгендіктен, процессорды жасаушылар тағы біреуін қосты: беттегі кодты орындауға тыйым салу. Яғни, мұндай бетті бағдарламалық кодты емес, деректерді сақтау үшін пайдалануға болады. Мұндай параққа басқаруды беруге тырысқанда, үзіліс пайда болады, ОС басқаруды алады және бағдарламаны аяқтайды. Орындаудан қорғау атрибуты ұзақ уақыт бойы басқа микропроцессорлық архитектуралар; алайда, x86 жүйелерінде мұндай қорғаныс тек бағдарламалық сегменттер деңгейінде жүзеге асырылды, олардың механизмі қазіргі ОС ұзақ уақыт бойы қолданылмаған. Енді ол жеке беттер деңгейінде де қосылды.

Қазіргі заманғы бағдарламалар код сегменттеріне ("мәтін"), мәліметтерге ("data"), жекешелендірілмеген мәліметтерге ("bss"), сондай-ақ үйіндіге ("heap") және бағдарламалық жасақтамаға ("stack") бөлінетін динамикалық түрде бөлінетін жад аймағына бөлінеді. Егер бағдарлама қатесіз жазылса, командалық көрсеткіш ешқашан код сегменттерінен шықпайды; дегенмен, бағдарламалық жасақтама қателері нәтижесінде басқару жадтың басқа аймақтарына берілуі мүмкін. Бұл жағдайда процессор кейбір бағдарламаланған әрекеттерді орындауды тоқтатады және ол осы салаларда сақталған деректерді қолайсыз реттілікке тап болғанға дейін немесе жүйенің тұтастығын бұзатын операцияны орындауға тырысқанға дейін кездейсоқ командалар тізбегін орындайды, бұл қорғаныс жүйесінің жұмысына әкеледі. Екі жағдайда да бағдарлама апатты түрде аяқталады. Сондай-ақ, процессор бұрын берілген мекен-жайға өту командалары ретінде түсіндірілген тізбекті кездестіре алады. Бұл жағдайда процессор шексіз циклге енеді және бағдарлама процессор уақытының 100% алып, "қатып қалады". Мұндай жағдайлардың алдын алу үшін бұл қосымша атрибут енгізілді: егер жадтың белгілі бір бөлігі бағдарламалық кодты сақтауға арналмаған болса, онда оның барлық беттері NX-битпен белгіленуі керек, ал егер сіз басқаруды сол жерге жіберуге тырыссаңыз, процессор ерекше жағдай жасайды және ОС дереу бағдарламаны авариялық түрде аяқтайды, сегменттен тыс шығу туралы сигнал береді (SIGSEGV) .

Бұл атрибутты енгізудің негізгі себебі мұндай қателіктерге тез жауап беру емес, мұндай қателіктерді шабуылдаушылар компьютерлерге рұқсатсыз кіру үшін, сондай-ақ вирустарды жазу үшін жиі қолданған. Жалпы бағдарламаларда осалдықтарды қолданатын көптеген вирустар мен құрттар пайда болды.

Шабуыл сценарийлерінің бірі-бағдарламадағы буфердің толып кетуін пайдаланып (көбінесе бұл кейбір желілік сервисті ұсынатын жын), арнайы жазылған зиянды бағдарлама (эксплуатация) кейбір кодты осал бағдарламаның деректер аймағына жаза алады, осылайша қате нәтижесінде бұл код басқаруды алады және шабуылдаушы бағдарламаланған әрекеттерді орындайды (көбінесе бұл шабуылдаушы осал жүйенің иесінің құқықтары бар осалдық жүйені бақылауды алатын ОЖ қабық бағдарламасын орындау туралы өтініш, көбінесе бұл root) .

Жадыны қорғаудың ОЖ құралдары және әдістері

Жадыны сегменттеу арқылы қорғау

Сегментті жадты қорғау-x86 архитектура процессорларында жадты қорғауды жүзеге асырудың бір нұсқасы. Оны Intel 80286 бастап қауіпсіз процессорлар режимінде қолдануға болады және үйлесімді.

Тегіс жад моделін қолданған кезде (ағылш. flat model, көптеген заманауи ОС қолданады), әр сегмент виртуалды жадтың толық көлемін сипаттайды. Мұндай модельде жадты қорғау қосымша бет жадымен жүзеге асырылады.

Анықтамалар

Сегменттердің төрт артықшылық деңгейі (PL) бар (0-3) . Артықшылық санның азаюымен артады (яғни нөл - ең артықшылықты) . 0-2 деңгейлері супервайзерге (Supervisor), 3 - пайдаланушыға (user) сәйкес келеді. Нөлдік деңгейде артықшылықты нұсқаулықтарды қолдануға рұқсат етіледі.

Сегменттің артықшылық деңгейі (DPL ағылш. Descriptor Privilege Level) сегмент дескрипторындағы DPL өрісінің мәніне сәйкес келеді.

Артықшылықтардың ағымдағы деңгейі (CPL ағылш. Current Privilege Level) селекторы CS регистріне жүктелген код сегментінің артықшылықтар деңгейіне (яғни орындалатын код сегментінің артықшылықтар деңгейіне) сәйкес келеді.

Сұралатын артықшылықтар деңгейі (RPL ағылш. Requested Privilege Level) селектордың екі кіші битінде орналасқан (бағдарламамен берілген) .

Артықшылық деңгейлерінің өзара әрекеттесуі

Төрт деңгейдің өзара әрекеттесуі шлюздер арқылы жүзеге асырылады. Шлюз дескрипторында сегмент дескрипторы сияқты PL өрісі бар. Шлюзге жүгіну жоғарыда аталған ережелерге бағынады, бірақ шлюзде көрсетілген код/TSS сегментіне табиғи шектеулер қоятын қосымша ережелер бар:

Шақырылған сегменттің DPL саны CPL-ден аспауы керек;

Шлюздің DPL онда көрсетілген сегменттің DPL-нен сандық кем болмауы тиіс;

Шлюзде тек код сегменті немесе TSS көрсетілуі керек (егер ол тапсырма шлюзі болса) ;

Егер шлюз арқылы артықшылықтар деңгейі бірдей бағынбайтын сегментке немесе артықшылықтар деңгейі бірдей немесе саны аз кодтың бағыныңқы сегментіне жүгіну орын алса, онда қарапайым ауысу орын алады:

Push Flags; тек кедергі және тұзақ шлюздері үшін

Push CS

Push IP

Jmp FAR Gate_Address

Стекті ауыстыру

Егер артықшылықтардың саны аз кодтың бағынбаған сегментіне көшу болса, онда стек жоғарғы (сандық кіші) деңгейлерде толып кетпес үшін ауыстырылады. Мысалы. егер стек қатесі нөлдік деңгейде болса, процессор тоқтайды. TSS сегментінде үш қашықтық стек мекен - жайы бар - 0-2 артықшылық деңгейлері үшін. Шлюздер арқылы үлкен деңгейлерден кіші деңгейлерге ауысу кезінде артықшылықтардың өзгеруі және сәйкесінше стектердің ауысуы орын алады.

Коммутация алгоритмі біршама күрделі көрінеді:

Тиісті TSS өрістерінен жаңа SS, (E) SP мәндері жүктеледі;

Алдыңғы SS, (E) SP мәндері жаңа стекке сақталады (қоңырауға дейін) ;

Егер шлюз қоңырау шлюзі болса, онда WC сөздері/қос сөздер қоңырау шалу бағдарламасының дестесінен жаңа стекке көшіріледі;

Егер бұл үзіліс немесе тұзақ шлюзі болса, онда (E) жалаулар мәні сақталады;

Ағымдағы CS, (E) IP мәні сақталады;

Шлюз дескрипторынан CS:(E) IP регистрлеріне тиісті дескриптор өрістерінде көрсетілген жаңа ұзақ мекенжай жүктеледі;

RetF/IRet пәрменін орындау кезінде:

Процессор дестеден алыс қайтару мекенжайын (және жалаушалар регистрін) алады) ;

Егер RetF командасында параметр болса, онда (E) SP мәнін оның мәніне арттырады (процедураға берілген параметрлерді дестеден жояды) ;

CS селекторының RPL талдайды: егер ол CPL-ден көп болса, онда ол стектің алдыңғы шыңының алыс мекен-жайын шығарады және оны SS: (E) SP-ге жүктейді. Осылайша, ескі стекке оралу орын алады;

Парақтық жады

Парақтық жады-виртуалды жадты ұйымдастыру әдісі, онда виртуалды мекенжайлар физикалық бетте көрсетіледі. 32 биттік x86 архитектурасы үшін парақтың минималды өлшемі-4096 байт.

Бұл режимді қолдау көптеген 32 биттік және 64 биттік процессорларда бар. Бұл режим барлық дерлік заманауи ОС, соның ішінде Windows және UNIX отбасы үшін классикалық болып табылады. Бұл режимді кеңінен қолдану 1970 жылдардың аяғынан бастап VAX процессорынан және VMS ОЖ-дан басталды (кейбір мәліметтер бойынша, алғашқы іске асыру) . X86 отбасында қолдау 386 ұрпағынан пайда болды, бұл алғашқы 32 биттік буын.

Қауіпсіздігі орындылығы

Бастапқыда x86 архитектурасында "бет орындалмайды" (NX) жалауы болған жоқ.

... жалғасы

Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.