Захист від перехоплювачів паролів третього роду.

Оскільки перехоплювачі паролів третього роду частково беруть на себе функції підсистеми захисту операційної системи, перехоплювач паролів третього роду при впровадженні в систему повинен виконати принаймні одна з наступних дій:

· підмінити собою один або декілька системних файлів;

· упровадитися в один або декілька системних файлів по одному з “вірусних” алгоритмів;

· використовувати підтримувані операційною системою інтерфейсні зв'язки між програмними модулями підсистеми захисту для вбудовування себе в ланцюжок програмних модулів, оброблювальних введений користувачем пароль;

· використовувати для тієї ж мети низькорівневі інтерфейсні зв'язки операційної системи, використовувані підсистемою захисту для вирішення своїх завдань.

Кожна з цих дій залишає в операційній системі сліди, які можуть бути виявлені за допомогою наступних мерів захисту:

1. Дотримання адекватної політики безпеки. Підсистема аутентифікації повинна бути найзахищенішим местомом операційної системи. Заходи, необхідні для підтримки адекватної політики безпеки, сильно розрізняються для різних операційних систем.

При дотриманні адекватної політики безпеки впровадження в систему перехоплювача паролів третього роду, як і будь-якої іншої програмної закладки, неможливе. Проте, оскільки адміністратори, як і всі люди, схильні допускати помилки в своїй роботі, підтримка адекватної політики безпеки протягом тривалого часу представляється практично нездійсненним завданням. Крім того, дотримання адекватної політики безпеки захищає тільки від проникнення програмної закладки в систему. Як тільки перехоплювач паролів упроваджений в систему, заходи по підтримці політики безпеки стає безглуздими - за наявності в системі програмної закладки політика безпеки не може бути адекватною, щоб не думали із цього приводу адміністратори системи. Тому необхідні додаткові заходи захисту.

2 Контроль цілісності виконуваних файлів операційної системи. Необхідно контролювати не тільки файли, що входять до складу підсистеми захисту, але і бібліотеки, що містять низькорівневі функції операційної системи.

1. Контроль цілісності інтерфейсних зв'язків усередині підсистеми захисту, а також інтерфейсних зв'язків, використовуваних підсистемою захисту для вирішення низькорівневих завдань.

Побудова абсолютно надійного захисту проти перехоплювачів паролів третього роду представляється неможливою. Оскільки машинний код перехоплювачів паролів третього роду виконується не в контексті користувача, а в контексті операційної системи, перехоплювач паролів третього роду може приймати заходи, що утрудняють його виявлення адміністраторами системи, зокрема:

· перехоплення системних викликів, які можуть використовуватися адміністраторами для виявлення програмної закладки в цілях підміни повертаної інформації;

· фільтрація реєстрованих повідомлень аудиту.

Мабуть, тут має місце “боротьба щита і меча”, коли для будь-якої відомої атаки може бути побудована надійний захист від неї, і для будь-якого відомого захисту може бути реалізована атака, що дозволяє її ефективно долати.

Після цього викладач оголошує оцінки, аналізує помилки, припущені при відповідях, дає завдання на самопідготовку.