Именно поэтому на «рабочих» компьютерах, а особенно на машинах, участвующих в технологических процессах, как правило, обеспечена изолированная программная среда, а то и функционально-замкнутая среда [83]. Очевидно, что избежать влияния потенциально опасных программ на функционирование критически важных программ – тех, которым следует выполняться исключительно корректно, – невозможно, не изолируя их одну от другой. Однако как изолировать «Клиент-Банк» на компьютере клиента от его онлайн-игры?

Потери при ДБО в системах класса «Клиент-Банк», «Банк-онлайн» и других всегда связаны с хакерскими атаками – как клиентов (возможно и такое), так и неклиентов банка. Банк обычно неплохо защищен, и слабым звеном системы является компьютер клиента. Если компьютер клиента не защищен, то нельзя ни надежно идентифицировать клиента, ни доверять его подписи, так как в этом случае она устанавливается в недоверенной среде.

Надежная (достаточная) защита компьютера стоит около 1520 тыс. руб., что неприемлемо для подавляющего числа клиентов. При этом защита ощутимо ограничивает возможности применения компьютера для других целей, что также неприемлемо для клиентов.

Кроме этого, существующие системы защиты сложны и требуют специальных знаний для настройки, а этого от клиента требовать вообще невозможно. Более того, если знания такие есть (или еще хуже: пользователю ошибочно кажется, что они есть), в своем стремлении улучшить настройки клиент может завести ситуацию очень далеко от предписанного документацией состояния. Клиента в этом обвинять сложно: со своими устройствами, вообще говоря, он имеет право делать все, что сочтет нужным и сможет.

Таким образом, традиционные подходы к защите информации для систем ДБО непригодны.

10.1.1.1. Новая гарвардская архитектура

Если базовая уязвимость компьютеров в их архитектуре, значит, компьютер, соответствующий требованию one touch security должен быть создан на основе принципиально иной архитектуры, не имеющей этой уязвимости. Компьютеры, о которых пойдет речь ниже, – это компьютеры, архитектура которых отличается и от архитектуры фон Неймана, и от гарвардской архитектуры.

Отличительной особенностью архитектуры фон Неймана является то, что команды и данные не разделяются, они передаются по единому общему каналу (рис. 54).

Рис. 54. Архитектура фон Неймана

Гарвардская архитектура предполагает наличие разных каналов для команд и данных (рис. 55).

Рис. 55. Гарвардская архитектура

Такая схема взаимодействия требует более сложной организации процессора, но обеспечивает более высокое быстродействие, так как потоки команд и данных становятся не последовательными, а параллельными, независимыми.

Однако и в случае компьютера фоннеймановского типа, и в случае компьютера с гарвардской архитектурой организация потоков команд и данных такова, что архитектурная уязвимость присуща каждому из них. Гибкость и универсальность как в одном, так и в другом случае обеспечиваются возможностью изменения последовательности команд и данных (двунаправленные стрелки от процессора к памяти) независимо от того, в одной памяти они лежат или разделены. В свою очередь, возможностью изменения последовательности команд и данных создается и возможность несанкционированного вмешательства вредоносного ПО – это и есть основная архитектурная уязвимость, на которой базируются атаки «перехват управления».

Схема атаки обычно выглядит так:

s1) внедряется и размещается в оперативной памяти вредоносное ПО (ВрПО);

s2) внедряется и размещается в оперативной памяти вредоносный обработчик прерываний;

s3) записываются в долговременную память ВрПО и обработчик прерываний;

s4) с помощью любого доступного механизма (например, с помощью DDoS-атаки) вызывается прерывание;

s5) внедренный ранее обработчик прерываний срабатывает и передает управление ВрПО;

s6) ВрПО выполняет свою функцию (например, реализует разрушающее программное воздействие).

Здесь s1-s3 – это шаги по подготовке атаки, s4 – инициирование атаки, s5 и s6 – собственно использование архитектурной уязвимости.

Для того чтобы отразить атаку на шагах s1 и s2, обычно используются антивирусные программы. Иногда это бывает полезным, но только иногда: невозможно с помощью антивирусных программ выявить все ВрПО. Более того, специалистам известны конструкции ВрПО, которые точно нельзя обнаружить. Можно даже сказать, что компьютерные вирусы и в целом ВрПО удается обнаружить только в силу их несовершенства. В общем случае всегда можно разработать такое ВрПО, которое не может быть обнаружено с помощью антивирусных программ сигнатурного поиска, эвристических анализаторов и поведенческих блокираторов.

Борьбе с вирусами и «вирусному иммунитету» посвятим здесь отдельное эссе.

Блокирование последствий выполнения шага s3 осуществляется при последующей загрузке с помощью механизмов контроля целостности – по сути ревизоров, определяющих, есть ли изменения в составе данных; иногда эта проверка выполняется с помощью тех же наборов антивирусных программ – но это слабое решение, так как проверка должна выполняться до загрузки ОС, а программы, в том числе антивирусные, работают под управлением ОС.

Генерация события на шаге s4 частично блокируется с помощью специальных средств анализа трафика, устанавливаемых как в сети, так и на клиентских компьютерах. Важно то, что пока нет средств, позволяющих гарантированно блокировать эту уязвимость.

Негативные последствия шагов s5 и s6 блокируются с помощью механизмов контроля запуска задач (процессов, потоков). Это очень эффективные механизмы, но реализующие их средства, в том числе СЗИ НСД «Аккорд», которые будут описаны ниже, довольно дорогие и для их настройки нужно быть специалистом в компьютерных технологиях и ИБ.

Поскольку некоторые из перечисленных функций безопасности должны выполняться до загрузки ОС, их можно реализовать только с помощью сложного устройства и нельзя реализовать программно.

Эффективность СЗИ НСД «Аккорд» связана с тем, что он блокирует уязвимости, связанные с нарушением целостности, и создает доверенную среду для работы программных средств, обеспечивающих защиту компьютера на шагах s1-s6.

Несмотря на большую распространенность, цена СЗИ НСД «Аккорд» довольно высока, и его настройка – дело для профессионалов. Конечно, это лучшее решение для корпоративных задач, но ожидать его применения от, например, физических лиц – клиентов ДБО совершенно невозможно.

Однако если в компьютерах, использующих гарвардскую архитектуру, где потоки команд и данных уже разделены, сделать память неизменяемой, то не будет необходимости использовать сложные механизмы контроля целостности программ и данных до старта ОС, а контрольные процедуры можно исполнять под управлением проверенной и неизменяемой ОС.

Очевидно, что такая архитектура обеспечит неизменность ОС, программ и данных.

Если вернуться к схеме атаки, описанной выше, то видно, что шаг s3 не может быть выполнен, поэтому и шаги s5 и s6 (сама атака) тоже не исполнятся. Такой компьютер приобретет значительный «вирусный иммунитет», так как вредоносное ПО не будет на нем фиксироваться.

Недостатком при этом будет необходимость дорабатывать практически все ПО, так как разработчики существующего ПО не ограничивают себя в использовании операций записи в память. Для работы практически всех программ необходима возможность записи.

Чтобы можно было использовать без доработок все ранее разработанное ПО, необходимо дополнить предложенную архитектуру блоками сеансовой памяти, в которой и будут исполняться программы.

Таким образом, архитектура компьютера будет отличаться на разных этапах – это и есть динамически изменяемая Новая гарвардская архитектура (рис. 56).

Она отличается тем, что в ней используется память, для которой установлен режим «только чтение». При загрузке команды и данные размещаются в сеансовой памяти, в которой и исполняются.