Mitigation methods for illegal information timing flows on the socket program interface.pdf Анализ безопасности управления доступом и информационными потоками в ком-пьютерных системах (КС) является одной из приоритетных задач компьютерной безо-пасности. Значительную сложность представляет идентификация и предотвращениеинформационных потоков по памяти и по времени, которые могут быть реализованына основе разных механизмов и средств КС [1]. Различные виды информационныхпотоков рассмотрены в работах [2, 3].Одним из известных средств реализации запрещённых информационных потоковпо времени в операционных системах (ОС) является использование программного ин-терфейса сокетов.Для реализации такого информационного потока используется тот факт, что еслисоздан слушающий сокет одним субъектом-процессом ОС, то другой субъект-процессне может создать слушающий сокет на этом же порту, и механизмами ядра ОС будетвозвращена ошибка. Таким образом, по факту наличия ошибки при создании слуша-ющего сокета возможна передача данных между различными субъектами-процессамиОС: если субъект-процесс S1 хочет передать 1, то он создаёт слушающий сокет нанекотором заданном порту, если 0 - не создаёт. Невозможность создания слушающегосокета на том же порту субъектом-процессом S2 интерпретируется как передача зна-чения 1, в противном случае - значения 0. При этом одним из необходимых условийпередачи данных без ошибок является синхронизация действий взаимодействующихсубъектов.Данный информационный поток по времени реализован в ОС GNU/Linux на языкепрограммирования C+-+. Скорость передачи данных в условиях, когда в ОС не запу-щено ресурсоёмких приложений и субъекты, не участвующие в реализации потока, несоздают сокетов на заданном порту, составила 100 бит/с.Известны следующие методы защиты от реализации запрещённого информацион-ного потока по времени на основе сокетов. В ОС AsbestOS [2] субъектам запрещеносоздавать слушающий сокет на порту с определённым номером. В ответ на запросо создании сокета ядро ОС возвращает непредсказуемый номер порта. Вводятся пе-ременные окружения, в которых хранятся номера портов используемых в настоящеевремя сервисов. Следовательно, по факту существования или отсутствия переменнойможет быть реализован информационный поток по времени.В работе [3] предложен метод, использующий блокирующий доступ доверенныхсубъектов к сущностям с целью зашумления скрытого канала передачи данных.На практике для применения предложенного метода необходимо идентифицироватьпредполагаемый запрещённый информационный поток в КС. Для решения этой зада-чи предлагается использовать механизмы регистрации событий: записывать иденти-фикатор процесса, номер порта, на котором этот процесс создаёт слушающий сокет, атакже продолжительность времени, в течение которого порт был заблокирован этимпроцессом. Если одно и то же событие наблюдается в течение некоторого промежуткавремени, то применить блокирующий доступ к порту. С целью увеличения вероятностиидентификации потока таким способом можно также регистрировать факт наличияпередачи данных на этом порту.Другим способом снижения пропускной способности рассматриваемого информа-ционного потока является контроль частоты создания слушающих сокетов. Однаковведение в ОС таких изменений может значительно снизить скорость взаимодействияпроцессов между собой с использованием интерфейса сокетов.

Скачать электронную версию публикации