Юлия Степанец. О перехвате управления...

ДОКЛАДЫ, ПРЕДСТАВЛЕННЫЕ УЧАСТНИКАМИ КОНФЕРЕНЦИИ:

Автор: СТЕПАНЕЦ Юлия Александровна, ст. программист, АО «Концерн Созвездие», Русская аналитическая школа(РАШ), г. Воронеж, Россия:

К ВОПРОСУ О ПЕРЕХВАТЕ УПРАВЛЕНИЯ ИНФОКОММУНИКАЦИОННЫМИ СИСТЕМАМИ

Интенсификация процесса внедрения информационных технологий в большинство сфер человеческой деятельности, включая элементы финансовых и критических инфраструктур, а также военную отрасль, привело к возникновению повышенного интереса как к методам воздействия на инфокоммуникационные системы, так и к способам их защиты.

Изначально преимущественно стихийные и хаотические воздействия на инфокоммуникационные системы, характеризующие более ранний этап развития информационных технологий, к настоящему моменту приобрели целенаправленный, скоординированный и профессиональный характер.

Окончательное формирование концепции «кибервойн» привело к возрастанию роли информационного потенциала, реализующего противодействие информационным воздействиям и осуществление собственных.

При этом целесообразно отметить, что в настоящий момент даже ведущие мировые державы находятся в неравном положении в смысле указанного информационного потенциала. Кроме того, существует ряд совместных межгосударственных глобальных программ, направленных на обеспечение превосходства на мировом информационном пространстве, в частности в киберпространстве.

В качестве конкретных примеров такого рода программ можно выделить Echelon и Tempora и некоторые менее масштабные проекты, а также эксплуатируемый в рамках суперкомпьютерного кластера Narus Insight Carnivore.

В условиях жесткой конкуренции в области информационных технологий важным представляется системное комплексное рассмотрение задачи проведения информационных воздействий и противодействия им. При этом особенно актуальными являются недавно появившиеся технологии дистанционного контроля элементов информационных систем, на основе которых разработан и успешно развивается класс информационных воздействий, идентифицируемых как «перехват управления».

Решение задачи навязывания или перехвата подразумевает оценку возможности перехвата управления и выделение некоторой совокупности условий реализации целевой функции операционной среды инфокоммуникационной системы, при которых это возможно, тем более что формализованное представление двух (или более) контуров управления, реализующих кодовой (или сигнальной) последовательностью некоторое целевое состояние, не позволяет в реальных системах выделить эти состояния и, тем более, разделить потоки, направленные на их реализацию.

Физические этапы осуществления информационного воздействия

Для понимания практической стороны рассматриваемого вопроса целесообразно рассмотреть конкретные действия, стоящие за каждым из этапов формального представления.

Первым этапом информационного воздействия является получение как можно более полной информации о состоянии корректируемой системы и процессов-конкурентов.
В широком смысле, процесс снятия неопределенности с этих состояний продолжается на протяжении всего воздействии, но нельзя недооценивать важную роль априорной информации о них.

Попытка произвести воздействие «в слепую», не располагая никакой информацией ни о вычислительных мощностях противодействующих систем, ни об их организации, с высокой долей вероятности окажется безуспешной.

Методы снятия априорной неопределенности могут варьироваться от проведения серии отдельных информационных воздействий, направленных именно на сбор информации о корректируемой системе, до использования средств агентурной разведки.

В качестве примера первого способа можно привести такие приемы как составление схемы сети с целью определения доступных серверов и уязвимых служб (зондирование), являющееся в большинстве случаев первой фазой информационного воздействия.

Зондирование состоит из двух этапов: просмотр всей сети с целью поиска активных узлов и сканирования портов узла для определения используемых служб. Конкретные методы зондирования варьируются в широких пределах и достаточно динамично развиваются, включая в себя как довольно примитивные и легко обнаруживаемые воздействия вроде прямого составления схемы сети, так и значительно более гибкие и скрытные способы (например, отправление запросов к сетевым службам DNS, SNMP и т.д.). То же самое можно сказать и о сканировании портов, часть приемов которого не обнаруживается файерволлами.

Второй этап включает в себя получение доступа к корректируемой системе на достаточном уровне привилегий, что, строго говоря, является отдельной задачей. В зависимости от результатов предыдущего этапа производится внедрение в информационный тракт корректируемой системы.

Зачастую данное действие осуществляется посредствам эксплуатации обнаруженной известной уязвимости, являющейся следствием неверной настройки системы или же ошибок разработки.

Если в ходе анализа подобных уязвимостей выявлено не было, для проведения дальнейшего воздействия потребуется либо создание так называемого «бэкдора» (маскированной нелегитимной точки доступа к системе), либо изыскание способа внедрения в систему в качестве инсайдера, обладающего там легитимными правами, вплоть до физического захвата точки доступа.

Первые два способа, как правило, применяются при воздействии на системы гражданского назначения, имеющие относительно низкий уровень защищенности и априорной неопределенности, обусловленный тривиальностью и общедоступностью информации о наличествующих в них уязвимостях.

При внедрении в системы специального назначения с высоким уровнем защищенности наиболее предпочтительным методом будет внедрение в качестве инсайдера.
Отдельно следует упомянуть вероятность использования аппаратных и программных закладок и незадокументированных возможностей программного обеспечения и оборудования. Данный метод, в частности, весьма широко эксплуатируется западными спецслужбами, имеющими возможность осуществлять такого рода воздействия на весьма широкий спектр аппаратных и программных средств, поставляемых американскими производителями в другие страны. Помимо собственно возможности нелегитимного доступа данный механизм зачастую предоставляет и ряд возможностей по управлению корректируемой инфокоммуникационной системой, и может быть отнесен и к этапу собственно целевого воздействия.

После получения доступа к корректируемой системе осуществляется считывание ее состояния с целью его последующего анализа и формирования процессом-конкурентом соответствующей управляющей последовательности.

Разумеется, наибольшей информативностью о состоянии системы обладает полный дамп памяти, но получить доступ к подобной информации в условиях, отличных от лабораторных, не представляется возможным.

В реальных условиях, заключение о текущем состоянии целевой системы и процессов-конкурентов приходится формировать на основании частичного доступа к памяти, ответов функционирующих в системе служб и тому подобного, что, строго говоря, является отдельной сложной задачей.

Полнота информации, получаемой о системе, зависит от уровня привилегий, который удалось получить корректирующей системе на предыдущем этапе.
На основании данной информации на каждом последующем шаге корректирующая система генерирует управляющую последовательность, повышая вероятность реализации своей целевой функции в системе, и отправляет ее в виде информационного пакета.

 По факту такой последовательностью может быть любой набор команд, переводящий систему в целевое для одного из процессов конкурентов состояние, варьирующиеся в зависимости от цели воздействия: запуск некоего программного кода в системе, предоставление привилегий определенным процессам или пользователям, блокирование конкурирующих процессов, деструктивное воздействие, призванное вывести систему из строя на некоторый промежуток времени и так далее.

Поскольку такой динамический подход к вопросу генерации управляющих воздействий подразумевает считывание информации о состоянии системы, ее анализ и последующую генерацию управляющего кода, корректирующая система должна значительно превосходить корректируемую по вычислительной мощности и быть точно синхронизирована с ней.

Формализованная постановка задачи

В общем случае, как отмечено в [2,3], информационный конфликт можно представить в виде двух глобальных процессов, порождаемых конкуренцией целевых функций внутренней системы управления и навязываемых внешним источником (рис.1).нескольких процессов, порожденных k-м объектом и реализуемых множеством кодовых (или сигнальных) последовательностей Ukj,i = Ukj(ti), синтезируемых, хранящихся и циркулирующих в операционной среде произвольной инфокоммуникационной системы.

Тогда в общем виде схема циркуляции управляющих последовательностей между корректируемой системой R и корректирующими системами-конкурентами A и V может реализовываться одним из двух возможных способов, либо воздействие V отправляет свои управляющие последовательности отдельным потоком непосредственно на процессорное устройство(такое возможно в случае работы приемо-передающего устройства, через которое соединяется система V, на шинном расширителе), либо в составе суммарного управления через некоторое промежуточное звено информационного тракта.

На вход корректируемой системы подается совокупность потоков управляющих последовательностей {Ui,j(ti)}, образующих некий суммарный цифровой поток от процессов-конкурентов и управляющего потока самой системы. Результатом работы процессорного устройства сообразно с поступающими управляющими последовательностями, состоянием памяти и процессорных регистров {R1...RN} являются функционирование в системе процессов {Pi} с векторами параметров {Xki,j}, характеризующими совместно с процессорными регистрами состояние  каждого процесса. На основании совокупность таких состояний, в свою очередь, формируются состояния корректируемой системы  на i-ом шаге функционирования.

Очевидно, что при таком подходе основной задачей каждого из процессов с базовой конструкцией исполняемых кодов {Ui,j}с целевой функцией перехвата управления является генерация (синтез) такой кодовой последовательности управления, которая нейтрализуют действие других процессов и переведет реальное состояние системы SR в целевое состояние Si.

Тогда можно перейти к общей структурной схеме информационного конфликта (для наглядности на примере двух конкурирующих процессов), где SA, SVи SR– соответствующие целевые состояния, ; – соответствующие задержки в каналах, а k – коэффициенты неопределенности, характеризующие степень информированности процессов конкурентов друг о друге.

При этом, конечно, задача перехвата управления обычно не является конечной целью информационного воздействия, а в соответствии с современной концепцией кибервойн выступает лишь как средство для реализации целевых функций в отношении оконечного оборудования. Однако в локальном диапазоне условий при попарном рассмотрении всей совокупности реализуемых в инфокоммуникационной системе процессов она может рассматриваться и в качестве основной [1-4]. То есть в широком смысле под целевым состоянием Sj процесса Pj можно понимать точку в пространстве состояний системы Sj{Ui, ;Ui}, в которой конкретный процесс получает управление над системой, то есть становится управляющим по отношению ко всем другим процессам.

Таким образом, реальное состояние инфокоммуникационной системы SR, порожденное суммарным потоком кодовых комбинаций внутренних и внешних, зависит от значения обобщенного вектора параметров системы или ее элемента Xj = {xj(t)}, управление которым реализуется суммарным потоком кодовых или сигнальных последовательностей Ui, и, строго говоря, собственного изменения состояния системы SR вследствие реализации ей своей целевой функции (основной или частных).

Данная математическая модель позволяет на ее основе сформулировать так называемый «критерий перехвата» – систему уравнений, позволяющую определить критические состояния системы Xj , в которых вероятность перехода под управление одного из процессов-конкурентов максимальна, определить цепочку управлений Ui,, переводящих систему в искомое состояние и набор условий, позволяющих оценить вероятность успеха информационного воздействия.

Пример практической реализации

В соответствии с приведенной выше постановкой задачи практическая реализация предложенного подхода может быть представлена последовательностью частных задач, к основным из которых следует отнести:

на фиксированном интервале времени, начиная с t0 (число тактов), снимается дамп памяти, определяются точки входа реализуемых процессов и соотносятся с их описанием с выделением основных команд;

полученные данные подставляются в системы уравнений, решение которых в отношении кодовой последовательности {Uki,j} для каждого i будет представлять траекторию приближения к точке перехвата управления;

начиная с t0,на вход исследуемой системы подается найденная последовательность кодов, и по определяемым состояниям системы на основе решения уравнений определяется коррекция текущего состояния, и цикл повторяется до выполнения условия перехвата.

Несложно заметить, что такая последовательность задач может быть реализована только для оценки информационной устойчивости инфокоммуникационной системы, например, в процессе ее разработки, когда имеется возможность прямого доступа ко всем ее элементам.

Для решения задач синтеза кодовой последовательности, приводящей к реализации перехвата управления удаленным элементом такой системы, требуется существенно уменьшить число точек контроля (число неизвестных и уравнений в приведенных выше системах уравнений), так как проведение удаленного дампирования весьма проблематично, хотя бы по причине тривиальной невозможности точной временной синхронизации. Это обусловлено возрастанием, как разброса, так и величины задержки подачи корректирующей последовательности.

При полной синхронизации обрабатываемого системой и корректирующего эту обработку потока возможен практически идеальный перехват управления. На первом этапе – в рассматриваемом примере это первые 300–400 шагов – происходит формирование условий для перехвата управления. На этом участке наблюдается интенсивный рост числа дополнительных, не входящих в регламент системы состояний, хотя и разрешенных. Именно на их основе и формируется точка перехвата. Затем, хоть и медленно, но без дополнительных «колебаний» система переходит в требуемое «конкурентом» целевое состояние.

Конечно, приведенный пример достаточно конкретен, и для другой операционной среды характер зависимостей может измениться, и даже весьма существенно. Однако общая тенденция сохраняется. Кроме того, например, поведение дисперсии состояний хорошо согласуется с приведенными в [2] данными о поведении аналогичных зависимостей у неустойчивых систем.

Необходимо также отметить, что осуществление основной идеи данной работы – определение необходимого состояния и создание условий для перехвата управления системой с автоматическим или автоматизированным управлением – требует достаточно точной синхронизации корректирующего обрабатываемого потока, что с учетом его цикличности и повторяемости кодовых последовательностей позволит реализовать принцип предсказания состояния по известному состоянию в произвольный момент времени. Однако точность предсказания момента времени реализации состояния должна быть не менее ;0,05 тактового интервала с учетом необходимости пересказывать серию моментов времени.

Для выбранной операционной среды и заданных условий уменьшения точности синхронизации (или при полном снятии требований к ней) на основе обратных связей на базе указанной выше системы уравнений был синтезирован способ перехвата управления. Это в определенной степени подтверждает правомерность предложенного подхода к формированию условий перехвата управления системой управления, но одновременно и показывает сложности этого процесса. Так, совершенно очевидно, что формирование условий перехвата управления «конкурентом» при отсутствии синхронизации возможно только на основе «багов», «уязвимостей» программных продуктов или собственно операционных сред (систем). В общем случае формирование условий перехвата невозможно без синхронизации и точного определения задержек сигналов на всех этапах взаимодействия.

Также на основе проведенных предварительных исследований представленного подхода можно утверждать, что реальных систем, в отношении которых невозможно было бы сформировать условия перехвата управления, пока не выявлено, но основное отличие каждого конкретного состоит в требовании точности синхронизации и числе циклов повторения корректирующего кода.

Литература:

1.  А.Г. Алферов, А.М. Белицкий, Ю.А. Степанец, Н.Н. Толстых Перехват управления инфокоммуникационных систем. Теория и техника радиосвязи, 2014., №4, с.5-13
2.  Алферов А.Г., Толстых Н.Н., Толстых И.О., Челядинов Ю.В. Формализованное представление эволюционирующего информационного конфликта в телекоммуникационной системе // Радиотехника. – 2012. – №8. –С. 27–32.
3.  Николаев В.И. Толстых Н.Н. Оценка коэффициента конфликтности информационного потока в автоматизированных системах // Цифровая обработка сигналов. – 2008. – № 2. –С. 14–19.
4.  Андреев Ю.Н. Управление конечномерными линейными объектами. – М.: Наука, 1976. – 424 с.
5.  Куо Б. Теория и проектирование цифровых систем управления: пер с англ. – М. : Машиностроение, 1986. – 448 с.
6.  Толстых Н.Н., Пятунин А.Н., Марейченко И.В., Павлов В.А., Слепов И.Ю. Принципы раннего обнаружения признаков конфликтного режима взаимодействия автоматизированных телекоммуникационных комплексов // Теория и техника радиосвязи. 2004. –Вып. 2. – С. 115–130.
7.  Йос Ж., Джозеф Д. Элементарная теория устойчивости: пер. с англ. – М.: Мир, 1988. – 320 с.

(Опубликовано в сборнике научных трудов
по материалам
Всероссийской научно-практической конференции
28 апреля - 16 мая 2016 г.
г. Екатеринбург

Издательская группа «Знание»
Главный редактор: С. Ю. Радченко)