Аттестационная работа (ИАР/ВАР) на тему Разработка изолированной программно-аппаратной среды в системе Windows.

Содержание:

ВВЕДЕНИЕ. 3

1 Теоретический анализ изолированных
программно-аппаратных сред для Windows. 5

1.1 Понятие
изолированной программной среды.. 5

1.2 Программы-песочницы
как изолированная программно-аппаратная среда в системе Windows. 7

2 Разработка
драйвера песочницы для среды в системе Windows. 24 2.1 Характеристика
предприятия. 24

2.2 Постановка задачи. 25

2.3
Спецификация требований программного обеспечения согласно стандарту IEEE
830-1998. 26

2.4 Разработка UML-диаграмм
ПО.. 30

2.5
Среда разработки. 34

2.6
Архитектура разрабатываемой песочницы.. 34

2.7
Реализация разработки. 40

2.8
Инструкция пользователя. 45

2.9
Тестирование программного продукта. 52

ЗАКЛЮЧЕНИЕ. 54

СПИСОК
ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ.. 57

ПРИЛОЖЕНИЯ.. 60

Введение:

На борьбу с киберпреступностью и элементами вредоносного
кода направлены усилия антивирусного программного обеспечения. В информационной
сети «Интернет» представлены продукты различных разработчиков, нацеленные на создание
безопасной среды для хранения и обработки данных.

Однако не только узкоспециализированные компании направляют
свои усилия на создание современных защитных инструментов, но и отдельные
технологические гиганты, одним из которых, безусловно, является корпорация
«Microsoft», системные программные продукты которой составляют основное ее
ядро, ведут собственные разработки в этом направлении. Прогрессивные
технологии, применяемые в программном процессе, помогли разработчикам
корпорации создать не только лучшие решения в своем классе, но и выделить новый
рынок в программной среде. Например, операционная система «Windows» стала
новатором среди систем управления компьютерными устройствами с дружественным
графическим, ориентированным на требования и предпочтения конечного
потребителя, интерфейсом, и положила начало новому стандарту программ.

Очень важно для современных предпринимателей безопасно вести
свой бизнес. Но в нынешних реалиях это невозможно. Обоснуем наше утверждением
тем, что за последние 5 лет киберпреступления увеличились почти в два раза. Если
в 2015 году количество таких преступлений составляло 23% от всех преступлений в
России, то на конец 2020 года эти данные составляют – 51%. В России, за время
пандемии произошел скачек киберпреступности на 15,1%. Участились кражи данных
предприятий, если в 2015 году количество таких преступлений с помощью ПО
составляло 3,6%, то к концу 2020 года они возросли до 17,7%. Данные крадут с
разными целями, например, перепродать конкурентам, просто уничтожить (остановив
работу предприятия). Поэтому важно сейчас создавать изолированную среду для
работы АО предприятий, чтобы защитить их данные от краж и взломов.

Изолированная среда в Windows — это приложение «песочница»,
которое позволяет создать безопасную среду, изолированную от остальной части
системы, чтобы безопасно запускать программы и файлы в ней. Обычно, Windows
Sandbox — это инструмент виртуализации, который позволяет создавать
изолированную временную среду рабочего стола, где вы можете запускать
потенциально опасное программное обеспечение, не опасаясь повредить основную
установку Windows. Но на практике, хотелось бы добиться запуска рабочих
приложений, баз данных предприятия, с целью защитит не саму ОС, а именно АС
предприятия от взломов, краж данных.

Объект исследования – защита АС предприятия.

Предмет исследования – применение на практике возможностей
изолированной программно-аппаратной среды в системе Windows для защиты АС
предприятия.

Цель исследования – обоснование
необходимости и достаточности применения на практике возможностей
изолированной программно-аппаратной среды в системе Windows для защиты АС
предприятия от кражи данных.

Задачи:

— Проведение теоретического анализа изолированных
программно-аппаратных сред для Windows.

— Обоснование необходимости и достаточности применения на
практике драйвера песочницы для среды в системе Windows.

Структура исследования представлена введением, двумя главами,
заключением и списком использованных источников.

Заключение:

Виртуальные машины следовало бы разделить на два больших
класса – «тяжелые» виртуальные машины, т.е. полностью эмулирующие железо, и
легковесные виртуальные машины, которые эмулируют критически важные части
операционной системы, такие как файловая система, реестр и некоторые другие
примитивы ОС (например, мьютексы). Примеры легковесных виртуальных машин:
Featherweight Virtual Machine, Sandboxie, Cybergenic Shade.

Featherweight Virtual Machine является проектом с открытым
исходным кодом, однако есть некоторые недостатки, например, способ виртуализации
вызовов функций ядра ОС. Featherweight Virtual Machine использует технологию
«хуков», а это подразумевает под собой изменении кода ядра ОС – нечто ставшее
запрещенным для 64-битных операционных систем, начиная с Vista. Подобного рода
патчи кода ядра активируют Patch Guard —¬ специальный компонент ОС, вызывающий
BSOD (синий «экран смерти») в таких случаях, поскольку Microsoft рассматривает
патчи как злонамеренные действия. Поэтому FVM могла бы быть хорошей отправной
точкой для первого взгляда на технологии виртуализации как таковые, но она
недостаточно совместима с современными операционными системами. Основные
трудности возникают при попытках сохранить совместимость с Patch Guard, мы
детально рассмотрим эти проблемы позже.

Большая часть программистов изобретает технологии обхода
Patch Guard, но подобные обходы ослабляют защиту ОС, делая её более уязвимой к
«традиционным» зловредам уровня ядра, которые не могли бы быть запущены на ОС,
защищенной Patch Guard. Нашей целью будет не обход или отключение Patch Guard,
а сохранение совместимости с ним. Песочница должна добавить дополнительную
защиту ОС, чтобы сделать её более устойчивой к атакам злоумышленников, а не
ослаблять защиту, неправильно работая с Patch Guard.

Нельзя управлять правилами из пользовательского режима, так
как это существенно замедляет работу ПК. Данный подход является достаточно
простым в плане реализации и возможен.

В ходе анализа мы не просто изучили варианты изолированных
сред ОС, и рассмотрели известные программы, способные создавать такие
виртуальные пространства. Мы так же выявили отсутствие применения данных
изолированных сред для предотвращения киберпреступности, направленной на взлом
и кражу данных на предприятиях. А это очень распространенное преступление, от
которого страдают многие известные промышленные холдинги, да и более мелкие
предприниматели. Так, в ООО «Медтехника сервис плюс» осуществился взлом их баз
данных и была уничтожена практически вся информация, часть ее была просто
стерта, часть похищена и уничтожена. Ответа на вопрос, как предотвратить такое,
в изучении всех возможных вариантов, существующих в настоящее время, найдено не
было. Поэтому была осуществлена задумка, применения изолированной
программно-аппаратной среды, то есть виртуально изолированного модуля учета МТР
ООО «Медтехника сервис плюс», для сохранности информации
компании.

В процессе работы столкнулись  с тем, что существует ограничение – это структура
уведомлений/ответов с предварительно определёнными буферами для файловых имен.
Эти буферы имеют два недостатка: во-первых, их размер ограничен и некоторые
файлы, находящиеся глубоко в файловой системе, будут обрабатываться
неправильно. Во-вторых, существенная часть памяти режима ядра, выделенная под
имя файла, в большинстве случаев не используется. Таким образом, следует
применять более разумную стратегию выделения памяти в коммерческом ПО.

И еще один недостаток – повсеместное использование функции FltSendMessage(),
которая является довольно медленной. Ее следует применять исключительно тогда,
когда приложение пользовательского режима должно показать пользователю запрос,
а пользователь – разрешить или отклонить операцию. В этом случае данную функцию
использовать можно, так как взаимодействие с человеком гораздо медленнее, чем
выполнение какого-либо кода. Но если программа реагирует автоматически, должны
избегать чрезмерного взаимодействия с кодом пользовательского режима.

Постаравшись устранить выявленные проблемы, была создана
тестовая версия базы данных компании, разработан специальный модуль учета под
базу данных компании и применен драйвер, создающий изолированную среду. В
тестовом режиме программа показала неплохие результаты. В дальнейшем можно
углубить исследование для разработки изолированной программно-аппаратной среды,
поддерживающей облачные технологии и способной работать с более емкими базами
данных.

Цель такой работы заключалась в защите информации компании,
предотвращении возможности взлома баз данных с целью кражи или уничтожения
информации.

Фрагмент текста работы:

1 Теоретический анализ изолированных программно-аппаратных
сред для Windows

1.1 Понятие изолированной программной среды

Песочница Windows (оригинальное
название Windows Sandbox) – это внедрённая в Windows 10, начиная с её версии
1903, отделённая среда тестирования сомнительного ПО. Каждый раз запускаемая
эта среда являет собой чистую Windows 10 той же версии 1903, но работающую с
некоторыми ограничениями. В этой среде можно запускать скачанные с левых сайтов
программы, применять твики кастомизации и вносить в систему прочие рискованные
настройки, распаковывать подозрительные файлы, сёрфить по низкосортным сайтам.

И даже намеренно запускать вирусы и прочие зловреды.
Песочница надёжно изолирована от среды реальной Windows 10: распространённое в
первой зло уйдёт в небытие вместе с её закрытием и не проникнет в среду второй.

Песочница ещё на стадии тестирования инсайдерских сборок
готовящегося накопительного обновления за первое полугодие 2019 года произвела
на инсайдеров фурор как реально стоящая системная новинка. Но, увы, долгое
время после официального выпуска обновления работа Windows Sandbox в
русскоязычных сборках Windows 10 1903 завершалась ошибкой. Microsoft
потребовалось несколько месяцев, чтобы устранить эту ошибку. И вот уже мы можем
беспрепятственно работать с песочницей.

Windows Sandbox – это не предустановленный изначально
системный компонент, а активируемый по необходимости. Активирован он может быть
в 64-битной Windows 10, начиная с редакции Pro и, как уже говорилось, начиная с
версии 1903. Есть ещё требования, вытекающие из специфики работы гипервизоров:

Как видим, большая часть условий активации песочницы такие
же, как и для активации штатного гипервизора Hyper-V. Ведь именно на технологии
Microsoft Hyper-V базируется работа Windows Sandbox. Но песочница – это
ограниченная среда виртуализации. Мы не можем экспериментировать с эмуляцией
аппаратной части, не можем выбирать версию Windows, да и та, что есть, среда
виртуальной «Десятки» являет собой эмулятор настоящей системы лишь в части
использования классического функционала. В ней представлены только отдельные
системные приложения формата UWP, нет Microsoft Store, и, соответственно, нет
возможности устанавливать из него UWP-приложения.

Есть и другие ограничения в работе виртуальной системы
песочницы — например, недоступность запуска системного управления дисками. То ли
это временный баг, то ли специально задуманное ограничение – неизвестно. Но в
любом случае в части переразметки дискового пространства в среде Windows
Sandbox не поэкспериментируешь. Дисковое пространство являет собой единственный
диск С небольшого размера.

Сообщение песочницы с реальной Windows 10 возможно только
путём двустороннего копирования файлов. Никакие устройства информации
компьютера, отображаемые в среде реальной «Десятки», не могут быть подключены к
среде виртуальной системы. Как и не может быть никаких общих папок между
системами. Доступ к Интернету в виртуальной системе песочницы обеспечивается
автоматически создаваемым эмулятором сетевого устройства – адаптером Hyper-V.

Вне зависимости от того, активирована ли реальная Windows
10, виртуальная среда песочницы – это система в триальном режиме. Тестовая
среда не рассчитана на персонализацию, а это единственное, на что влияет
отсутствие активации из ограниченного круга возможностей изолированной среды.

Windows Sandbox – это приложение без каких-либо настроек. Мы
используем это приложение как есть, всё, что нам доступно (возможно, пока что)
– это возможность развернуть приложение на весь экран. И работать со средой песочницы,
как в среде обычной Windows.

Принцип работы песочницы – сохранение изменений только до
момента закрытия приложения, выключения или перезагрузки виртуальной системы.
Из чего вытекает ещё одно ограничение: мы не сможем экспериментировать с
настройками и софтом, требующим для внесения изменений перезагрузку системы или
применение операций в режиме предзагрузки.

Такая вот у Windows 10 песочница. Функция эта, безусловно,
рассчитана на начинающих пользователей. Ну или пользователей опытных, однако не
имеющих времени на активные эксперименты и работу с полноценными гипервизорами.
И, кстати, ещё один недостаток обнаружат те, кто параллельно работает с
полноценными гипервизорами – программами VirtualBox или VMware. Песочница
конфликтует со сторонними программами виртуализации операционных систем. При
активном компоненте Windows Sandbox виртуальные машины VirtualBox или VMware не
будут запускаться. Песочницу надо будет деактивировать и отключить запуск
Hyper-V в командной строке.

1.2 Программы-песочницы как изолированная
программно-аппаратная среда в системе Windows

Песочница представляет собой виртуальную среду, в которой
приложение работает обычным образом, но изменения, внесенные этим приложением,
не влияют на операционную систему. Приложения-песочницы видят реальную
операционную систему с реальным оборудованием, поэтому они отличаются от
приложений, таких как VMWare Workstation или Microsoft VirtualPC, где
операционная система и оборудование виртуализированы .

Проведем обзор программ для создания виртуального окружения –
 Free BufferZone Pro. Рассмотрим приложения,
в более широком плане: это не только настольные решения, но и облачные сервисы,
улучшающие не только безопасность, но и анонимность, дающие возможность запуска
со съемного носителя, с другого компьютера.