МАҒҰЛЫМДАЛМАҒАН МҮМКІНДІКТЕРДІ ЗЕРТТЕУ

АННОТАЦИЯ

Мағұлымдалмаған мүмкіндіктер және олардың түрлері сипаттала отырып, статикалық анализаторларда оларды сканерлеу ережелері қарастырылды. Мағұлымдалмаған мүмкіндіктердің түрлерін классификацияға жіктеудің әдістерін зерттеу алдағы уақытқа талап етілді.

ABSTRACT

Undefined features and their types, also rules of scan in static analyzers were described. It is required researching methods of classifications of undefined features in the feature.

Ключевые слова: мағұлымдалмаған мүмкіндіктер; статикалық анализатор; бағдарламалық жасақтама.

Keywords: undefined features; backdoor; static analyzer; software.

Мағұлымдалмаған мүмкіндіктер (undefined features, недекларированные возможности (қысқаша «НДВ»)), аты айтып тұрғандай, бағдарламалық жасақтаманың мәліметтелмеген, яғни, құжаттарда көрсетілмеген қосымша мүмкіндіктері.Бағдарламалық жасақтаманы жасау барысында [2] әзірлеуші байқамай немесе әдейі осалдықтар және мағұлымдалмаған мүмкіндіктерді қалдырып қоюы мүмкінқолданушыға администратор панеліне құпия кіру мүмкіндігін берсе, белгілі бір уақыт сайын орындалатын скрипт не уақытша бомба (time bomb) деректер қорынан қажетті ақпарат жіберіп отыруы мүмкін. Бұл осалдықтарды табу әдетте өте қиын болып келеді. Себебі, олар бағдарламалық жасақтаманың кез келген жерінде, жойылған деректердің уақытша сақтау қоймасында да болуы мүмкін. Мақалада қазіргі уақытқа дейінгі анықталған мағұлымдалмаған мүмкіндіктер туралы ақпараттар жинақталып, жұмыс істеу барысы сипатталды.

Әртүрлі ақпарат көздерінен мағұлымдалмаған мүмкіндіктер туралы материалдар келтірілді. Сурет 1-де статикалық анализатор Solar appScreener-дің  [1] мағұлымдалмаған мүмкіндіктерді жеке категорияға енгізіп, әртүрлі бағдарламалау тілдерінде өзіне сай сканерлер ережелері бар екендігін көріп отырмыз.

Сурет 1. Solar appScreener анализаторындағы мағұлымдалмаған мүмкіндіктердің ережелер тізімі

Келесі бөлімде мағұлымдалмаған мүмкіндіктердің түрлері жинақталып, оларға мысалдар келтірілді:

1. Жасырын мүмкіндік (hidden functionality) [3]:

1.1) 2007 жылы PHP CMS-і WordPress 2.1.1 версиясында анықталған. WordPress дистрибютив сервері бұзылып, бэкдорды қосу үшін дистрибутив өзгертілді. Веб-сұраудағы жасырын параметр арқылы команданы қашықтан енгізуге мүмкіндік беретін екі PHP файлы өзгертілді. Модификация бір апта ішінде табылды. Төменде енгізілген PHP кодының тиісті бөліктері көрсетілген:

Ол веб-сұраныстан екі параметрдің "ix" және "iz" мәндерін оқиды да, бұл мәндерді eval() немесе passthru() PHP кіріктірілген функцияларының біреуіне береді. Eval() функциясы кіріс жолын PHP коды ретінде өңдейді, ал passthru() жүйелік командаларды орындайды;

1.2) 2007 жылы Artmedic CMS 3.4 версиясында 2 апта ішінде анықталған. Қашықтағы командалық инъекция үшін әртүрлі бастапқы файлдар өзгертілді:

2. Арнайы кіру реквизиттері (special credentials) [3]:

2.1) Borland Interbase 4.0, 5.0, 6.0-де  2001 жылы бағдарламалық жасақтама open source болғаннан кейін анықталды. Тіркелу деректері үшін арнайы бэкдор болып табылды. Арнайы тіркелу деректері ("politically" –  пайдаланушы аты және "correct" – паролі) бағдарлама іске қосылған кезде тіркелу деректері кестесіне енгізілген және бэкдор жеті жыл бойы назардан тыс қалған:

2.2) Intel NetStructure 7110 SSL Accelerator (2000) - администратор құпия сөзі "wizard" ретінде анықталған. Құпия сөз негізгі Ethernet интерфейсінен алынған;

3. Кездейсоқ желілік белсенділік (unintended network activity) – 2002 жылы [3] бэкдор Unix-желілік сниффердің tcpdump кодын тарату көзіне енгізілді. Бэкдорда екі компонент болды – таңдалған пакеттерді жасыру үшін сниффердің өзін өзгертумен біріктірілген басқару және бақылау шығыс арнасы (C & C). C & C компоненті іске қосу кезінде TCP қосылымын 1963 портындағы қатты бағдарламаланған IP мекен-жайы бойынша орнатты және жеке таңбалар түрінде ұсынылған: "А" өзін өшіру үшін, "D" құру және кіріс/шығыс арқылы қайта бағыттау және "М" бір сағат ұйықтау үшін арналған командаларды тыңдады. Сниффер компоненті сүзгі трафигін өзгерту үшін tcpdump-тың gencode.c файлына өзгертілді:

4. Өте маңызды қауіпсіздік параметрлерін өзгерту (manipulation of security-critical parameters) – 2003 жылы Linux 2.6 ядросының бэкдор әрекеті болды. [3] Қызметкерлер бэкдорды қолданушыларға жетпей жатып, байқап қалып, өшіріп үлгерді. Бұл шабуылдаушы CVS ағашын әдеттегі механизммен өзгертудің орнына тікелей өзгерткендіктен болды. Зиянды код ядро туралы құнды ақпарат беріп отырған. Келесі код үзіндісінің бәрі kernel/exit.c-тегі sys_wait4 () функциясына қосылған:

if ((options == (__WCLONE|__WALL)) && (current->uid = 0))

retval = -EINVAL;

Бір қарағанда, бұл өзгеріс егер процесс үшін белгілі бір жалаулар орнатылып, root сияқты жұмыс істесе, жүйелік шақыруды тоқтату функциясы сияқты көрінеді. Алайда, жақынырақ тексеру кезінде шартты деңгейдің екінші жартысы current->uid-ды нөлмен салыстырмай, нөлге теңестіруде. Нәтижесінде, егер ол wait4() функциясын _wclone және _wall параметрлері арқылы шақырса, шақыру процесіне root мүмкіншіліктері беріледі.

Қорытындылай келе, мағұлымдалмаған мүмкіндіктерді зерттей отырып, олардың бағдарламалық жасақтаманың кез келген жерінде болуы және кез келген уақытта іске қосылуы мүмкін екендігін байқадық. Оған қоса, бұл туралы ақпараттардың өте аз екендігін, әлі зерттелмеген тұстары көп екендігін түсіндік.

Бұл тұжырымдар өз кезегінде осы саланың ары қарай дамуын, зерттелуін, олардың түрлерін классификацияға жіктеудің әдістерін айқындауды талап етеді.       

Әдебиеттер тізімі:

1. Возможности Solar appScreener – https://rt-solar.ru/products/solar_appscreener/capabilities/ (кірген уақыт 05.04.2021)
2. Статикалық анализаторларды зерттеу – https://www.internauka.org/journal/stud/herald/157#article-260236 (кірген уақыт 06.04.2021)
3. Veracode Overview – https://blackhat.com/presentations/bh-dc-08/Wysopal-Eng/Presentation/bh-dc-08-wysopal-eng.pdf (кірген уақыт 06.04.2021)