Индекс: 16. Система: IBM MVS (TSO)

Источник информации: R. Paans, G. Bones. «Surreptitious security violation in the MVS operating system», Security, IFIP/Sec, Holland, 1983, pp. 95—101.

Существует возможность использования TSO для за­пуска привилегированного процесса. Для этого необхо­димо запустить из TSO фоновый процесс и вызвать лю­бую программу, входящую в APF. Фоновый пользова­тельский процесс сможет обнаружить факт начала вы­полнения APF-процесса по изменению значения ключа общей области памяти (для привилегированных процес­сов оно меньше 8). С этого момента пользовательский фоновый процесс является привилегированным, так как обе программы будут выполняться в одном и том же ад­ресном пространстве. После этого он может остановись APF-процесс и получить все привилегии и возможности управления системой.

Индекс: 17. Система: IBM MVS

Источник информации: R. Paans, G. Bones. «Surrep­titious security violation in the MVS operating system», Security, IFIP/Sec , Holland, 1983, pp. 101—105.

Коммерческие приложения, такие, как СУБД, часто должны устанавливаться в систему как APF и выпол­няться как привилегированные. Считается, что такие приложения являются доверенными и не используют предоставленные привилегии для нарушения защиты и игнорирования установленных требований безопасно­сти. Однако в ряде случаев (в первоисточнике приведен ряд примеров) доверенные приложения предоставляют пользователю возможность использования предостав­ленных им привилегий, что дает ему возможность на­рушать безопасность системы. Данный пример пере­кликается с имеющейся в ОС Unix возможностью за­пустить процесс с правами супервизора (пример U9).

Индекс: 19 Система КVM/370

Источник информации: М. Schaefer, В. Gold, R. Linde, and J. Schield, «Program Confinement in KVM/370. Proc. of ACM National Conf., Oct., 1977.

Система KVM/370 выделяет каждой виртуальной машине квант времени физического процессора. Причем виртуальная машина может использовать весь отведенный ей квант или освободить процессор раньше срока. С учетом того, что виртуальная машина имеет доступ к часам реального времени, существует возможность орга­низовать скрытый канал передачи информации от одной виртуальной машины к другой путем кодирования ин­формации величиной временного интервала, использо­ванного виртуальной машиной.

Индекс: МТ1. Система: MTS

Источник информации: В. Hebbard et al. «A penetra­tion analysis of the Michigan Terminal System». ACM SIGOPS Operating Systems Review 14, Jan. 1980, pp. 7 — 20.

Пользователь может посредством манипулирования значениями параметров системных вызовов заставить систему изменить ряд критичных параметров и тем са­мым отключить механизмы управления безопасностью и получить полный контроль над системой. Некоторые подпрограммы ядра системы, осуществляющие модифи­кацию переданных им параметров, используют для их передачи механизм косвенной адресации. В каждой функции ядра перед осуществлением каких-либо дейст­вий проверяется принадлежность полученного парамет­ра-адреса пространству пользовательского процесса, в противном случае запрос пользователя отвергается. Од­нако пользователь может обойти этот контроль посред­ством задания параметра, который содержит адрес, при­надлежащий самой области передачи параметров. При этом можно добиться того, что в результате вызова па­раметры будут модифицированы и в них окажутся адре­са важных переменных из системной области, что дает возможность пользователю изменить их при помощи других системных вызовов.

Операционная система Multics

Операционная система Multics изначально применя­лась на специально разработанных компьютерах GE-645 фирмы General Electric. Позднее под управлением Multics функционировали компьютеры серии HIS 61,80. Аналогично системам IBM 360/370 аппаратное, обеспе­чение этих компьютеров поддерживало два режима ра­боты: т. н. master режим, в котором являлись допусти­мыми все команды, и slave режим, в котором определен­ные команды были запрещены. Система обеспечения безопасности включала в себя 8 колец защиты, которые в компьютерах GE-645 были реализованы программно, а на платформе HIS 6180 — аппаратно. Кольцо 0 являлось наиболее привилегированным, предполагалось, что в нем может размещаться только код операционной системы.

Индекс: MU1 Система: Multics

Источник информации: A.S. Tanenbaum. «Operating System Design and Implementation». Prentice-Hall, Englewood Cliffs, NJ, 1987.

Система Multics в режиме пакетной обработки информации при считывании с перфокарт не поддерживала идентификацию/аутентификацию пользователя. Это позволяло любому пользователю записывать файлы с информацией, введенной с перфокарт, в любые каталога Поскольку пути поиска команд многих пользователей включали их собственные каталоги, это давало возможность внедрить в систему троянскую программу.

Индекс: MU2. Система: Multics

Источник информации: Р. A. Karger, R. R. Schell. «Multics Security Evaluation: Vulnerability Analysis», ESD-TR-74-193, Vol. II, June 1974.

В случае, когда программа, выполняющаяся в менее привилегированном кольце защиты, передает параметры программе, находящейся в более привилегированном кольце, последняя должна удостовериться, что вызвавшая ее программа имеет права доступа на чтение или запись переданных ей параметров. Поскольку разделение колен защиты в системах на базе компьютеров GE-645 было реализовано программно, эту функцию осуществляла специальная процедура. Однако данная процедура непра­вильно обрабатывала один из видов косвенной адресации системы GE-645, и проверка прав доступа не всегда осу­ществлялась корректно, что позволяло непривилегиро­ванным программам получить доступ к данным, обраба­тываемым в привилегированных кольцах защиты.

Индекс: MU3. Система: Multics

Источник информации: Р. A. Karger, R. R. Schell. «Multics Security Evaluation: Vulnerability Analysis», ESD-TR-74-193, Vol.II, June 1974.

В ранних версиях Multics регистр указателя стека (sp) мог быть модифицирован только в режиме master. Когда Multics получила широкое распространение, это было признано неудобным, и в систему были внесены измене­ния, допускавшие изменение регистра sp во всех режи­мах. Однако в системе остался не исправлен ряд фраг­ментов кода, предполагавших, что модификация регист­ра sp возможна только в режиме master. Это нарушило интерфейс между master и slave режимами и позволило использовать эти фрагменты кода для осуществления не­санкционированного доступа.

Индекс: MU9. Система: Multics

Источник информации: Р. A. Karger, R. R. Schell. «Multics Security Evaluation: Vulnerability Analysis», ESD-TR-74-193, Vol.II, June 1974.

С помощью программы тестирования аппаратно реализуемых механизмов защиты Multics (авторы назва­ли ее Subverter) была выявлена аппаратная ошибка в системе GE-645. Ошибка заключалась в следующем: если исполняемая команда вызывала команду, находящуюся в самом начале другого сегмента, которая использовала индексный регистр, но не устанавливала базу для индек­сации, то эта команда выполнялась без какого-либо кон­троля со стороны аппаратных средств. Благодаря этой возможности пользователь мог легко получить контроль над всей системой.