Защитить операционную систему гораздо сложнее, чем СУБД. Это обусловлено тем, что число различных типов защищаемых объектов в современных ОС может достигать нескольких десятков, а число различных типов защищаемых информационных потоков – нескольких сотен. ОС имеет очень сложную внутреннюю структуру и поэтому задача построения адекватной политики безопасности для ОС решается значительно сложнее, чем для СУБД.

Среди начинающих хакеров распространено мнение, что наиболее эффективные и опасные атаки ОС организуются с помощью сложнейших программных средств, использующих последние достижения науки и техники. Считается, что хакер обязательно должен быть программистом высочайшей квалификации. На самом деле для преодоления защиты ОС вовсе не обязательно писать сложную программу. Искусство хакера заключается не в том, чтобы суметь написать программу, которая взламывает любую защиту, а в том, чтобы найти уязвимое место в конкретной системе защиты и суметь им воспользоваться.

При этом наилучшие результаты достигаются при использовании самых простейших методов “влезания” в выявленные “дыры” в защите ОС. Чем проще алгоритм атаки, тем больше вероятность того, что атака пройдет успешно – возможности хакера по предварительному тестированию алгоритма атаки обычно сильно ограниченны. Возможность практической реализации той или иной атаки на ОС в значительной мере определяется архитектурой и конфигурацией ОС. Тем не менее, существуют атаки, которые могут быть применены практически к любым операционным системам. К ним относятся следующие атаки:

Кража ключевой информации. Может реализовываться с использованием следующих методов:

подсматривание пароля при вводе пользователем. Существуют люди, которые могут подсмотреть вводимый пароль, глядя только на движения рук по клавиатуре. Поэтому то, что обычно при вводе пароль не высвечивается на экране, не гарантирует невозможность компрометации пароля;
получение пароля из командного файла. Некоторые ОС при сетевой аутентификации (подключении к серверу) допускают ввод пароля из командной строки. Если аутентификация происходит с использованием командного файла, пароль пользователя присутствует в этом файле в явном виде;
некоторые пользователи, чтобы не забыть свой пароль, записывают его в записные книжки, на бумажки, которые затем приклеивают к нижней части клавиатуры, и т.д. Для злоумышленника узнать такой пароль не составляет никакого труда. Особенно часто такая ситуация имеет место, если администраторы заставляют пользователей использовать длинные, труднозапоминаемые пароли;
кража внешнего носителя ключевой информации. Некоторые ОС допускают использование вместо паролей внешних носителей информации (ключевые дискеты, Touch Memory, Smart Card и т.д.). Использование внешних носителей повышает надежность защиты ОС, но в этом случае появляется угроза кражи носителя с ключевой информацией;
перехват пароля программной закладкой.
Подбор пароля. Могут использоваться следующие методы:

неоптимизированный перебор;
перебор, оптимизированный по статистике встречаемости символов и биграмм;
перебор, оптимизированный с использованием словарей вероятных паролей;
перебор, оптимизированный с использованием знаний о пользователе. В этом случае в первую очередь опробуются пароли, использование которых пользователем представляется наиболее вероятным (имя, фамилия, дата рождения, номер телефона и т.д.);
перебор, оптимизированный с использованием знаний о подсистеме аутентификации ОС. Если ключевая система ОС допускает существование эквивалентных паролей, при переборе из каждого класса эквивалентности опробуется всего один пароль.
Все эти методы могут применяться в совокупности. Если хакер не имеет доступа к списку пользователей ОС, подбор пароля пользователя представляет серьезную опасность только в том случае, когда пользователь использует тривиальный, легкоугадываемый пароль. Если же хакер получает доступ к списку пользователей, хакер может осуществлять перебор, не имея прямого доступа к атакуемому компьютеру или сети (например, хакер может унести список пользователей ОС домой и запустить программу перебора паролей на своем домашнем компьютере). В этом случае за приемлемое время может быть подобран пароль длиной до 8-10 символов.

Сканирование жестких дисков компьютера. Хакер последовательно считывает файлы, хранящиеся на жестких дисках компьютера. Если при обращении к некоторому файлу или каталогу хакер получает отказ, он просто продолжает сканирование дальше. Если объем жесткого диска компьютера достаточно велик, можно быть уверенным, что при описании прав доступа к файлам и каталогам этого диска администратор допустил хотя бы одну ошибку. При применении этой атаки все файлы, для которых были допущены такие ошибки, будут прочитаны хакером. Несмотря на примитивность данной атаки, она во многих случаях оказывается весьма эффективной. Для ее реализации хакер должен быть легальным пользователем ОС. Если в ОС поддерживается адекватная (или близкая к адекватной) политика аудита, данная атака будет быстро выявлена, но если хакер организует атаку под чужим именем (именем пользователя, пароль которого известен хакеру), выявление этой атаки ничем ему не грозит. Данный метод можно применять не только для сканирования дисков локального компьютера, но и для сканирования разделяемых ресурсов локальной сети.
Сборка мусора”. Если в ОС допускается восстановление ранее удаленных объектов, хакер может воспользоваться этой возможностью для восстановления объектов, удаленных другими пользователями. В простейшем случае хакеру достаточно просмотреть чужую “мусорную корзину”. Если хакер использует для сборки мусора программную закладку, он может “собирать мусор” не только на дисках компьютера, но и в оперативной памяти.
Превышение полномочий. Используя ошибки в программном обеспечении или администрировании ОС, хакер получает в системе полномочия, превышающие предоставленные ему согласно текущей политике безопасности. Превышение полномочий может быть достигнуто следующими способами:
запуск программы от имени пользователя, обладающего необходимыми полномочиями;
запуск программы в качестве системной программы (драйвера, сервиса, демона и т.д.), выполняющейся от имени ОС;
подмена динамически подгружаемой библиотеки, используемой системными программами, или несанкционированное изменение переменных среды, описывающих путь к такой библиотеке;
модификация кода или данных подсистемы защиты ОС.
Атаки класса “отказ в обслуживании. Эти атаки нацелены на полный или частичный вывод ОС из строя. Существуют следующие атаки данного класса:
захват ресурсов – программа захватывает все ресурсы компьютера, которые может получить. Например, программа присваивает себе наивысший приоритет и уходит в вечный цикл;
бомбардировка трудновыполнимыми запросами – программа в вечном цикле направляет операционной системе запросы, выполнение которых требует больших затрат ресурсов компьютера;
бомбардировка заведомо бессмысленными запросами – программа в вечном цикле направляет операционной системе заведомо бессмысленные (обычно случайно генерируемые) запросы. Рано или поздно в ОС происходит фатальная ошибка;
использование известных ошибок в программном обеспечении или администрировании ОС.
Если программное обеспечение ОС не содержит ошибок, и если в ОС соблюдается адекватная политика безопасности, все перечисленные атаки малоэффективны. Однако, как показано, такая ситуация крайне маловероятна. Поэтому система защиты АБС обязательно должна быть устойчива к ошибкам программного обеспечения и администраторов.

Меры защиты, которые должны быть предприняты для повышения устойчивости ОС к ошибкам, сильно различаются для разных ОС. Но какие бы меры защиты не принимались, полностью устранить угрозу преодоления хакером защиты ОС невозможно. Администраторы АБС должны так построить политику безопасности, что даже преодоление хакером рубежа защиты, создаваемого операционной системой, не позволило ему нанести серьезный ущерб АБС.

Если атака ОС не является конечной целью хакера, а используется как первый этап атаки АБС, наибольший интерес для хакера представляют файлы баз данных и файлы программного обеспечения, используемого СУБД. Поэтому АБС должна быть построена так, чтобы эти файлы не были доступны ни одному пользователю ОС рабочих станций. Доступ к БД должен быть возможен только через сервер базы данных. В противном случае хакер, преодолев защиту рабочей станции, сможет доступ к файлам БД. В некоторых распределенных информационных системах в качестве серверов баз данных используются обычные файловые серверы. В этом случае пользователи СУБД могут получить доступ к файлам БД средствами операционной системы. Хакер, преодолев защиту ОС, также получит доступ к файлам БД. Хотя хакер не сможет использовать средства СУБД для доступа к внутренней структуре этих файлов, при наличии определенной квалификации это и не нужно – хакер сможет восстановить структуру базы данных вручную.

Для того чтобы хакер, преодолевший защиту ОС, не смог причинить серьезный ущерб информации, хранящейся в базе данных, распределенная СУБД должна иметь архитектуру клиент-сервер. При этом должны выполняться следующие требования:

на рабочую станцию передаются только те данные, которые запрошены пользователем;
файлы БД, хранящиеся на сервере, не являются разделяемыми с точки зрения ОС – разделение данных между пользователями имеет место только на уровне СУБД;
при сетевом взаимодействии рабочих станций и серверов баз данных не используются объектно-ориентированные сетевые протоколы (типа SMB).
Эти требования достаточно очевидны, но, как показывает опыт, далеко не всегда администраторы ими руководствуются. На всех компьютерах, входящих в состав АБС, должны быть установлены достаточно защищенные операционные системы (SCO UNIX, Windows NT, Solaris и др., но не Windows 95 или OS/2). Для каждой операционной системы политика безопасности должна быть адекватной. При определении адекватной политики безопасности целесообразно ориентироваться на требования класса защиты C2 "Оранжевой книги”.