Механизм Swapping — угроза или паранойя?

    Доброго времени суток %username%.

    Подготавливая в очередной раз оборудования, ПО и помещение к прохождению аттестации на разные там «конфи» и «перс данные», мне показалось странным что такая область работы ОС как организация Свопинга ни кем, или ни чем не защищается.

    Немного взгляда изнутри. Википедия дает довольно сбалансированное определение данному термину:

    Свопинг


    Один из механизмов реализации виртуальной памяти, при котором отдельные запущенные процессы (обычно неактивные) перемещаются из ОЗУ на жёсткий диск, освобождая ОЗУ для загрузки других процессов. Основное отличие этого механизма от страничного заключается в том, что процессы перемещаются между ОЗУ и жестким диском целиком, поэтому иногда некоторые процессы могут полностью отсутствовать в ОЗУ. При наступлении условий активизации процесса он возвращается диспетчером памяти в ОЗУ. Существуют различные алгоритмы выбора процессов на загрузку и выгрузку, а также различные способы выделения оперативной и дисковой памяти загружаемому процессу.


    Все хорошо, еще из жизни мы знаем что своп может быть размещен на дисках в виде файлов (т.е. подчиняться драйверам файловой системы) или же занимать отдельное выделенное место на устройстве, чаще всего в виде выделенного раздела (так называемого раздела подкачки).

    Угроза


    Исходя из механизма организации свопинга можно утверждать, что ОС руководствуясь неведомыми алгоритмами, переносит неиспользуемые, или ниже приоритетные области памяти на дисковые устройства. После чего освободившиеся области памяти отдает другим процессам. Предположим, что на компьютере ведется работа с важной информации, которая храниться в защищенном виде, на защищенном компьютере и в защищенном помещении. Для работы с данными необходимо приложение, которое снимает защиту на момент ручной или автоматизированной обработки, назовем это — расшифровывание. После расшифровывания данные обрабатываются в «открытом виде».

    !
    Если в этот момент ОС решит засвопить рабочий процесс, то все переменные в которых и хранятся данные попадут на устройства хранения в открытом виде. Мало того, закрытые ключи использовавшиеся для расшифровки данных, при неправильном программировании и не использовании специальных носителей информации, так же могу оказаться в свопе.

    Ну а дальше дело техники:
    Вариант №1. Выключаем компьютер — забираем устройство — копируем своп — возвращаем все назад.
    Вариант №2. На ОС настроено удаление совп файла при завершении работы. Нашел такое только в Windows 2008 Server R2. В Linux нашел команду swapoff, не уверен что она делает именно это. При таких условиях жмем — Reset.
    Вариант №3. Снимаем образ Acronis'ом.
    Полученный файл или область диска изучаем имеющимися у нас способами.

    Для защиты могут использоваться специальные устройства перехватывающие кнопку Reset, например: Электронный замок «Соболь» , он кстати умеет сверять контрольные суммы с файлов при загрузки, почему бы ему и своп не контролировать???

    Выключать своп реально не хочется, т.к. действия пользователя в течении дня не предсказуемы. Если есть какие либо мысли или ответы — очень буду рад.

    Ну из рекомендации можно посоветовать только пока:
    Панель упр.->Система->Дополнительно->Быстродействие->Параметры->
    Дополнительно->Виртульная память->Изменить->Без файла подкачки->OK.

    Лично я встречал только один носитель информации в описании которого есть такая фраза:

    Возможности Rutoken ЭЦП позволяют осуществлять механизм электронной цифровой подписи так, чтобы закрытый (секретный) ключ подписи никогда не покидал пределы токена. Таким образом, исключается возможность компрометации ключа и увеличивается общая безопасность информационной системы.

    Это моя первая статья на Хабре, так что не бейте по яндексам.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 28

    • НЛО прилетело и опубликовало эту надпись здесь
        +1
        Убивается вся суть свопинга. Данные не будут записываться так быстро и считываться тоже. По моему это не вариант.
        • НЛО прилетело и опубликовало эту надпись здесь
            0
            Отключите своп, не?
              0
              Вариант рассматривается, но win xp не понимает более 3 GB RAM. И не понятно вообще как это чудо будет работать целыми днями в таких условиях.
                0
                Отлично будет работать. Больше 3-х и не нужно.
                  0
                  WinXP можно заставить работать с 8 гигами.
                  Для этого своп делают исключительно на RAMDrive.
                  Т.е. сначала поднимают 4Гб логический раздел, реально находящийся в оперативной памяти, а затем уже на него заставляют винду писать свой файл подкачки.
                  Так получаем почти 8Гб быстрой памяти, чего уже хватает для гораздо большего числа задач.
              –1
              1. AES 256 — не может использоваться для защиты данных в России, т.к. не имеет сертификата ФСБ. Его можно использовать только в личных целях.
              2.Wiki Говорит, что его уже подломали:
              Side-channel attacks
              Side-channel attacks do not attack the underlying cipher and so have nothing to do with its security as described here, but attack implementations of the cipher on systems which inadvertently leak data. There are several such known attacks on certain implementations of AES.
              In April 2005, D.J. Bernstein announced a cache-timing attack that he used to break a custom server that used OpenSSL's AES encryption. The custom server was designed to give out as much timing information as possible (the server reports back the number of machine cycles taken by the encryption operation), and the attack required over 200 million chosen plaintexts.
              In October 2005, Dag Arne Osvik, Adi Shamir and Eran Tromer presented a paper demonstrating several cache-timing attacks against AES. One attack was able to obtain an entire AES key after only 800 operations triggering encryptions, in a total of 65 milliseconds. This attack requires the attacker to be able to run programs on the same system or platform that is performing AES.
              In December 2009 an attack on some hardware implementations was published that used Differential Fault Analysis and allows recovery of key with complexity of 2^32
              3. Не уверен что шифрование и расшифровывание дают всего 2-3% проигрыша производительности. Своп это небольшие объемы данных. Я погуглю тесты алгоритмов.
              • НЛО прилетело и опубликовало эту надпись здесь
                  –1
                  > виндовс имеет сертификат ФСБ и что с того? раз в неделю новость о взломах и уязвимостях. то есть вывод такой что сертификат ничего не значит

                  Secure Pack Rus
                    0
                    >если у тебя пароль украдут, на бумажке записанный то нельзя же будет сказать что система в этом виновата?
                    Это уже должностные мероприятия. Вообще пароли сейчас не очень нужны, WinLogon — и вперед со смарт-картой или тем же RuToken.

                    Компьютеры не подсоединены к интернет или к сети, т.е. полностью работают автономно.
                      0
                      По результатам выполненной работы получены заключения экспертной организации ФСБ России (№№ 149/48/1-109,149/48/1-110 от17.03.2006), которые удостоверяют, что операционные платформы Windows XP Professional Service Pack 2 и Windows Server 2003 SP1 с интегрированными средствами безопасности информации Secure Pack Rus и Secure Pack Rus for Server удовлетворяют уровню АК2 требований по защите конфиденциальной информации от НСД в автоматизированных информационных системах, а сами интегрированные криптографические средства защиты удовлетворяют уровню КС2 требований к криптографическим средствам защиты конфиденциальной информации.
                      • НЛО прилетело и опубликовало эту надпись здесь
                          +1
                          как и время доступа. Да я видел подобные решения кстати. Удостоверяющие центр располагался в большем сейфе, вместо аттестованного помещения, не уверен что так можно пройти аттестацию кончено, но в связи с законом о персональных данных, когда каждая организация должна будет предпринимать меры по защите информации — я думаю что сейфы для серверов станут обыденностью.

                          Может заняться их производством?! :)
                      0
                      На thg.ru недавно были тесты производительности шифрования жестких дисков (причем с использованием как аппаратного, так и программного шифрования), производительность упала довольно незначительно.
                      0
                      Во первых, свап можно шифровать.
                      Во вторых, можно его отключить полностью. Win XP 64 bit понимает больше 4 ГБ ОЗУ.
                      Наконец, программа может запретить ОС выкидывать в свап определённую область своей памяти.

                      Ну, и наконец, какое может быть Windows XP на таких серьёзных задачах? Решительно никакое! Если у вас такие важные данные, что вы опасаетесь кражи свапа, то используйте специальные ОС на специальном оборудовании.
                        0
                        >Наконец, программа может запретить ОС выкидывать в свап определённую область своей памяти.
                        Очень хотел бы узнать об этом поподробнее. Буду благодарен за любую информацию.

                        >Ну, и наконец, какое может быть Windows XP на таких серьёзных задачах?
                        От жизни никуда не уйдешь. Большинство приложений для работы с персональными данными (да все та же 1С-ка) работает именно на этой ОС.
                          0
                          Например, www.sevenforums.com/general-discussion/3706-lock-pages-memory.html. То, что там Windows7, не меняет сути. Ключевые слова для гугления — lock page in memory.

                          Однако это приём для программистов, а не пользователей: программа должна быть написана с использованием этой функции.

                          А вообще — я верю в превосходство терморектального криптоанализа, агентурной работы и простого беспредела над подобными техническими методами. Они гораздо эффективнее, чем кражи свапов, и менно они и применяются в реальной жизни. community.livejournal.com/ru_xkcd/66575.html
                      0
                      На ОС настроено удаление совп файла при завершении работы. Нашел такое только в Windows 2008 Server R2.

                      Групповая политика Shutdown: Clear virtual memory pagefile есть и в Windows XP.

                      Вариант №1. Выключаем компьютер — забираем устройство — копируем своп — возвращаем все назад.

                      Используйте Bitlocker или PGP Whole Disk Encryption.

                      Swap нужен также для создание дампа в случае возникновения ошибки, поэтому совсем отключать его все же не рекомендуется.

                      Работаете с критичной информацией — реализуйте терминальные или VDI решения, ставьте у конечных пользователей только тонкие клиенты, на которых не будет важной информации.

                      P.S. сервер, к которому имеет доступ злоумышленник — это уже не ваш сервер. ©
                        –1
                        >Групповая политика Shutdown: Clear virtual memory pagefile есть и в Windows XP.
                        Большое спасибо, думал что это есть только в серверных ОС Microsoft.

                        >Используйте Bitlocker или PGP Whole Disk Encryption.
                        Невозможно т.к. не имеются сертификаты ФСБ.

                        В свою очередь есть вот такое решение:
                        КриптоПро EFS. Оно использует КриптоПро CSP 3.6, который как написано на сайте имеет следующие показатели скорости:

                        Улучшена масштабируемость на многопроцессорных системах и HyperThreading системах.
                        Значительно повышена производительность криптографических операций:
                        шифрование 66 мбайт/сек.
                        хеширование 43 мбайт/сек.
                        вычисление ЭЦП (эллиптические кривые): 1.3 мсек.
                        проверка ЭЦП (эллиптические кривые): 2.3 мсек.
                        Значения приведены для P4 HT 3 ГГц
                        0
                        Тут есть несколько вариантов:
                        1. (и самый лучший) Написание программы таким образом, чтобы конфиденциальные данные не оседали в области подкачки (современные языки это позволяют)
                        2. Шифрование раздела подкачки (-1 к производительности, +1 к понижению себестоимости)
                        3. (параноидальный вариант) Размещение области подкачки на отдельном носителе, оборудованном системой самоуничтожения (электромагнитной или микроволновой), которая включается, к примеру, при попытке этот носитель извлечь, или даже отключить. А, в свою очередь, сама система должна отключаться нетривиальным способом.
                          0
                          > 3. (параноидальный вариант) Размещение области подкачки на отдельном носителе, оборудованном системой самоуничтожения (электромагнитной или микроволновой), которая включается, к примеру, при попытке этот носитель извлечь, или даже отключить. А, в свою очередь, сама система должна отключаться нетривиальным способом.

                          К дисководу приделать шредер.
                            0
                            Тоже вариант.
                            Впрочем, я имел ввиду системы уничтожения данных на магнитных накопителях, к примеру, вот таких:
                            nero.ru/goods124.html
                            0
                            Зачем велосипед то изобретаете?

                            www.iusmentis.com/security/filewiping/wipeswap/
                            Built-in swapfile wiping feature
                            Windows NT, 2000 and XP have a built-in feature which can wipe the swapfile when the system shuts down. Every page that is not in use at the time of shutdown is overwritten with zeroes.
                              0
                              Это уже обсуждалось. Вопрос в том, что нет гарантии штатного выполнения shutdown.

                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                            Самое читаемое