Доверенная загрузка — функция персонального компьютера для воспрепятствования несанкционированному запуску пользователя, загрузке операционной системы (ОС) и получению возможности доступа к конфиденциальной информации. Обеспечение конфиденциальности данных пользователя обычно достигается различными средствами в несколько этапов, начиная от защиты параметров BIOS от изменений до защиты памяти программ пользователя на уровне операционной системы, и выполняется аппаратно-программными средствами. В область действия средств доверенной загрузки входят этапы работы компьютера от запуска микропрограммы BIOS до начала загрузки ОС.
Содержание
Основы концепции
Доверенная загрузка обычно включает в себя:
Аутентификация
Аутентификация пользователя может производиться различными способами и на разных этапах загрузки компьютера.
Для подтверждения личности запускающего компьютер могут требоваться различные факторы:
Аутентификация может быть многофакторной. Также аутентификация может быть многопользовательской с разделением прав доступа к компьютеру. Так, один пользователь сможет только запустить операционную систему с жёсткого диска, в то время как другому будет доступно изменение конфигурации CMOS и выбор загрузочного устройства.
Аутентификация может происходить:
Выполнение аутентификации на разных стадиях загрузки имеет свои преимущества.
Этапы доверенной загрузки
На различных этапах загрузки компьютера доверенная загрузка может быть выполнена различными средствами, и, следовательно, будет обладать различной функциональностью.
Использование аппаратных средств
Аппаратные модули доверенной загрузки имеют значительные преимущества перед чисто-программными средствами. Но обеспечение доверенной загрузки не может быть выполнено чисто аппаратно. Главные преимущества аппаратных средств:
Примеры существующих аппаратных средств
Intel Trusted Execution Technology
Технология доверенного выполнения от Intel.
Представляет собой скорее не средство доверенной загрузки, а защиту ресурсов любых отдельных приложений на аппаратном уровне в целом.
TXT является абсолютно новой концепцией безопасности компьютера на аппаратном уровне, включая работу с виртуальными ПК.
Технология TXT состоит из последовательно защищённых этапов обработки информации и основана на улучшенном модуле TPM. В основе системы лежит безопасное исполнение программного кода. Каждое приложение, работающее в защищённом режиме, имеет эксклюзивный доступ к ресурсам компьютера, и в его изолированную среду не сможет вмешаться никакое другое приложение. Ресурсы для работы в защищённом режиме физически выделяются процессором и набором системной логики. Безопасное хранение данных означает их шифрование при помощи всё того же TPM. Любые зашифрованные TPM данные могут быть извлечены с носителя только при помощи того же модуля, что осуществлял шифрование.
Intel также разработала систему безопасного ввода данных. У вредоносной программы не будет возможности отследить поток данных на входе компьютера, а кейлоггер получит только бессмысленный набор символов, поскольку все процедуры ввода (включая передачу данных по USB и даже мышиные клики) будут зашифрованы. Защищённый режим приложения позволяет передавать любые графические данные в кадровый буфер видеокарты только в зашифрованном виде, таким образом, вредоносный код не сможет сделать скриншот и послать его хакеру.
Представляет собой аппаратный контроллер, предназначенный для установки в слот ISA (модификация 4.5) или PCI (модификация 5.0). Модули «Аккорд-АМДЗ» обеспечивают доверенную загрузку операционных систем (ОС) любого типа с файловой структурой FAT12, FAT16, FAT32, NTFS, HPFS, UFS, UFS2, EXT2FS, EXT3FS, EXT4FS, QNX 4 filesystem, VMFS Version 3.
Вся программная часть модулей (включая средства администрирования), журнал событий и список пользователей размещены в энергонезависимой памяти контроллера. Таким образом, функции идентификации/аутентификации пользователей, контроля целостности аппаратной и программной среды, администрирования и аудита выполняются самим контроллером до загрузки ОС.
Модуль доверенной загрузки «Криптон-замок/PCI»
Предназначен для разграничения и контроля доступа пользователей к аппаратным ресурсам автономных рабочих мест, рабочих станций и серверов локальной вычислительной сети. Позволяют проводить контроль целостности программной среды в ОС, использующих файловые системы FAT12, FAT16, FAT32 и NTFS.
Средства обеспечения доверенной загрузки операционных систем (СДЗ, МДЗ)
Выбор средств защиты
Поиск
Мнение
Описание и назначение
Средства или модули доверенной загрузки (МДЗ, СДЗ) — это программные или программно-аппаратные средства, позволяющие осуществлять запуск операционной системы исключительно с доверенных носителей информации (например, жестких дисков). При этом такие устройства могут производить контроль целостности программного обеспечения (системные файлы и каталоги операционной системы) и технических параметров (сравнивать конфигурации компьютера при запуске с теми, которые были предопределены администратором при инициализации), и выступать в роли средств идентификации и аутентификации (с применением паролей и токенов).
Средства доверенной загрузки позволяют решать такие проблемы, как:
— Запуск операционной системы в обход жесткого диска. Если злоумышленник не знает учетных данных легитимных сотрудников, но имеет физический доступ к пользовательскому компьютеру или серверу, он может загрузить операционную систему с заранее подготовленного флеш-накопителя и тем самым получить доступ к хранящейся на жестком диске информации. Однако одной из возможностей средств доверенной загрузки является наличие механизма сторожевого таймера. Так как для загрузки операционной системы с внешнего носителя необходимо зайти в BIOS (или базовую систему ввода вывода) компьютера и вручную выбрать средство для загрузки, на это может уйти достаточно много времени. Если выставить перезапуск компьютера, в случае когда операционная система загружается дольше обычного, злоумышленник не успеет изменить настройки BIOS и загрузиться со своего устройства.
— Кража учетных данных пользователей. Даже если злоумышленник узнает логин и пароль сотрудника для входа в систему, его сдержит отсутствие персонального идентификатора. Для того чтобы загрузить операционную систему, когда на компьютере установлен модуль доверенной загрузки, пользователю необходимо прикладывать персональный идентификатор или токен. Без него загрузка осуществляться не будет.
— Соответствие требованиям регуляторов. Для государственных информационных систем и систем, в которых обрабатываются персональные данные, требуется проходить аттестацию на соответствие требованиям. В требования включена обязательная защита информационных систем средствами защиты от несанкционированного доступа. При необходимости более высокого уровня защищенности хранящихся в системе данных в мерах обеспечения безопасности предписано применение аппаратных средств доверенной загрузки.
Всегда ли на замке? Как обезопасить компьютер модулем доверенной загрузки
Архив номеров / 2010 / Выпуск №2 (2) / Всегда ли на замке? Как обезопасить компьютер модулем доверенной загрузки
Рубрика: Безопасность / Безопасное «Железо»
ЕВГЕНИЙ НИКИТИН, начальник отдела разработки компании ПАК «Соболь»
ВЛАДИМИР ШРАМКО, руководитель группы разработки технической документации компании «Код Безопасности»
Всегда ли на замке? Как обезопасить компьютер модулем доверенной загрузки
При обеспечении контроля физического доступа к системным блокам и правильной эксплуатации модулей доверенной загрузки защищаемые компьютеры всегда находились на замке. Однако в компьютерном мире появились новые угрозы, способные нарушить сложившуюся ситуацию
В течение многих лет аппаратно-программный модуль доверенной загрузки (МДЗ) компьютера является одним из самых надежных и распространенных отечественных средств компьютерной безопасности. По приблизительной оценке, за годы своего существования количество МДЗ, установленных в компьютеры, приближается к миллиону экземпляров.
Под доверенной загрузкой обычно понимается загрузка операционной системы (ОС) с внутреннего жесткого диска компьютера, которая происходит только после выполнения процедур идентификации и аутентификации пользователя, а также проверки целостности программной и аппаратной среды рабочего места, в том числе целостности объектов загружаемой ОС. При этом должна обеспечиваться невозможность загрузки пользователем другой ОС (с внешних носителей информации и др.).
Модуль доверенной загрузки представляет собой комплекс аппаратно-программных средств, устанавливаемый в рабочее место вычислительной системы (персональный компьютер, сервер, ноутбук, специализированный компьютер и др.) и обеспечивающий контроль доступа пользователя к рабочему месту и контроль целостности программной среды рабочего места.
Развитие и совершенствование МДЗ осуществлялось практически в ногу с развитием компьютерной техники и с изменением угроз информационной безопасности. На компьютерном рынке появлялись новые типы компьютеров, новые материнские платы, новые идентификаторы, следом за ними совершенствовалась аппаратная часть МДЗ, увеличивалось количество типов поддерживаемых идентификаторов.
Появлялись новые угрозы, регламентирующие органы выдвигали соответствующие требования, в ответ разработчики МДЗ модернизировали функционал, совершенствовали и внедряли новые механизмы защиты.
В настоящей статье описываются принципы функционирования МДЗ, проводится обзор современного отечественного рынка устройств, рассматриваются последние угрозы компьютерной безопасности и предлагаются ответные меры с использованием МДЗ, позволяющие сохранить компьютеры на замке.
Принцип работы МДЗ
Модули доверенной загрузки обеспечивают выполнение следующих основных функций:
При первичной настройке МДЗ назначается администратор модуля, который обладает привилегиями на регистрацию и удаление пользователей, управление параметрами работы модуля, просмотр журнала событий и управление списком объектов, целостность которых должна контролироваться до загрузки операционной системы. В случае появления нарушений при проверке целостности объектов возможность работы на компьютере для обычных пользователей блокируется. В некоторых МДЗ реализована поддержка возможности удаленного управления параметрами работы.
Модули доверенной загрузки, как правило, реализуются на базе плат с системными шинами PCI, PCI-X, PCI Express, mini-PCI, mini-PCI Express, которые могут включать следующие компоненты:
Кроме того, в состав МДЗ может входить программное обеспечение для поддерживаемых ОС, которое обычно включает драйвер, программу управления и интерфейсный модуль API для внешних приложений.
Современные МДЗ поддерживают работу на компьютерах как с ОС семейства MS Windows, так и с рядом ОС семейства UNIX/Linux.
Российский рынок МДЗ
На протяжении многих лет лидирующие позиции на российском рынке МДЗ занимают Особое конструкторское бюро систем автоматизированного проектирования (ОКБ САПР), Научно-инженерное предприятие (НИП) «Информзащита» и фирма «АНКАД».
ОКБ САПР (http://www.okbsapr.ru) является родоначальником отечественных МДЗ. Первый сертификат соответствия Гостехкомиссии России компания получила более 15 лет назад – в декабре 1994 года.
Рисунок 1. Контроллер «Аккорд-5.5МР»
Выпускаемые в настоящее время ОКБ САПР модули доверенной загрузки носят общее наименование «Аккорд-АМДЗ» и реализуются в пяти модификациях:
Комплекс «Аккорд-АМДЗ» включает аппаратные и программные средства. В базовый комплект поставки аппаратных средств входят контроллер, два идентификатора iButton DS1992 и считывающее устройство.
Другие компоненты МДЗ (устройства блокировки каналов FDD, HDD (IDE), USB-портов, устройства отключения питания ATX, EATX и др.) поставляются дополнительно по требованию заказчиков.
Программное обеспечение «Аккорд-АМДЗ» (средства администрирования, средства идентификации и аутентификации, средства контроля целостности, журнал регистрации событий безопасности) размещается в энергонезависимой памяти контроллеров.
«Аккорд-АМДЗ» обеспечивает доверенную загрузку операционных систем, поддерживающих файловые системы FAT 12, FAT 16, FAT 32, NTFS, HPFS, EXT2FS, EXT3FS, FreeBSD, Sol86FS, QNXFS, MINIX. В список операционных систем входят MS DOS, Windows 9x/ME/NT/2000/XP/2003/Vista, QNX, OS/2, UNIX, LINUX, BSD и др.
Для идентификации пользователей разработчики «Аккорд-АМДЗ» предлагают применять идентификаторы iButton, персональное средство криптографической защиты информации «ШИПКА» и другие устройства, тип которых уточняется при заказе средства защиты. Аутентификация осуществляется по паролю (длиной до 12 символов), вводимому пользователем с клавиатуры. В «Аккорд-АМДЗ» поддерживается регистрация до 126 пользователей.
Помимо традиционного контроля целостности файлов и служебных областей жестких дисков «Аккорд-АМДЗ» поддерживает проверку неизменности аппаратной части компьютера и ветвей реестра операционных систем семейства Windows.
В МДЗ «Аккорд-5.5» дополнительно внедрены аппаратно реализованные криптографические алгоритмы защиты информации: шифрование (ГОСТ Р 28147-89), хэширование (ГОСТ Р 34.11-94, MD5, SHA-1), выработка и проверка электронной цифровой подписи (ГОСТ Р 34.10-2001), защитных кодов аутентификации (на основе ГОСТ Р 31.11-94).
Контроллеры «Аккорд-АМДЗ» могут использоваться совместно со специальным программным обеспечением, предназначенным для реализации алгоритмов разграничения доступа пользователей к рабочим станциям, терминалам и терминальным серверам. Также контроллеры функционируют совместно с изделием «Средство криптографической защиты информации «КриптоПро CSP».
Научно-инженерное предприятие «Информзащита»
НИП «Информзащита» (http://www.infosec.ru) создало свой первый МДЗ в 1999 году. Он получил название «Электронный замок «Соболь». С 2009 года разработку МДЗ осуществляет компания «Код Безопасности» (http://www.securitycode.ru), входящая в группу компаний «Информзащита».
В настоящее время «Код Безопасности» серийно выпускает следующие типы МДЗ:
Новая версия ПАК «Соболь 3.0» выпускается в двух вариантах:
Помимо основных функций МДЗ (идентификация и аутентификация пользователей, блокировка загрузки ОС с внешних носителей, контроль целостности, регистрация событий безопасности) в ПАК «Соболь» реализован ряд дополнительных возможностей:
Расчет контрольных сумм при реализации механизма контроля целостности осуществляется в соответствии с алгоритмом ГОСТ Р 28147-89 в режиме вычисления имитовставки.
Механизм идентификации и аутентификации, реализованный в ПАК «Соболь 3.0», дает возможность использования нескольких типов идентификаторов:
В зависимости от типа предъявляемого идентификатора в комплексе поддерживаются двухфакторный (для iButton, iKey 2032, Rutoken S, Rutoken RF S) и усиленный двухфакторный (для eToken PRO) способы аутентификации. Аутентификация пользователя осуществляется по паролю (длиной до 16 символов), вводимому с клавиатуры.
В ПАК «Соболь 3.0» поддерживается совместная работа с системами защиты семейства Secret Net, АПКШ «Континент», средствами защиты информации Security Code vGate for VMware Infrastructure, Security Studio Honeypot Manager, «Континент-АП» и «КриптоПро CSP».
В базовый комплект поставки ПАК «Соболь 2.1» входят плата для шины PCI, идентификаторы iButton DS1992 (2 шт.) с контактным устройством, кабель для механизма сторожевого таймера, компакт-диск с эксплуатационной документацией и программным обеспечением. В комплект поставки ПАК «Соболь 3.0» помимо iButton могут входить USB-идентификаторы.
Фирма «АНКАД» (www.ancud.ru) широко известна своими криптографическими аппаратными средствами защиты информации.
Желание разработчиков реализовать разграничение и контроль доступа пользователей к защищаемому компьютеру, разграничение доступа к аппаратным ресурсам компьютера, контроль целостности компьютерной программной среды привело их к созданию аппаратно-программных МДЗ семейства «КРИПТОН-ЗАМОК»:
Идентификация и аутентификация пользователей в МДЗ семейства «КРИПТОН-ЗАМОК» осуществляется с помощью идентификаторов iButton.
Контроль целостности программной среды (контрольные суммы рассчитываются по алгоритму вычисления хэш-функции по ГОСТ Р34.11-94) реализуется для файловых систем FAT 12, FAT 16, FAT 32, NTFS, EXT2FS, EXT3FS.
Устройство обеспечивает аппаратную блокировку от несанкционированной загрузки ОС с внешних носителей: дискет, CD/DVD-дисков, USB-дисков и USB flash-накопителей.
В МДЗ осуществляется ведение журнала регистрации и учета событий безопасности, расположенного в энергонезависимой памяти на плате изделия.
Рисунок 3. Плата изделия «КРИПТОН-ЗАМОК/Е»
В настоящее время фирма «АНКАД» выпустила версию МДЗ для шины PCI-E х1 Rev 1.1 – «КРИПТОН-ЗАМОК/Е» (см. рис. 3), в которой реализован ряд новых возможностей. Например, разработчики повысили производительность устройства (на плате встроены процессор с тактовой частотой 200 МГц и память объемом 256 Мб), создали независимый USB-интерфейс для подключения внешних носителей, внедрили новый формфактор платы, позволяющий использовать устройство в системных блоках уменьшенного размера.
Новые угрозы компьютерной безопасности
Известно, что основные угрозы компьютерной безопасности исходят от вредоносных программ, размещаемых на уровне ядра операционной системы, реже – от загрузочных программных модулей. Для борьбы с вредоносными программами достаточно иметь средства контроля состояния файловой системы и сканирования пространства оперативной памяти.
В последние годы появились новые способы проникновения в компьютерные системы. Их реализация стала возможной благодаря произошедшим существенным архитектурным изменениям современных компьютерных платформ. К основным аппаратным изменениям можно отнести:
К сожалению, в настоящий момент многие аппаратные решения не поддерживаются операционными системами, что приводит к появлению новых компьютерных уязвимостей и значительному повышению вероятности реализации злонамеренных действий, не контролируемых со стороны ОС.
Весьма показательной является 4-уровневая классификация способов проникновения и скрытого функционирования, предложенная сотрудниками компании Invisible Things Lab (http://www.invisiblethingslab.com) Alexander Tereshkin и Rafal Wojtczuk:
Аппаратура виртуализации в настоящее время является неотъемлемой частью практически любой вычислительной системы – от ноутбука до сервера. С одной стороны, аппаратура необходима гипервизорам систем виртуализации, за счет ее использования они существенно повышают свою эффективность. С другой стороны, эта же аппаратура может использоваться нелегальными программами для контроля над системой и для скрытия собственного присутствия на компьютере.
Гипервизор системы виртуализации позволяет создавать не только мультисистемные среды, но и среды доверенного и контролируемого исполнения одной ОС, при этом обеспечивается контроль всех компонентов ОС и прикладного программного обеспечения. Помимо этого гипервизор предоставляет возможность создавать виртуальные устройства, полностью имитирующие наличие реального устройства в системе. Поскольку в концепции виртуализации заложена ее прозрачность для любых программных и аппаратных средств, современные средства защиты неспособны обнаружить гипервизор, оставляя злоумышленнику возможность скрытого проникновения в любую систему.
Классическим примером «опасной» реализации аппаратной поддержки виртуализации является представленная в «далеком» 2006 году польским программистом Joanna (см. http://www.eweek.com/c/a/Windows/Blue-Pill-Prototype-Creates-100-Undetectable-Malware) технология Blue Pill (BP) и ее продолжение New BP. Как показала демонстрация, с помощью полностью невидимой технологии BP удалось перехватить функционирующую на компьютере ОС Windows Vista x64 и менее чем за миллисекунду переместить ее под управление гипервизора BP.
Режим SMM был введен в компьютерные архитектуры х86 с целью управления режимами «горячей» замены устройств и энергосберегающими функциями. Этот режим полностью прозрачен для ОС (средства ОС останавливаются на время работы процессора в режиме SMM), программы его обслуживания инициализируются BIOS. В SMM-режиме код, записанный в микросхему BIOS, может контролировать работу системы в любой момент ее функционирования, а не только до момента загрузки ОС (как было ранее).
Поскольку микросхемы BIOS могут иметь емкость десятки мегабайт, программные модули в BIOS можно без особого труда снабдить вредоносным кодом. Проконтролировать функционирование программ системного управления работой процессора средствами антивирусных систем и систем защиты от несанкционированного доступа невозможно, так как их работа аппаратно изолирована друг от друга.
Технология АМТ (vPRO – для десктопов и ноутбуков) предназначена для удаленного управления компьютерными системами, причем она активна даже в выключенном состоянии компьютера (подается только дежурное напряжение). Удаленное управление осуществляется через Интернет с использованием сетевого проводного или беспроводного доступа. Управляющим элементом технологии является специальный внедренный микроконтроллер с собственной памятью и хранящимися в ней управляющими программными модулями.
Микроконтроллер имеет независимый канал доступа к сетевым устройствам, для него аппаратно поддерживаются собственные сетевые МАС- и IP-адреса. Он может работать с виртуальными сетями и обеспечивать туннелирование своих транзакций в информационном потоке ОС. Операционная система не контролирует работу микроконтроллера, а только посылает и принимает транзакции управления и состояния через интерфейс IPMI.
Таким образом, внедрение и работа вредоносных программных модулей, выполняемых микроконтроллером, никак не контролируется средствами ОС и антивирусными программами. Значит, имеется возможность тотального скрытого контроля над компьютером из любой точки мира через Интернет.
Рассмотренные выше способы проникновения в компьютерные системы возникли после внедрения новых аппаратных решений, которые привели как к повышению эффективности систем, так и к снижению их безопасности. Появившиеся пути проникновения вредоносных программ и сами программы в настоящий момент не могут быть обнаружены и блокированы традиционными способами.
Для повышения уровня безопасности необходимо обеспечить надежный контроль ряда важных компьютерных ресурсов и их параметров. К ним следует отнести:
Реализацию такого контроля можно возложить на независимые аппаратные средства, вынесенные за пределы области управления и контроля со стороны потенциально опасной аппаратуры и программного кода. В качестве такого устройства предлагается использовать МДЗ, дополнив его специальными модулями контроля аппаратной платформы.
За годы своего существования модули доверенной загрузки зарекомендовали себя надежными, простыми в администрировании и недорогими средствами защиты от несанкционированного доступа к компьютерам. Поэтому они получили столь широкое распространение в системах информационной безопасности на многих российских предприятиях.
В последнее время мир компьютерных угроз пополнился новыми способами проникновения, использующими аппаратные уязвимости современных вычислительных платформ. Появившиеся угрозы заставляют разработчиков средств защиты информации принимать меры по усилению контроля над аппаратными средствами компьютеров и программными модулями, использующими эти средства. Как показали последние исследования, на модули доверенной загрузки могут быть возложены дополнительные функции контроля аппаратной платформы защищаемых компьютеров. Ближайшее будущее покажет эффективность принятого решения.
Всегда ли на замке? Как обезопасить компьютер модулем доверенной загрузки
Всегда ли на замке? Как обезопасить компьютер модулем доверенной загрузки
