Всегда ли на замке? Как обезопасить компьютер модулем доверенной загрузки

	ЕВГЕНИЙ НИКИТИН, начальник отдела разработки компании ПАК «Соболь»
	ВЛАДИМИР ШРАМКО, руководитель группы разработки технической документации компании «Код Безопасности»

Всегда ли на замке?
Как обезопасить компьютер модулем доверенной загрузки

При обеспечении контроля физического доступа к системным блокам и правильной эксплуатации модулей доверенной загрузки защищаемые компьютеры всегда находились на замке. Однако в компьютерном мире появились новые угрозы, способные нарушить сложившуюся ситуацию

В течение многих лет аппаратно-программный модуль доверенной загрузки (МДЗ) компьютера является одним из самых надежных и распространенных отечественных средств компьютерной безопасности. По приблизительной оценке, за годы своего существования количество МДЗ, установленных в компьютеры, приближается к миллиону экземпляров.

Под доверенной загрузкой обычно понимается загрузка операционной системы (ОС) с внутреннего жесткого диска компьютера, которая происходит только после выполнения процедур идентификации и аутентификации пользователя, а также проверки целостности программной и аппаратной среды рабочего места, в том числе целостности объектов загружаемой ОС. При этом должна обеспечиваться невозможность загрузки пользователем другой ОС (с внешних носителей информации и др.).

Модуль доверенной загрузки представляет собой комплекс аппаратно-программных средств, устанавливаемый в рабочее место вычислительной системы (персональный компьютер, сервер, ноутбук, специализированный компьютер и др.) и обеспечивающий контроль доступа пользователя к рабочему месту и контроль целостности программной среды рабочего места.

Развитие и совершенствование МДЗ осуществлялось практически в ногу с развитием компьютерной техники и с изменением угроз информационной безопасности. На компьютерном рынке появлялись новые типы компьютеров, новые материнские платы, новые идентификаторы, следом за ними совершенствовалась аппаратная часть МДЗ, увеличивалось количество типов поддерживаемых идентификаторов.

Появлялись новые угрозы, регламентирующие органы выдвигали соответствующие требования, в ответ разработчики МДЗ модернизировали функционал, совершенствовали и внедряли новые механизмы защиты.

В настоящей статье описываются принципы функционирования МДЗ, проводится обзор современного отечественного рынка устройств, рассматриваются последние угрозы компьютерной безопасности и предлагаются ответные меры с использованием МДЗ, позволяющие сохранить компьютеры на замке.

Принцип работы МДЗ

Модули доверенной загрузки обеспечивают выполнение следующих основных функций:

• идентификация и аутентификация пользователей до загрузки ОС с помощью персональных электронных идентификаторов;
• блокировка несанкционированной загрузки ОС с внешних съемных носителей;
• контроль целостности объектов системы, объектов пользователя и программного обеспечения МДЗ до загрузки ОС;
• регистрация действий как пользователей, так и программ;
• предоставление возможностей для внешних приложений (работа с датчиком случайных чисел, работа с электронными идентификаторами и т.д.).

При первичной настройке МДЗ назначается администратор модуля, который обладает привилегиями на регистрацию и удаление пользователей, управление параметрами работы модуля, просмотр журнала событий и управление списком объектов, целостность которых должна контролироваться до загрузки операционной системы. В случае появления нарушений при проверке целостности объектов возможность работы на компьютере для обычных пользователей блокируется. В некоторых МДЗ реализована поддержка возможности удаленного управления параметрами работы.

Модули доверенной загрузки, как правило, реализуются на базе плат с системными шинами PCI, PCI-X, PCI Express, mini-PCI, mini-PCI Express, которые могут включать следующие компоненты:

• Программируемая логическая интегральная схема (для реализации интерфейса по шине и выполнения функций по работе с другими компонентами платы) и микросхема памяти для хранения кода загрузчика интегральной схемы.
• Микросхема flash-памяти с программным расширением BIOS компьютера, которое получает управление до старта операционной системы и обеспечивает выполнение основных функций МДЗ. Код программного расширения BIOS выполняется в центральном процессоре компьютера.
• Микросхема микроконтроллера для защищенной реализации специальных функций МДЗ (например, для взаимодействия с некоторыми компонентами платы или для кода, выполнение которого не в центральном процессоре компьютера повышает его защищенность от перехвата и модификации злонамеренными программами).
• Энергонезависимая память, предназначенная для хранения настроек МДЗ, журналов событий и других данных.
• Блок управления сторожевым таймером (watch dog), который не позволяет работать с компьютером в случае, если программное расширение BIOS модуля не получило управления. Данный механизм не позволит получить доступ к компьютеру посредством специальной настройки параметров BIOS или в случае системного сбоя.
• Блок датчика случайных чисел, необходимый для аппаратной выработки последовательностей случайных величин.
• Блок часов реального времени, предназначенный для независимого замера времени с целью обеспечения защищенной реализации механизмов периодического устаревания критичных данных, а также других функций МДЗ.
• Разъемы различных типов для подключения электронных идентификаторов (iButton, USB).
• Переключатели для изменения режимов работы МДЗ.

Кроме того, в состав МДЗ может входить программное обеспечение для поддерживаемых ОС, которое обычно включает драйвер, программу управления и интерфейсный модуль API для внешних приложений.

Современные МДЗ поддерживают работу на компьютерах как с ОС семейства MS Windows, так и с рядом ОС семейства UNIX/Linux.

Российский рынок МДЗ

На протяжении многих лет лидирующие позиции на российском рынке МДЗ занимают Особое конструкторское бюро систем автоматизированного проектирования (ОКБ САПР), Научно-инженерное предприятие (НИП) «Информзащита» и фирма «АНКАД».

ОКБ САПР

ОКБ САПР (http://www.okbsapr.ru) является родоначальником отечественных МДЗ. Первый сертификат соответствия Гостехкомиссии России компания получила более 15 лет назад – в декабре 1994 года.

Рисунок 1. Контроллер «Аккорд-5.5МР»

Выпускаемые в настоящее время ОКБ САПР модули доверенной загрузки носят общее наименование «Аккорд-АМДЗ» и реализуются в пяти модификациях:

• «Аккорд-5МХ» – для шин стандарта PCI, PCI-Х;
• «Аккорд-5.5» – для шин PCI, PCI-Х;
• «Аккорд-5.5E» – для шин PCI Express;
• «Аккорд-5.5МР» – для стандарта mini-PCI (см. рис. 1);
• «Аккорд-5.5МЕ» – для стандарта mini-PCI Express.

Комплекс «Аккорд-АМДЗ» включает аппаратные и программные средства. В базовый комплект поставки аппаратных средств входят контроллер, два идентификатора iButton DS1992 и считывающее устройство.

Другие компоненты МДЗ (устройства блокировки каналов FDD, HDD (IDE), USB-портов, устройства отключения питания ATX, EATX и др.) поставляются дополнительно по требованию заказчиков.

Программное обеспечение «Аккорд-АМДЗ» (средства администрирования, средства идентификации и аутентификации, средства контроля целостности, журнал регистрации событий безопасности) размещается в энергонезависимой памяти контроллеров.

«Аккорд-АМДЗ» обеспечивает доверенную загрузку операционных систем, поддерживающих файловые системы FAT 12, FAT 16, FAT 32, NTFS, HPFS, EXT2FS, EXT3FS, FreeBSD, Sol86FS, QNXFS, MINIX. В список операционных систем входят MS DOS, Windows 9x/ME/NT/2000/XP/2003/Vista, QNX, OS/2, UNIX, LINUX, BSD и др.

Для идентификации пользователей разработчики «Аккорд-АМДЗ» предлагают применять идентификаторы iButton, персональное средство криптографической защиты информации «ШИПКА» и другие устройства, тип которых уточняется при заказе средства защиты. Аутентификация осуществляется по паролю (длиной до 12 символов), вводимому пользователем с клавиатуры. В «Аккорд-АМДЗ» поддерживается регистрация до 126 пользователей.

Помимо традиционного контроля целостности файлов и служебных областей жестких дисков «Аккорд-АМДЗ» поддерживает проверку неизменности аппаратной части компьютера и ветвей реестра операционных систем семейства Windows.

В МДЗ «Аккорд-5.5» дополнительно внедрены аппаратно реализованные криптографические алгоритмы защиты информации: шифрование (ГОСТ Р 28147-89), хэширование (ГОСТ Р 34.11-94, MD5, SHA-1), выработка и проверка электронной цифровой подписи (ГОСТ Р 34.10-2001), защитных кодов аутентификации (на основе ГОСТ Р 31.11-94).

Контроллеры «Аккорд-АМДЗ» могут использоваться совместно со специальным программным обеспечением, предназначенным для реализации алгоритмов разграничения доступа пользователей к рабочим станциям, терминалам и терминальным серверам. Также контроллеры функционируют совместно с изделием «Средство криптографической защиты информации «КриптоПро CSP».

Научно-инженерное предприятие «Информзащита»

НИП «Информзащита» (http://www.infosec.ru) создало свой первый МДЗ в 1999 году. Он получил название «Электронный замок «Соболь». С 2009 года разработку МДЗ осуществляет компания «Код Безопасности» (http://www.securitycode.ru), входящая в группу компаний «Информзащита».

В настоящее время «Код Безопасности» серийно выпускает следующие типы МДЗ:

• программно-аппаратные комплексы (ПАК) семейства «Соболь» версий 2.1 и 3.0;
• изделия Secret Net Touch Memory Card PCI 2, Secret Net Card – упрощенные варианты ПАК «Соболь», созданные для блокировки загрузки ОС с внешних носителей и поддержки реализуемой системой Secret Net процедуры идентификации и аутентификации пользователей с помощью идентификаторов iButton.

Новая версия ПАК «Соболь 3.0» выпускается в двух вариантах:

Рисунок 2. Плата ПАК «Соболь 3.0» для шины PCI-E

• для шины стандарта PCI Express (PCI-E) версии 1.0а и выше (см. рис. 2);
• для шины стандарта PCI версий 2.0/2.1/2.2/2.3 с напряжением питания 5 В или 3,3 В.

Комплекс «Соболь 3.0» обеспечивает доверенную загрузку более 20 операционных систем компьютеров с 32- и 64-разрядной архитектурой, поддерживающих файловые системы FAT 16, FAT 32, NTFS, UFS, EXT2, EXT3. В их число входят Windows Server 2008/Server 2008 x64 Edition/Server 2008 R2, Windows 7, Windows Vista/Vista x64 Edition, Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/Server 2003 R2 x64 Edition, VMware ESX, МСВС 3.0, Linux XP 2008 Secure Edition и др.

Помимо основных функций МДЗ (идентификация и аутентификация пользователей, блокировка загрузки ОС с внешних носителей, контроль целостности, регистрация событий безопасности) в ПАК «Соболь» реализован ряд дополнительных возможностей:

• механизм сторожевого таймера;
• использование случайных паролей;
• контроль работоспособности основных компонентов комплекса;
• программная инициализация комплекса, реализуемая без вскрытия системного блока компьютера.

Расчет контрольных сумм при реализации механизма контроля целостности осуществляется в соответствии с алгоритмом ГОСТ Р 28147-89 в режиме вычисления имитовставки.

Механизм идентификации и аутентификации, реализованный в ПАК «Соболь 3.0», дает возможность использования нескольких типов идентификаторов:

• eToken PRO;
• iKey 2032;
• Rutoken S;
• Rutoken RF S;
• iButton.

В зависимости от типа предъявляемого идентификатора в комплексе поддерживаются двухфакторный (для iButton, iKey 2032, Rutoken S, Rutoken RF S) и усиленный двухфакторный (для eToken PRO) способы аутентификации. Аутентификация пользователя осуществляется по паролю (длиной до 16 символов), вводимому с клавиатуры.

В ПАК «Соболь 3.0» поддерживается совместная работа с системами защиты семейства Secret Net, АПКШ «Континент», средствами защиты информации Security Code vGate for VMware Infrastructure, Security Studio Honeypot Manager, «Континент-АП» и «КриптоПро CSP».

В базовый комплект поставки ПАК «Соболь 2.1» входят плата для шины PCI, идентификаторы iButton DS1992 (2 шт.) с контактным устройством, кабель для механизма сторожевого таймера, компакт-диск с эксплуатационной документацией и программным обеспечением. В комплект поставки ПАК «Соболь 3.0» помимо iButton могут входить USB-идентификаторы.

Фирма «АНКАД»

Фирма «АНКАД» (www.ancud.ru) широко известна своими криптографическими аппаратными средствами защиты информации.

Желание разработчиков реализовать разграничение и контроль доступа пользователей к защищаемому компьютеру, разграничение доступа к аппаратным ресурсам компьютера, контроль целостности компьютерной программной среды привело их к созданию аппаратно-программных МДЗ семейства «КРИПТОН-ЗАМОК»:

• «КРИПТОН-ЗАМОК/К» – предназначен для создания нескольких контуров безопасности компьютера, модуль позволяет осуществить загрузку конфигурации компьютера в соответствии с индивидуальными настройками системы для каждого пользователя, разделение пользователей по физическим дискам и сетевым контурам;
• «КРИПТОН-ЗАМОК/У» – предназначен для работы с модулями криптографической защиты информации;
• «КРИПТОН-ЗАМОК/УК» – модуль для создания нескольких контуров безопасности компьютера и работы с модулями криптографической защиты информации;
• «КРИПТОН-ЗАМОК/М» – предназначен для реализации доверенной загрузки операционной системы со съемного жесткого диска (контейнер Mobile Rack для шины IDE).

Идентификация и аутентификация пользователей в МДЗ семейства «КРИПТОН-ЗАМОК» осуществляется с помощью идентификаторов iButton.

Контроль целостности программной среды (контрольные суммы рассчитываются по алгоритму вычисления хэш-функции по ГОСТ Р34.11-94) реализуется для файловых систем FAT 12, FAT 16, FAT 32, NTFS, EXT2FS, EXT3FS.

Устройство обеспечивает аппаратную блокировку от несанкционированной загрузки ОС с внешних носителей: дискет, CD/DVD-дисков, USB-дисков и USB flash-накопителей.

В МДЗ осуществляется ведение журнала регистрации и учета событий безопасности, расположенного в энергонезависимой памяти на плате изделия.

Рисунок 3. Плата изделия «КРИПТОН-ЗАМОК/Е»

В настоящее время фирма «АНКАД» выпустила версию МДЗ для шины PCI-E х1 Rev 1.1 – «КРИПТОН-ЗАМОК/Е» (см. рис. 3), в которой реализован ряд новых возможностей. Например, разработчики повысили производительность устройства (на плате встроены процессор с тактовой частотой 200 МГц и память объемом 256 Мб), создали независимый USB-интерфейс для подключения внешних носителей, внедрили новый формфактор платы, позволяющий использовать устройство в системных блоках уменьшенного размера.

Новые угрозы компьютерной безопасности

Известно, что основные угрозы компьютерной безопасности исходят от вредоносных программ, размещаемых на уровне ядра операционной системы, реже – от загрузочных программных модулей. Для борьбы с вредоносными программами достаточно иметь средства контроля состояния файловой системы и сканирования пространства оперативной памяти.

В последние годы появились новые способы проникновения в компьютерные системы. Их реализация стала возможной благодаря произошедшим существенным архитектурным изменениям современных компьютерных платформ. К основным аппаратным изменениям можно отнести:

• появление аппаратуры виртуализации в процессорах и северном мосту материнских плат;
• появление в южных мостах новых интерфейсов flash-памяти объемом до 32 Мб с возможностью инициализации виртуальных устройств;
• значительное расширение функциональности аппаратуры системного управления System Management Mode (SMM) работой процессора;
• появление аппаратуры Trusted Platform Module (TPM);
• реализация аппаратных функций обновления микрокода процессоров;
• внедрение технологии Active Management Technology (AMT);
• появление прозрачных мостов на шине PCI-E.

К сожалению, в настоящий момент многие аппаратные решения не поддерживаются операционными системами, что приводит к появлению новых компьютерных уязвимостей и значительному повышению вероятности реализации злонамеренных действий, не контролируемых со стороны ОС.

Весьма показательной является 4-уровневая классификация способов проникновения и скрытого функционирования, предложенная сотрудниками компании Invisible Things Lab (http://www.invisiblethingslab.com) Alexander Tereshkin и Rafal Wojtczuk:

• 0 – уровень ядра операционной системы (традиционный способ, от него ведется отсчет);
• 1 – уровень технологий виртуализации;
• 2 – уровень системного управления (режим SMM и обслуживающие его программные модули);
• 3 – уровень удаленного администрирования вычислительной системы (технологии AMT, vPRO и им аналогичные).

Аппаратура виртуализации в настоящее время является неотъемлемой частью практически любой вычислительной системы – от ноутбука до сервера. С одной стороны, аппаратура необходима гипервизорам систем виртуализации, за счет ее использования они существенно повышают свою эффективность. С другой стороны, эта же аппаратура может использоваться нелегальными программами для контроля над системой и для скрытия собственного присутствия на компьютере.

Гипервизор системы виртуализации позволяет создавать не только мультисистемные среды, но и среды доверенного и контролируемого исполнения одной ОС, при этом обеспечивается контроль всех компонентов ОС и прикладного программного обеспечения. Помимо этого гипервизор предоставляет возможность создавать виртуальные устройства, полностью имитирующие наличие реального устройства в системе. Поскольку в концепции виртуализации заложена ее прозрачность для любых программных и аппаратных средств, современные средства защиты неспособны обнаружить гипервизор, оставляя злоумышленнику возможность скрытого проникновения в любую систему.

Классическим примером «опасной» реализации аппаратной поддержки виртуализации является представленная в «далеком» 2006 году польским программистом Joanna (см. http://www.eweek.com/c/a/Windows/Blue-Pill-Prototype-Creates-100-Undetectable-Malware) технология Blue Pill (BP) и ее продолжение New BP. Как показала демонстрация, с помощью полностью невидимой технологии BP удалось перехватить функционирующую на компьютере ОС Windows Vista x64 и менее чем за миллисекунду переместить ее под управление гипервизора BP.

Режим SMM был введен в компьютерные архитектуры х86 с целью управления режимами «горячей» замены устройств и энергосберегающими функциями. Этот режим полностью прозрачен для ОС (средства ОС останавливаются на время работы процессора в режиме SMM), программы его обслуживания инициализируются BIOS. В SMM-режиме код, записанный в микросхему BIOS, может контролировать работу системы в любой момент ее функционирования, а не только до момента загрузки ОС (как было ранее).

Поскольку микросхемы BIOS могут иметь емкость десятки мегабайт, программные модули в BIOS можно без особого труда снабдить вредоносным кодом. Проконтролировать функционирование программ системного управления работой процессора средствами антивирусных систем и систем защиты от несанкционированного доступа невозможно, так как их работа аппаратно изолирована друг от друга.

Технология АМТ (vPRO – для десктопов и ноутбуков) предназначена для удаленного управления компьютерными системами, причем она активна даже в выключенном состоянии компьютера (подается только дежурное напряжение). Удаленное управление осуществляется через Интернет с использованием сетевого проводного или беспроводного доступа. Управляющим элементом технологии является специальный внедренный микроконтроллер с собственной памятью и хранящимися в ней управляющими программными модулями.

Микроконтроллер имеет независимый канал доступа к сетевым устройствам, для него аппаратно поддерживаются собственные сетевые МАС- и IP-адреса. Он может работать с виртуальными сетями и обеспечивать туннелирование своих транзакций в информационном потоке ОС. Операционная система не контролирует работу микроконтроллера, а только посылает и принимает транзакции управления и состояния через интерфейс IPMI.

Таким образом, внедрение и работа вредоносных программных модулей, выполняемых микроконтроллером, никак не контролируется средствами ОС и антивирусными программами. Значит, имеется возможность тотального скрытого контроля над компьютером из любой точки мира через Интернет.

Способы защиты

Рассмотренные выше способы проникновения в компьютерные системы возникли после внедрения новых аппаратных решений, которые привели как к повышению эффективности систем, так и к снижению их безопасности. Появившиеся пути проникновения вредоносных программ и сами программы в настоящий момент не могут быть обнаружены и блокированы традиционными способами.

Для повышения уровня безопасности необходимо обеспечить надежный контроль ряда важных компьютерных ресурсов и их параметров. К ним следует отнести:

• аппаратуру виртуализации;
• аппаратуру SMM и ее специализированную память SMRAM;
• аппаратуру технологии АМТ и ее память с загруженными программными модулями;
• содержимое микросхем энергонезависимой памяти системной платы;
• параметры распределения памят;
• настройки контроллеров;
• периферийные расширения BIOS на внешних адаптерах.

Реализацию такого контроля можно возложить на независимые аппаратные средства, вынесенные за пределы области управления и контроля со стороны потенциально опасной аппаратуры и программного кода. В качестве такого устройства предлагается использовать МДЗ, дополнив его специальными модулями контроля аппаратной платформы.

***

За годы своего существования модули доверенной загрузки зарекомендовали себя надежными, простыми в администрировании и недорогими средствами защиты от несанкционированного доступа к компьютерам. Поэтому они получили столь широкое распространение в системах информационной безопасности на многих российских предприятиях.

В последнее время мир компьютерных угроз пополнился новыми способами проникновения, использующими аппаратные уязвимости современных вычислительных платформ. Появившиеся угрозы заставляют разработчиков средств защиты информации принимать меры по усилению контроля над аппаратными средствами компьютеров и программными модулями, использующими эти средства. Как показали последние исследования, на модули доверенной загрузки могут быть возложены дополнительные функции контроля аппаратной платформы защищаемых компьютеров. Ближайшее будущее покажет эффективность принятого решения.

Комментарии могут оставлять только зарегистрированные пользователи