СВТ в защищенном исполнении, ведущий семинара: Аносов А. Е., выставка InfoSecurity-2017

Иногда наши заказчики сталкиваются с необходимостью в интеграции их it-инфраструктуру готовых защищенных решений, будь то защищенных АРМ-ов, да и вообще защищенных СВТ (Серверов, ПК, моноблоков, ноутбуков, планшетов). Т.е. защищаться должна информация как на стационарах, так и мобильных устройствах, как минимум от НСД, не говоря о желании некоторых шифровать данные на дисках памяти и в сети. Поэтому у компании ОКБ САПР появилась линейка готовых решений класса «Защищенные СВТ». Итак, что ж это такое, и с чем её едят? В первую очередь - это средства ВТ с предустановленными МДЗ. Мы представляем продукты наших партнеров, которые прошли испытания на совместимость с нашими СЗИ НСД, а это Аквариус, Делл, Леново и др. По каждому типу интерфейсов СЗИ, про каждую шину я расскажу подробно и отдельно.

Во вторых, «Ноутбук руководителя» - идеальное решение для удаленной работы с конфиденциальной информацией, представляющее собой мобильный компьютер со встроенным СЗИ НСД «Аккорд» и считывающим устройством смарт-карт или биометрии. Работа ноутбука возможна в 2- х режимах, один из которых – защищенный.

И Защищенный планшет «TrusTPad», позволяющий работать в одном из двух режимов – защищенном (например, работа с ДБО или иными критичными к защищенности сервисами) или незащищенном, без ограничения возможностей.

Защищенные СВТ

В основе подхода ОКБ САПР к технологиям защиты информации лежит концепция «правильного старта». Чтобы убедиться в неизменности аппаратной и программной среды компьютера, необходимо провести контрольные процедуры. Однако очевидно, что если контрольные процедуры производятся измененным в свою очередь компонентом, то в них нет никакого смысла.

Именно поэтому контролировать неизменность среды нельзя программными средствами - так как программа может быть изменена. Для того чтобы убедиться, что она не была изменена - ее нужно проверить. Если ее мы проверяем другой программой, то сначала нужно проверить ту программу, которой мы проверяем первую... и так далее.

Независимость контролирующего устройства - обязательное требование: если часть процедур или решений об обработке их результатов вынесены в основной 2 (защищаемый) компьютер, то модифицированной системой могут быть навязаны любые результаты контроля. Эффект от применения аппаратуры сведется к нулю.

И самое главное - контролирующее устройство должно стартовать первым, до старта операционной системы, иначе у модифицированной системы будет возможность отключить контроллера. Стартовать первым должно то, чему мы доверяем.

Такое аппаратное, простое, независимое от компьютера контролирующее устройство, стартующее первым, до загрузки ОС компьютера, называется резидентный компонент безопасности. Резидентный компонент безопасности - это встроенный в вычислительную систему объект, способный контролировать целостность среды путем сравнения ее параметров с эталонными. За счет того, что РКБ блокирует уязвимости, связанные с нарушением целостности, он создает доверенную среду для работы программных средств, обеспечивающих защиту компьютера на шагах атаки si - s6.

Ключевые характеристики РКБ:

• это устройство памяти с очень высоким уровнем защищенности (его внутреннее программное обеспечение должно быть немодифицируемым)
• примитивное (иначе обеспечение его собственной защищенности эквивалентно задаче защиты компьютера, который оно защищает)
• встроенное в контролируемую систему и стартующее до старта основной ОС (иначе его функционирование будет необязательным)
• независимое от контролируемой системы (иначе им можно будет управлять из защищаемой среды, что недопустимо)
• перестраиваемое (то есть предполагающее функционирование в двух режимах: режиме управления, когда возможно изменение политик, и в пользовательском режиме, когда изменение политик невозможно, и осуществляется только контроль их выполнения).

Концепция РКБ положена в основу ПАК Аккорд. Этот продукт не включает в себя РКБ, а непосредственно сам им является – РКБ в виде аппаратной части - АМДЗ, предназначенным для обеспечения «правильного старта» компьютерной системы, доверенной загрузки операционных систем. «Доверенная загрузка» - это загрузка различных операционных систем только при условии подтверждения неизменности источника загрузки (с заранее определенных постоянных носителей), целостности технических и программных средств ПК, легальности пользователя и времени запуска СВТ. Комплекс Аккорд-АМДЗ начинает работу сразу после выполнения штатного BIOS компьютера - до загрузки операционной системы и обеспечивает доверенную загрузку ОС, поддерживающих наиболее распространенные файловые системы, включая: FAT12, FAT16, FAT32, NTFS, HPFS, Ext2, Ext3, Ext4, ReiserFS, QNX4, MINIX. Это, в частности, ОС семейств MS DOS, Windows, QNX, OS/2, UNIX, LINUX, BSD, vSphere и др.

Аккорд-АМДЗ может быть реализован на различных контроллерах, но его базовая функциональность всегда остается одинаковой и соответствует заявленной и отраженной в сертификатах соответствия. Выбор контроллера зависит, в первую очередь, от того, свободный слот с каким шинным интерфейсом есть у средства вычислительной техники (компьютера, сервера, ноутбука, моноблока), в которое Вы планируете установить Аккорд-АМДЗ.

Это может быть:

• PCI или PCI-X - контроллеры Аккорд-5МХ или Аккорд-5.5
• PCI-express - контроллеры Аккорд-5.5.е или Аккорд-GX
• Mini PCI-express - Аккорд-GXM
• Mini PCI-express half card - GXMH

Контроллеры серии GX - наша новая серия, отличающаяся (кроме того, что построена на современной элементной базе) несколькими существенными особенностями:

1. внутренняя операционная система контроллера - Linux, а не DOS, что дает возможность гибкой адаптации под требования СВТ и более «дружественный» (графический, а не текстовый) интерфейс администратора;
2. контроллеры взаимодействуют с идентификаторами пользователей через штатный USB-порт компьютера;
3. серия включает в себя контроллер для шины Mini PCI-express half card, это миниатюрное устройство (30х20 мм), которое можно использовать в ноутбуках, неттопах, терминалах и моноблоках.

Аккорд-АМДЗ на базе любого из контроллеров может быть аппаратной базой комплексов Аккорд Win- 32, Аккорд- Win64, Аккорд-Х, Аккорд-ХL и Аккорд-В.

В качестве идентификаторов в Аккорде могут использоваться ТМ-идентификаторы (контроллеры серии GX взаимодействуют с ним через считыватель, подключаемый к USB-порту), ШИПКИ (на базе любого из устройств - от ШИПКИ-лайт Slim до ШИПКИ-2.0), смарт-карты (Acos3, Acos5, eSmart, различные eToken), радиокарты.

Аккорд-АМДЗ имеет сертификаты ФСТЭК России и ФСБ России, а также Заключение Минобороны России и Санитарно-эпидемиологическое заключение.

Классический стационарный Аккорд-АМДЗ, построенный на базе контроллеров Аккорд, устанавливаемых в слот расширения материнской платы компьютера (в настоящее время чаще всего для этой цели используются слоты PCI-Express и mini PCI Express), стартует до загрузки операционной системы компьютера и самостоятельно проводит процедуры контроля целостности программного (исполняемых и конфигурационных файлов, реестра, документов и т. д.) и аппаратного (состав жестких дисков, их настройку, наличие плат расширения и т. д.) обеспечения.

«Ноутбук руководителя»

Как я уже говорил «Ноутбук руководителя» – идеальное решение для удаленной работы с конфиденциальной информацией. Почему?

Изделие представляет собой мобильный компьютер со встроенным СЗИ НСД «Аккорд» и считывающим устройством смарт-карт или биометрии. Работа ноутбука возможна в 2- х режимах, один из которых – защищенный. Загрузка компьютера контролируется встроенным модулем СЗИ НСД «Аккорд», который проверяет наличие уникального идентификатора. Если аппаратный модуль не получает идентифицирующей информации, то загрузка продолжается в обычном, незащищенном режиме. В таком варианте пользователь может работать без ограничений со стандартным функционалом ОС и прикладных программ, как на любом привычном устройстве. В том случае, если пользователь идентифицирован, то дальнейшая загрузка выполняется со встроенной памяти «Аккорда», а штатный накопитель HDD отключается. Целостность загрузочного образа обеспечивается функционалом СЗИ НСД. Основной и единственной задачей образа является создание защищенного VPN соединения с терминальным сервером или веб-порталом. Параметры соединения записываются на смарт-карту, которая одновременно является идентификатором пользователя. Таким образом «Ноутбук руководителя» служит еще защищенным тонким клиентом, который поможет владельцу работать с необходимыми конфиденциальными документами, находясь дома, в командировке, отпуске и т.д. Поэтому именно для этого решения актуально использование в комплекте служебных носителей семейства «Секрет», выступающих в этой схеме в качестве защищенного локального хранилища.

Совместимость МДЗ с «СВТ»

Физически контроллеры Аккорд-АМДЗ вставляются в разъем шины PCI или PCI-Express (miniPCI-Express), поэтому аппаратная совместимость — это совместимость с шиной. Здесь можно выделить 2 уровня:

• физический (разъем, размеры, питание, временные параметры сигналов);
• логический (логика работы интерфейса шины).

Стандарты PCI/PCI-Express достаточно подробно описывают параметры устройства (как физические, так и логические). Но реально существуют как допуски и диапазоны, определенные стандартом, так и отклонения, вызываемые разбросом параметров микросхем или особенностями разводки печатной платы. Иногда в конкретной модели или даже конкретной системе происходит сложение погрешностей. Например, на промышленных компьютерах производства Advantech для работы контроллера Аккорд-5MX через переходник CompactPCI-PCI потребовалась доработка (установка конденсатора по линии CLK).

Иногда производители банально нарушают стандарты. Достаточно ярким примером служит некий вполне серийный ноутбук, на разъеме miniPCIe которого отсутствует напряжение питания 1.5V.

Примером логической несовместимости может служить история с сигналом четности шины PCI. Первая версия прошивки контроллера Аккорд-5MX не синхронизировала вывод данных от микропроцессора на шину PCI с тактированием шины. Что интересно, оказалось, что большинство СВТ не проверяют четность на шине как минимум при установках по умолчанию, проблема проявилась на серверах. Еще один пример — ранние версии Аккорд-5.5 PCI-Express использовали микросхему моста PCI-PCI-Express PLX PEX-8111. Оказалось, что в PCI-конфигурации моста по умолчанию производителем микросхемы была допущена ошибка, которая вызывала BSOD на ОС от Vista и новее при загрузке драйвера шины PCI (pci.sys). PLX выпустила Errata с рекомендациями по конфигурированию моста, и как минимум несколько сотен плат пришлось дорабатывать путем прошивки EEPROM с конфигурацией моста. Современные Аккорд-5.5 PCI-Express выпускаются с мостом PEX-8112, который не имеет этой проблемы.

Особенно остро стоят вопросы аппаратной совместимости с ноутбуками. Обычно ноутбук имеет 1 слот miniPCIe (причем, очень часто формата half-size), предназначенный для установки Wi-Fi-карты. Список Wi-Fi-карт, официально совместимых с конкретной моделью, как правило, невелик, да и зачастую известен только самому производителю. Кроме того, фактически до старта ОС Wi-Fi-карта не нужна, поэтому для ускорения загрузки встроенное ПО (PC BIOS или UEFI) ноутбука может не полностью инициализировать плату в слоте miniPCIe (например, игнорировать наличие на плате расширения BIOS).

С точки зрения физической совместимости — ОКБ САПР единственная, насколько я знаю, компания в России, производящая «электоронные замки» в формате miniPCIe half-size.

Некоторые производители ноутбуков и моноблоков практикуют использование т.н. white-list (списка разрешенных устройств) и при установке платы, параметров которой нет в этом списке, на этапе старта ноутбука мы получаем сообщение «установлено недопустимое устройство» и дальнейшая загрузка системы блокируется.

Происходит также развитие стандартов, но как раз здесь все складывается удачно. При разработке новых версий шин обеспечивается совместимость с прошлыми версиями. Так, достаточно незаметно произошли смены версии шины PCI от 2.0 к 3.0, развитие PCI-Express от 1.0 до 3.0 тоже пока не приносит проблем. К слову сказать, контроллеры Аккорд 5.0, созданные более 10-ти лет назад вполне успешно работают в современных материнских платах.

Проблемы аппаратной совместимости — это проблемы не только Аккорд-АМДЗ. Ведь не зря серьезные производители (IBM, HP и др.) публикуют списки совместимого оборудования, даже производители обычных материнских плат публикуют списки протестированных модулей памяти. В сети Интернет можно найти ставшие уже классическими примеры аппаратной несовместимости:

• проблемы с AGP-видеокартами NVidia на чипсетах VIA и Ali;
• проблемы инициализации HDD с интерфейсом SATA-II микросхемой VIA VT8237
• проблемы со звуковыми картами Live! на чипсетах VIA;

и др. Какие-то из этих проблем решались обновлениями BIOS/прошивок/драйверов, а какие-то так и ушли в историю нерешенными.

Перейдем к вопросу программной совместимости. Учитывая принципы работы ПО АМДЗ, мы выделим 3 основных момента, в которых важна программная совместимость:

1. совместимость принципа перехвата управления;
2. совместимость при работе встроенной ОС и ПО АМДЗ (DOS- и Linux-версии);
3. совместимость принципа продолжения загрузки основной ОС.

Практика показала, что этот принцип достаточно надежен и универсален для PC BIOS. Тем не менее, детали реализации не раз уточнялись. Например, встречаются BIOS, которые в процессе работы затирают отладочные регистры CPU (используемые для установки контрольной точки) и сейчас для таких BIOS работает алгоритм восстановления нужного состояния регистров.

Известной проблемой является несовместимость этого принципа с UEFI. Спецификация UEFI не предполагает заранее известного фиксированного адреса, на который можно установить контрольную точку. На данный момент совместимость достигается тем, что в состав UEFI входит Compatibility Support Module (CSM), который при определенных условиях обеспечивает процесс загрузки ОС в режиме Legacy. Над разработкой совместимого с UEFI принципа перехвата ОКБ САПР ведет работы. После получения управления перед загрузкой операционной системы из flash-памяти контроллера загружается встроенная ОС (DOS или Linux), в которой запускается ПО АМДЗ. В принципе, DOS-версия ПО АМДЗ является 32-разрядной надстройкой над простейшим DOS (AcDOS), который обеспечивает только загрузку и запуск исполняемых файлов в определенной последовательности. Здесь как раз минимум проблем совместимости, т.к. практически весь процесс идет под полным контролем ПО АМДЗ в замкнутой среде. Единственным потенциально проблемным местом является разбор файловой системы, т.к. при этом происходит взаимодействие с сервисами BIOS и анализ структур файловой системы.

И снова вспоминаем про UEFI. Работа DOS-версии основана на вызовах сервисов BIOS (ввод информации, вывод изображения, чтение накопителей), и в случае UEFI работа возможна только в том случае, если при работе UEFI был запущен CSM. Кроме того, замечена тенденция не уделять большого внимания правильности реализации программных Legacy-интерфейсов BIOS, что объяснимо — современным ОС они практически не нужны.

В случае Linux-версии ПО АМДЗ в первую очередь стоит проблема совместимости собственно нашей сборки ОС Linux с широким кругом различных конфигураций компьютеров. Разработчиками ОС Linux очень много сделано для повышения стабильности и совместимости, но все же задачи запуска ядра, графической оболочки и работы с дисковой подсистемой имеют проблемы с совместимостью. Для минимизации проблем ядро собрано с минимальной поддержкой не нужных для выполнения основных функций АМДЗ опций (отключена поддержка многопроцессорности, ACPI и т.п.). При возможности используются универсальные драйвера (видеодрайвер VESA, драйвера IDE и AHCI). Но сложность практически полноценной ОС несравнима со сложностью простейшей версии DOS, поэтому все же могут возникать проблемы совместимости именно ОС с определенными конфигурациями СВТ.

Тем не менее, на данный момент Linux-версия в целом стабильно работает практически на любых конфигурациях обычных офисных компьютеров. Из проблем совместимости актуальными остаются:

• работа с дисковой подсистемой на серверных конфигурациях, в которых обычно используются RAID-контроллеры;
• невозможность работы с USB-устройствами (клавиатурой, мышью) от момента завершения работы ОС АМДЗ и до загрузки драйверов USB-стека основной ОС;
• невозможность продолжения загрузки с USB-устройств (при входе администратором).

Автор:

Дата публикации: 01.01.2017