Доклады, выступления, видео и электронные публикации

Аппаратный РКБ на службе СДЗ уровня BIOS

Доверенная загрузка (т.е. загрузка операционной системы только с заранее установленных носителей после успешного завершения процедур контроля целостности технических и программных средств вычислительной техники (далее — СВТ) с использованием метода пошагового контроля целостности и аппаратной идентификации/аутентификации [1]) — один из важнейших этапов обеспечения СВТ от несанкционированного доступа (далее — НСД). Наличие угрозы НСД (а точнее недоверенной загрузки ОС и, как следствие, возможное нарушение конфиденциальности/целостности/доступности информации на защищаемом СВТ) и наличие недостатков у существующих решений по обеспечению доверенной загрузки (о них далее) делают актуальной задачу разработки более совершенного решения для обеспечения доверенной загрузки.

Цель данной работы — предложить программно-аппаратное решение, позволяющее осуществить доверенную загрузку ОС и лишенное недостатков, имеющихся при использовании программных и аппаратных средств защиты по отдельности. Для этого необходимо провести обзор существующих типов СДЗ, выявить их недостатки и на основании проведённого анализа предложить новое решение.

Решения, предложенные для реализации механизма доверенной загрузки, можно разделить на три типа в соответствии с классификацией ФСТЭК: средства доверенной загрузки (далее — СДЗ) уровня базовой системы ввода-вывода (уровня BIOS), СДЗ уровня платы расширения и СДЗ уровня загрузочной записи [2]. СДЗ уровня загрузочной записи в данной работе рассматриваться не будут, т.к. могут быть сертифицированы ФСТЭК лишь по 5 и 6 классу защиты, что для настоящей статьи неактуально.

СДЗ уровня BIOS встраиваются непосредственно в BIOS защищаемого СВТ. Точнее, внутрь BIOS обязательно встраивается модуль, осуществляющий передачу управления специальному программному обеспечению (далее — СПО) СДЗ и реализующий базовые проверки безопасности, такие как идентификация/аутентификация и контроль целостности. База данных, журнал и функциональное программное обеспечение (далее — ФПО), входящее в состав СДЗ, может находиться как внутри BIOS, так и вне его, например, на жёстком диске защищаемого СВТ. Недостаток данного решения в том, что оно не обеспечивает защиту самого BIOS. Вредоносный код может быть встроен не только в операционную систему, но и непосредственно в BIOS, что подтверждается различными исследованиями [3, 4]. Также без аппаратной части невозможна реализация физического датчика случайных чисел (далее — ДСЧ) и сторожевого таймера.

Штатные средства защиты BIOS существуют, однако они платформозависимы и производятся теми же организациями, что и сами BIOS, т.е. в большинстве случаев иностранными организациями. Следовательно, доверять таким средствам можно не больше, чем самому BIOS.

СДЗ уровня платы расширения — это аппаратно-программный модуль доверенной загрузки (далее — АПМДЗ). Он представляет собой некую «железку», которая вставляется в один из слотов СВТ через такие интерфейсы как PCI/PCI-express/mini PCI-express, M2, USB и другие [5—7]. Вся начинка СДЗ находится в защищённой памяти этой платы, что существенно затрудняет модификацию/удаление ФПО или базы данных злоумышленником. У такого решения также имеются недостатки. Во-первых, дороговизна самого устройства. Во-вторых, необходимо наличие свободного слота для устройства. В-третьих, внешнее устройство стартует позже, чем встроенный в BIOS модуль, что делает работу BIOS менее безопасной.

В таблице 1 наглядно показано сравнение преимуществ и недостатков СДЗ уровня BIOS и СДЗ уровня платы расширения.

Таблица 1. Сравнение СДЗ уровня BIOS и СДЗ уровня платы расширения

Параметр

СДЗ уровня BIOS

СДЗ уровня платы расширения

Ранний старт

+

-

Контроль целостности BIOS

-

+

Защищённая память

-

+

Сторожевой таймер

-

+

Аппаратный ДСЧ

-

+

Низкая стоимость

+

-

 

Рассмотрев недостатки существующих решений, можно предъявить к разрабатываемому СДЗ следующие дополнительные требования:

  • как можно более ранний старт,
  • возможность проверки целостности BIOS,
  • возможность аппаратной реализации ДСЧ и сторожевого таймера,
  • как можно более низкая стоимость реализации. 

Выполнения требований можно добиться, если два типа СДЗ (уровня BIOS и уровня платы расширения) соединить в одном, создав некое гибридное неатоматрное [8] решение. И действительно, то, что является преимуществом одного типа СДЗ, является одновременно недостатком другого и наоборот. Объединение двух типов СДЗ в один в такой ситуации кажется логичным. СДЗ уровня BIOS может представлять собой DXE-драйвер, осуществляющий перехват управления и базовые проверки. Все остальные компоненты СДЗ будут располагаться в аппаратном модуле. По сравнению с обычным СДЗ уровня BIOS данное решение позволит использовать защищённую память: база данных, журнал, криптографические данные будут защищены от модификации. Также плюсом будет возможность использования аппаратного ДСЧ, который, в отличии от программных аналогов, позволяет получать истинно случайные числа. Аппаратная составляющая также необходима для реализации сторожевого таймера. Данный механизм перезагрузит СВТ, если в течение определённого времени СДЗ не получит управление. Плюсом по сравнению с чисто аппаратной реализацией СДЗ будет стоимость: необходимое для реализации «железо» значительно дешевле, чем АПМДЗ, ведь от аппаратной части будет требоваться только наличие памяти, ДСЧ и сторожевого таймера, а все вычисления будут производиться ресурсами СВТ. Возможность реализации аппаратной части в форм-факторе USB делает устройство практически универсальным. Дополнительным преимуществом будет более ранний старт. Внешние устройства при запуске UEFI BIOS стартуют на этапе DXE, в то время как встроенный модуль может запускаться на этапе PEI, который, согласно стандарту работы UEFI BIOS, происходит раньше [9].

В данной работе был проведён обзор преимуществ и недостатков различных типов СДЗ, а затем предложено и описано решение, объединяющее в себе два типа СДЗ, которое не обладает рядом характерных для каждого типа в отдельности недостатков. Следующими шагами в работе видится непосредственная разработка устройства и его последующие испытания.

СПИСОК ЛИТЕРАТУРЫ:

  1. Конявский В. А. Управление защитой информации на базе СЗИ НСД «Аккорд». М.: «Радио и связь», 1999. — 325 c.
  2. Информационное письмо ФСТЭК России от 6 февраля 2014 г. №240/24/405.
  3. Счастный Д. Ю. БИОС под аппаратным надзором // Комплексная защита информации: материалы ХХIV научно-практической конференции. Витебск. 21–23 мая 2019 г.: УО ВГТУ. Витебск, 2019. С. 212–215.
  4. Голованов С., Русаков В. Атаки до загрузки системы [электронный ресурс] // URL: https://securelist.ru/ataki-do-zagruzki-sistemy/20151/ (дата обращения 11.05.2021)
  5. Аккорд-АМДЗ // Официальный сайт компании «ОКБ САПР» [электронный ресурс]. URL: https://www.okbsapr.ru/products/accord/accord-amdz/ (дата обращения: 11.05.2021).
  6. СДЗ НСД «ИНАФ» // Официальный сайт компании «ОКБ САПР» [электронный ресурс]. URL: https://www.okbsapr.ru/products/accord/szi-nsd-inaf/ (дата обращения: 11.05.2021).
  7. Соболь. Модельный ряд // Официальный сайт компании «Код безопасности» [электронный ресурс]. URL: https://www.securitycode.ru/products/pak_sobol/?tab=models (дата обращения: 11.05.2021).
  8. Алтухов А. А. Неатомарный взгляд на РКБ, как на композицию перехвата управления и контроля целостности // Комплексная защита информации. Материалы XX научно-практической конференции. Минск, 19–21 мая 2015 г. Минск: РИВШ, 2015. С. 53–55.
  9. Черчесов А. Э. Фазы загрузки UEFI и способы контроля исполняемых образов // Вопросы защиты информации. М., 2018. № 2 (121). С. 51–53.

Автор: Хмельков А. Д.

Дата публикации: 19.08.2021

Выходные данные: Комплексная защита информации: материалы XXVI научно-практической конференции. Минск. 25–27 мая 2021 г. Минск: Издатель Владимир Сивчиков, 2021. С. 267–268.


Scientia potestas est
Кнопка связи