Доклады, выступления, видео и электронные публикации

Использование микрокомпьютеров в защищённых системах

Иванов А.В.

Московский физико-технический институт (ГУ), Москва, Россия.

В статье приводятся общие требования к работе с удалённой инфраструктурой, особенностях микрокомпьютеров, и практическая программно-аппаратная реализация требований в виде готовых устройств.

Ключевые слова: дистанционное банковское обслуживание, ДБО, облачная инфраструктура, удалённая инфраструктура, микрокомпьютер, доверенная среда, доверенная загрузка, МКTrusT, MeeGoPad.

Введение

Тема данного доклада — защищённые компьютеры и их применение в областях деятельности, требующих высоких уровней защищённости, таких как дистанционное банковское обслуживание (ДБО) или предоставление услуг удалённых (облачных) сервисов.

Работа с удалённым ресурсом предполагает три составляющие: клиент, канал связи и сервер. Сервер находится на стороне банка или компании, и в столь серьёзном деле, как, например, работа с деньгами, сервер качественно защищён. Чего нельзя сказать о канале и клиенте. В качестве каналов связи выступают открытые сетевые каналы (например сеть интернет), которые совершенно не защищёны, если для этого не предпринято каких-нибудь специальных мер. А пользователь, не являясь специалистом в области защиты информации не умеет, и даже не знает, что и от чего защищать. Как правило, пользователи пользуются антивирусами и более ничем.

Для того чтобы обеспечить защиту клиента и канала, чтобы получить уверенность в гарантированной безопасности, необходимо обеспечить доверенную среду, то есть изолированную среду, в которой обеспечено доверие ко всем компонентам. Фактически доверенная среда обеспечивается доверенной загрузкой и средствами разграничения доступа с динамическим контролем целостности.

Для этого можно обеспечивать полноценную защиту. То есть компьютер с аппаратным модулем доверенной загрузки[1] (например ПАК СЗИ НСД «Аккорд-АМДЗ») [1]. В операционную систему устанавливается антивирус и межсетевой экран. Канал защищается благодаря установленному в операционной системе VPN. Благодаря такой защите пользователь получает доверенную среду.

Второй вариант защиты состоит в использовании пользователями токенов с ключами ЭЦП и сертификатами. При работе клиента с удалённым сервисом идёт сравнение сертификатов на токене и на сайтах, к которым пользователь обращается. Дополнительными уровнями защиты являются электронная цифровая подпись запросов пользователя и введение пин-кода устройства. Предполагается, что если злоумышленник не подменил токен, а программно изменить данные он там не может, то пользователь защищён. Канал связи в этом случае не защищается.

Проблема такова: полноценная защита дорога, усечённая – неэффективна [3-4].

Усечённая защита не спасает от попадания на фишинговые сайты, от атак типа «человек посередине». Даже если сообщается, что сайт подозрительный, пользователь может этого не понять и продолжить работу. Один из возможных примеров – игнорирование пользователем сообщений браузера «сертификат не действителен» и продолжение работы с подозрительным сайтом.

Усечённая защита не обеспечивает доверенную среду. А если её нет, то сообщение о неверном сертификате даже не будет показываться – троян скроет окошко с сообщением и сам нажмёт кнопку «Ок». Или даже подменит браузер.

Таким образом усечённая защита даёт лишь видимость защиты, что ещё более пагубно для пользователей, давая ложную уверенность и снижая бдительность.

Задача – сделать информационное взаимодействие клиента и инфраструктуры безопасным, удобным и при этом недорогим [5–6].

Решением могут стать микрокомпьютеры (МК). Если неизменность операционной системы обеспечивается аппаратным, физическим способом, то никакие программные действия хакеров не смогут изменить целостность, а, следовательно, доверенность программной среды. При первоначальной подготовке такого МК к работе, операционную систему необходимо записать в банк памяти, после чего аппаратно запретить запись, перевести эту область памяти в режим Read Only с физического переключателя. Однако доступ к переключателю должен быть только у специалистов на аттестованном производстве, и пользователю переключение должно быть недоступно.

Межсетевой экран встраивается в ОС. Канал будет защищаться с помощью встроенного VPN. При наличии неизменяемого образа ОС антивирус фактически не нужен. В худшем случае, система будет поражена на один сеанс, до перезагрузки.

С использованием такого устройства можно защитить и клиентскую часть клиент-серверной структуры, и канал связи.

На рынке представлен целый ряд устройств, в той или иной мере подходящих для решения поставленной задачи. Рассмотрим их основные особенности.

Архитектура

Многие МК построены на альтернативной «гарвардской» архитектуре, получившей название ARM, а не на распространённой «фон-неймановской» х86. ARM — это архитектура, на основании которой построено множество разных процессоров. У них может быть совершенно разная периферия, разные методы взаимодействия с периферией, разная частота и энергопотребление, но объединяет их одно — процессорное ядро ARM.

ARM, с одной стороны, проще по сравнению с x86, и имеет большую производительность и меньшее энергопотребление. С другой стороны – меньший набор команд и тот факт, что длина команды фиксирована, приводит к увеличению объема программ. Достоинством архитектуры является расширение безопасности TrustZone Technology, находящееся в ARMv6KZ и других, более поздних архитектурах, обеспечивающее низкозатратную альтернативу добавлению специального ядра безопасности, создавая 2 виртуальных процессора, поддерживаемых аппаратным контролем доступа. Это позволяет ядру приложения переключаться между двумя состояниями, называемыми «миры», чтобы не допустить утечку информации из более важного мира в менее важный.

Типичные приложения TrustZone Technology должны запускать полноценную операционную систему в менее важном мире, и компактный, специализированный на безопасности, код в более важном мире, тем самым усиливая защищённость устройства.

Кроме того, под архитектуру ARM написано на порядок меньше вирусов.

Драйвера и ПО

На данный момент существует серьёзный недостаток ARM. Программного обеспечения, в том числе и операционных систем, быстро и стабильно работающего на ARM крайне мало. В перечень операционных систем, поддерживающих архитектуру ARM, входит крайне ограниченный набор Linux (и сами системы урезанные) под конкретные линейки процессоров, Windows Runtime и, возможно, Windows 10 (когда Microsoft выполнит своё обещание и выпустит специальную версию системы).

Проблемы возникают, например, при подключении периферии, при попытке использовать веб-камеру и передавать звук по скайпу, сложности возникают при любом запросе, выходящем за рамки ПО, находящегося в системе «по умолчанию».

Так, на добавление чего-то нового в операционной системе Windows разработчиком затрачивается 5 минут, в случае Linux – день, а в случае специализированного Linux под малораспространённую архитектуру ARM - нет гарантии, что заработает.

Кроме того, в Linux под ARM база драйверов для мультимедиа пока что мала.

Защищённые операционные системы

Удобно иметь на борту МК две операционных системы – защищённую для работы с важной информацией и незащищённую для всего остального. Хорошо бы заставить пользователя переключаться между ними, разрешив в защищённой системе только минимально необходимый функционал. Потому что работа с важной информацией и открытые вкладки с развлекательными порталами – вещь несовместимая. Имея возможность зайти на развлекательный сайт с подозрительным контентом, рано или поздно пользователь заглянет туда отдохнуть и отвлечься. И, скорее всего, нахватает вирусов. Нужно иметь возможность отключать периферию, сеть (как беспроводную, так и проводную), прописывать сайты, на которые разрешён доступ. В случае, если требуется более тонкая настройка политики безопасности, нужно предусмотреть возможность изменения настроек «на лету», потому что образ системы неизменяемы. Например, хранить их на SD-карте и подгружать подписанный файл с ними как часть системы.

А переключение между ОС сделать аналоговым переключателем и вывести индикацию, к примеру, выбрать тревожный красный цвет светодиода для информирования о том, что работа идёт в защищённой системе.

Надёжный способ сделать образ ОС неизменяемым – записать систему и после этого сделать эту область диска Read Only, получив операционную систему, гарантированно защищённую от несанкционированных воздействий. Чтобы не произошло, МК можно перезагрузить и вновь работать в неповреждённой системе. Запрет записи можно реализовать как программно, так и аппаратно, но аналоговая безопасность лучше цифровой. Если осуществляется программная защита, например, политики разграничения доступа (администратор/обычный пользователь) в системах Windows, то вирус, сломавший подконтрольное ПО, также сможет обойти систему слежения за последним. Переключение аппаратного рычажка вирусам неподвластно.

В случае Flash-памяти это делается относительно тривиально. Для этого одна из ножек микроконтроллера замыкается с землёй и делается аппаратный переключатель внутри устройства. В случае более сложной памяти, например EMMC, задача сразу же усложняется. Можно попробовать расшифровывать и блокировать команды на запись. Или сообщить ридеру, что запись не разрешена. Последний вариант основан на том, что на карточках памяти есть «шторка», в одном из положений запись разрешена, в другом запрещена и ридер это понимает. Для более громоздких накопителей типа HDD/SSD существуют отдельные устройства-блокираторы. Но что касается именно микрокомпьютеров, наиболее адекватно и надёжно защищается только Flash.

Что имеем

На рынке представлены HDMI-стики, которые идеально подходят к поставленным требованиям по размеру и функционалу. Действительно, их можно подключить к телевизору или монитору, получив в результате полноценный компьютер, а их мобильность позволяет пользоваться ими в поездках.

Хотелось бы выбрать из всего ассортимента HDMI-стиков такое устройство, которое обладало бы максимумом достоинств и имело бы минимум недостатков. Это нетривиальная задача, универсального решения для которой не существует. Крайне важны защищённость устройства и его функциональные возможности. В свою очередь, защищенность напрямую зависит от типа памяти, и наилучшим решением является Flash-модуль. Также хотелось бы обеспечить доверенную среду. Операционная система, в свою очередь, должна поддерживать предпочитаемое программное обеспечение, желательно, в наиболее широком ассортименте. На данном этапе ОС Windows обладает много более широкой базой драйверов и ПО. Получается, что несмотря на лучшие показатели архитектуры ARM, на данный момент большими возможностями обладает х86, следовательно охватывает больше задач и большую аудиторию пользователей. Необходимо предоставить администраторам и специалистам ИБ возможность тонкой настройки устройства, включая его политику безопасности. Также должен быть защищен канал связи. Нельзя забывать и о цене.

Таким образом обозначены следующие характеристики:

  1. Архитектура
  2. Тип памяти
  3. Доверенная среда
  4. Операционные системы
  5. Настройка политики безопасности
  6. Цена

Посмотрим, какие из представленных на рынке устройств на рынке наиболее подходит под такое описание.

Первое из них – МКTrusT. Микрокомпьютер «гарвардской» архитектуры, позволяющий работать в двух режимах – защищенном (Linux в режиме ReadOnly) или незащищенном (Android в режиме ReadWrite) без ограничения возможностей. Влияние операционных систем друг на друга исключается технологически благодаря независимым банкам памяти, один из которых аппаратно защищён от записи. Это обеспечивает сохранение доверенности защищённой ОС – у систем нет общего информационного ресурса. Переключение между операционными системами аппаратное с помощью внешнего переключателя. Неизменяемый образ операционной системы обеспечивает доверенную загрузку. Производится индикация режимов красным и зелёным свечением светодиода. В записываемом образе ОС Linux заранее определяются такие параметры, как разрешённые сайты, возможность пользоваться проводной/беспроводной связью, разрешённая периферия, права пользователя и др. Впрочем, есть возможность обновления «на лету» – подгрузить как часть системы подписанный файл с настройками с SD-карты. Канал связи защищён встроенным VPN [7].

Микрокомпьютер снабжён программным обеспечением клиента системы разграничения доступа «Аккорд-TK», что обеспечивает ещё большую гибкость настройки политик безопасности пользователей при работе с удалённой инфраструктурой.

MKTrusT соответствует 11 из 15 требований, описанных в 21м приказе ФСТЭК [8]. Решение защищено аппаратными способами, описанными в патентах [9-10]. Цена –15 тысяч рублей.

Однако, МКTrusT ограничен архитектурой процессора. Устройство обладает как всеми достоинствами, так и недостатками ARM, например, возникают проблемы с ПО, в частности, с работой виртуальных машин. В Horizon View не работает Real-Time Audio-Video (RTAV) – веб-камеры и микрофоны. Заявлено, что в системах виртуализации Citrix таких проблем нет, но как показывает практика – микрофон или звук от виртуальной машины не работают, весь лог завален ошибками. Во всём остальном — идеальный выбор.

Второе микрокомпьютер MeeGoPad T01. Основное преимущество – архитектура х86 и операционная система Windows 8.1 with Bing (производитель не платит за лицензию Microsoft – это даёт возможность делать устройство дешевле). Компьютер тоже поддерживает режим dual-boot, дополнительно можно поставить Android или Linux. При тестировании этого устройства было проверено, что клиенты Citrix Receiver и VMware Horizon View для удаленных рабочих столов прекрасно работают «из коробки» конкретно под Windows. Был проведён эксперимент, показавший, что в виртуальной машине прекрасно работает веб-камера и звук по скайпу. MeeGoPad поддерживает всё необходимое ПО сразу «из коробки». Поддерживается VPN. Доверенная среда не обеспечивается, а политики безопасности определяются исключительно возможностями установленной ОС. MeeGoPad соответствует 8 из 15 требований, описанных в 21м приказе ФСТЭК [7]. Цена – чуть больше 7 тысяч.

Главная проблема MeeGoPad заключается в типе памяти. Если не обеспечить аппаратный запрет на запись или не обеспечить другой способ обеспечения доверенной среды – гарантировать безопасность невозможно. Существуют пути решения данной проблемы. Например установить в МК программно-аппаратный модуль доверенной загрузки. Или заказать линейку устройств, где вместо памяти EMMC будет стоять Flash, которая будет защищаться по проверенной схеме. Смена типа памяти видится наиболее простым и дешёвым решением.

Заменив память, получим мощный защищённый компьютер на архитектуре x86 c Windows на борту, готовым пакетом драйверов и ПО. Таким образом, он совместит в себе большинство вышеописанных достоинств, тем самым приблизившись к идеальному защищённому устройству для работы с удалёнными инфраструктурами и ДБО.

Сводная таблица

Архитектура

Тип памяти

Доверенная среда

ОС

Настройка политики безопасности

Цена

МКTrusT

Гарвардская

ARM

Flash. Защищена.

Обеспечивается физической неизменностью образа ОС и независимыми банками памяти.

Защищённый Linux и незащищённый Android.

Средствами ОС + ПО системы разграничения доступа Аккорд-ТК.

15000

MeeGoPad T01

Фон Неймана х86

EMMC. Не защищена. Можно выпустить устройства с другим типом памяти.

Не обеспечивается. К примеру, можно поставить Flash или аппаратный модуль доверенной загрузки.

Незащищённый Windows 8.1, незащищённый Android или Linux.

Средствами ОС.

7000

Итого

Получается, что устройства, целиком подходящего под все описанные требования, не существует. Однако имеются очень близкие по характеристикам.

При работе с удалённой инфраструктурой зачастую предлагаются ненадёжные, урезанные решения для имитации защиты и успокоения клиента. Микрокомпьютеры являются наиболее приемлемым способом защитить клиента и канал передачи данных «по-честному».

Несмотря на муки выбора между достоинствами и недостатками тех или иных устройств, краеугольным камнем является возможность аппаратной защиты памяти от записи. И вопрос защиты типов памяти помимо Flash остаётся открытым.

Перспективность ARM устройств возрастает, но их взлёт произойдет не раньше, чем через пару лет, когда будет создана необходимая программная база драйверов и программного обеспечения, а также библиотек для их создания. Тем не менее, достоинства этих устройств неоспоримы, их выгодно использовать, а в случаях, требующих RTAV – пользоваться архитектурой х86.

Возможно, грандиозный прорыв случиться раньше, когда выйдет Windows 10 под ARM-архитектуру, выход которой намечен на конец этого года.

Список литературы:

  1. Каннер (Борисова) Т. М., Романенко Н. В. Аккорд-АМДЗ: Next Generation. // Комплексная защита информации. Безопасность информационных технологий. Материалы XVII Международной конференции 15–18 мая 2012 года, Суздаль (Россия). 2012. С. 57-58.
  2. Бажитов И. А. Обеспечение доверенной среды в ОС Linux с использованием ПАК СЗИ НСД «Аккорд-X» // Комплексная защита информации. Материалы XV международной научно-практической конфереции (Иркутск (Россия), 1–4 июня 2010 г.). М., 2010. С. 32.
  3. Конявский В. А. Прогноз развития Российского сегмента сети Интернет до 2010 года // Управление защитой информации. 2003. T. 7. № 3.
  4. Конявский В. А., Поспелов А. Л. Национальный оператор идентификации, или как повысить доверие клиентов к ДБО и понизить риски // Национальный банковский журнал. М., 2013. № 2 (105). С. 8687.
  5. Конявский В. А., Ухлинов Л. М. Практика обеспечения безопасности дистанционного банковского обслуживания // Вопросы защиты информации. 2012. № С. 5861.
  6. Конявский В. А. Минимизация рисков участников дистанционного банковского обслуживания // Вопросы защиты информации. 2014. №4 (107). С. 34.
  7. Конявский В. А. Защищённый микрокомпьютер МКTrusT – новое решение для ДБО // Национальный банковский журнал. М., 2014. № 3 (март). С. 105.
  8. Приказ № 21 ФСТЭК России от 18 февраля 2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  9. Компьютер типа «тонкий клиент» с аппаратной защитой данных. Патент на полезную модель № 118773. 27.07.12, бюл. № 21.
  10. Мобильный компьютер с аппаратной защитой доверенной операционной системы. Патент на полезную модель № 138562. 20.03.2014, бюл. № 8.

[1] Доверенная загрузка – это загрузка операционных систем только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки целостности технических и программных средств ПК (с использованием механизма пошагового контроля целостности) и аппаратной идентификации/аутентификации пользователя [2].

Автор: Иванов А. В.

Дата публикации: 01.01.2016

Библиографическая ссылка: Иванов А. В. Использование микрокомпьютеров в защищённых системах // Комплексная защита информации: материалы XXI научно-практической конференции, Смоленск, 17–19 мая 2016 г. М., 2016. С. 191–196.


Scientia potestas est
Кнопка связи