Доклады, выступления, видео и электронные публикации

Перспективы развития технических средств защиты информации в России

Для того чтобы оценить перспективы развития технических средств защиты информации, нужно оценить, как развиваются средства вычислительной техники (программные и аппаратные), появились ли новые угрозы, и если да, то какие.

Предпосылки

  1. Развитие операционных систем можно описать через дихотомию «универсальная – специализированная». Очевидна тенденция – универсальные ОС (а несмотря на свои различия (прежде всего – в доступности кода), и ОС Windows, и ОС Linux позиционируются как универсальные) со временем специализировались для автоматизации информационных операций, и теперь могут применяться преимущественно в быту и офисе, используясь, как правило, в качестве пишущей машинки и терминала доступа к сети. При этом практически полностью утрачена возможность применения их, например, при необходимости обеспечения работы в реальном масштабе времени.

Специализация к информационным операциям заставляет ОС «впитывать» в себя все больше и больше несвойственных ей ранее функций, упрощающих прикладное ПО, но сильно перегружающих и ОС в целом, и даже ядро ОС. ОС становится «тяжелой», перестает быть только операционной системой, включая в себя практически все, что необходимо для автоматизации информационных операций.

Широкое распространение компьютеров с «тяжелыми» ОС делает привлекательным их использование в других сферах – например, при проектировании (домов, микросхем, радиоэлектронной аппаратуры). Сложные вычислительные операции медленно и неохотно выполняются в таких системах, и это заставляет наращивать ресурсы компьютера – увеличивать оперативную память, усложнять и расширять систему команд процессора, увеличивать тактовую частоту. Новые аппаратные ресурсы позволяют все больше и больше усложнять ОС, и далее по кругу.

Сложность уменьшает надежность, ОС становятся практически неконтролируемыми, доверие к ним падает. Сложность операционной системы становится новой, рукотворной угрозой безопасности.

  1. Новую ПЭВМ покупают либо тогда, когда старая окончательно сломалась, либо, когда начинает сказываться нехватка ресурсов – новые программы либо работают слишком медленно, либо не работают вообще. Значит, рынок обязательно будет организовываться так, чтобы ресурсов ПЭВМ всегда было «в обрез» – иначе либо не станут покупать новые программы, либо не станут покупать новые компьютеры. В условиях ограниченных ресурсов значительную их часть использовать для обеспечения функций безопасности означает просто вызвать раздражение пользователей замедлением работы системы и конфликтами ПО.

Следствия

Напрашивается два возможных решения – изоляция ресурсов, затрачиваемых на обеспечение безопасности, от основных вычислительных ресурсов, или создание систем, в которых не требуется установка дополнительных средств защиты.

В первом случае – как бы ни расходовались выделенные на безопасность ресурсы, никакого влияния на работу функциональной системы оказываться не будет. Так делаются аппаратные модули безопасности – HSM (hardware security module). Как правило, это отдельный компьютер, «начиненный» различным программным обеспечением, выполняющим функции, связанные с безопасностью. Обычно это межсетевой экран, криптомаршрутизатор, сервер ЭЦП и др. С функциональной компьютерной системой HSM интегрируется обычно через сетевые интерфейсы, и в связи с этим значительно упрощается аттестация системы.

В использовании HSM, однако, есть и проблемы. В первую очередь – это их ненадежность. Дело в том, что они зачастую разрабатываются на базе обычных ПЭВМ, которые, как известно, надежностью не отличаются. И если установить такое изделие, например, для обеспечения связи, то выходить из строя оно будет значительно чаще, чем связная аппаратура, которая делается по гораздо более высоким требованиям. Кроме того, HSM в их традиционном виде свойственны вообще все проблемы обычных ПЭВМ с «универсальной» ОС, в том числе ненадежная архитектура, аппаратурная избыточность и неконтролируемый софт.

Альтернатива – реализация как можно более полного комплекта защитных функций на базе резидентного компонента безопасности – РКБ.

Резидентный компонент безопасности – это встроенный в технические средства вычислительной системы объект, способный контролировать целостность технических средств (здесь под техническими понимаются и программные, и аппаратные средства)[1].

Ключевые характеристики РКБ:

  • это устройство памяти с очень высоким уровнем защищенности (его внутреннее программное обеспечение должно быть немодифицируемым),
  • примитивное (иначе обеспечение его собственной защищенности эквивалентно задаче защиты компьютера, который он защищает),
  • встроенное в контролируемую систему и стартующее до старта основной ОС (иначе его функционирование будет бессмысленным),
  • независимое от контролируемой системы (функционирующее автономно),
  • перестраиваемое (то есть предполагающее функционирование в режиме настроек, и в пользовательском режиме – режиме контроля).

В отличие от HSM, РКБ не объединяется с системой по внешним интерфейсам, а включается в состав системы (является резидентным), становится неотъемлемой ее частью. Об этой идеологии мы уже не раз рассказывали – она была реализована впервые в отечественной системе защиты от НСД «Аккорд», и в силу своих характеристик быстро заняла лидирующие позиции. Сейчас такие средства существуют для всех типов ПЭВМ, и, видимо, в ближайшем будущем их линейка будет развиваться параллельно развитию СВТ, несмотря на то, что они (и аналогичные СЗИ НСД с другими названиями и от других разработчиков) дороги, сложны в настройке и усложняют закупочные процедуры.

Кроме СДЗ на платформе РКБ можно реализовывать (и уже есть примеры) и другие защитные функции.

Идеология РКБ воспринята многими мировыми производителями систем безопасности, и даже была стандартизована на Западе как специализированный модуль для доверенных вычислений – TPM, trusted platform module. Представляется, что в дальнейшем системы на базе идеологии РКБ – TPM будут развиваться особенно эффективно, воплощая второй путь решения конфликта на почве ресурсов.

Этот путь – создание средств вычислительной техники, в которые изначально, без встраивания дополнительных СЗИ будут осуществлять контрольные функции.

Этот путь является естественным развитием идеи РКБ–TPM для универсальных ПЭВМ с фон-Неймановской архитектурой: внедрение защитных механизмов все глубже и глубже в состав аппаратных средств, вплоть до реализации блока защиты в составе процессора. О такой технологии впервые заговорили в 2002 году, тогда она получила название «La Grande».

Суть ее заключалась в том, что как бы «поверх» функциональных операций за счет специальных аппаратных средств организуется выполнение контрольных процедур. Для этого основные функциональные блоки компьютера должны снабжаться резидентными компонентами безопасности, взаимодействующими один с другим, и вырабатывающими сигнал тревоги, если нормальное течение операций нарушается.

Все РКБ взаимодействуют со специализированным доверенным модулем TPM, который и принимает решение, продолжить процесс или прервать его.

Технология La Grande не получила развития и на сегодняшний день уже совершенно забыта, однако другие аналогичные встроенные средства, построенные на тех же самых принципах, распространены сегодня уже довольно широко и все они являются зарубежными.

Они могут быть нацелены на обеспечение целостности и защиту от вредоносного воздействия на микропрограмму СВТ, в частности BIOS: Intell Boot Guard, AMD hardware validated Boot, White list. 

Задача других средств защиты – обеспечить целостность и аутентичность загружаемой операционной системы: Secure Boot, TPM, PCI white list.

Но здесь есть подводные камни. Дело в том, что принятие решения в большинстве таких систем осуществляется на основе проверки ЭП. Если ЭП программы верна – то она будет выполняться. Таким образом, например, легко осуществлять контроль легальности программного обеспечения – пиратские копии просто не станут исполняться. Однако, заметим, что если внутри контрольного модуля по ошибке или по злому умыслу окажется неправильный ключ проверки подписи – то не будут выполняться и легальные программы. При использовании такой уязвимости одномоментно будут остановлены все компьютеры с процессором, поддерживающем на аппаратном уровне эту технологию. Просто какая-то антиутопия!

Еще одна проблема, связанная с такими механизмами, заключается в том, что (и это одна из их штатных задач) они не позволяют встроить в это же СВТ другие средства защиты. Разумеется, специалистами разрабатываются методики разной степени легальности для обхода этих ограничений (заметим, что использовать эти методики смогут, конечно не только те, кто хотят встроить в СВТ дополнительные средства защиты).

Не удивительно, что отечественными регуляторами установлены преграды к применению таких решений в государственных информационных системах: в таких системах средства защиты, не сертифицированные в российских системах сертификации, использоваться не должны[2]. Не «должны дополняться сертифицированными», а не должны использоваться совсем. И точка. А коль скоро их нельзя легально устранить из СВТ, не должны использоваться и СВТ, в которые они встроены на этапе производства.

Особняком в ряду встроенных средств стоит подсистема Intel Management Engine, которая в пресс-релизах Intel объявляется не предназначенной именно для защиты.

«Встроенная во многие платформы на основе наборов микросхем Intel® – это небольшая, имеющая малое энергопотребление компьютерная подсистема, называемая Intel® Management Engine (intel® ME). Intel® ME выполняет различные задачи, пока система находится во режиме сна, во время процесса загрузки и нормальной активности. Эта подсистема должна функционировать корректно для достижения наивысшей производительности и функциональности вашего ПК» [2].

Казалось бы, упомянутый выше запрет на оснащенные ею компьютеры формально не распространяется. Действительно, приобретать компьютеры с IME можно, однако, довольно показательно, что их нельзя просто так ввозить в страну. Ввоз таких компьютеров оформляется с учетом разрешительных процедур, которые сопровождают ввоз зарубежной криптографии. Приобретение уже ввезенных и легализованных компьютеров – законно, однако позиция государства выражена вполне прозрачно и возможность применения таких компьютеров в государственных ИС не очевидна.

IME имеет неконтролируемый ни аппаратными, ни программными средствами доступ к оперативной памяти компьютера, к встроенному сетевому адаптеру, к контроллерам PCI, PCIe, usb и прочей периферии [3]. На данный момент полностью исходный код IME недоступен для независимых исследований и анализа. Энтузиастами предпринимаются попытки дизассемблирования кода IME и последующего анализа, которые даже приводят к нахождению недокументированных возможностей [4], ошибок и уязвимостей [5]. И компания Intel признает эти уязвимости и даже выпускает обновления, их устраняющие [6].

То есть компьютер с IME – это компьютер, внутри которого есть еще один компьютер с неизвестным функционалом, имеющий неограниченный доступ к ресурсам основного компьютера. Это грозит:

  • получением несанкционированного удаленного управления
  • несанкционированной передачей конфиденциальных данных из системы.

Основные каналы для реализации обеих угроз в современных компьютерах на базе чипсетов Intel – Ethernet и USB. Подключаемые к USB-портам устройства (флешки, клавиатуры, мыши, токены, сканеры, принтеры, плоттеры, телефоны, фотоаппараты, жесткие диски) могут быть как каналом несанкционированного управления, так и приемником для несанкционированной передачи данных. Причем выполнять эти действия они могут в теневом режиме, незаметно для пользователя, параллельно с основным функционалом [7].

На первый взгляд (учитывая многочисленные публикации о разнообразных DLP-системах) вопрос защиты от несанкционированного использования USB-устройств давно решен и его можно считать закрытым. Но не в случае с IME. Нужно помнить, что IME имеет прямой доступ к периферии, минуя приложения и драйвера ОС. Программные агенты этих самых DLP-систем, функционирующие в ОС, могут определять наличие подключенных к портам устройств с некоторой задержкой, необходимой ОС для проведения работ по инициализации стека драйверов и извещения соответствующих агентов о подключении устройств к портам. И последующий контроль за обменом данными с устройством агенты DLP-систем могут проводить не ниже драйверов ОС. А IME может взаимодействовать с подключенными USB-устройствами напрямую через firmware USB-контроллера.

Флешки, на firmware которых нельзя повлиять в рабочем режиме, уже существуют (по крайней мере, в номенклатуре наших продуктов – это защищенные служебные носители и неперепрограммируемые флешки), но опасность со стороны периферии, до сих пор существенно недооценивается. Дело в том, что, защищая компьютер (терминал), мы на самом деле защищаем не более чем системный блок. И прилагаем немалые усилия, чтобы аутентифицировать абонента, находящегося на другом конце Земли, не обращая внимания на то, что ни клавиатура, ни «мышь», ни монитор не аутентифицируются и могут быть безболезненно подменены.

Экстраполировать на периферию логику защиты флешек (создавать системы, в которых периферия аутентифицируется относительно СВТ или средства защиты) или выбрать другой подход – выбор у разработчиков есть.

Похожая ситуация с Ethernet-каналами. Также существуют мощные средства контроля (программные межсетевые экраны), также они оказываются бесполезными в случае необходимости контроля IME. Также для качественной защиты межсетевые экраны нужно делать независимыми от основного СВТ и устанавливать их в разрыв соединения Ethernet-контроллера и локальной вычислительной сетью (ЛВС), к которой подключается СВТ. И уже внутри этих вычислителей осуществлять контроль трафика, отфильтровывая нештатные нестандартные сетевые пакеты. Да, существуют аппаратные межсетевые экраны, но по сложившейся практике применения они устанавливаются на границе периметра ЛВС и защищают сеть целиком. Но не защищают СВТ в ЛВС друг от друга и от подключенного нештатно стороннего СВТ. Чтобы эта ситуация изменилась, необходимы два условия: проблема должна быть осознана, а аппаратные межсетевые экраны должны стоить разумных денег.

Альтернативный подход к защите от угроз уровня IME – это уже многократно упомянутый резидентный компонент безопасности. Но в отличии от ситуации с традиционными исполнениями РКБ, использовать какую-либо системную шину при защите от угроз, связанных с IME, нельзя. Поэтому нужно отказываться от идеи защищать универсальные СВТ и разрабатывать специализированные материнские платы. На этих материнских платах РКБ будет правильным образом физически подключен по всем интерфейсам и будет сам контролировать USB и Ethernet-каналы. Формально это будет единая материнская плата, устанавливаемая внутрь корпуса СВТ, но фактически это будет физическое объединение двух компьютеров (РКБ и чипсета от Intel). Даже, строго говоря, трех, так как чипсет от Intel – это уже два компьютера (основной и IME).

Западный TPM в том или ином своем виде – не единственное проявление решения «растворения» защитных механизмов в архитектуре компьютера. Разработана и запатентована отечественная инновационная архитектура компьютера, получившая название Новая гарвардская архитектура (потому что она основана на Гарвардской архитектуре процессора с разделением команд и данных, в отличие от фон-Неймановской архитектуры на процессорах x86). Защитные механизмы, заложенные в эту архитектуру, имеют совершенно другую природу – это изменение работы с памятью, дающее компьютеру «вирусный иммунитет».

Подводя итог, можно выделить главную, на наш взгляд, тенденцию: развитие средств защиты информации будет идти по двум различным, но взаимодополняющим направлениям, а именно:

  • стандартные ПЭВМ все более и более будут «впитывать» в себя лучшие достижения в области аппаратной защиты, при этом дополнительно к новому уровню «стандартности» будут необходимы лишь средства идентификации/аутентификации, которые будут активными;
  • в областях, где требуется высокий уровень защищенности, будут использоваться новые специально спроектированные технические средства. Средства защиты будут все более и более приобретать черты полноценных компьютеров. Они будут содержать все стандартные для компьютеров составляющие, и при этом сохранять специализацию за счет ОС реального времени и аппаратных спецканалов.

А еще Мир внезапно изменился – и все прежние наработки в области технической защиты информации резко, более чем наполовину, потеряли свою актуальность. Корпоративные системы, конечно, остались – но появились новые, открытые компьютерные системы цифровой экономики. И они немедленно стали важнейшими – а методов защиты их нет. «Здесь и сейчас» - вот лозунг цифровой экономики. Но как понять, «где» и «когда», если на пути к этому стоят полное отсутствие методов идентификации в открытой среде – а ведь нужно знать, кому мы оказываем услугу. Как применять криптографию – если пользовательские устройства недоверенные? На какую нормативную базу опираться – если для открытых систем ее нет совсем?!

Если нельзя сделать доверенными сразу все технические средства системы – то доверенными должны стать информационные технологии. Но это уже вопрос не перспектив развития российских средств технической защиты информации, а, как говорится, совсем другая история. Очень интересная. И ее, как и историю вообще, сегодня делаем мы.

Литература:

  1. Меры защиты информации в государственных информационных системах. Методический документ. Утвержден ФСЭК России 11 февраля 2014 года [Электронный ресурс]. URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/805-metodicheskij-dokument (дата обращения: 04.12.2019).
  2. Часто задаваемые вопросы об утилите проверки Intel® Management Engine [Электронный ресурс]. URL: https://www.intel.ru/content/www/ru/ru/support/articles/000005974/software/chipset-software.html (дата обращения: 08.04.2018).
  3. Kumar A.Active Platform Management Demystified: Unleashing the Power of Intel VPro (TM) Technology, 2009, Intel Press.
  4. Горячий М., Ермолов М.Выключаем Intel ME 11, используя недокументированный режим [Электронный ресурс]. URL: https://habrahabr.ru/company/pt/blog/336242/ (дата обращения: 08.04.2018).
  5. Уязвимость Intel ME позволяет выполнять неподписанный код [электронный ресурс]. URL: https://habrahabr.ru/company/pt/blog/339292/ (дата обращения: 08.04.2018).
  6. Intel Q3’17 ME 6.x/7.x/8.x/9.x/10.x/11.x, SPS 4.0, and TXE 3.0 Security Review Cumulative Update [электронный ресурс]. URL: https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr (дата обращения: 08.04.2018).
  7. Кравец В. В.Клавиатура — устройство вывода? [электронный ресурс]. URL: https://habrahabr.ru/company/pm/blog/352868/ (дата обращения: 08.04.2018).

[1] Подробно про РКБ, например, в: Конявский В. А., Конявская С. В. Доверенные информационные технологии: от архитектуры к системам и средствам. М.: URSS. 2019. –264 с.

[2] См., например, «Меры защиты информации в государственных информационных системах» [1] и многие другие нормативные методические документы.

Авторы: Конявская С. В.

Дата публикации: 22.01.2020

Издательство: Information Security/Информационная безопасность. М., 2019. № 6. С. 23–25.


Scientia potestas est
Кнопка связи