Серебряная пуля для хакера (Окончание)

Интуитивно ясно, что такое доверенная среда. Ключевым здесь является слово «доверие». Доверие — это не абсолютная характеристика. Более или менее доверяем мы той или иной декларации — это вполне нормальная постановка вопроса. Чтобы сократить объемы разговоров и спекуляций на этом поле, регулятор выделил 6 типов нарушителя — от самого простого (например, может случайно сфотографировать экран на телефон) — Н1, до наиболее квалифицированного и снабженного всеми необходимыми средствами — Н6. Соответственно обозначено разделение средств по этой характеристике — КС1, КС2, КС3, КВ1, КВ2, КА1. Средство, сертифицированное по классу КС1 может успешно противостоять нарушителю Н1, КВ2 — нарушителю Н5. Для понимания градации следует сказать, что нарушитель Н3 — по-сути, компьютерный недоучка, который только и умеет, что скачать из Интернета программу и запустить ее.

Несмотря на всю размытость (нечеткость) такой классификации, нужно понимать, что в Интернете имеется множество хакерских программ, и уж точно много троянов, перехватчиков управления, перехватчиков паролей и других разрушающих программных воздействий. В связи с этим, есть ряд мер по защите криптографических средств от несанкционированного доступа, которые должны быть реализованы обязательно — это:

• обеспечение целостности проверенного программного обеспечения и данных;
• управление доступом пользователя к компьютеру;
• разграничение доступа к программам и данным.

Ранее этого было почти всегда достаточно, но сегодня многие операционные системы изменились, с ростом возможностей выросли и уязвимости, и для блокирования новых уязвимостей необходимо применять новые методы защиты от НСД. Например, если раньше было достаточно контролировать запуск задач (чтобы, по крайней мере, нельзя было запустить РПВ), то теперь нужно контролировать создание потоков, перехват управления и многое другое. Нужно учитывать, что программы, исполняемые в общей памяти, могут влиять одна на другую, и поэтому необходимо либо убедиться в попарном невлиянии задач, либо создать среду, которая будет предотвращать несанкционированное взаимодействие программ, изолировать их - создать изолированную программную среду.

Однако практика подсказала, что создать доверенную среду мало — ее нужно поддерживать на всем жизненном цикле. Действительно, если информационная система меняется - а она меняется, — то однажды зафиксированное состояние всегда может измениться, и не в лучшую, с точки зрения информационной безопасности, сторону. Значит, доверенную среду (среду функционирования криптографии, СФК) нужно не только создать, но и поддерживать.

Доверенная среда (СФК) поддерживается, если обеспечивается:

1. контроль запуска задач и процессов;
2. взаимное невлияние задач;
3. защита от перехвата управления;
4. защита информационных технологий как последовательности операций.

Нарушение доверенности среды возникает при ошибках реализации пунктов 1-4.

Но как же сделать так, что бы доверенность среды поддерживалась постоянно?

Заметим, что любое информационное взаимодействие можно представить как взаимодействие клиентов через сервис. Например, при ДБО клиентом является клиент банка, сервис предоставляет система «Клиент-Банк», а второй стороной взаимодействия является сам банк, может быть, в виде информационной системы «Операционный день». Если со стороны сервиса всегда можно обеспечить достаточный уровень квалификации персонала, и, соответственно, достаточный уровень информационной безопасности, то обучить всех клиентов всех сервисов приемлемому уровню знаний об информационной безопасности решительно невозможно. Пока не удается даже научить всех грамотно писать и говорить.

Оказывается, что так как приемлемый уровень квалификации со стороны клиента недостижим в принципе, то при организации защиты неквалифицированные действия обязательно создадут «дыру» в защищенности. Очевидно, что делать забор все выше и выше бессмысленно, пока в заборе остаются дыры. Бессмысленно все лучше и лучше защищать сервисы, пока «дыра» у клиента.

Что же делать?

Ответ очевиден — средства клиента должны быть ненастраиваемые (тогда он не настроит их неправильно), а все действия по управлению безопасностью должны быть переданы профессионалам. Простой вывод, но в научный оборот он вводится только сейчас.

А всегда ли клиент какого-либо доверенного сервиса должен работать в доверенной среде? Вряд ли. Это будет слишком высокая цена за удовольствие, например, получить раз в месяц госуслугу в электронном виде. Скорее, клиенту нужно часто работать в недоверенной среде, и лишь иногда организовывать доверенный сеанс связи с доверенным сервисом.

А вот система, предоставляющая сервисы должна функционировать в доверенной среде постоянно.

Таким образом, работа в доверенном режиме может осуществляться все время, а может лишь иногда, в относительно небольшие интервалы времени. В первом случае мы создаем доверенную вычислительную среду (ДВС), во втором — организовываем доверенный сеанс связи (ДСС).

ДВС создается однократно, но стоимость создания относительно велика. Действительно, однажды созданная, ДВС должна поддерживаться за счет СЗИ долго, в отдельных случаях — годы. За это время суммарное количество атак может стать огромным, и все эти атаки должны быть отражены защитными механизмами СЗИ. Конечно, такие СЗИ стоят дорого.

ДСС создается каждый раз заново, и это в ряде случаев может быть неудобно - загрузка и проверочные мероприятия продолжаются 30-50 секунд, но средства ДСС стоят гораздо дешевле, так как длительность ДСС не всегда достигает и 20 минут.

Вот в этом и состоит основная идея доверенного сеанса связи и его отличие от традиционного подхода. С этим связана и методика выбора — если вы все время должны быть в доверенной среде — создавайте и поддерживайте ДВС. Если доверенность нужна лишь иногда — достаточно (и удобнее) применять ДСС.

Из общих соображений понятно, что успех в классификации вполне может приводить к новым подходам, но может и помочь понять, почему и как те или иные решения были более или менее успешными раньше, когда классификации еще не было.

Очевидно, что нам нужно рассмотреть случаи, когда в качестве клиентского рабочего места используется ПЭВМ и тонкий клиент. Рассматриваем только варианты ДСС, так как создание ДВС с помощью АМДЗ сегодня хорошо понятно и широко распространено.

Доверенная среда. Реализация

1. ПЭВМ с постоянной поддержкой ДВС;
2. ПЭВМ с сеансовой поддержкой ДСС;
3. ТК с сеансовой поддержкой ДСС.

ПЭВМ с поддержкой ДСС означает, что на ПЭВМ должны размещаться две операционные системы, по меньшей мере одна из которых доверенная. Взаимодействовать они не должны. Значит, должны быть два носителя информации (диска), выбор которых зависит от клиента и осуществляется ДО ЗАГРУЗКИ. Много лет назад для решения этой задачи пришлось разработать специальный переключатель дисков. Такое решение до сих пор находит свое применение, уже хотя бы потому, что компьютер с двумя дисками дешевле и удобнее, чем два компьютера. И если работать с интернетом и со служебной информацией одновременно запрещено, то это очень неплохое решение.

Конечно, в этом решении трудно увидеть идеологию ДСС, но формально все именно так и выполняется. Конечно, заметили это сходство мы только сейчас.

Сложнее дело обстоит, если это не ПЭВМ, а тонкий клиент. Для этого случая нужно предложить устройство, с которого могла бы осуществляться загрузка, оно было бы отчуждаемым и не теряло бы своих свойств при атаках.

Хорошим вариантом является USB-устройство. Конечно, оно должно быть не простой памятью (то есть быть памятью с управляемым доступом, а не находиться в адресном пространстве компьютера) — если память устройства находится в адресном пространстве компьютера, то это устройство не может выполнять функции защиты.

Специализированное устройство получило название МАРШ!

Конструктивно «МАРШ!» выполнен в виде USB-устройства, и выглядит точно так же, как обычная «флешка».

Такой конструктив позволяет использовать «МАРШ!» практически со всеми компьютерами, так как почти все компьютеры имеют достаточное количество портов USB.

Тем не менее, «МАРШ!» похож на флешку только внешне. На самом деле это активное микропроцессорное устройство, со многоконтурной криптографической подсистемой, проверенной защищенной операционной системой Linux, браузером, специальной подсистемой управления к памяти и многим другим.

«МАРШ!» как аппаратный модуль доверенной загрузки

Основная задача "МАРШ!"а — создание доверенной среды функционирования криптографии. Для этого в специальном разделе памяти "МАРШ!"а размещается все необходимое для этого программное обеспечение. Важнейшей особенностью является обеспечиваемая "МАРШ!«ем возможность подписи документов в формате XML.

«МАРШ!» подготавливается к эксплуатации как загрузочное устройство. При начале доверенного сеанса связи пользователь загружается с "МАРШ!«а, обеспечивая тем самым доверенную среду. Далее стартует браузер и все сопутствующее программное обеспечение, необходимое для работы. В браузере в доверенном сеансе обеспечивается защищенный обмен информацией, с соблюдением всех требований 63-ФЗ.

Загрузка производится из защищённой от записи памяти, жёсткий диск компьютера не используется. Конфигурация загруженной операционной системы максимально ограничивает свободу пользователя: ему недоступны органы управления операционной системы, рабочая среда полностью изолирована от посторонних сетевых соединений, открытый трафик отсутствует, после завершения работы в браузере сеанс связи завершается, не давая пользователю делать лишнего.

После загрузки ОС на компьютер клиента и старта браузера устанавливается доверенный сеанс связи с сервером (VPN-шлюзом) центральной ИС, т.е. защищённое соединение на основе криптографических алгоритмов (закрытые ключи и сертификаты хранятся в защищённой памяти «МАРШ!»). Сервер ИС выполняет авторизацию пользователя на доступ к сервисам ИС и соединение с требуемым сервисом ИС.

Способ реализации ДСС за счет динамического формирования доверенной вычислительной среды инвариантен относительно используемых технологий и конфигураций средств вычислительной техники и расширяет общепринятый подход к обеспечению безопасности информации. Исчезает также «привязанность» пользователя и средств обеспечения информационной безопасности к конкретной рабочей станции.

«МАРШ!» как память с аппаратным управлением доступом

С точки зрения управления доступом «МАРШ!» представляет собой память, разделенную на несколько разделов. Как правило, это не менее одного раздела ReadOnly (RO), не менее одного раздела ReadWriteHidden (RWH), используются также разделы AddOnly (AO) и разделы с общим доступом RW. Разделение на разделы осуществляется при производстве, и пользователем изменено быть не может.

Обычно в RO разделе размещается операционная система и другое ПО, которое является неизменяемым достаточно длительное время, обновления и дополнения ФПО размещаются в в оном из разделов RWH, в другом размещается ключевая информация VPN, а раздел AO используется для ведения аппаратных журналов событий безопасности.

Аппаратные ресурсы СОДС «МАРШ!»

СОДС «МАРШ!» с точки зрения аппаратных ресурсов представляет собой управляющий микроконтроллер, память загрузки ПО микроконтроллера, двухплечевой датчик случайных чисел с физическими источниками шума и память с управляемым доступом. Специализированные микросхемы не используются, применяются только универсальные комплектующие, что дает возможность сертификации изделия на высокие классы.

На предложенной конструкции (левая часть рисунка) аппаратно выполняется управление памятью, генерация и контроль случайных последовательностей, резидентная криптография, которая используется для управления обновлениями ПО. Аппаратные ресурсы «МАРШ!» не используются для потоковой криптографии, а используются только для хранения кода и ключевой информации, что позволяет применять изделие с любыми сертифицированными СКЗИ, без изменения систем ключевого менеджмента.

На правой части рисунка показана архитектура, имитирующая «МАРШ!», но защитными свойствами не обладающая. Ниже обсудим отличия.

На рисунке затенена зона компьютера, а красной линией показано движение критичных для безопасности данных. Видно, что во втором случае критичные данные проходят через память компьютера. Это не опасно, если среда доверенная, но доверенной ее можно считать, в том числе, после успешной идентификации и аутентификации пользователя. То есть контрольные процедуры должны выполняться ДО ЗАГРУЗКИ, и это возможно для архитектуры, показанной на левой части рисунка, и невозможно для альтернативной архитектуры.

Именно эта особенность привела к необходимости использовать универсальный микроконтроллер, а не смарт-карточный кристалл, как в токене.

Резидентные программные средства СОДС «МАРШ!»

В состав резидентного ПО входит операционная система, браузер, модуль интеграции, библиотека электронной подписи, VPN, криптоядро, вспомогательные библиотеки для надежной работы с памятью, транспортной системой массторадж, файловой системой.

Операционная система — Linux

Браузер — Mozzila FireFox

Модуль интеграции — встраивается как плагин браузера и предназначается для инициирования выполнения операций с ЭП.

Библиотека ЭП — это средство, позволяющее применять ЭП не битовых строк, а документов в формате XML.

VPN — может быть любым. Есть положительный опыт работы со всеми распространенными VPN.

Криптоядро — может быть любым. Есть положительный опыт работы со всеми распространенными криптоядрами.

Интеграция СОДС «МАРШ!» в функциональные подсистемы на базе WEB-сервисов

Для интеграции с функциональной подсистемой, построенной на основе WEB-сервисов, со стороны серверной части достаточно установить физический или виртуальный сервер доверенного сеанса связи — сервер ДСС. Его задача — поддержка VPN со стороны канала (клиента) и поддержка WEB-сервиса со стороны центра. Кроме того, на стороне сервера ДСС устанавливаются средства санации, проводящие контроль корректности XSD-схем полученных файлов и удаление из них несанкционированных (исполняемых) операций. Таким образом может быть сформирован XML-файл известной структуры, который будет подписан ЭП на стороне клиента и передан в центр с соблюдением требований безопасности.

Имеющийся опыт интеграции показывает, что на этом этапе при правильно разработанной системе трудностей не возникает.

При интеграции с системой, построенной не на WEB-сервисной технологии, система может быть дополнена типовым Агентом Интеграции (АИ), выпускаемым серийно. В этом случае интеграция заключается в описании и настройках сервисов на АИ.

В общем случае, структура сервера ДСС показана на рисунке.

В состав сервера ДСС могут входить санзона (СЗ), криптошлюз (КШ), подсистема идентификации/аутентификации (ИА), сервер управления (СУ), сервер обновлений (СО).

Особое значение может иметь применение «МАРШ!» в дистанционном банковском обслуживании — ДБО. При этом схема применения будет такой, как показано ниже.

В соответствии с этой схемой взаимодействие клиента с банком осуществляется через сетевые подключения компьютера. Это совершенно нормально для компаний, но у обычного пользователя может вызвать трудности в настройках, так как на территории страны услуги представляют сотни различных провайдеров, зачастую с проприетарными механизмами.

Пользователю, не владеющему навыками работы с сетевыми подключениями, лучше предоставить ненастраиваемое устройство, избавив его от множества проблем. В этом случае взаимодействие может осуществляться не через компьютер, а непосредственно через «МАРШ!», как показано на следующем рисунке.

В этом случае обеспечивается и простота эксплуатации и высокий уровень защищенности. Достигается такой режим путем встраивания в «МАРШ!» беспроводного модема. Настройка на провайдера обеспечивается только SIM-картой.

Описанное решение ("МАРШ!«+Модем, М!&М) имеет специализированную архитектуру.

Такой подход позволяет использовать устройство как идентификатор, как носитель неизвлекаемых ключей, как модем, и как устройство обеспечения доверенного сеанса связи.

МАРШ!-МКT

И теперь становится очевидным очередной, и, видимо, завершающий шаг в анализе возможных реализаций методологии ДСС. Обратите внимание — сначала мы обеспечили отчуждение операционной системы в доверенную среду, оставив компьютеру исполнение ОС и задач в ней, коммуникации и отображение информации («МАРШ!»). Доверенность среды обеспечивается здесь свойствами специального носителя. На следующем шаге мы перенесли в доверенную среду и коммуникации («М!&М»), интегрировав в специальный носитель модем. Компьютеру остались исполнение задач и отображение результатов. Очередной шаг может быть только один — перенос в специальный носитель и исполнения задач, оставив среде только функции пассивного отображения информации. То есть наш носитель должен сам стать компьютером, причем таким, который по пользовательским характеристикам удовлетворяет требованиям потребителя.

А потребители хотят недорого получать доступ:

• к аудио и видео контенту с современным уровнем качества (потоковое видео и видеофайлы с качеством FullHD, Skype, YouTube, сервисы интернет-кинотеатров и т.д.)
• к играм (в том числе он-лайн, и тоже с высоким качеством видео)
• к интернет-торговле с обеспечением должного уровня информационной безопасности
• к безопасному управлению банковским счетом
• к видео конференциям в различных вариантах (телемедицинские консультации, дистанционное образование)
• к обработке персональных данных
• к защищенным информационным системам
• к госуслугам в электронном виде

Клиентский компьютер

Цена традиционного х86-компьютера, который обеспечит выполнение всех этих пожеланий, — не менее 1000$. Дополним теперь его необходимыми средствами защиты:

• аппаратный модуль доверенной загрузки (например, Аккорд-АМДЗ);
• средства разграничения доступа (например, Аккорд-Win32);
• средства электронной подписи;
• средства потоковой криптографической защиты.

В сумме это еще около 500$. Вместе с ценой компьютера это будет уже около 1500$. Весьма немало. Трудно придумать мотивацию потратить такие деньги для семьи с небольшими доходами.

Но есть и другой вариант.

Это новый защищенный микрокомпьютер МАРШ!-МКT.

Микрокомпьютер разработан на базе 4-х ядерного Cortex-A9 процессора, причем в его состав включен мощный видеоускоритель, позволяющий воспроизводить файлы Full HD. Ниже приведены его технические характеристики.

CPU: на базе 1,6 ГГц Cortex A9

GPU: Mali400, 2D/ 3D OpenGL ES2.0/ OpenVG1.1.

Декодирование видео: Поддержка 1920×1080p@60fps

Кодирование видео: Поддержка записи в формат H.264. 1080p@60fps, 720@100fps

Операционная система: ядро Android 4.1.1, модернизирована для обеспечения функций безопасности

ОЗУ: 2GB DRR3

Встроенная память: 8GB, доступ «только чтение» (ReadOnly, RO)

Поддержка микро карт памяти до 32 ГБ

WiFi 802.11b/g/n

Bluetooth 2.1

Интерфейс HDMI: Поддержка 1920×1080P @60 Гц, HD-Видео

Порты:

1 x Micro USB 2.0 DC

1 x Micro USB OTG 1 x USB 2.0

1 x Слот для Карт TF

1 x HDMI порт

Программное обеспечение:

Мульти медиа форматы:

Аудио: MP3/WAV/AMR/AAC;

Видео:3GP,MPEG4,AVI,RMVB,MKV,FLV и т.д.

Поддержка Flash 11.x / HTML5 видео он-лайн

Игры: Встроенный 3D-Ускоритель. Поддержка 3D игр

Электронная почта: Gmail, POP3/SMTP/IMAP4

Размеры: 110×32×10 мм

Вес — 33 г

Защищенным его делает реализация технологии доверенного сеанса связи и, конечно, переработанные и проверенные операционная система и функциональное программное обеспечение.

Микрокомпьютер, как и другие версии средства доверенной загрузки «МАРШ!», имеет габариты большой флешки, в данном случае подключается по интерфейсу HDMI или DVI к телевизору или монитору, и обеспечивает своему владельцу доступ к Интернет, электронную почту, Skype, YouTube и все другие «блага цивилизации», включая высококачественное «проигрывание» видеофайлов.

Операционная система поддерживается компанией «Малогабаритные защищенные компьютерные системы» (МЗКС), и выполнена на основе ОС «Андроид».

Доступны приложения из Google Play Store. Офисные, медиа, интернет приложения и многие другие. Можно использовать для чтения документов, почты, отправки писем и документов, составления документов, общения с коллегами и друзьями. и многое другое.

Поддерживает Full HD форматы. Обеспечивается он-лайн потоковое видео из YouTube, Rutube и др., он-лайн фильмы, программы, сериалы и др. с сервисов бесплатных и платных кинотеатров iviRU, MegogoNET и др.

Подключается к ТВ или проектору через порт HDMI, к монитору — через DVI, питание от USB порта телевизора или монитора, либо внешнего блока питания (5V-2A). Подключение к интернет осуществляется по беспроводному WiFi.

Поддерживает управление проводными (USB) и беспроводными (2.4 Ghz, bluetooth) мышками, клавиатурами и пультами.

Поддерживается работа с защищенными ключевыми носителями по протоколу CCID.

Такого микрокомпьютера в защищенном исполнении вполне достаточно для всего, что нужно в обычной жизни, включая безопасное управление банковским счетом, получение государственных услуг в электронном виде, проверку успеваемости детей на портале школы и всего, о чем раньше все только говорили, но не могли «дать пощупать». С учетом того, что цена такого компьютера 10-15 раз ниже традиционного компьютера на базе x86, то понятно, что это и есть современное решение для безопасного информационного взаимодействия.

Почему же МАРШ! — это «серебряная пуля» для хакера?

Автор: Конявский В. А.

Дата публикации: 01.01.2013

Библиографическая ссылка: Конявский В. А. Серебряная пуля для хакера (Окончание) // Защита информации. Inside. СПб., 2013. № 5. С. 69–73.

---