Светлана Конявская, 15/01/20
Заместитель генерального директора ЗАО “ОКБ САПР", к.ф.н.
1. Развитие операционных систем можно описать через дихотомию "универсальная – специализированная". Очевидна тенденция: универсальные ОС (а несмотря на свои различия, прежде всего в доступности кода, и ОС Windows, и ОС Linux позиционируются как универсальные) со временем специализировались для автоматизации информационных операций и теперь могут применяться преимущественно в быту и офисе, как правило, в качестве пишущей машинки и терминала доступа к сети. При этом практически полностью утрачена возможность применения их, например, при необходимости обеспечения работы в реальном масштабе времени.
Специализация для информационных операций заставляет ОС "впитывать" в себя все больше и больше несвойственных ей ранее функций, упрощающих прикладное ПО, но сильно перегружающих и ОС в целом, и даже ядро ОС. ОС становится "тяжелой", перестает быть только операционной системой, включая в себя практически все, что необходимо для автоматизации информационных операций.
Широкое распространение компьютеров с "тяжелыми" ОС делает привлекательным их использование в других сферах, например при проектировании (домов, микросхем, радиоэлектронной аппаратуры). Сложные вычислительные операции медленно и неохотно выполняются в таких системах, и это заставляет наращивать ресурсы компьютера: наращивать оперативную память, усложнять и расширять систему команд процессора, увеличивать тактовую частоту. Новые аппаратные ресурсы позволяют все больше и больше усложнять ОС, и далее по кругу.
Сложность уменьшает надежность, ОС становятся практически неконтролируемыми, доверие к ним падает. Сложность операционной системы становится новой, рукотворной угрозой безопасности.
2. Новую ПЭВМ покупают либо тогда, когда старая окончательно сломалась, либо когда начинает сказываться нехватка ресурсов: новые программы работают слишком медленно или не работают вообще. Значит, рынок обязательно будет организовываться так, чтобы ресурсов ПЭВМ всегда было "в обрез", иначе перестанут покупать либо новые программы, либо новые компьютеры. В условиях ограниченных ресурсов использовать значительную их часть для обеспечения функций безопасности означает просто вызвать раздражение пользователей замедлением работы системы и конфликтами ПО.
Следствия
Напрашиваются два возможных решения – изоляция ресурсов, затрачиваемых на обеспечение безопасности, от основных вычислительных ресурсов или создание систем, в которых не требуется установка дополнительных средств защиты.
Резидентный компонент безопасности – это встроенный в технические средства вычислительной системы объект, способный контролировать целостность технических средств (здесь под техническими понимаются и программные, и аппаратные средства).
Ключевые характеристики РКБ:
- это устройство памяти с очень высоким уровнем защищенности (его внутреннее программное обеспечение должно быть немодифицируемым);
- примитивное (иначе обеспечение его собственной защищенности эквивалентно задаче защиты компьютера, который он защищает);
- встроенное в контролируемую систему и стартующее до старта основной ОС (иначе его функционирование будет бессмысленным);
- не зависимое от контролируемой системы (функционирующее автономно);
- перестраиваемое (то есть предполагающее функционирование в режиме настроек и в пользовательском режиме – режиме контроля).
В первом случае, как бы ни расходовались выделенные на безопасность ресурсы, никакого влияния на работу функциональной системы оказываться не будет. Так делаются аппаратные модули безопасности – HSM (Hardware Security Module). Как правило, это отдельный компьютер, начиненный различным программным обеспечением, выполняющим функции, связанные с безопасностью. Обычно это межсетевой экран, криптомаршрутизатор, сервер ЭЦП и др. С функциональной компьютерной системой HSM интегрируется через сетевые интерфейсы, в связи с чем значительно упрощается аттестация системы.
В использовании HSM, однако, есть и проблемы. Прежде всего это их ненадежность. Дело в том, что они зачастую разрабатываются на базе обычных ПЭВМ, которые, как известно, надежностью не отличаются. И если установить такое изделие, например, для обеспечения связи, то выходить из строя оно будет значительно чаще, чем связная аппаратура, которая делается по гораздо более высоким требованиям. Кроме того, HSM в их традиционном виде свойственны вообще все проблемы обычных ПЭВМ с "универсальной" ОС, в том числе ненадежная архитектура, аппаратурная избыточность и неконтролируемый софт.
Альтернатива – реализация как можно более полного комплекта защитных функций на базе резидентного компонента безопасности – РКБ. В отличие от HSM, РКБ не объединяется с системой по внешним интерфейсам, а включается в состав системы (является резидентным) и становится неотъемлемой ее частью. Об этой идеологии мы уже не раз рассказывали, она была впервые реализована в отечественной системе защиты от НСД "Аккорд" и в силу своих характеристик быстро заняла лидирующие позиции. Сейчас такие средства существуют для всех типов ПЭВМ и, видимо, в ближайшем будущем их линейка будет развиваться параллельно развитию СВТ, несмотря на то, что они (и аналогичные СЗИ НСД с другими названиями и от других разработчиков) дороги, сложны в настройке и усложняют закупочные процедуры.
Кроме СДЗ, на платформе РКБ можно реализовывать (и уже есть примеры) и другие защитные функции.
Идеология РКБ воспринята многими мировыми производителями систем безопасности и даже была стандартизована на Западе как специализированный модуль для доверенных вычислений – TPM (Trusted Platform Module). Представляется, что в дальнейшем системы на базе идеологии РКБ – TPM будут развиваться особенно эффективно, воплощая второй путь решения конфликта на почве ресурсов.
Этот путь – создание средств вычислительной техники, которые изначально, без встраивания дополнительных СЗИ, будут осуществлять контрольные функции. Такой подход является естественным развитием идеи РКБ – TPM для универсальных ПЭВМ с фон-Неймановской архитектурой: внедрение защитных механизмов все глубже и глубже в состав аппаратных средств, вплоть до реализации блока защиты в составе процессора. О такой технологии впервые заговорили в 2002 г., тогда она получила название La Grande. Но она не получила развития и на сегодняшний день уже совершенно забыта, однако другие аналогичные встроенные средства, построенные на тех же самых принципах, распространены уже достаточно широко, и все они являются зарубежными. Они могут быть нацелены на обеспечение целостности и защиту от вредоносного воздействия на микропрограмму СВТ, в частности BIOS: Intell Boot Guard, AMD Hardware Validated Boot, White List. Задача других средств защиты – обеспечить целостность и аутентичность загружаемой операционной системы: Secure Boot, TPM, PCI White List.
Но здесь есть подводные камни. Дело в том, что принятие решения в большинстве этих систем осуществляется на основе проверки ЭП. Если ЭП программы верна, то она будет выполняться. Таким образом, например, легко осуществлять контроль легальности программного обеспечения: пиратские копии просто не станут исполняться. Однако заметим, что если внутри контрольного модуля по ошибке или по злому умыслу окажется неправильный ключ проверки подписи, то не будут выполняться и легальные программы. При использовании такой уязвимости одномоментно будут остановлены все компьютеры с процессором, поддерживающим на аппаратном уровне эту технологию. Просто какая-то антиутопия!
Еще одна проблема, связанная с такими механизмами, заключается в том, что (и это одна из их штатных задач) они не позволяют встроить в это же СВТ другие средства защиты. Разумеется, специалистами разрабатываются методики разной степени легальности для обхода этих ограничений (заметим, что использовать эти методики смогут, конечно, не только те, кто хотят встроить в СВТ дополнительные средства защиты).
Неудивительно, что отечественными регуляторами установлены преграды применению таких решений в государственных информационных системах: в них средства защиты, не сертифицированные в российских системах сертификации, использоваться не должны2. Не "должны дополняться сертифицированными", а не должны использоваться совсем. И точка. А коль скоро их нельзя легально устранить из СВТ, не должны использоваться и СВТ, в которые они встроены на этапе производства.
Intel Management Engine
Особняком в ряду встроенных средств стоит подсистема Intel Management Engine, которая в прессрелизах Intel объявляется не предназначенной именно для защиты. Казалось бы, упомянутый выше запрет на оснащенные ею компьютеры формально не распространяется. Действительно, приобретать компьютеры с IME можно, однако довольно показательно, что их нельзя просто так ввозить в страну. Ввоз таких компьютеров оформляется с учетом разрешительных процедур, которые сопровождают ввоз зарубежной криптографии. Приобретение уже ввезенных и легализованных компьютеров – законно, но позиция государства выражена вполне прозрачно и возможность применения таких компьютеров в государственных ИС неочевидна.
Все РКБ взаимодействуют со специализированным доверенным модулем TPM, который и принимает решение, продолжить процесс или прервать его.
IME имеет не контролируемый ни аппаратными, ни программными средствами доступ к оперативной памяти компьютера, встроенному сетевому адаптеру, контроллерам PCI, PCIe, USB и прочей периферии4. На данный момент полностью исходный код IME недоступен для независимых исследований и анализа. Энтузиастами предпринимаются попытки дизассемблирования кода IME и последующего анализа, которые даже приводят к нахождению недокументированных возможностей5, ошибок и уязвимостей6. И компания Intel признает эти уязвимости и даже выпускает обновления, их устраняющие7.
То есть компьютер с IME – это компьютер, внутри которого есть еще один компьютер с неизвестным функционалом, имеющий неограниченный доступ к ресурсам основного компьютера. Это грозит:
- получением несанкционированного удаленного управления;
- несанкционированной передачей конфиденциальных данных из системы.
Основные каналы для реализации обеих угроз в современных компьютерах на базе чипсетов Intel – Ethernet и USB. Подключаемые к USB-портам устройства (флешки, клавиатуры, мыши, токены, сканеры, принтеры, плоттеры, телефоны, фотоаппараты, жесткие диски) могут быть как каналом несанкционированного управления, так и приемником для несанкционированной передачи данных. Причем выполнять эти действия они могут в теневом режиме, незаметно для пользователя, параллельно с основным функционалом8.
На первый взгляд (учитывая многочисленные публикации о разнообразных DLP-системах), вопрос защиты от несанкционированного использования USB-устройств давно решен и его можно считать закрытым. Но не в случае с IME. Нужно помнить, что IME имеет прямой доступ к периферии, минуя приложения и драйверы ОС. Программные агенты этих самых DLP-систем, функционирующие в ОС, могут определять наличие подключенных к портам устройств с некоторой задержкой, необходимой ОС для проведения работ по инициализации стека драйверов и извещения соответствующих агентов о подключении устройств к портам. И последующий контроль за обменом данными с устройством агенты DLP-систем могут проводить не ниже драйверов ОС. А IME может взаимодействовать с подключенными USB-устройствами напрямую через Firmware USB-контроллера.
Флешки, на Firmware которых нельзя повлиять в рабочем режиме, уже существуют (по крайней мере, в номенклатуре наших продуктов это защищенные служебные носители и неперепрограммируемые флешки), но опасность со стороны периферии до сих пор существенно недооценивается. Дело в том, что, защищая компьютер (терминал), мы на самом деле защищаем не более чем системный блок, и прилагаем немалые усилия, чтобы аутентифицировать абонента, находящегося на другом конце Земли, не обращая внимания на то, что ни клавиатура, ни мышь, ни монитор не аутентифицируются и могут быть безболезненно подменены.
Экстраполировать на периферию логику защиты флешек (создавать системы, в которых периферия аутентифицируется относительно СВТ или средства защиты) или выбрать другой подход – выбор у разработчиков есть.
Похожая ситуация с Ethernet-каналами. Так же существуют мощные средства контроля (программные межсетевые экраны), так же они оказываются бесполезными в случае необходимости контроля IME. Так же для качественной защиты межсетевые экраны нужно делать не зависимыми от основного СВТ и устанавливать их в разрыв соединения Ethernet-контроллера и локальной вычислительной сети (ЛВС), к которой подключается СВТ, и уже внутри этих вычислителей осуществлять контроль трафика, отфильтровывая нештатные нестандартные сетевые пакеты. Да, существуют аппаратные межсетевые экраны, но по сложившейся практике применения они устанавливаются на границе периметра ЛВС и защищают сеть целиком, но не защищают СВТ в ЛВС друг от друга и от подключенного нештатно стороннего СВТ. Чтобы эта ситуация изменилась, необходимы два условия: проблема должна быть осознана, а аппаратные межсетевые экраны – стоить разумных денег.
Защитные механизмы в архитектуре компьютера
Если нельзя сделать доверенными сразу все технические средства системы, то доверенными должны стать информационные технологии. Но это уже вопрос не перспектив развития российских средств технической защиты информации, а, как говорится, совсем другая история. Очень интересная. И ее, как и историю вообще, сегодня делаем мы.
Альтернативный подход к защите от угроз уровня IME – это уже многократно упомянутый резидентный компонент безопасности. Но, в отличие от ситуации с традиционными исполнениями РКБ, использовать какую-либо системную шину при защите от угроз, связанных с IME, нельзя. Поэтому нужно отказываться от идеи защищать универсальные СВТ и разрабатывать специализированные материнские платы. На этих материнских платах РКБ будет правильным образом физически подключен по всем интерфейсам и будет сам контролировать USB и Ethernet-каналы. Формально это будет единая материнская плата, устанавливаемая внутрь корпуса СВТ, но фактически – физическое объединение двух компьютеров (РКБ и чипсета от Intel). Даже, строго говоря, трех, так как чипсет от Intel – это уже два компьютера (основной и IME).
Западный TPM в том или ином своем виде – не единственное проявление решения "растворения" защитных механизмов в архитектуре компьютера. Разработана и запатентована отечественная инновационная архитектура компьютера, получившая название Новая гарвардская архитектура (потому что она основана на Гарвардской архитектуре процессора с разделением команд и данных, в отличие от фон-Неймановской архитектуры на процессорах x86). Заложенные в нее защитные механизмы имеют совершенно другую природу, это изменение работы с памятью, дающее компьютеру "вирусный иммунитет".
Подводя итог, можно выделить главную, на наш взгляд, тенденцию: развитие средств защиты информации будет идти по двум различным, но взаимодополняющим направлениям, а именно:
1. Стандартные ПЭВМ продолжат все больше и больше "впитывать" в себя лучшие достижения из области аппаратной защиты. При этом дополнительно к новому уровню "стандартности" понадобятся лишь средства идентификации/аутентификации, которые будут активными.
2. В областях, где требуется высокий уровень защищенности, будут использоваться новые, специально спроектированные технические решения. Средства защиты начнут все больше приобретать черты полноценных компьютеров. Они станут содержать все стандартные для компьютеров составляющие и при этом сохранять специализацию за счет ОС реального времени и аппаратных спецканалов.
1 Подробно про РКБ, например, в: Конявский В. А., Конявская С. В. Доверенные информационные технологии: от архитектуры к системам и средствам. М.: URSS. – 2019. – 264 с.
2 См., например, методический документ “Меры защиты информации в государственных информационных системах" (утвержден ФСЭК России 11 февраля 2014 г., https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/805-metodicheskij-dokument) и многие другие нормативные методические документы.
3 Часто задаваемые вопросы об утилите проверки Intel® Management Engine. https://www.intel.ru/content/www/ru/ru/support/articles/000005974/software/chipset-software.html.
5 Горячий М., Ермолов М. Выключаем Intel ME 11, используя недокументированный режим. https://habrahabr.ru/company/pt/blog/336242/.
8 Кравец В. В. Клавиатура – устройство вывода? https://habrahabr.ru/company/pm/blog/352868/.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2019
