НОВЫЕ УГРОЗЫ И НОВЫЕ МЕТОДЫ ПРОТИВОДЕЙСТВИЯ информационная безопасность автоматизированных систем

2 Оценка уровня угроз По данным McAfee

3 Стелс-технологии во вредоносном ПО Stuxnet – компьютерный червь; Zeus/SpyEye – средства разработки руткитов; TDSS – семейство руткитов; MBR руткит - буткиты; Bioskit.1 – средство разработки биоскит; Rakshasa – PXE эксплойт; DUKU, FLAME, GAUSS – мультивирус.

4 Функциональная стратегия безопасных платформ Комплексная модель безопасности

5 Давление на BIOS Индустриальные требования (UEFI 2.3.1, Secure boot) Требования по проектированию (NIST SP ) Требования к функциональности продукта Требования по безопасности (сертификация, Заказчики) Атаки (Чернобыль, Bioskit.1) Уязвимости (обход СЗИ, загрузка PXE, очистка NVRAM) Функциональные ограничения (объём, скорость, однозадачность)

6 ОБЗОР ВОЗМОЖНОСТИ АТАКИ ЧЕРЕЗ АППАРАТНЫЕ КОМПОНЕНТЫ ТИПИЧНОГО КОМПЬЮТЕРА НЕПРОВЕРЕННЫЙ BIOS КАК УГРОЗА

7 Предыдущая схема старта BIOS зона высокого риска зона работы типичных антивирусных программ зона работы BIOS и загрузчика OS

8 Актуальная модель угроз для компрометации BIOS

9 Компрометация BIOS. Реальные возможности. Запуск вредоносных SMI обработчиков для обхода модулей доверенной загрузки и др. средств защиты. Модификация драйверов BIOS для создания скрытых областей памяти и размещения в них вредоносного ПО. Запуск в закрытых областях памяти вредоносных OPROM сетевых контроллеров для предоставления удаленного доступа к данным и дистанционного управления. Модификация загрузочных областей устройств, смена последовательности загрузочных устройств, создание скрытых областей на носителях. Запуск скрытых виртуальных машин, фильтрация внутреннего и внешнего трафика. Сбор паролей, теста и комбинаций нажатий клавиш. Предоставление злоумышленнику на носитель или удаленно. ВНИМАНИЕ РЕАЛЬНАЯ УГРОЗА Низкоуровневый доступ через сервисный процессор (BMC) и Management Engine для контроля и управления аппаратным обеспечением, вплоть до загрузки системы с удаленного носителя. Вывод из строя оборудования по удаленной команде.

10 ДЕМОНСТРАЦИЯ АКТУАЛЬНОСТИ ЗАЩИТЫ. НАСКОЛЬКО АКТУАЛЬНА УГРОЗА?

11 UEFI – не панацея от безопасности!!!! ! ! ! ! Нет доступа к исходному коду ! Исполняемый код принадлежит зарубежным коммерческим компаниям. Мы им просто доверяем!

12 Модели взлома UEFI 2007 Blackhat взлом UEFI через стандартизованный интерфейс SMM; Заражение UEFI через вредоносный код OPROM Defcon Network Nightmire – PXEsploit; Stoned Bootkit 2012 Syscan DE MYSTERIIS DOM JOBSIVS (EFI Threats to Mac OS X) 2012 Fujitsu Future Conference Взлом сертифицированного СЗИ на модели недоверенного BIOS

13 Старт системы с типичным модулем ДЗ Имея наивысший приоритет среди загрузочных устройств аппаратный модуль доверенной загрузки производит старт встроенной в контроллер ОС до запуска основной ОС.

14 Новые угрозы. Системы с модифицированным BIOS Размещая «закладку» в BIOS материнской платы злоумышленник в любой момент может получить доступ к данным минуя защиту аппаратного модуля доверенной загрузки. Ключ активации может иметь любое исполнение (мышь, токен, накопитель, клавиатура и т.д.). После завершения действий злоумышленника система возвращается в исходное состояние, что не создаёт прецедентов для обращения в службу безопасности. censored confidential

15 МЕТОДЫ ЗАЩИТЫ АРМ ОТ ИСПОЛЬЗОВАНИЯ МОДИФИЦИРОВАННЫХ КОДОВ BIOS МЕТОДЫ ЗАЩИТЫ

16 Режим SECURE BOOT Загружаются только подписанные модули Режим UEFI с запуском ТОЛЬКО подписанного загрузчика OS

17 Методы защиты BIOS Создание доверенной платформы, функционирующей в режиме превентивной защиты от вредоносного кода. Использование систем с проверенной версией BIOS без возможности нелегитимной замены модулей UEFI. Контроль функционирования модулей UEFI. Интеграция в BIOS дополнительных средств защиты: модули доверенной загрузки, гипервизоры уровня BIOS, межсетевые экраны, крипто провайдеры, антивирусы уровня BIOS, сетевая авторизация через сервер безопасности single sign-ON; Использование доверенных систем дистанционного мониторинга и управления (в т.ч. пользователями) на уровне UEFI BIOS.

18 КОНТРОЛЬ ЦЕЛОСТНОСТИ и НЕИЗМЕННОСТИ Материнские платы Kraftway KWххх Для обеспечения требований по информационной защите мы разработали и производим продукцию на собственных материнских платах оснащенных уникальными опциями. Имеет полностью русифицированный BIOS, обладает развитыми возможностями управления и самодиагностики ЗАЩИТА ОТ ПОДМЕНЫ BIOS НЕ ИМЕЕТ АНАЛОГОВ Производство осуществляется на сертифицированной площадке на территории России, что гарантирует отсутствие не декларированных возможностей, закладок и гипервизоров уровня BIOS.

19 Особенности BIOS Kraftway Интеграция в UEFI BIOS оболочки безопасности обеспечивающей: Невозможность несанкционированного доступа и модификации неразрушающими методами: кода модулей безопасности журнала событий безопасности конфигурационных файлов Исключение области содержащей модули безопасности из общего адресного пространства (после загрузки ос нет доступа) Запуск СЗИ НСД до запуска функции поиска загрузочного устройства Контроль состава оборудования (аппаратная целостность) Контроль программной среды Интегрированный сторожевой таймер Запуск и защита в среде UEFI средств защиты других производителей

Технология обеспечения безопасности BIOS Kraftway BIOS/UEFI Код любого загрузчика Запуск ОС Только проверенный загрузчик Запуск ОС Запуск устройства в Legacy режиме Запуск устройства в режиме превентивной защиты Windows Secure Boot KSS – оболочка безопасности Kraftway Secure Shell СЗИ – средства защиты информации Благодаря запуску оболочки KSS уровень безопасности системы не понижается даже при использовании средств безопасности, не имеющих сертификата производителя firmware KSS СЗИ UEFI 2.1.3

21 НЕ ИЗВЛЕКАЕМЫЙ МДЗ (Aladdin TSM) Благодаря тесной интеграции МДЗ с BIOS материнской платы обеспечивается максимальная безопасность и совместимость со всеми используемыми аппаратными средствами Обратная передача управления BIOS для дальнейшей загрузки компьютера осуществляется только после двух фактурной аутентификации пользователя. Прерывание срабатывает до активации начального загрузчика (INT 19H)

22 TSM. СЕРТИФИКАЦИЯ ФСТЭК РОССИИ (от 30 декабря 2011г.) «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) по 3 уровню контроля. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (Гостехкомиссия России, 1992)» до 1Г включительно. «Положение о методах и способах защиты информации в информационных системах персональных данных (Утв. приказом ФСТЭК России от 5 февраля 2010 г. 58) до 1 класса включительно.

23 КРАТКИЙ ОБЗОР ПРОФИЛЬНОЙ ПРОДУКЦИИ. ОПТИМИЗИРОВАННАЯ ПРОДУКЦИЯ

24 Серия защищённых материнских плат Kraftway Характеристика KWG43 (Intel G43) KWN10 / KWN10D (Intel NM10) Тип BIOSPhoenix - Award Русская локализация Защита от перезаписи Сторожевой таймер Контроль BIOS и состава аппаратуры Блокировка Intel Management Engine -- Встроенный МДЗ Trusted Security Module (v. 1.0/2.0) Дистанционное управление МДЗ --

25 Серия защищённых материнских плат Kraftway Характеристика KWQ67 (Intel Q67) KWH77 (Intel H77) Тип BIOSUEFI - InsideUEFI – AMI Kraftway Русская локализация Защита от перезаписи Сторожевой таймер Контроль BIOS и состава аппаратуры Блокировка Intel Management Engine Встроенный МДЗ Kraftway Secure Shell / АПМДЗ «Витязь» 1.0 Дистанционное управление МДЗKraftway System Manager

Представляет собой полноценную рабочую станцию в миниатюрном исполнении. Может также исполнять роль тонкого клиента, выполняя функции ввода информации и отображения рабочего стола. Пассивное охлаждение в защищенном металлическом корпусе при очень низком энергопотреблении было доведено до совершенства в собственном дизайнерском центре специалистами Kraftway. Тем не менее, модель VV20 выполнена на высокопроизводительном процессоре со встроенной графикой, что позволяет ей без труда исполнять роль универсального клиента. Доступность дополнительных внешних носителей определяется административными настройками BIOS. Kraftway Credo VV18, VV20, VV ФЗ СООТВЕСТВУЕТ Характеристиказначение ПроцессорIntel Atom N450/N2600 (1.66/1.8ГГц, 1 или 2 ядра, 512/1024кБ кэш-память) Оперативная памятьдо 2/4 ГБ Сетевой адаптер1/2 интегрированный 10/100/1000 Мбит/с ВидеоадаптерИнтегрированная в процессор графическая подсистема Intel с поддержкой 3D, 2D и DX9/DX10 Жесткий диск:твердотельный Гарантия3 года КорпусСпециальный, металлический, с креплением на обратную сторону монитора, в черной цветовой гамме