Можно ли защититься от слежки и кражи данных при использовании информационных технологий? Ренат Юсупов Москва, 2013

2 Оглавление Низкоуровневые методы взлома. Примеры. Популярные методы защиты от вредоносного кода. Анализ проблем. Реализация новых механизмов защиты. Примеры.

3 Логическая схема цикла использования ПК Независимые драйверы Контроль стартовых процедур, ELAM Контроль стартовых процедур, ELAM зона работы типичных СЗИ (антивирусы, файрволы, …) UEFI VM OS

4 Недостатки шифрования дисков на примере McAfee Endpoint Protrction Protective MBR, GPT Headers и Partition Tables не могут быть зашифрованы: Данные из этих областей необходимы до расшифровки диска Диск не может быть распознан как GPT EFI System Partition не может быть зашифрована: Содержит некоторые драйверы и запускаемые файлы UEFI Незашифрованные локальные конфигурационные файлы и копии важных областей.

5 Пример проникновения вредоносного кода для кражи пароля шифрования Оригинальный вариант загрузки Простой вариант инсталляции кейлоггера на систему с зашифрованным диском Что произойдёт после перезагрузки

6 Trusted Platform Module. Защита или канал утечки?

7 Режим SECURE BOOT. Кто удостоверяет? Загружаются только подписанные модули Режим UEFI с запуском ТОЛЬКО подписанного загрузчика OS

8 Режим measurement boot. Технология ELAM от Microsoft

9 Метод защиты за пределами ОС. Скрытая VM?

Технология защиты Intel Protective Technology 10

Т ЕХНОЛОГИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ K RAFTWAY KSS – оболочка безопасности Kraftway Secure Shell СЗИ – средства защиты информации UEFI Pre boot, VM OS Между включением компьютера и запуском СЗИ существует окно, когда никто не контролирует загружаемые драйверы и приложения. ВНИМАНИЕ РЕАЛЬНАЯ УГРОЗА Запуск устройства в режиме превентивной защиты цикла использования KSS СЗИ UEFI Pre boot, VM СЗИ OS Запуск устройства в режиме превентивной защиты UEFI + Pre boot KSS СЗИ UEFI Pre boot, VM СЗИ OS СЗИ

12 Оболочка безопасности Kraftway Security Shell KSS - интегрированная в UEFI среда гарантированного и защищенного исполнения модулей безопасности до загрузки операционной системы. Executable And Data Internal FS Services Drivers, Data Files Module Manager Main BIOS Module Manager Driver Открытое API для интеграции модулей других производителей. Модули безопасности реализованы в виде Plug-In. Легко расширяется, легко портируется. Все данные и модели хранятся в защищенной встроенной файловой системе.

13 KSS. Встраиваемые решения «Антивирус Kaspersky на уровне UEFI»: программный модуль компании «Kaspersky Lab»; «Встраиваемый модуль безопасности TSM (Trusted Security Module)» : программный комплекс идентификации и аутентификации компании «Аладдин Р.Д.»; «Secure microSD»: программно-аппаратный модуль компании «Алладин Р.Д.»; «Рутокен ЭЦП TPM»: программно-аппаратный модуль компании «Актив»; «АПМДЗ-И/МП»: программно-аппаратный модуль доверенной загрузки компании «Анкад»; «Комплект доверенного сеанса»: модуль защиты программно-аппаратного комплекса компании S-Terra CSP.

14 Централизованное управление KSS. Сервер Безопасности Позволяет удаленно администрировать и осуществлять мониторинг работы модулей безопасности Kraftway Secure Shell (KSS) Обновление баз данных встроенного антивируса касперского. Осуществляет запросы к серверу сертификатов (Certificate Server) и серверу каталогов на предмет проверки прав пользователя для входа пользователя (на уровне BIOS, до загрузки ОС). Осуществляет контроль за правами доступа и разделение функции администратора безопасности и системного администратора. Контролирует состав аппаратных средств ПК с целью обнаружения несанкционированного изменения комплектующих клиентских устройств. Позволяет производить удаленную настройку BIOS клиентских устройств. Позволяет удаленно восстанавливать образы ОС на встроенных носителях клиентов.

15 Вирусы. Угрозы на этапе загрузки ОС Между включением компьютера и запуском антивирусной программы существует окно, когда никто не контролирует загружаемый драйверы и приложения. Boot-kit и root-kit приложения активно используют его для заражения системы. ВНИМАНИЕ РЕАЛЬНАЯ УГРОЗА

16 Антивирус Kaspersky для UEFI: защита до загрузки ОС Запуск предварительной антивирусной проверки в момент загрузки позволяет проверить все файлы, которые будут использоваться в процессе загрузки ОС и обеспечить защиту от функционирования вредоносного кода.

Спасибо за внимание!