НОВЫЕ УГРОЗЫ И НОВЫЕ МЕТОДЫ ПРОТИВОДЕЙСТВИЯ...
-
Upload
ainsley-barton -
Category
Documents
-
view
61 -
download
5
description
Transcript of НОВЫЕ УГРОЗЫ И НОВЫЕ МЕТОДЫ ПРОТИВОДЕЙСТВИЯ...
НОВЫЕ УГРОЗЫ И НОВЫЕ МЕТОДЫ ПРОТИВОДЕЙСТВИЯинформационная безопасность автоматизированных систем
2
Оценка уровня угроз
По данным McAfee
3
Стелс-технологии во вредоносном ПО
Stuxnet – компьютерный червь;
Zeus/SpyEye – средства разработки руткитов;
TDSS – семейство руткитов;
MBR руткит - буткиты;
Bioskit.1 – средство разработки биоскит;
Rakshasa – PXE эксплойт;
DUKU, FLAME, GAUSS – мультивирус.
4
Функциональная стратегия безопасных платформ
Комплексная модель безопасности
5
Давление на BIOS
Индустриальные требования (UEFI 2.3.1, Secure boot)
Требования по проектированию (NIST SP800-147)Требования к функциональности продукта
Требования по безопасности (сертификация, Заказчики)
Атаки (Чернобыль, Bioskit.1)
Уязвимости (обход СЗИ, загрузка PXE, очистка NVRAM)
Функциональные ограничения (объём, скорость, однозадачность)
6
ОБЗОР ВОЗМОЖНОСТИ АТАКИ ЧЕРЕЗ АППАРАТНЫЕ КОМПОНЕНТЫ ТИПИЧНОГО КОМПЬЮТЕРА
НЕПРОВЕРЕННЫЙ BIOS КАК УГРОЗА
7
Предыдущая схема старта BIOS
зона высокогориска
зона работы типичных антивирусных
программ
зона работы BIOS и загрузчика OS
8
Актуальная модель угроз для компрометации BIOS
9
Компрометация BIOS. Реальные возможности.
Запуск вредоносных SMI обработчиков для обхода модулей доверенной загрузки и др. средств защиты.Модификация драйверов BIOS для создания скрытых областей памяти и размещения в них вредоносного ПО.Запуск в закрытых областях памяти вредоносных OPROM сетевых контроллеров для предоставления удаленного доступа к данным и дистанционного управления.Модификация загрузочных областей устройств, смена последовательности загрузочных устройств, создание скрытых областей на носителях.Запуск скрытых виртуальных машин, фильтрация внутреннего и внешнего трафика. Сбор паролей, теста и комбинаций нажатий клавиш. Предоставление злоумышленнику на носитель или удаленно.
ВНИМАНИ
Е
РЕАЛЬНАЯ
УГРОЗА
Низкоуровневый доступ через сервисный процессор (BMC) и Management Engine для контроля и управления аппаратным обеспечением, вплоть до загрузки системы с удаленного носителя.Вывод из строя оборудования по удаленной команде.
10
ДЕМОНСТРАЦИЯ АКТУАЛЬНОСТИ ЗАЩИТЫ.
НАСКОЛЬКО АКТУАЛЬНА УГРОЗА?
11
UEFI – не панацея от безопасности!!!
!
!
!
!
!
Нет доступа к исходному коду!
Исполняемый код принадлежит зарубежным коммерческим компаниям. Мы им просто доверяем!
12
Модели взлома UEFI
2007 Blackhatвзлом UEFI через стандартизованный интерфейс SMM;Заражение UEFI через вредоносный код OPROM.
2011 Defcon“Network Nightmire” – PXEsploit;“Stoned” Bootkit
2012 SyscanDE MYSTERIIS DOM JOBSIVS (EFI Threats to Mac OS X)
2012 Fujitsu Future ConferenceВзлом сертифицированного СЗИ на модели недоверенного BIOS
13
Старт системы с типичным модулем ДЗ
Имея наивысший приоритет среди загрузочных устройств аппаратный модуль доверенной загрузки производит старт встроенной в контроллер ОС до запуска основной ОС.
14
Новые угрозы. Системы с модифицированным BIOS
Размещая «закладку» в BIOS материнской платы злоумышленник в любой момент может получить доступ к данным минуя защиту аппаратного модуля доверенной загрузки.
Ключ активации может иметь любое
исполнение (мышь, токен, накопитель, клавиатура и т.д.).
После завершения действий злоумышленника система возвращается в исходное состояние, что не создаёт
прецедентов для обращения в службу безопасности.
censored
confidential
15
МЕТОДЫ ЗАЩИТЫ АРМ ОТ ИСПОЛЬЗОВАНИЯ МОДИФИЦИРОВАННЫХ КОДОВ BIOS
МЕТОДЫ ЗАЩИТЫ
16
Режим SECURE BOOT
• Загружаются только подписанные модули• Режим UEFI с запуском ТОЛЬКО подписанного загрузчика OS
17
Методы защиты BIOS
Создание доверенной платформы, функционирующей в режиме превентивной защиты от вредоносного кода.Использование систем с проверенной версией BIOS без возможности нелегитимной замены модулей UEFI.Контроль функционирования модулей UEFI.Интеграция в BIOS дополнительных средств защиты:
модули доверенной загрузки,гипервизоры уровня BIOS,межсетевые экраны,крипто провайдеры,антивирусы уровня BIOS,сетевая авторизация через сервер безопасностиsingle sign-ON;
Использование доверенных систем дистанционного мониторинга и управления (в т.ч. пользователями) на уровне UEFI BIOS.
18
КОНТРОЛЬ ЦЕЛОСТНОСТИ и НЕИЗМЕННОСТИ
Материнские платы Kraftway KWххх
Для обеспечения требований по информационной защите мы разработали и производим продукцию на собственных материнских платах оснащенных уникальными опциями.
Имеет полностью русифицированный BIOS, обладает развитыми возможностями управления и самодиагностики
ЗАЩИТА ОТ ПОДМЕНЫ BIOS НЕ ИМЕЕТ АНАЛОГОВ
Производство осуществляется на сертифицированной площадке на территории России, что гарантирует отсутствие не декларированных возможностей, закладок и гипервизоров уровня BIOS.
19
Особенности BIOS Kraftway
Интеграция в UEFI BIOS оболочки безопасности обеспечивающей:
Невозможность несанкционированного доступа и модификации неразрушающими методами:
кода модулей безопасностижурнала событий безопасностиконфигурационных файлов
Исключение области содержащей модули безопасности из общего адресного пространства (после загрузки ос нет доступа)Запуск СЗИ НСД до запуска функции поиска загрузочного устройства Контроль состава оборудования (аппаратная целостность)Контроль программной средыИнтегрированный сторожевой таймерЗапуск и защита в среде UEFI средств защиты других производителей
Технология обеспечения безопасности BIOS Kraftway
BIOS/UEFI
Код
любого загрузчика
Запуск ОС
Только проверенный загрузчик
Запуск ОС
Запуск устройства в Legacy режиме
Запуск устройства в режиме превентивной защиты Windows Secure Boot
KSS – оболочка безопасности Kraftway Secure ShellСЗИ – средства защиты информации
Благодаря запуску оболочки KSS уровень безопасности системы не понижается даже при использовании средств безопасности, не имеющих сертификата производителя firmware
KSS
СЗИ
UEFI 2.1.3
21
НЕ ИЗВЛЕКАЕМЫЙ МДЗ (Aladdin TSM)
Благодаря тесной интеграции МДЗ с BIOS материнской платы обеспечивается максимальная безопасность и совместимость со всеми используемыми аппаратными средствами
Обратная передача управления BIOS для
дальнейшей загрузки компьютера осуществляется
только после двух фактурной аутентификации
пользователя.
Прерывание срабатывает до активации начального загрузчика (INT 19H)
22
TSM. СЕРТИФИКАЦИЯ
ФСТЭК РОССИИ (от 30 декабря 2011г.)
«Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) по 3 уровню контроля.
«Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (Гостехкомиссия России, 1992)» до 1Г включительно.
«Положение о методах и способах защиты информации в информационных системах персональных данных (Утв. приказом ФСТЭК России от 5 февраля 2010 г. № 58) до 1 класса включительно.
23
КРАТКИЙ ОБЗОР ПРОФИЛЬНОЙ ПРОДУКЦИИ.
ОПТИМИЗИРОВАННАЯ ПРОДУКЦИЯ
24
Серия защищённых материнских плат Kraftway
Характеристика KWG43 (Intel G43)
KWN10 / KWN10D (Intel NM10)
Тип BIOS Phoenix - Award Phoenix - Award
Русская локализация
Защита от перезаписи
Сторожевой таймер
Контроль BIOS и состава аппаратуры
Блокировка Intel Management Engine
- -
Встроенный МДЗ Trusted Security Module (v. 1.0/2.0)
Trusted Security Module (v. 1.0/2.0)
Дистанционное управление МДЗ
- -
PPPP
PPPP
25
Серия защищённых материнских плат Kraftway
Характеристика KWQ67(Intel Q67)
KWH77(Intel H77)
Тип BIOS UEFI - Inside UEFI – AMI Kraftway
Русская локализация
Защита от перезаписи
Сторожевой таймер
Контроль BIOS и состава аппаратуры
Блокировка Intel Management Engine
Встроенный МДЗ Kraftway Secure Shell / АПМДЗ «Витязь» 1.0
Kraftway Secure Shell / АПМДЗ «Витязь» 1.0
Дистанционное управление МДЗ
Kraftway System Manager
Kraftway System Manager
PPPP
PPPPPP
Представляет собой полноценную рабочую станцию в миниатюрном исполнении. Может также исполнять роль тонкого клиента, выполняя функции ввода информации и отображения рабочего стола.Пассивное охлаждение в защищенном металлическом корпусе при очень низком энергопотреблении было доведено до совершенства в собственном дизайнерском центре специалистами Kraftway. Тем не менее, модель VV20 выполнена на высокопроизводительном процессоре со встроенной графикой, что позволяет ей без труда исполнять роль универсального клиента. Доступность дополнительных внешних носителей определяется административными настройками BIOS.
Kraftway Credo VV18, VV20, VV22
26
152ФЗ
СООТВЕСТВУЕТ
Характеристика значение
Процессор Intel Atom N450/N2600 (1.66/1.8ГГц, 1 или 2 ядра, 512/1024кБ кэш-память)
Оперативная память до 2/4 ГБ
Сетевой адаптер 1/2 интегрированный 10/100/1000 Мбит/с
Видеоадаптер Интегрированная в процессор графическая подсистема Intel с поддержкой 3D, 2D и DX9/DX10
Жесткий диск: твердотельный
Гарантия 3 года
Корпус Специальный, металлический, с креплением на обратную сторону монитора, в черной цветовой гамме