Научная статья на тему 'Вопросы обеспечения доверенной загрузки в физических и виртуальных средах'

Вопросы обеспечения доверенной загрузки в физических и виртуальных средах Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
2510
301
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ДОВЕРЕННАЯ ЗАГРУЗКА / СРЕДСТВО ДОВЕРЕННОЙ ЗАГРУЗКИ / ЦЕПОЧКА ДОВЕРИЯ / БАЗОВАЯ СИСТЕМА ВВОДА-ВЫВОДА / ЗАГРУЗОЧНЫЙ СЕКТОР / ГЛАВНАЯ ЗАГРУЗОЧНАЯ ЗАПИСЬ / ПЛАТА РАСШИРЕНИЯ / РУТКИТ / БУТКИТ / ВИРТУАЛЬНАЯ ИНФРАСТРУКТУРА / ГИПЕРВИЗОР / TRUSTED BOOT LOADING / TRUSTED BOOT LOADER / CHAIN OF TRUST / BASIC INPUT/OUTPUT SYSTEM / BOOT SECTOR / MASTER BOOT RECORD / EXPANSION CARD / ROOTKIT / BOOTKIT / VIRTUAL INFRASTRUCTURE / HYPERVISOR

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Авезова Яна Эдуардовна, Фадин Андрей Анатольевич

Вредоносное программное обеспечение, внедренное в микропрограмму, имеет прямой доступ к аппаратному обеспечению и может использовать технологию виртуализации для компрометации системы без ведома пользователя и незаметно для операционной системы. Кроме того, известны атаки, направленные на внедрение вредоносного ПО в чип системной платы, что в случае успеха означает невозможность устранения последствий даже после переустановки операционной системы или замены жесткого диска. Современные средства доверенной загрузки (СДЗ) обладают целым рядом функциональных возможностей: двухфакторная аутентификация пользователей на этапе начальной загрузки до передачи управления операционной системе, контроль целостности базовой системы ввода-вывода, загрузочных областей жесткого диска, операционной системы и файлов, запрет загрузки с внешних носителей, ведение защищенных от модификации журналов событий в энергонезависимой памяти. В статье рассмотрен классический сценарий загрузки компьютера и показано, как верно выстроенная цепочка доверия позволяет защитить информационную систему от руткитов и буткитов. Проанализирована нормативная база в области средств доверенной загрузки как физического, так и виртуального оборудования. Рассмотрены особенности трех классов средств доверенной загрузки: уровня базовой системы ввода-вывода, платы расширения и загрузочной записи, приведены примеры. Особое внимание уделяется разнице между программными и программно-аппаратными модулями доверенной загрузки. Предложена и обоснована схема доверенной загрузки виртуальной инфраструктуры с гипервизорами I и II типов.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Авезова Яна Эдуардовна, Фадин Андрей Анатольевич

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Issues of Trusted Boot in Physical and Virtual Environments

Embedded software may have a direct access to hardware components and may use Virtual Machine technology to compromise a system without the user’s knowledge and transparently for the operating system. Moreover, some attacks attempt to implant themselves into the ROM itself, which means that if they succeed, they will persist even if the operating system is reinstalled or the hard drive is swapped out. Modern trusted boot loaders have a number of functional features, which include multi-factor user authentication before loading and booting of an OS; integrity check of BIOS image, boot sectors of the hard disk, the operating system and files; disabling booting from external devices; protected log files in non-volatile random-access memory. The article describes a classic boot scenario and it is shown how a properly structured chain of trust can help us to protect the information system from rootkits and bootkits. The regulatory framework in the field of trusted boot loading is considered. Three types of trusted boot loaders such as a trusted boot loader based on BIOS, PCI option ROM and a master boot record are compared, examples are given as well. Much attention is devoted to the difference between software and hardware trusted boot loaders. A possible scheme of virtual infrastructure trusted boot loading is presented for bare-metal and hosted hypervisors.

Текст научной работы на тему «Вопросы обеспечения доверенной загрузки в физических и виртуальных средах»

I ВОПРОСЫ ОБЕСПЕЧЕНИЯ ДОВЕРЕННОЙ ЗАГРУЗКИ В ФИЗИЧЕСКИХ И ВИРТУАЛЬНЫХ СРЕДАХ

Авезова Я.Э.1, Фадин А.А.2

Вредоносное программное обеспечение, внедренное в микропрограмму, имеет прямой доступ к аппаратному обеспечению и может использовать технологию виртуализации для компрометации системы без ведома пользователя и незаметно для операционной системы. Кроме того, известны атаки, направленные на внедрение вредоносного ПО в чип системной платы, что в случае успеха означает невозможность устранения последствий даже после переустановки операционной системы или замены жесткого диска.

Современные средства доверенной загрузки (СДЗ) обладают целым рядом функциональных возможностей: двухфакторная аутентификация пользователей на этапе начальной загрузки до передачи управления операционной системе, контроль целостности базовой системы ввода-вывода, загрузочных областей жесткого диска, операционной системы и файлов, запрет загрузки с внешних носителей, ведение защищенных от модификации журналов событий в энергонезависимой памяти.

В статье рассмотрен классический сценарий загрузки компьютера и показано, как верно выстроенная цепочка доверия позволяет защитить информационную систему от руткитов и буткитов. Проанализирована нормативная база в области средств доверенной загрузки как физического, так и виртуального оборудования. Рассмотрены особенности трех классов средств доверенной загрузки: уровня базовой системы ввода-вывода, платы расширения и загрузочной записи, приведены примеры. Особое внимание уделяется разнице между программными и программно-аппаратными модулями доверенной загрузки. Предложена и обоснована схема доверенной загрузки виртуальной инфраструктуры с гипервизорами I и II типов.

Ключевые слова: доверенная загрузка, средство доверенной загрузки, цепочка доверия, базовая система ввода-вывода, загрузочный сектор, главная загрузочная запись, плата расширения, руткит, буткит, виртуальная инфраструктура, гипервизор

Введение

Существует мнение, что из-за многообразия производителей и различных версий старых базовых систем ввода-вывода (Basic Input/Output System, BIOS) злоумышленники редко выбирают BIOS в качестве подсистемы для инфицирования. Однако практика показывает, что непрекращающаяся борьба производителей антивирусов и разработчиков вредоносного ПО заставляет злоумышленников разрабатывать такие программы, которые будут невидимы для любой работающей в операционной системе программы, а значит -будут внедрены на уровне микропрограммного обеспечения.

Очевидно, для защиты от подобного рода вредоносного ПО мы должны быть уверены, что ни BIOS, ни загрузчик, ни операционная система не были модифицированы, причем действия по проверке аутентичности программ, выполняемых с момента включения компьютера и до момента загрузки ОС, должны быть последовательными. Другими словами, управление следующей микропрограмме не должно передаваться прежде, чем

мы убедимся, что ее код не был модифицирован. Идея, лежащая в основе средств, обеспечивающих процедуры последовательной проверки загружаемого кода, получила название доверенной загрузки.

1. Классический сценарий загрузки компьютера

Чтобы лучше понять, что такое доверенная загрузка, кратко рассмотрим, как выглядит «классический» сценарий загрузки аппаратного обеспечения.

BIOS размещается в микросхеме ПЗУ (ROM) на системной плате компьютера (этот чип часто называют ROM BIOS) и хранится в упакованном виде. Сразу после включения питания компьютера неупакованный загрузчик BIOS производит первичную инициализацию чипсета и распаковывает основную часть BIOS в специальную область оперативной памяти (shadow memory). Далее BIOS запускает тестирование системы для проверки ее работоспособности (POST-процедуры). После завершения процедуры самотестирования та часть

1 Авезова Яна Эдуардовна, НИУЯ МИФИ, Москва, ya.avezova@cnpo.ru.

2 Фадин Андрей Анатольевич, ЗАО «НПО «Эшелон», Москва, a.fadin@npo-echelon.com.

кода BIOS, которая реализует процедуры POST, удаляется из оперативной памяти. Главной задачей части BIOS, оставшейся в ОП, является поиск активного загрузочного устройства.

Стандартная процедура начальной загрузки (Bootstrap Loader), вызываемая по прерыванию INT 19h, выбирает устройство начальной загрузки (Initial Program Loader, IPL) - блочное устройство, поддерживающее функцию чтения секторов. Список устройств, которые могут являться загрузочными, хранится в энергонезависимой памяти компьютера (CMOS), а порядок просмотра этого списка является одним из настраиваемых параметров BIOS. С этого устройства процедура пытается загрузить в ОЗУ самый первый сектор, и, если по адресу 0000:7DFE имеется сигнатура загрузчика AA55h, то ему передается управление по адресу 0000:7C00h. На накопителе, с которого производится загрузка, 1-й сектор, расположенный на стороне 0, цилиндре 0, содержит загрузчик, загружающий ОС или ее ядро. Если загрузка выполняется с жесткого диска, то на нем 1-й сектор содержит главную загрузочную запись (Master Boot Record, MBR). Он также загружается в память по адресу 0000:7C00h. Далее, если в конце сектора находится сигнатура AA55h, то управление передается на его начало. Главный загрузчик копирует свой код и таблицу разделов по адресу 0000:0600h и продолжает дальнейшее выполнение в новой области. Задача главного загрузчика - найти активный раздел, загрузить его 1-й сектор в память и, если он имеет сигнатуру загрузчика, передать ему управление.

Платы расширения, устанавливаемые в слоты расширения, могут иметь дополнительные ROM BIOS (additional, или expansion, ROM) . Их используют графические адаптеры EGA/VGA/SVGA, контроллеры жестких дисков, контроллеры SCSI, сетевые адаптеры с удаленной загрузкой и другие периферийные устройства. Для этих модулей в пространстве памяти зарезервирована область Œ000h^F4000h. На завершающем этапе выполнения (после загрузки векторов прерываний указателями на собственные обработчики) POST сканирует область модулей расширений в поисках дополнительных модулей BIOS. Дополнительный модуль BIOS должен иметь заголовок, выровненный по границе 2Кб, в котором указывается сигнатура начала модуля (AA55h), его длина в блоках по 512 байт, точка входа процедуры инициализации с дальним возвратом Ret Far, указатель на структуру данных PCI и на структуру расширенного заголовка карт ISA PnP. Процедура инициализации пере-

определяет на себя векторы прерываний, обслуживаемых BIOS, в том числе и INT 19h (Bootstrap), что позволяет получить управление загрузкой, например из локальной сети.

2. Невидимые глазу антивируса -руткиты и буткиты

Что же может произойти, если в сценарий загрузки, описанный выше, вмешается вредоносное ПО?

Первые попытки внедрения вредоносного кода в код микропрограммы стали известны еще в далеком 1999 году. Речь идет о широко известном вирусе CIH, или Чернобыль. Его воздействие на BIOS имело разрушающий характер и приводило к тому, что оборудование вообще переставало загружаться, что нельзя назвать успешным внедрением. В 2006 году появился прототип руткита под названием IceLord, производивший заражение BIOS вполне корректно (имеется в виду, что после его внедрения работоспособность оборудования сохранялась). А в 2011 году стало известно о рабочем рутките Mebromi, способном модифицировать BIOS. Mebromi имеет механизмы сокрытия от традиционных антивирусов, и избавиться от него невозможно даже после замены жесткого диска. Согласно отчетам компании ESET по угрозам и трендам, буткиты стали одним из ключевых технических трендов 2012 года. В отчет о киберугрозах за февраль 2015 года той же компании попал бот-нет Ramnit, который включал в себя программное обеспечение, заражавшее файловую систему, а также руткит, и мог осуществлять кражу конфиденциальных данных онлайн-банкинга.

Буткит имеет общее с загрузочным вирусом, однако содержит компоненты, которые внедряются в операционную систему еще до ее загрузки. На начальном этапе своей работы буткит заменяет оригинальный загрузчик и ожидает перезагрузки компьютера. Основная задача буткита - перехватит прерывание INT 13h, при помощи которого файловые компоненты операционной системы считываются с диска в память, чтобы подменить файлы операционной системы на свои компоненты. Таким образом, буткит может оставаться незамеченным для любой прикладной системы, запущенной в модифицированной им ОС [1-3].

Однако стоит отметить, что в современных компьютерах на смену BIOS пришел UEFI (Extensible Firmware Interface). Новый комплекс спецификаций был разработан на смену BIOS ввиду его существенных ограничений, тормозивших развитие вычислительных систем. Ключевой

функциональной возможностью UEFI стал механизм SecureBoot, осуществляющий проверку загружаемых компонентов ОС криптографическими методами - при помощи механизма цифровой подписи, закрытый ключ которой прошивается в чипы системных плат.

Появление хорошо унифицированного UEFI упростило разработку как легального программного обеспечения, так и вредоносного. В конце 2014 года на 31-м Всемирном конгрессе хакеров Рафаил Войчук и Кори Каленберг продемонстрировали атаку на UEFI, получившую название Speed Race, связанную с уязвимостью в реализации UEFI. Среди аппаратных платформ, имеющих уязвимость, оказались ноутбуки Dell Latitude и HP EliteBook [4].

В июле 2015 года после скандальной утечки исходных кодов шпионского ПО, разработанного итальянской компанией Hacking Team, стало известно о первом UEFI-рутките. Сотрудники Hacking Team разработали вредоносное ПО специально для UEFI фирмы Insyde, которые очень популярны в ноутбуках, однако данное ПО успешно функционирует и на платформах с AMI BIOS. Особенность вредоносного ПО, как и руткита Mebromi, в том, что ни переустановка ОС, ни форматирование жесткого диска, ни даже его замена, не помогут избавить компьютер от его воздействия [5].

Таким образом, мы видим, что развитие вредоносного ПО происходит достаточно динамичными темпами, поэтому технологию SecureBoot стоит рассматривать только как возможную меру из состава целого комплекса механизмов для обеспечения безопасной загрузки, но не как панацею. Другим механизмом в борьбе за безопасную загрузку должны быть средства доверенной загрузки.

3. Доверенная загрузка физических сред

Так что же такое доверенная загрузка и как она помогает в борьбе со злоумышленными действиями?

В соответствии с требованием УПД.17 приказов ФСТЭК России № 17 от 11.02.2013 г., № 21 от 18.02.2013 г. и № 31 от 14.03.2014 г., доверенная загрузка должна обеспечивать:

- блокирование попыток несанкционированной загрузки нештатной операционной системы (среды) или недоступность информационных ресурсов для чтения или модификации в случае загрузки нештатной операционной системы;

- контроль доступа пользователей к процессу загрузки операционной системы;

- контроль целостности программного обе-

спечения и аппаратных компонентов средств вычислительной техники.

В соответствии с Информационным сообщением ФСТЭК России №240/24405 от 06.02.2014 г. «Об утверждении Требований к средствам доверенной загрузки», а также собственно Приказом ФСТЭК России № 119 от 27.09.2013 г., рассматриваемый класс средств защиты информации подразделяется на три типа:

1) Средства доверенной загрузки уровня базовой системы ввода-вывода;

2) Средства доверенной загрузки уровня платы расширения;

3) Средства доверенной загрузки уровня загрузочной записи.

Первая группа средств - уровня BIOS - это, как правило, многокомпонентные программные средства, один из модулей которых встраивается непосредственно в микропрограмму материнской платы. Примерами таких средств доверенной загрузки являются «МДЗ-Эшелон» компании НПО «Эшелон» и Altell Trust производства компании Altell. Для функционирования таких средств не требуется установка плат PCI/PCI-E, что существенно упрощает и ускоряет ввод СЗИ в эксплуатацию [6, 7].

Средства доверенной загрузки уровня платы расширения всегда программно-аппаратные. Это самый широкий сегмент рынка средств доверенной загрузки. В качестве примера можно привести ПАК «Соболь» компании «Код Безопасности», Максим-М1 НПО «РусБИТех», АПМДЗ «Щит-ЭЦП» Концерна «Системпром» и др. [8, 9]

Наконец, механизм функционирования средств доверенной загрузки уровня загрузочной записи основан на модификации boot-секторов логических разделов жестких дисков. Содержимое загрузочных секторов шифруются, что позволяет скрыть информацию о логических разделах при несанкционированной загрузке компьютера. Примером может служить Trusted Boot Loader компании «Код Безопасности» (поддержка которого, к сожалению, прекращена, а срок действия сертификата истек в прошлом году).

Отдельно стоит заметить, что обязательное для ГИС усиление 1 (для второго уровня защищенности ИСПДн) и 2 (для первого уровня защищенности ИСПДн) к мере УПД.17 указывает на необходимость применения средств доверенной загрузки уровня базовой системы ввода-вывода или платы расширения, т.е. на недостаточность применения средства доверенной загрузки уровня загрузочной записи для указанных выше классов/уровней защищенности.

Отдельно хочется осветить вопрос выбора средства доверенной загрузки. На просторах Интернета (wikipedia) бытует необоснованное мнение, что «аппаратные модули доверенной загрузки имеют значительные преимущества перед чисто программными средствами». Обратимся к механизму функционирования СДЗ уровня BIOS и уровня платы расширения. Для этого вспомним первую часть данной статьи, посвященную сценарию загрузки компьютера. Как уже было сказано выше, в момент завершения POST-процедур происходит сканирование области модулей расширений в поисках дополнительных модулей BIOS. На этом этапе оба типа СДЗ, переопределив на себя вектор Bootstrap (INT 19h), получают управление. С момента, как СДЗ получило управление, вне зависимости от приоритетности выбора загрузочных устройств в BIOS Setup управление получит модуль доверенной загрузки. Отличие заключается в том, что загрузчик СДЗ уровня платы расширения удостоверяется программой, записанной в энергонезависимой памяти контроллера, а загрузчик СДЗ уровня базовой системы ввода-вывода удостоверяется модулем, встроенным в микропрограмму BIOS. На рис. 1 представлены основные этапы загрузки компьютера, где стрелкой помечен момент времени, в который начинают работать СДЗ уровня базовой системы ввода-вывода и уровня платы расширения.

Согласно отчету компании Symantec за 2015 год, всё большее количество буткитов поражают мобильные платформы [10]. Ввиду отсутствия у них PCI-слотов можно прогнозировать, что популярность программных средств доверенной загрузки будет только расти.

4. Доверенная загрузка виртуальных сред

Не секрет, что сегодня всё большую популярность приобретает размещение рабочих станций пользователей в системах виртуализации. Это позволяет создать единую точку управления, развертывания и администрирования рабочих станций. Обратимся к вопросу безопасности виртуальных сред и рассмотрим некоторые типовые действия злоумышленника и угрозы, к которым они ведут:

- несанкционированное чтение и изменение данных, обрабатываемых в СВТ ведет к угрозе целостности и конфиденциальности информации обрабатываемой в АС;

- несанкционированное изменение аутенти-фикационной информации, а именн о подмена сертификатов, хэшей паролей и др. ключевых данных может привести к добавлению в систему новых привилегированных учетных записей или компрометации существующих;

- внедрение программных закладок и вредоносного ПО, в частности таких как руткиты и буткиты, предназначенных для маскировки объектов, контроля за событиями, происходящими в системе и сбора данных [11,12].

Таким образом, с одной стороны, гипервизор, выполняющий функции монитора виртуальных машин, повышает сервисные возможности компьютера и снижает его эксплуатационные расходы. Но, с другой стороны, гипервизор можно негласно внедрить как программную закладку с бесконтрольными возможностями, несущими угрозу информационной безопасности.

В подтверждение этому, коротко расскажем о сути угрозы «тонкого гипервизора», которая имеет образное название В1ие РШ [13]. Концепция В1ие РШ заключается в захвате запущенного экземпля-

Распаковка BIOS в shadow-область ОЗУ

Тестирование работоспособности (POST)

Загрузка ОС

Загрузка boot-сектора

Поиск сигнатур на устройствах загрузки и передача управления по адресу OOQO:7COOh

Начальная загрузка (INT 19h)

Рис. 1. Основные этапы загрузки компьютера с микропрограммой BIOS

Рис. 2. Схема доверенной загрузки уровня BIOS виртуальной инфраструктуры с гипервизором I типа

ра операционной системы (захват производится при запуске ОС) «тонким» гипервизором и виртуализацией им остальной части компьютера. Основная операционная система будет все еще поддерживать существующие в ней ссылки на все устройства и файлы, но почти все, включая аппаратные прерывания, запросы данных и даже системное время будут перехватываться гипервизором, который будет отсылать фальшивые ответы.

Ввиду существования угроз виртуальной среды, подобных описанной ранее, требование доверенной загрузки в указанных выше приказах ФСТЭК относятся не только к физическому оборудованию, но и к среде виртуализации (защитная мера ЗСВ.5):

- в информационной системе должна обеспечиваться доверенная загрузка серверов виртуализации, виртуальных машин (контейнеров) и серверов управления виртуализацией в соответствии с мерой защиты «Обеспечение доверенной загрузки средств вычислительной техники».

- доверенная загрузка должна обеспечивать блокирование попыток несанкционированной загрузки гипервизора, хостовой и гостевых операционных систем.

- доверенная загрузка гипервизоров обеспечивается с использованием средств доверенной загрузки, функционирующих на серверах виртуализации.

- доверенная загрузка виртуальных машин (контейнеров) обеспечивается с использованием многокомпонентных средств доверенной загрузки, отдельные компоненты которых функционируют в гипервизорах.

Рассмотрим этапы доверенной загрузки виртуальной среды с помощью СДЗ уровня базовой системы ввода-вывода. На рис. 2 представлен вариант с гипервизором первого типа, который устанавливается непосредственно на сервер виртуализации в качестве системного программного обеспечения. Модуль доверенной загрузки уровня базовой системы ввода-вывода может быть установлен на платформу еще до установки гипервизора, и именно этот его компонент (то есть компонент, установленный в микросхему физического сервера) и будет контролировать безопасность гипервизора. В каждую виртуальную машину в виртуальный BIOS встраивается свой модуль доверенной загрузки, работа которого направлена на контроль целостности виртуального оборудования, гостевых операционных систем и файлов в них.

В случае использование гипервизора второго типа его целостность и целостность базовой операционной системы контролируется модулем доверенной загрузки встроенным в код BIOS сервера виртуализации. Доверенную загрузку виртуального оборудования и гостевых операционных

Рис. 3. Схема доверенной загрузки уровня BIOS виртуальной инфраструктуры с гипервизором II типа

систем может осуществлять тот же модуль доверенной загрузки, но установленный уже не на сервер виртуализации, а на виртуальную машину (Рисунок 3).

Заключение

Многообразие вредоносного программного обеспечения, функционирующего на уровне BIOS/ UEFI, свидетельствует о серьезной необходимости защиты от них. Кроме того, злоумышленник может нанести вред системе и без использования вредоносного программного обеспечения (например, загрузившись с внешнего носителя). Разрешать доступ только для авторизованных пользователей, контролировать целостность разделов и файлов, осуществлять доверенную загрузку - задача средств доверенной загрузки. В статье рассмотрены различия трех типов средств доверенной

загрузки и приведена схема доверенной загрузки виртуальных сред с помощью СДЗ уровня BIOS.

Большинство средств на сегодняшний день являются программно-аппаратными. Средняя стоимость аппаратного модуля доверенной загрузки составляет несколько десятков тысяч рублей. Однако использование аппаратной платы не всегда возможно: может отсутствовать необходимый слот на материнской плате или плата может оказаться несовместимой с версией BIOS системной платы. Кроме того, установка аппаратной части на большое количество платформ требует значительных временных ресурсов. Эти причины вкупе с возрастающим количеством угроз для мобильных платформ позволяют спрогнозировать, что СДЗ уровня базовой системы-ввода вывода будут набирать популярность.

Литература:

1. Барабанов A^., Гришин М.И., Кубарев A^. Моделирование угроз безопасности информации, связанных с функционированием скрытых в вредоносных компьютерных программ // Вопросы кибербезопасности. 2014. № 4 (7). С. 41-48.

2. Зайцев О.В. Технология rootkit - современная угроза из прошлого // Защита информации. Инсайд. 2008. № 5 (23). С. 50-55.

3. Климентьев К. Компьютерные вирусы и антивирусы. Взгляд программиста. - М.: ДМК Пресс, 2013. 656 с.

4. Phiiippe Lin. Hacking Team Uses UEFI BIOS Rootkit to Keep RCS 9 Agent in Target Systems, TrendLabs Security Inteiiigence Biog (Juiy 13, 2015). URL: http://biog.trendmicro.com/trendiabs-security-inteiiigence/hacking-team-uses-uefi-bios-rootkit-to-keep-rcs-9-agent-in-target-systems (дата обращения: 07.01.2016).

5. Corey Kaiienberg, Rafai Wojtczuk. Speed Racer: Expioiting an Intei Fiash Protection Race Condition. Bromium Labs (January 6. 2015) URL: https://bromiumiabs.fiies.wordpress.com/2015/01/speed_racer_whitepaper.pdf (дата обращения: 07.01.2016).

6. Вареница В.В., Вылегжанин В.В., Марков A.C, Никулин М.Ю., Фадин A.A., Цирлов В.Л. Устройство для доверительной загрузки. Патент на полезную модель RUS 101555 25.10.2010; номер заявки: 2010143450/08, опубл. 20.01.2011, Бюл. № 2. 2 с.

7. Марков A.C, Пугачев И.Б. Программный метод обеспечения безопасности загрузки операционной среды // Известия Института инженерной физики. 2009. Т. 1. № 11. С. 7-9.

8. Модестов A.A., Беляева E.A. Комплексная оценка функциональных возможностей аппаратно-программных модулей доверенной загрузки // Вестник Российского нового университета. 2013. № 4. С. 105-107.

9. Бородакий Ю.В., Добродеев А.Ю., Коротков С.В., Бедарев И.К. Опыт реализации распределенных автоматизированных систем управления и связи в защищенном исполнении // Информационное противодействие угрозам терроризма. 2005. № 4. С. 246-249.

10. 2015 Internet Security Threat Report, Volume 20. Overview and Analysis, Symantec Global Intelligence Network, 2015, 119 p.

11. Глебов О. Обеспечение защиты виртуальных сред // Защита информации. Инсайд. 2011. № 4 (40). С. 54-58.

12. Зубарев И.В., Радин П.К. Основные угрозы безопасности информации в виртуальных средах и облачных платформах // Вопросы кибербезопасности. 2014. № 2 (3). С. 40-45.

13. Joanna Rutkowska. Subverting Vista Kernel For Fun And Profit. Black Hat Briefings, 2006. 52 p.

Рецензент: Цирлов Валентин Леонидович, кандидат технических наук, v.tsirlov@bmstu.ru

ISSUES OF TRUSTED BOOT IN PHYSICAL AND VIRTUAL ENVIRONMENTS

Avezova Ya.E.3, Fadin A.A.4

Embedded software may have a direct access to hardware components and may use Virtual Machine technology to compromise a system without the user's knowledge and transparently for the operating system. Moreover, some attacks attempt to implant themselves into the ROM itself, which means that if they succeed, they will persist even if the operating system is reinstalled or the hard drive is swapped out.

Modern trusted boot loaders have a number of functional features, which include multi-factor user authentication before loading and booting of an OS; integrity check of BIOS image, boot sectors of the hard disk, the operating system and files; disabling booting from external devices; protected log files in non-volatile random-access memory.

The article describes a classic boot scenario and it is shown how a properly structured chain of trust can help us to protect the information system from rootkits and bootkits. The regulatory framework in the field of trusted boot loading is considered. Three types of trusted boot loaders such as a trusted boot loader based on BIOS, PCI option ROM and a master boot record are compared, examples are given as well. Much attention is devoted to the difference between software and hardware trusted boot loaders. A possible scheme of virtual infrastructure trusted boot loading is presented for bare-metal and hosted hypervisors.

Keywords: trusted boot loading, trusted boot loader, chain of trust, Basic Input/Output System, boot sector, Master Boot Record, expansion card, rootkit, bootkit, virtual infrastructure, hypervisor

References:

1. Barabanov A.V., Grishin M.I., Kubarev A.V. Modelirovanie ugroz bezopasnosti informatsii, svyazannykh s funktsionirovaniem skrytykh v vredonosnykh komp'yuternykh program, Voprosy kiberbezopasnosti. 2014. No 4 (7), pp. 41-48.

2. Zaytsev O.V. Tekhnologiya rootkit - sovremennaya ugroza iz proshlogo, Zashchita informatsii. Insayd. 2008. No 5 (23), pp. 50-55.

3. Kliment'yev K. Komp'yuternye virusy i antivirusy. Vzglyad programmista. - M.: DMK Press, 2013. 656 P.

4. Philippe Lin. Hacking Team Uses UEFI BIOS Rootkit to Keep RCS 9 Agent in Target Systems, TrendLabs Security Intelligence Blog (July 13, 2015). URL: http://blog.trendmicro.com/trendlabs-security-intelligence/hacking-team-uses-uefi-bios-rootkit-to-keep-rcs-9-agent-in-target-systems (data obrashcheniya: 07.01.2016).

5. Corey Kallenberg, Rafal Wojtczuk. Speed Racer: Exploiting an Intel Flash Protection Race Condition. Bromium Labs (January 6. 2015) URL: https://bromiumlabs.files.wordpress.com/2015/01/speed_racer_whitepaper.pdf (data obrashcheniya: 07.01.2016).

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

6. Varenitsa V.V., Vylegzhanin V.V., Markov A.S., Nikulin M.Yu., Fadin A.A., Tsirlov V.L. Ustroystvo dlya doveritel'noy zagruzki. Patent na poleznuyu model' RUS 101555 25.10.2010; nomer zayavki: 2010143450/08, opubl. 20.01.2011, Byul. № 2. 2 P.

7. Markov A.S., Pugachev I.B. Programmnyy metod obespecheniya bezopasnosti zagruzki operatsionnoy sredy, Izvestiya Instituta inzhenernoy fiziki. 2009. T. 1. No 11, pp. 7-9.

8. Modestov A.A., Belyaeva E.A. Kompleksnaya otsenka funktsional'nykh vozmozhnostey apparatno-programmnykh moduley doverennoy zagruzki, Vestnik Rossiyskogo novogo universiteta. 2013. No 4, pp. 105-107.

9. Borodakiy Yu.V., Dobrodeev A.Yu., Korotkov S.V., Bedarev I.K. Opyt realizatsii raspredelennykh avtomatizirovannykh sistem upravleniya i svyazi v zashchishchennom ispolnenii, Informatsionnoe protivodeystvie ugrozam terrorizma. 2005. No 4, pp. 246-249.

10. 2015 Internet Security Threat Report, Volume 20. Overview and Analysis, Symantec Global Intelligence Network, 2015, 119 P.

11. Glebov O. Obespechenie zashchity virtual'nykh sred, Zashchita informatsii. Insayd. 2011. No 4 (40), pp. 54-58.

12. Zubarev I.V., Radin P.K. Osnovnye ugrozy bezopasnosti informatsii v virtual'nykh sredakh i oblachnykh platformakh, Voprosy kiberbezopasnosti. 2014. No 2 (3), pp. 40-45.

13. Joanna Rutkowska. Subverting Vista Kernel For Fun And Profit. Black Hat Briefings, 2006. 52 p.

3 Yana Avezova, NRNU MEPhI, Moscow, я.avezova@cnpo.ru.

4 Andrey Fadin, NPO Echelon, Moscow, a.fadin@npo-echelon.com

i Надоели баннеры? Вы всегда можете отключить рекламу.