На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Методы противодействия угрозам перевода системы защиты в пассивное состояние

Методы противодействия загрузке ОС без ПО системы защиты
По способу реализации защиты в рассматриваемом случае могут быть выделены два класса методов:
» методы, реализующие программную защиту;
* методы, реализующие аппаратную защиту.
Все программные механизмы защиты в той или иной мере связаны с использованием или модификацией программного средства управления защитой — BIOS.
BIOS позволяет установить различные режимы загрузки. В частности, позволяет задать загрузку только с системного диска, на котором уста­новлена ОС. При этом в качестве сервиса (или службы) последней за­пускается система защиты. На изменение заданного способа загрузки ОС средствами BIOS может быть установлен пароль.
С реализацией защиты подобным образом связаны следующие недостатки:
« известно применение в ряде программ BIOS инженерных паролей -паролей, ввод которых, вне зависимости от установленного пароля, позволяет получить доступ к настройкам способа загрузки ОС;
* с помощью специальных программ в ОС Windows 9x/Me настройки BIOS могут быть сброшены в исходное состояние, в котором по умол­чанию задана критичная с точки зрения защиты системы очередность загрузки: в первую очередь загрузка производится с дисковода. Поэто­му, если для защиты загрузки используется встроенный механизм аутен­тификации BIOS, то в системе защиты обязательно должен быть ак­тивным механизм обеспечения замкнутости программной среды, не позволяющий пользователю запустить программу сброса BIOS, а также
осуществить иные действия по модификации BIOS.
Очевидно, что возможны два пути преодоления недостатков, связанных с использованием встроенных средств аутентификации пользователя BIOS, которые применяются на практике:
» расширение BIOS путем использования оригинальной (не встроенной)
программы авторизации пользователя при доступе к настройкам BIOS; » модификация программы BIOS путем усечения предоставляемых ею пользователю вариантов загрузки системы.
Первый подход реализуется с использованием широко применяемых се­годня аппаратных компонент (в частности, «Электронных замков»). Эти компоненты выполнены в виде специальных плат, устанавливаемых в сво­бодный слот компьютера. В состав платы входит программно-аппарат­ное средство расширения функций BIOS.
При этом один из возможных известных способов защиты состоит в том,
что при загрузке система BIOS наделяется дополнительной функцией, реа­лизуемой платой — функцией авторизации пользователя (для ввода пароля
пользователя здесь часто используются различные аппаратные ключи).
Второй подход связан с возможностью программным образом (перепрог­раммированием) закомментировать некоторые строки текста программы BIOS. При этом в качестве способа загрузки может быть установлен толь­ко один способ — загрузка с необходимого логического диска винчестера. Причем этот способ загрузки может быть установлен как способ загрузки по умолчанию. Тогда даже знание пароля не позволит изменить способ загрузки, т.к. он задан в BIOS как единственный. Естественно, что реали­зации данного подхода также присущи все недостатки программной реа­лизации. В частности, здесь также обязательно использование механизма обеспечения замкнутости программной среды. Иначе тем же программным средством можно вернуть прошивку BIOS в исходное состояние.
По своей сути реализация функций расширения BIOS относится к программ­ным методам защиты. Плата просто используется для размещения соответ­ствующей микросхемы. Поэтому в дополнение в большинстве «Электрон­ных замков» реализуется отключение внешних устройств на аппаратном
уровне. Таким образом дисковод, CD-ROM и иные устройства ввода отклю­чаются аппаратно. На них либо не подается питание, либо физически «ра­зорвана» шина данных. Подключаться устройства должны каким-либо вне­шним сигналом, например, после завершения авторизации пользователя.
Таким образом, можем сделать следующий вывод: противодействие исход­ной загрузке ОС без ПО системы защиты может быть эффективно оказано применением «Электронного замка», реализующего расширение BIOS в виде дополнительной авторизации пользователя перед загрузкой системы. При этом должно соблюдаться условие аппаратного отключения внешних устройств ввода до завершения авторизации санкционированного пользователя. Благо­даря этому на данном этапе загрузки не может быть запущен пользователь­ский процесс, не могут использоваться инженерные пароли BIOS. Режим загрузки может быть изменен только санкционированным пользователем.
Метод противодействия переводу ПО системы защиты в пассивное состояние в процессе функционирования системы
В предыдущем разделе было рассмотрено, каким образом защититься от несанкционированной загрузки ОС без системы защиты. Однако, как отмечалось ранее, это лишь одна составляющая рассматриваемой пробле­мы. Другая составляющая — это противодействие отключению ПО сис­темы защиты во время функционирования защищаемого объекта.
Все главы предыдущей части были посвящены этому вопросу. При этом предлагалось использовать для этого метод уровневого контроля спис­ков. Однако, как уже неоднократно упоминалось, невозможно осуществ­лять контроль активности одной программы другой программой, запу­щенной на том же компьютере. Поэтому в данной части будет изложено
использование механизмов аппаратной защиты, призванных решить эту проблему. В рамках этого подхода предлагается использование программ­но-аппаратного комплекса, общая схема которого показана 2.
Технология программно-аппаратной защиты
Реализация программно-аппаратного контроля (мониторинга) активности системы защиты
Назначение аппаратной компоненты защиты загрузки ОС
Основу рассматриваемой технологии составляет реализация аппаратной компоненты защиты, т.к. невозможно в принципе контролировать вы­полнение одной программой другой программы, установленной на том же компьютере.
Реализуется аппаратная защита загрузки ОС следующим образом. В компьютер в свободный слот устанавливается аппаратная компонента си­стемы защиты (плата). Данная плата выполняет следующие функции:
* осуществляет в исходном состоянии отключение внешних устройств загрузки (дисковод, CD-ROM);
» обеспечивает возможность подключения внешних устройств при по­лучении сигнала от системы защиты (например, питание внешних устройств заведено через реле на плате; подавая сигнал на реле, плата может подключать внешние устройства);
обеспечивает возможность получения командного сигнала на вклю­чение внешних устройств со стороны программной компоненты сис­темы защиты. Таким образом, плата пассивна, взаимодействие с нею программной компоненты осуществляется через заданный на плате и в программе защиты порт. С целью предотвращения возможности
выдачи командного сигнала на плату пользовательской программой,
в качестве командного сигнала используется парольное слово.
Примечание
Можно усилить процедуру аутентификации платой системы защиты, напри­мер, ограничив число получения неверных парольных командных слов. При превышении их числа плата может блокировать работу пользователя. В про­стейшем случае — выдавать команду «Reset» на перезагрузку компьютера, либо разрывать шину данных, отключать устройства ввода и т.д.
Подход к реализации программно-аппаратного контроля активности системы защиты
Подход к реализации программно-аппаратного контроля активности си­стемы защиты проиллюстрирован 1.
Контроль (мониторинг активности) осуществляется следующим образом. Аппаратная компонента имеет в своем составе:
» средство коммутации внешних устройств ввода (например, через реле размыкается питание либо шина данных);
* приемник сигнала контроля активности;
• таймер.
Программная компонента содержит таймер и датчик активности систе­мы защиты. Датчик активности с задаваемым таймером периодом выда­ет парольное слово на определенный порт (в плату). Получая данный сиг­нал, плата определяет активность ПО системы защиты. Если за заданный интервал времени плата не получит парольное слово (сигнал активнос­ти), то это будет означать перевод ПО системы защиты в пассивное со-
345
Часть VI. Применение средств аппаратной защиты
стояние. В ответ на это плата выработает либо сигнал «Reset», который осуществит перезагрузку системы, либо другую заданную реакцию.
Внешние устройства в исходном состоянии отключены. Подключаются они платой только после получения ею первого сигнала (парольного
слова) от программной компоненты.
С целью предотвращения эмуляции ПО системы защиты вводится па­рольное слово. При N-кратной неверной передаче пароля на плату, пла­та считает, что система защиты не выполняет своих функций и отправ­ляет компьютер на перезагрузку.
Таким образом, преимуществом данного подхода является следующее:
« гарантированное подключение внешних устройств только при усло­вии загрузки системы защиты;
аппаратная защита загрузки системы с альтернативных носителей. При этом реализация защиты никоим образом не связана с программой BIOS и ОС, с их потенциальными недекларируемыми возможностями, с возможными действиями по использованию штатных свойств про­граммы BIOS и ОС для отключения расширений BIOS и платы. Если в данном случае плата каким-либо образом программно будет отклю­чена, то внешние устройства будет вообще невозможно подключить; » контроль активности системы защиты в течение всего
времени его функционирования.
Особенностью данного подхода является то, что он (в отличие от аппа­ратного средства «Электронный замок») противодействует всей совокуп­ности скрытых угроз, т.к. неважно, каким образом злоумышленник мо­дифицировал или отключил систему защиты (это не анализируется),
анализируется сам факт активности системы защиты.
Очевидно, что данный механизм может быть использован и для защиты
загрузки системы в безопасном режиме (режим Safe Mode для ОС семей­ства Windows), т.к. его применение не позволит функционировать сис­теме в частично защищенном виде (все необходимые программы и драй­вера системы защиты должны быть загружены и активны).
Функциональная схема программно-аппаратного контроля
Пример реализации схемы программно-аппаратной защиты [28, 29] при­веден 2.
На схеме использованы следующие обозначения: программная компонен­та системы защиты 1, аппаратная компонента системы защиты 2. При этом, программная компонента системы защиты 1 содержит блок управ­ления 3, аппаратная компонента системы защиты 2 содержит блок аутен­тификации программной компоненты 7, блок контроля и управления 8,
блок отключения внешних устройств 9.
Работает схема следующим образом. Программная компонента 1 встраи­вается в общем случае в ту программу, контроль активности которой необходимо осуществлять (в нашем случае в программный комплекс за­щиты информации). Аппаратная компонента системы 2 реализуется на плате, встраиваемой в свободный слот компьютера. При этом крышка компьютера должна быть надежно закрыта, а компьютер опечатан во избежание удаления платы из слота.
Питающее напряжение на все внешние носители (дисковод, CD-ROM),
кроме винчестера, подаются на данные устройства с соответствующего выхода 17 аппаратной компоненты 2, куда оно подается со входа 15. В функции блока отключения внешних устройств 9 входит обеспечение возможности загрузки системы с того носителя, где располагается конт­ролируемая программа — программная компонента 1 (винчестер). Осталь­ные внешние устройства в исходном состоянии отключены.
При включении системы, а также в нормальном режиме ее функцио­нирования на вход 4 программной компоненты 1 подается периодичес­кий сигнал контроля активности, по которому устройство управления 3 сначала выдает М-разрядный код (пароль) на выходы 5, затем сигнал контроля активности на выход 6. Пароль необходим для того, чтобы функцию контроля активности не могла перехватить подставленная зло­умышленником программа.
Пароль со входов    поступает на блок аутентификации
компоненты защиты, куда эталонное значение пароля подается (напри­мер, перемычками на плате) с соответствующих входов 12. По сигналу
контроля активности осуществляется аутентификация программной ком­поненты защиты и при положительном исходе управляющий сигнал пе­редается в блок контроля и управления 8. В функции данного блока вхо­дит следующее: осуществлять периодический контроль активности
программной компоненты (поступления от нее сигналов); в случае об­наружения дезактивации программы — перевод компьютера в нерабочий режим, а также управление внешними устройствами.
Получив первый сигнал от блока 7, блок 8 сигнализирует ему, что кон­троль прошел успешно. Этим же сигналом с блока 7, поступающим на
блок 9, разблокируются внешние устройства (на них с соответствующих
входов 17 подается питание), компьютер переводится в штатный режим функционирования. Со входов 13 в блок 8 подается период контроля (например, перемычками на плате). Этот период должен превосходить период контроля активности, задаваемый со входа 4. Если за период, задаваемый со входов 13, программная компонента 1 передала сигнал (с предварительной аутентификацией), компьютер остается в штатном режиме. В противном случае блок контроля и управления 8 формиру­ется сигнал «Сброс (Reset)» на выходе 16 и одновременно размыкает внешние устройства с выхода 17. После этого компьютер может быть включен лишь посредством загрузки операционной системы с винчес­тера, при условии, что одновременно загружается и контролируемая про­граммная компонента защиты, в противном случае опять будет выра­ботан сигнал сброса. Входным сигналом «Сброс (Reset)* система переводится в исходное состояние.
С учетом сказанного можем сделать вывод, что преимуществом реализа­ции рассмотренной технологии программно-аппаратной защиты являет­ся то, что противодействие оказывается всей совокупности угроз (как угрозе загрузки системы без ПО системы защиты, так и угрозе перевода ПО системы защиты в пассивное состояние в процессе функционирова­ния). Причем противодействие осуществляется вне зависимости от того,
какой канал перевода программной компоненты системы защиты в пас­сивное состояние использован злоумышленником, в том числе и неиз­вестный скрытый канал, т.е. задача защиты решается в общем виде.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика