Модули доверенной загрузки. Преимущества и особенности

Автор: Иван Кадыков, руководитель продуктового направления компании «ИнфоТеКС»

Введение

Производители средств информационной безопасности, разрабатывая свои системы защиты конечных точек, традиционно основное внимание уделяют программным продуктам, отвечающим за безопасность операционной системы (ОС). При этом часто упускается из вида ситуация, при которой угроза информационной безопасности может возникнуть еще до старта операционной системы, в процессе загрузки BIOS.

BIOS (Basic Input-Output system) и его современная «модификация», UEFI (Unified Extensible Firmware Interface), предназначены для корректной инициализации оборудования при включении устройства и передачи управления загрузчику или непосредственно ядру ОС.

Благодаря открытым спецификациям UEFI BIOS, любой разработчик может написать свой код для запуска в низкоуровневой среде. Необходимо отметить, что код могут создавать как производители компьютерного оборудования, которые адаптируют UEFI BIOS к конкретным аппаратным средствам или собственным задачам, так и злоумышленники, но уже с целью получения контроля над компьютером, например, путем создания bootkit. Размещаясь в BIOS bootkit способен внедряться в процесс загрузки ОС и запускать зловредный код. В последние годы случаи обнаружения подобных угроз учащаются и это становится серьезной проблемой:

• В 2020 году специалисты «Лаборатории Касперского» обнаружили UEFI-bootkit Mosaic Regressor. Он заставлял операционную систему запустить вредоносный файл, который далее связывался с сервером управления, архивировал и передавал на сервер документы, с которыми работали на зараженном компьютере.
• Другой bootkit, обнаруженный этой же компанией в 2021 году, получил название MoonBounce. Его отличительной особенностью было то, что вредонос внедрялся во флэш-память SPI (Serial Peripheral Interface), расположенную на материнской плате. Использовался bootkit для развертывания еще одного вредоносного кода в ОС, который обращался к командному серверу за инструкциями. Интересная особенность этой цепочки заключалась в том, что она не оставляла следов на жестком диске, а выполнялась только в оперативной памяти.
• В 2021 году специалистами ESET был обнаружен зловред — ESPecter, который давал возможность установить контроль над процессом загрузки ОС. Судя по всему, он был разработан с целью слежки за выводом данных, получения скриншотов с экрана компьютера и сигналов от клавиатуры (кейлогинга).

Основной особенностью UEFI-bootkit является тот факт, что он запускается до операционной системы и контролирует все процессы «на старте», его практически невозможно обнаружить штатными средствами ОС или антивирусными программами. И его практически невозможно удалить, не помогают ни переустановка операционной системы, ни даже замена жесткого диска. Единственный способ — обновление BIOS.

Помимо внедрения bootkit, злоумышленники научились успешно использовать уязвимости UEFI. Например, уязвимость BootHole была найдена в загрузчике GRUB 2 (GRand Unified Bootloader version 2) протокола Secure Boot. Данный протокол отвечает за проверку электронной цифровой подписи выполняемых EFI-приложений с помощью ключевой информации, хранящейся в системе. Если ключи не совпадают, Secure Boot отказывается от выполнения любой загрузки. Уязвимость BootHole дает возможность управлять процессами загрузки оборудования в обход Secure Boot. Использование данной уязвимости позволяет, например, внедрить bootkit в UEFI BIOS или загрузить любую ОС. Даже включение режима безопасной загрузки, который должен проверять все подозрительные действия загрузчика, не защищает от уязвимости BootHole.

Принимая во внимание все вышесказанное, можно заключить, что среда UEFI BIOS может таить угрозы, поэтому ей требуется дополнительная защита. Одним из инструментов защиты могут выступать модули доверенной загрузки (МДЗ), позволяющие решать следующие задачи:

• Предотвращать атаки на BIOS (в том числе нелегитимные обновления).
• Препятствовать нарушению целостности.
• Предотвращать нарушение процесса загрузки штатной ОС.

Рынок отечественных МДЗ

Рынок МДЗ в России формировался постепенно и при активном участии регуляторов сферы информационной безопасности. Первой требования к модулям доверенной загрузки выпустила ФСБ России, введя в том числе, определение аппаратно-программных модулей доверенной загрузки (АПМДЗ).

В 2013 году уже ФСТЭК России подготовила свои требования к средствам доверенной загрузки. В документе, опубликованном регулятором, появилось разделение на программные и аппаратно-программные средства доверенной загрузки.

Функционально программные и аппаратные модули доверенной загрузки схожи, многие механизмы защиты, предусмотренные в АПМДЗ, могут быть реализованы программно на уровне UEFI. Такое положение дел было зафиксировано в новых требованиях к модулям доверенной загрузки, выпущенных ФСБ России в 2020 году. Регулятор добавил в требования возможность сертификации не только аппаратно-программных, но и программных модулей.

Таким образом оба регулятора начали сертифицировать модули доверенной загрузки как в программном, так и в аппаратном исполнении.

Принимая во внимание дефицит комплектующих, с которым столкнулись российские производители аппаратных модулей в 2022 году, использование программных МДЗ может стать в ближайшем будущем единственным доступным вариантом.

Ниже мы подробнее рассмотрим особенности программных МДЗ на примере ViPNet SafeBoot от компании «ИнфоТеКС».

ViPNet SafeBoot

Сертифицированный высокотехнологичный программный модуль доверенной загрузки ViPNet SafeBoot, предназначенный для установки в UEFI BIOS различных производителей. Он обеспечивает защиту программных комплексов, мобильных устройств, серверов (в том числе и серверов виртуализации) от различных угроз несанкционированного доступа на этапе загрузки и от атак на BIOS.

ViPNet SafeBoot можно использовать для идентификации и аутентификации пользователей, разграничения доступа на основе ролей, а также организации доверенной загрузки операционной системы.

Программный модуль сертифицирован ФСТЭК России в соответствии с требованиями руководящих документов к средствам доверенной загрузки уровня базовой системы ввода-вывода 2 класса, что позволяет использовать продукт для защиты государственных информационных систем до класса защищенности К1 включительно, для обеспечения 1 и 2 уровня защищенности персональных данных и автоматизированных систем управления технологическим процессом до 1 класса защищенности.

В ViPNet SafeBoot 3.0 реализованы новые требования ФСБ России к механизмам доверенной загрузки ЭВМ, что значительно расширяет возможность применения данного продукта на российском рынке.

Преимущества программного МДЗ

Оперативность реагирования на угрозы

За счет того, что программные модули доверенной загрузки расположены внутри микросхемы BIOS, их запуск начинается раньше, чем запуск программного обеспечения из ROM плат расширения, это позволяет применять защиту от потенциального вредоносного программного обеспечения раньше, чем это можно было бы сделать с помощью АПМДЗ.

Защитный механизм от Malware в UEFI

ViPNet SafeBoot блокирует запись malware в UEFI BIOS, с последующим его размещением в WPBT (Windows Platform Binary Table ) во время загрузки ОС, тем самым предотвращая запись вредоносного кода в WPBT во время загрузки ОС.

Защита на уровне SMM

В ViPNet SafeBoot реализован механизм, который позволяет контролировать выполнение SMM (system management mode) и программных SMI (system management interrupt). Программный модуль может отслеживать эти прерывания и блокировать выполнение привилегированных команд.

Неизвлекаемость

Еще одним преимуществом программных замков является их неизвлекаемость, в отличие от аппаратных исполнений МДЗ.

Этот недостаток аппаратно-программных замков можно компенсировать за счет организационных мер, например, опечатывание корпуса автоматизированного рабочего места, но эта процедура несет дополнительные финансовые и временные затраты.

Аутентификация по сертификатам

Преимуществом программных МДЗ является возможность использования технологии единого входа (SSO) для аутентификации как в самом МДЗ, так и в операционных системах, LDAP или других продуктах. Более того, в ViPNet SafeBoot реализован вход по сертификату, записанному в память токена, защищенную пин-кодом и возможность работы как с российскими, так и западными сертификатами.

Стоимость владения

Последнее, но немаловажное преимущество — стоимость. Программные модули доверенной загрузки не требуют использования платы расширения, из-за отсутствия затрат на комплектующие, стоимость разработки и изготовления программного модуля, в том числе ViPNet SafeBoot, в разы ниже аппаратно-программных аналогов.

Это обусловлено тем, что отсутствуют затраты на покупку компонентной базы, логистику, как до места изготовления АПМЗД, так и до конечного потребителя. Отсутствует необходимость замены устройств по истечении срока службы. Программный МДЗ не имеет аппаратной составляющей, которая способна выйти из строя.

---

Подводя итоги вышесказанному, хочется отметить, что программные модули доверенной загрузки, не уступая по функциональности программно-аппаратным замкам, могут стать надежным, обладающим рядом преимуществ и более выгодным решением. А с учетом отсутствия комплектующих для АПМДЗ, в ближайшей перспективе, возможно и единственным.

Узнать подробнее о ViPNet SafeBoot