LaGrande — технология защиты информации

Виктор Рудометов, Евгений Рудометов

Защищенное исполнение

Аттестация

Защищенное хранилище данных

Доверительный канал

Аппаратные компоненты LaGrande

 

Решая проблему защиты информации, обрабатываемой с помощью компьютерных средств, корпорация Intel в рамках московского Форума IDF представила новые перспективные решения. Одним из них является технология LaGrande, которая, по мнению специалистов, обеспечивает высокий уровень аппаратно-программной безопасности компьютерной информации.

Б лагодаря прогрессу в полупроводниковых и компьютерных технологиях человечество стремительно переходит от индустриального этапа к этапу информационных технологий. Снижение стоимости компьютеров при увеличении их мощности и расширении функциональных возможностей способствовало активному применению их в различных сферах человеческой деятельности, связанной с обработкой информации.

В условиях рыночной экономики информация приобретает особую ценность. Множество высокопрофессиональных специалистов занимаются сбором и обработкой информации, полученной не только легальным путем, но и с нарушением закона. При этом противоправные действия осуществляются с использованием всех достижений современной IT-индустрии.

В настоящее время предлагается много специальных электронных средств, предназначенных для несанкционированного доступа к информации. Такие устройства различаются техническими параметрами, потребительскими свойствами, ценой. В большинстве случаев в основе подобных средств лежат довольно простые принципы и схемотехнические решения, обеспечивающие доступ к данным, включая обрабатывающиеся с помощью компьютерных средств.

Значительную часть этих данных составляет конфиденциальная информация, которая по своему характеру и содержанию особенно ценна. Она нуждается в адекватной защите от несанкционированного доступа, в результате которого возможно ее незаконное копирование, а также различные формы искажения, в том числе частичное или полное разрушение.

Для современного общества, функционирование которого основано на жестких рыночных механизмах, информация является чрезвычайно ценным и высоколиквидным товаром. И, как любой ценный товар, информация обладает определенной привлекательностью для похитителей, желающих получить доход от ее нелегального копирования, использования и/или перепродажи заинтересованным лицам. В качестве такой информации может выступать не только, например, какая-либо технология или чертежи, но и производственные планы, финансовые отчеты фирм, а также результаты конфиденциальных переговоров. Кроме того, определенную ценность для злоумышленников могут представлять сведения о частной жизни руководителей и рядовых сотрудников фирм, против которых осуществляются или планируются противоправные действия.

Необходимо отметить, что незащищенные каналы формирования и передачи информации очень уязвимы. К сожалению, во многих случаях даже неопытный хакер может нанести обладателю секретной, но не защищенной надлежащим образом информации ощутимые убытки. Ущерб же от деятельности хорошо подготовленных злоумышленников-хакеров может быть невосполнимым. Об этом говорит статистика компьютерных преступлений последних лет, свидетельствующая о многомиллиардных убытках, которые понесли десятки известных фирм. И это только известные, освещенные в прессе случаи, — в действительности же их гораздо больше. Сокрытие подобных фактов часто связано с тем, что многие фирмы предпочитают их не афишировать, как и понесенные в результате убытки, поскольку это негативно отражается на репутации фирмы, которая не смогла обеспечить должный уровень защиты своей информации.

Сознавая всю сложность задачи обеспечения адекватной защиты компьютерных программ и данных, над поиском эффективных решений работает большое количество разных фирм. Не осталась в стороне и корпорация Intel, ученые и инженеры которой предложили свою концепцию информационной безопасности — технологию LaGrande, предусматривающую использование аппаратных решений, которые реализованы на уровне компьютерных компонентов. Такими компонентами в первую очередь являются процессоры и чипсеты, дополнительные функции которых, связанные с обеспечением защиты конфиденциальных данных от несанкционированного доступа, по замыслу разработчиков должны поддерживаться специализированными программными средствами.

О серьезности намерений корпорации Intel говорит тот факт, что данную технологию анонсировали представители высшего руководства. Более того, технология LaGrande была названа одним из приоритетных направлений, которым будет уделяться основное внимание. В число этих направлений, которые Пол Отеллини, президент и исполняющий директор фирмы Intel (Paul Otellini, President, Chief Operating Officer, Intel Corporation), перечислил на первом осеннем Форуме IDF (Intel Developer Forum), состоявшемся в сентябре 2003 года в Сан-Хосе (шт. Калифорния, США), также входят:

• Hyper-Threading Technology;

• Centrino Mobile Technology;

• Vanderpool Technology.

Кстати, именно в рамках осеннего Форума IDF была проведена первая презентация технологии LaGrande. Специалистам, прибывшим на форум из разных стран, были продемонстрированы некоторые особенности ее работы, связанные с защитой компьютерной информации от попыток несанкционированного доступа.

В качестве примеров возможных способов хакерского взлома демонстрационных систем использовались:

• протоколирование нажатий клавиш на компьютерной клавиатуре;

• отслеживание информации в видеобуфере;

• анализ дампа оперативной памяти.

Все три способа имитируемой хакерской атаки на систему, в которой не применялась новая технология защиты компьютерной информации LaGrande, закончились удачно. В результате несанкционированного доступа к конфиденциальным данным, хранимым в компьютере, воображаемый хакер получил ожидаемые номера кредитных карточек, которые реальный злоумышленник мог бы использовать в корыстных целях.

Однако в случае защиты компьютерной системы средствами фирменной технологии LaGrande имитируемая атака не увенчалась успехом, что, по мнению сотрудников Intel, проводивших демонстрацию, является убедительным доказательством высокой эффективности этой технологии информационной защиты.

К сожалению, в докладе не было рассказано, как именно работает новая технология. Кроме того, не уточнялись ни конфигурация системы, ни особенности ее архитектуры, ни подробности внутренней структуры используемых комплектующих и электронных элементов. В ходе демонстрации работы LaGrande не были очерчены сферы применения данной технологии защиты, что могло бы прояснить, против каких атак она эффективна, а против каких — все-таки бессильна.

Тем не менее сделанный доклад и проведенная демонстрация дают все основания утверждать, что крупнейшие фирмы отрасли, озабоченные ростом числа компьютерных преступлений, серьезно занялись проблемами информационной безопасности.

Как и ожидалось, тема защиты компьютеров с помощью технологии LaGrande получила продолжение. Это произошло на московской сессии Форума IDF, которая состоялась в октябре 2003 года. Следует напомнить, что это был уже второй случай проведения Форума IDF в Москве. Именно во время этого мероприятия специалисты в области аппаратно-программного обеспечения и представители СМИ узнали некоторые подробности о новой технологии компьютерной защиты. В рамках направления «Аппаратное обеспечение» был проведен семинар, полностью посвященный технологии LaGrande. В качестве докладчика на нем выступал Давид Граурок, ведущий специалист компании Intel и один из авторов новой эффективной концепции информационной безопасности LaGrande.

Следует отметить, что ведущие специалисты отрасли уже неоднократно предпринимали попытки повысить уровень безопасности как отдельных узлов, так и компьютерных систем в целом (рис. 1). Несмотря на бесспорные успехи в этой области, эффективные, но, как правило, сложные и сравнительно дорогие средства защиты информации мало подходят для массового пользователя. А уровня безопасности, предоставляемого простыми и дешевыми программно-аппаратными средствами, во многих случаях недостаточно — на это постоянно указывает растущее количество атак на информационные ресурсы пользователей. При этом необходимо учитывать и то обстоятельство, что с каждым днем повышается изощренность и эффективность легко доступных для хакеров средств организации всевозможных атак на системы индивидуальных и корпоративных пользователей с целью несанкционированного доступа к конфиденциальным данным и даже частичного или полного нарушения работоспособности систем.

 

Рис. 1. Эволюция средств защиты информации

Чтобы противостоять этой опасности, фирма Intel совместно с рядом других гигантов индустрии и создает новую концепцию информационной безопасности. К слову сказать, технологию LaGrande поддерживают такие крупные фирмы, как Microsoft, Fujitsu, Nec, HP, Fujitsu Siemens, IBM, Lenovo и др. При этом с целью достижения максимально возможного уровня безопасности изменению подлежит большинство элементов компьютеров на аппаратном уровне.

Планируется, что новая технология защитит конфиденциальные данные на персональном компьютере, проводные, беспроводные и удаленные средства связи, а также всевозможные коммерческие транзакции, включая те, что связаны с электронной коммерцией и финансовой деятельностью. Подразумевается, что специализированные средства защиты будут предотвращать программные атаки на систему и аппаратно-программные элементы сети. Кроме того, разрабатываемые средства будут ставить барьеры непреднамеренному раскрытию информации, что довольно часто происходит по причине некачественного программного обеспечения. При этом в ходе доклада было подчеркнуто, что значительную часть аппаратных атак разрабатываемая система безопасности не сможет предотвратить. В качестве вариантов аппаратных атак можно привести, например, взлом сейфа, в котором находится пароль, или вскрытие корпуса персонального компьютера.

Естественно, потенциальных пользователей не могут не волновать такие аспекты нововведений аппаратно-программных средств информационной защиты, как легкость использования, управляемость, конфиденциальность, обратная совместимость, влияние на производительность и универсальность.

Действительно, чрезвычайно сложно внедрить новую, пусть даже перспективную технологию, если для этого нужно переписать большую часть программного обеспечения, а пользователям новых систем — прочитать несколько умных книг, прежде чем приступить к работе. Успешность новой технологии, естественно, зависит и от результирующей производительности, которая из-за введения многочисленных циклов многоуровневого контроля может значительно снизиться. Поэтому создается система, по возможности свободная от перечисленных недостатков.

Одна из самых распространенных атак — это атака на пароль (рис. 2). Такого рода несанкционированный доступ можно проследить на следующем примере. Предположим, пользователь хочет получить авторизованный доступ к приложению. Обычная последовательность действий:

1. Выводится соответствующее окно на экране для ввода пароля.

2. Пользователь вводит затребованный пароль.

3. Введенный пароль проверяется.

4. В случае корректного ввода пароля предоставляется доступ.

 

Рис. 2. Атака на пароль

Возможные варианты атаки на систему:

1. Поддельный экран для ввода пароля. Злоумышленник помещает на экран дисплея свое программное окно для ввода пароля. Ничего не подозревающий пользователь вводит пароль, который затем попадает к атакующему.

2. Считывание пароля с клавиатуры. На пользовательский компьютер устанавливается специальная программа, которая записывает все нажатия клавиатуры (keyboard sniffer), а затем посылает эти данные злоумышленнику, осуществляющему несанкционированный доступ к информации.

3. Считывание пароля из памяти. Поскольку в системе выполняются программные ввод и проверка пароля, пароль попадает в оперативную память и его можно прочитать непосредственно из этой памяти.

4. Модификация приложения для игнорирования ввода пароля. Злоумышленник подправляет код программы таким образом, чтобы окно авторизации не появлялось.

Результат всех перечисленных атак одинаков: злоумышленник получает пароль и доступ к необходимому приложению или к системе в целом со всеми необходимыми средствами доступа к ресурсам и конфиденциальным данным.

В последнее время довольно часто описанные атаки становятся успешными из-за общеизвестных уязвимых мест современных архитектур персональных компьютеров и программного обеспечения. Это, например, следующие особенности архитектуры (рис. 3):

экран пользователя. Доступ к буферу графических кадров. Результат: ПО видит и/или изменяет информацию, доступную визуальному контролю пользователя;

пользовательские устройства ввода. Доступ к данным, вводимым через компьютерную клавиатуру и мышь. Результат: ПО «видит» и/или изменяет то, что вводит пользователь;

процессор/память. Ring 0-доступ к памяти. Результат: ПО проникает в память, находит, захватывает и меняет настройки, данные, пароли, ключи и т.д.;

DMA (Direct Memory Access). Доступ к памяти через контроллер DMA. Следует напомнить, что прямой доступ к памяти — DMA — создан для повышения производительности компьютеров. К сожалению, необходимо отметить, что наличие DMA приводит к снижению уровня безопасности. Результат: ПО получает доступ к защищенной памяти напрямую через контроллер DMA. Даже если будет защищен процессор, DMA позволит обратиться к памяти минуя процессор, открывая таким образом неконтролируемые пути для возможных программных хакерских атак.

 

Рис. 3. Уязвимые места архитектуры компьютера

Таким образом, программные атаки могут предоставить злоумышленникам возможность считывания содержимого памяти с целью доступа к конфиденциальной информации, хранящейся и обрабатываемой в компьютерах. Кроме того, целью подобных атак может быть модификация памяти (значения данных и кодов программ), манипулирование вводом-выводом, изменение запросов на информацию. В целях борьбы с перечисленными и некоторыми другими опасными для пользователей действиями, а также для снижения угрозы в целом были разработаны четыре основных требования к проектированию аппаратно-программной платформы LaGrande:

• защищенное исполнение;

• аттестация;

• защищенное хранилище данных;

• доверительные каналы и пути передачи информации.

Защищенное исполнение

В основе безопасного для компьютерной информации системного исполнения лежит такое введенное разработчиками абстрактное понятие, как «кирпичная стена» (Brick Wall). Она предназначена для защиты программ и данных и по замыслу специалистов является непреодолимым барьером для атак хакера, пытающегося взломать приложение (рис. 4) и получить несанкционированный доступ к информации.

 

Рис. 4. «Кирпичная стена» как защита кода приложения и данных

Защищенное исполнение компьютерных систем не позволяет злоумышленнику получить доступ к ресурсам приложения, включая контроль над процессом выполнения и все, что с ним связано. Кроме того, для злоумышленника становится недоступной информация о программных потоках, ассоциированных с выполняемой программой страниц памяти. При этом осуществляется разделение на аппаратном уровне процесса исполнения кода, используемой памяти и устройств компьютера. Лишь аппаратное разделение может в какой-то степени обеспечить высокий уровень безопасности, гарантирующий, что программные средства не смогут обойти этот вариант защиты компьютерных ресурсов и данных.

В начало В начало

Аттестация

Обычно пользователь, озабоченный охраной своей конфиденциальной информации, старается выбрать и приобрести систему аппаратно-программных средств, обеспечивающих необходимый ему уровень информационной защиты. Однако в таких случаях всегда возникает проблема измерения надлежащих параметров, характеризующих уровень безопасности программ и данных.

Решить проблему поможет аттестация платформ. Предположим, что пользователю доступны несколько разных компьютеров. Однако только в один из них встроена защита. Устройство аттестации поможет выделить защищенный компьютер из других и сообщит о его свойствах. При этом указанный механизм, конечно, должен быть надежным и поддающимся проверке.

Следует отметить, что аттестационному устройству нужна соответствующая гарантия, а механизмы хранения и оповещения должны быть защищены. Информация о том, каким образом создавалась «кирпичная стена», позволяет судить о защищенных ею приложениях.

Для аттестации требуются:

• точная идентификация;

• хранение информации об идентификации;

• поддающееся проверке сообщение об идентификации;

• модуль TPM (Trusted Platform Module), предоставляющий платформе аттестационное устройство. Он имеет генератор случайных чисел, благодаря чему гарантирует криптографическую уникальность сообщений и представляет хранилище для защищенной платформы.

К этому списку обычно добавляют и возможность надежного хранения данных, в том числе и без питания. Вся информация о способе построения «кирпичной стены» хранится в модуле TPM. Для реализации технологии LaGrande требуется версия TPM  1.2.

Другими словами, при аттестации происходит аппаратное подтверждение защищенности среды. Пользователь вводит новую конфиденциальную информацию лишь в такую среду, в защищенности которой он уверен на основании аттестации.

В начало В начало

Защищенное хранилище данных

Защита компьютерной информации обеспечивается с помощью опечатанного хранения, представляющего собой сочетание идентификации и шифрования. Опечатанные данные доступны только в том случае, когда необходимые сведения есть в TPM. Следует отметить, что этот способ гарантирует, что данные будут доступны только в известной среде. Опечатывание данных в «кирпичной стене» гарантирует, что эти данные будут доступны только той же уникальной «кирпичной стене» (рис. 5). Изменение параметров барьера меняет показатели идентификации и приводит к недоступности данных.

 

Рис. 5. Платформа в целом

Опечатанное хранилище обеспечивает доступ к конфиденциальной информации, находящейся в компьютере, только из идентифицированной ранее среды.

В начало В начало

Доверительный канал

Доверительный канал позволяет двум устройствам компьютера передавать данные с большой степенью уверенности в том, что эти данные не могут быть изменены или считаны третьей стороной. Технология LaGrande на аппаратном уровне призвана создавать такие каналы, а операционная система, обеспечивающая поддержку данной технологии, должна их использовать для связи между приложениями и устройствами. По замыслу разработчиков LaGrande это обеспечит высокий уровень защиты компьютерной информации.

Яркими примерами использования доверительных каналов в защищенной системе могут служить доверительный ввод-вывод.

При аппаратно-программной реализации доверительного ввода в первую очередь создается соответствующий защищенный канал между клавиатурой или мышью и управляющим приложением. Конечно, в этом случае операционной системе придется использовать специальные процедуры для получения данных с устройства.

При создании доверительного вывода канал создается уже между видеосредствами, к которым относятся графические приложения и адаптер дисплея. Следует отметить, что для достижения поставленных целей разработчикам и производителям необходимо будет соответствующим образом перепроектировать и наладить выпуск специальных устройств ввода-вывода.

Рассматривая концепцию доверительных каналов, необходимо понимать, что конечным пользователям, желающим воспользоваться всеми преимуществами перспективной технологии защиты компьютерной информации, придется переходить на новые платформы. А это означает замену практически всего существующего аппаратного обеспечения, вплоть до клавиатуры, не говоря уже о таких комплектующих, как видеоадаптер, материнская плата с чипсетом и, конечно, процессор. Кроме того, необходима также высокая надежность выполняемых приложений, обеспечивающих создание и поддержку работы доверительных каналов.

Итак, для конструирования защищенных систем в качестве одного из важнейших компонентов необходимы доверительные каналы. Только благодаря им пользователи смогут быть уверены в безопасности каналов связи, а также в том, что работа осуществляется с соответствующим приложением, а не с тщательным образом замаскированной программой хакера.

В качестве примера использования доверительного канала для обеспечения безопасности можно рассмотреть описанную ранее атаку на пароль, но теперь с применением данного компонента технологии LaGrande:

1. Поддельный экран для ввода пароля. Для обеспечения высокого уровня защиты необходимо задействовать доверительный вывод. При попытке вывода на экран информации по незащищенному каналу пользователь будет соответствующим образом проинформирован, что позволит ему принять надлежащие меры.

2. Считывание пароля с клавиатуры. При использовании доверительного ввода пользователь может быть уверен в защищенности вводимой информации.

3. Считывание пароля из памяти. Способ защиты — защищенное исполнение. В результате атакующему не удастся проникнуть к информации, хранимой в памяти. Использование защищенной памяти также не позволяет с помощью DMA считывать или изменять данные и программы в защищенной памяти.

4. Модификация приложения для игнорирования ввода пароля. Данная атака невозможна, если исполнение приложения является защищенным.

В начало В начало

Аппаратные компоненты LaGrande

Как можно судить на основе рассмотренных особенностей технологии LaGrande, ее реализация потребует соответствующего изменения большинства элементов аппаратно-программного обеспечения современного компьютера.

Модифицированный вариант центрального процессора компьютера должен будет управлять режимами работы защищенных вариантов модулей оперативной памяти и допускать разделение доменов.

Необходимо отметить, что для поддержки технологии LaGrande соответствующие изменения придется внести и в архитектуру наборов микросхем системной логики  — в чипсеты (рис. 6).

 

Рис. 6. Защищенная архитектура компьютера

В микросхеме, выполняющей функции северного моста (North Bridge), с помощью встроенных, модифицированных согласно требованиям технологии LaGrande контроллеров потребуется реализовать управление защищенной памятью и организацию доверительного канала с графической подсистемой. Изменениям подвергнется и шина процессора FSB (Front-Side Bus). Кстати, следует отметить, что, несмотря на значительные изменения алгоритмов работы с оперативной памятью, сами микросхемы и модули памяти не нуждаются в модификации.

Следующий компонент чипсета, выполняющий функции традиционного южного моста (South Bridge), должен будет устанавливать защищенные каналы работы с устройствами ввода.

Кроме перечисленных традиционных компонентов, в системе появится и новый элемент  — TPM-модуль, в котором будут храниться ключи, цифровые сертификаты и аттестационные удостоверения. Он же будет обеспечивать аутентификацию платформы в целом.

В заключение необходимо отметить, что технология LaGrande — это универсальный набор аппаратных компонентов, проектируемых в соответствии с новейшими концепциями защиты компьютерных данных. Основой новых платформ являются модифицированные процессоры, чипсеты, видеоадаптеры, средства ввода-вывода и модули TPM.

Данная технология создает аппаратную основу, помогающую защитить компьютерную информацию от разного рода программных атак. Используя хорошо известные алгоритмы, платформа с технологией LaGrande создает безопасную среду для конфиденциальной информации, транзакций и других бизнес-операций.

 

 

Виктор Рудометов (victorr@digdes.com), разработчик ПО, Microsoft Certified Digital Design (www.digdes.com).

Евгений Рудометов (rudometov@softhome.net), канд. техн. наук, IT-консультант, IBM Certified.

КомпьютерПресс 4'2004

Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует