Журнал "Information Security/ Информационная безопасность" #6, 2019

позиции. Сейчас такие средства существуют для всех типов ПЭВМ и, видимо, в ближайшем будущем их линейка будет раз- виваться параллельно развитию СВТ, несмотря на то, что они (и аналогичные СЗИ НСД с дру- гими названиями и от других разработчиков) дороги, сложны в настройке и усложняют заку- почные процедуры. Кроме СДЗ, на платформе РКБ можно реализовывать (и уже есть примеры) и другие защитные функции. Идеология РКБ воспринята многими мировыми производи- телями систем безопасности и даже была стандартизована на Западе как специализирован- ный модуль для доверенных вычислений – TPM (Trusted Plat- form Module). Представляется, что в дальнейшем системы на базе идеологии РКБ – TPM будут развиваться особенно эффективно, воплощая второй путь решения конфликта на почве ресурсов. Этот путь – создание средств вычислительной техники, кото- рые изначально, без встраива- ния дополнительных СЗИ, будут осуществлять контрольные функции. Такой подход являет- ся естественным развитием идеи РКБ – TPM для универ- сальных ПЭВМ с фон-Нейма- новской архитектурой: внедре- ние защитных механизмов все глубже и глубже в состав аппа- ратных средств, вплоть до реа- лизации блока защиты в соста- ве процессора. О такой техно- логии впервые заговорили в 2002 г., тогда она получила название La Grande. Но она не получила развития и на сего- дняшний день уже совершенно забыта, однако другие анало- гичные встроенные средства, построенные на тех же самых принципах, распространены уже достаточно широко, и все они являются зарубежными. Они могут быть нацелены на обес- печение целостности и защиту от вредоносного воздействия на микропрограмму СВТ, в част- ности BIOS: Intell Boot Guard, AMD Hardware Validated Boot, White List. Задача других средств защиты – обеспечить целостность и аутентичность загружаемой операционной системы: Secure Boot, TPM, PCI White List. Но здесь есть подводные камни. Дело в том, что принятие решения в большинстве этих систем осуществляется на осно- ве проверки ЭП. Если ЭП про- граммы верна, то она будет выполняться. Таким образом, например, легко осуществлять контроль легальности про- граммного обеспечения: пират- ские копии просто не станут исполняться. Однако заметим, что если внутри контрольного модуля по ошибке или по злому умыслу окажется неправильный ключ проверки подписи, то не будут выполняться и легальные программы. При использовании такой уязвимости одномомент- но будут остановлены все ком- пьютеры с процессором, под- держивающим на аппаратном уровне эту технологию. Просто какая-то антиутопия! Еще одна проблема, связан- ная с такими механизмами, заключается в том, что (и это одна из их штатных задач) они не позволяют встроить в это же СВТ другие средства защиты. Разумеется, специалистами раз- рабатываются методики разной степени легальности для обхода этих ограничений (заметим, что использовать эти методики смо- гут, конечно, не только те, кто хотят встроить в СВТ дополни- тельные средства защиты). Неудивительно, что отече- ственными регуляторами уста- новлены преграды применению таких решений в государствен- ных информационных систе- мах: в них средства защиты, не сертифицированные в рос- сийских системах сертифика- ции, использоваться не долж- ны 2 . Не "должны дополняться сертифицированными", а не должны использоваться совсем. И точка. А коль скоро их нельзя легально устранить из СВТ, не должны использо- ваться и СВТ, в которые они встроены на этапе производ- ства. Intel Management Engine Особняком в ряду встроен- ных средств стоит подсистема Intel Management Engine, кото- рая в пресс-релизах Intel объ- является не предназначенной именно для защиты. Казалось бы, упомянутый выше запрет на оснащенные ею компьюте- ры формально не распростра- няется. Действительно, при- обретать компьютеры с IME можно, однако довольно пока- зательно, что их нельзя просто так ввозить в страну. Ввоз таких компьютеров оформ- ляется с учетом разрешитель- ных процедур, которые сопро- вождают ввоз зарубежной криптографии. Приобретение уже ввезенных и легализован- ных компьютеров – законно, но позиция государства выра- жена вполне прозрачно и воз- можность применения таких компьютеров в государствен- ных ИС неочевидна. IME имеет не контролируемый ни аппаратными, ни программ- ными средствами доступ к опе- ративной памяти компьютера, встроенному сетевому адапте- ру, контроллерам PCI, PCIe, USB и прочей периферии 4 . На данный момент полностью исходный код IME недоступен для независимых исследований и анализа. Энтузиастами пред- принимаются попытки дизас- семблирования кода IME и последующего анализа, кото- рые даже приводят к нахожде- нию недокументированных воз- можностей 5 , ошибок и уязви- мостей 6 . И компания Intel при- знает эти уязвимости и даже выпускает обновления, их устраняющие 7 . То есть компьютер с IME – это компьютер, внутри которого есть еще один компьютер с неизвестным функционалом, имеющий неограниченный 24 • СПЕЦПРОЕКТ Суть La Grande заключа- лась в том, что как бы "поверх" функциональных операций за счет специ- альных аппаратных средств организуется выполнение контрольных процедур. Для этого основные функ- циональные блоки компью- тера должны снабжаться резидентными компонента- ми безопасности, взаимо- действующими один с дру- гим и вырабатывающими сигнал тревоги, если нор- мальное течение операций нарушает ся. Все РКБ взаимодей- ствуют со специализирован- ным доверенным модулем TPM, который и принимает решение, продолжить про- цесс или прервать его. Встроенная во многие платформы на основе набо- ров микросхем Intel ® – это небольшая, имеющая малое энергопотребление компью- терная подсистема, назы- ваемая Intel ® Management Engine (intel ® ME). Intel ® ME выполняет различные зада чи, пока система находится в режиме сна, во время процесса загрузки и нор- мальной активности. Эта подсистема должна функ- ционировать корректно для достижения наивысшей производительности и функ- циональности вашего ПК" 3 . 2 См., например, методический документ “Меры защиты информации в государственных информационных системах" (утвержден ФСЭК России 11 февраля 2014 г., https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye- normativnye-dokumenty/805-metodicheskij-dokument) и многие другие нормативные методические документы. 3 Часто задаваемые вопросы об утилите проверки Intel® Management Engine. https://www.intel.ru/content/www/ru/ru/support/arti- cles/000005974/software/chipset-software.html. 4 Kumar A. Active Platform Management Demystified: Unleashing the Power of Intel VPro (TM) Technology, 2009, Intel Press. 5 Горячий М., Ермолов М. Выключаем Intel ME 11, используя недокументированный режим. https://habrahabr.ru/company/pt/blog/336242/. 6 Уязвимость Intel ME позволяет выполнять неподписанный код. https://habrahabr.ru/company/pt/blog/339292/. 7 Intel Q3’17 ME 6.x/7.x/8.x/9.x/10.x/11.x, SPS 4.0, and TXE 3.0 Security Review Cumulative Update. https://security- center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr.