Техническая защита информации в эпоху Intel Management Engine

Проведение изоляции Intel Management Engine от внешнего мира в случае невозможности отказа от использования средств вычислительной техники с чипсетами Intel. Обеспечение защиты от несанкционированного использования USB-портов измерительных приборов.

Рубрика Программирование, компьютеры и кибернетика
Вид статья
Язык русский
Дата добавления 03.05.2019
Размер файла 29,7 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

ОКБ САПР

Техническая защита информации в эпоху Intel Management Engine

Счастный Д.Ю.

С 2008 года Intel начала встраивать в свои чипсеты отдельную специализированную подсистему Intel Management Engine, которая сразу привлекла внимание специалистов по информационной безопасности. «Встроенная во многие платформы на основе наборов микросхем Intel® - это небольшая, имеющая малое энергопотребление компьютерная подсистема, называемая Intel® Management Engine (intel® ME). Intel® ME выполняет различные задачи, пока система находится во режиме сна, во время процесса загрузки и нормальной активности. Эта подсистема должна функционировать корректно для достижения наивысшей производительности и функциональности вашего ПК» [1] - это цитата с русскоязычной версии сайта Intel (с оригинальным вариантом можно ознакомиться по ссылке [2]), описывающая IME. IME имеет неконтролируемый ни аппаратными (на уровне процессора), ни программными средствами (на уровне операционной системы (ОС)) доступ к оперативной памяти компьютера, к встроенному сетевому адаптеру, к контроллерам PCI, PCIe, usb и прочей периферии [3]. На данный момент полностью исходный код IME недоступен для независимых исследований и анализа. Энтузиастами предпринимаются попытки дизассемблирования кода IME и последующего анализа, которые даже приводят к нахождению недокументированных возможностей [4], ошибок и уязвимостей [5]. И компания Intel признает эти уязвимости и даже выпускает обновления, их устраняющие [6]. Необходимо отметить, что найденные уязвимости признаются ФСТЭК и вносятся в Банк данных угроз безопасности информации [7-11]. По поводу одной из этих уязвимостей ФСТЭК России даже выпустила информационное письмо [12], предписывающее до появления обновления, нейтрализующего уязвимость, принять ряд жестких организационных мер, снижающих вероятность эксплуатации уязвимости.

Таким образом, можно констатировать, что внутри любого современного компьютера, построенного на базе чипсета от компании Intel, есть по сути еще одни компьютер, с неизвестным функционалом и имеющий неограниченный доступ к ресурсам основного компьютера. Очевидно, что есть три принципиальных пути снижения вероятности несанкционированной работы IME: отказаться от СВТ с чипсетами Intel, воздействовать на IME (удалить, запретить, модифицировать, внедрить собственный код внутрь) или изолировать IME от внешнего мира.

Отказ от СВТ с чипсетами Intel и переход на другие аппаратные платформы представляется наиболее правильным путем решения проблемы. Тем более, что альтернативные защищенные аппаратные варианты есть [13]. Но зачастую в силу различных организационных моментов (отсутствие необходимого программного обеспечения под другую аппаратную платформу, отсутствие специалистов, способных провести переход на другие аппаратные платформы, необходимость переобучения сотрудников работе с другой программной и аппаратной средой и т. п.) отказ от привычных инструментов (а СВТ - это все-таки инструмент) невозможен.

Все описанные в открытых источниках попытки пойти по второму пути и воздействовать каким-либо образом на IME не завершились успехом. Удаление IME приводило к неработоспособности СВТ. Штатного механизма отключения не существует. А попытки нештатного отключения [14] не дают стопроцентной уверенности в том, что эта подсистема полностью отключена. Внедрение собственного кода внутрь IME затруднено в силу закрытости технологии и предпринимаемых компанией Intel усилий по защите от такого внедрения. Компания Intel осознает все возможности, которые получает код, исполняющийся в IME, и разработало сложную криптографическую систему его защиты. По факту в IME может исполняться только код, подписанный на ключах Intel. чипсет несанкционированный вычислительный

Таким образом, в случае невозможности отказа от использования СВТ с чипсетами Intel остается путь изоляции IME от внешнего мира. В описанной выше парадигме (неконтролируемый компьютер с неограниченными возможностями по доступу к ресурсам основного компьютера ВНУТРИ этого основного компьютера) с подсистемой IME связаны следующие виды угроз:

· получение несанкционированного удаленного управления

· несанкционированная передача конфиденциальных данных за пределы основного СВТ.

В качестве возможных каналов для реализации обеих угроз в современных компьютерах на базе чипсетов Intel могут выступать Ethernet и USB. Кстати, в упомянутом выше информационном письме ФСТЭК [12] как раз и рекомендуется исключить неконтролируемые каналы связи, обеспечить защиту от несанкционированного использования USB-портов средств вычислительной техники (в том числе при помощи их опечатывания, а также отключения путем применения соответствующих настроек базовой системы ввода-вывода) и настроить межсетевые экраны соответствующим образом.

Подключаемые к USB-портам устройства (флешки, клавиатуры, мыши, токены, сканеры, принтеры, плоттеры, телефоны, фотоаппараты, жесткие диски) могут быть как каналом несанкционированного управления, так и приемником для несанкционированной передачи данных. Причем выполнять нештатные действия они могут в теневом режиме, незаметно для пользователя, подключившего их к USB-порту, параллельно с основным функционалом. По факту даже самая простая флешка представляет собой компьютер с собственным процессором и собственной памятью. Известен целый класс атак, называемый BadUSB, в основе которого лежит модификация firmware USB-устройств для выполнения несанкционированных действий процессором этих самых USB-устройств. Кроме того, существуют варианты реализаций штатных протоколов взаимодействия USB-устройств [15] с нештатными расширениями, которые могут быть использованы и как скрытые каналы управления, и как нелегальные хранилища для конфиденциальной информации.

На первый взгляд (учитывая многочисленные публикации о разнообразных DLP-системах) вопрос защиты от несанкционированного использования USB-устройств давно решен и его можно считать закрытым. Но не в случае с IME. Нужно помнить, что IME имеет прямой доступ к периферии (в том числе и к USB-контроллерам), минуя приложения и драйвера ОС. Программные агенты этих самых DLP-систем, функционирующие в ОС, могут определять наличие подключенных к портам устройств с некоторой задержкой, необходимой ОС для проведения работ по инициализации стека драйверов и извещения соответствующих агентов о подключении устройств к портам. И последующий контроль за обменом данными с устройством агенты DLP-систем могут проводить не ниже драйверов ОС. А IME может взаимодействовать с подключенными USB-устройствами напрямую через firmware USB-контроллера.

Следовательно, для нейтрализации такой угрозы средство контроля должно быть аппаратно независимым от целевой системы. В качестве такого средства контроля может выступать либо доверенный вычислитель, установленный непосредственно в подключаемое средство (по сути являясь частью этого USB-устройства), либо доверенный вычислитель, подключаемый в разрыв канала взаимодействия устройства и СВТ.

Устройства с интегрированным в них доверенным вычислителем существуют (это служебные носители (СН) «Транзит» и «Секрет» [16]). Эти устройства служат для хранения данных и характеризуются невозможностью несанкционированного изменения firmware. В контексте взаимодействия с IME их можно считать доверенными: они не создадут скрытый канал управления и на них нельзя будет незаметно вынести конфиденциальные данные за пределы СВТ.

В качестве доверенного вычислителя, подключаемого в разрыв канала могут быть разработаны либо переходники, с одной стороны подключаемые к USB-порту СВТ, а с другой предоставляющие штатный USB-разъем для подключения к ним целевых устройств, либо USB-хабы, которые также будут подключаться к USB-порту СВТ, а с другой стороны к ним будут одновременно подключаться несколько целевых устройств. Одним из основных свойств таких вычислителей должна быть невозможность несанкционированного изменения их firmware. Функциональное наполнение подобных устройств может быть самым разнообразным: они могут быть простыми фильтрами на уровне vid/pid подключаемого устройства, могут проводить процедуры аппаратной аутентификации подключаемых устройств по протоколам, аналогичным протоколам СН «Секрет», могут быть фильтрами протоколов взаимодействия, контролирующими четкое соответствие стандартам каждого подключаемого устройства.

Ситуация, описанная в предыдущей части в случае с USB-каналами, во многом повторяется и в случае с Ethernet-каналами. Также существуют мощные средства контроля (программные межсетевые экраны), также они оказываются бесполезными в случае необходимости контроля IME. Также для качественной защиты межсетевые экраны нужно делать независимыми от основного СВТ и устанавливать их в разрыв соединения Ethernet-контроллера и локальной вычислительной сетью (ЛВС), к которой подключается СВТ. И уже внутри этих вычислителей осуществлять контроль трафика, отфильтровывая нештатные нестандартные сетевые пакеты. Да, существуют аппаратные межсетевые экраны, но по сложившейся практике применения они устанавливаются на границе периметра ЛВС и защищают сеть целиком. Но не защищают СВТ в ЛВС друг от друга и от подключенного нештатно стороннего СВТ.

Ну и конечно, все эти технические средства должны быть тесно вплетены в регламенты и подкреплены строгими организационными мерами. Технологические процессы должны быть выстроены таким образом, чтобы не возникала необходимость подключать к локальным СВТ принтеры, плоттеры, сканеры и прочее важное офисное оборудование. Все неиспользуемые USB-порты должны быть заклеены соответствующими защитными знаками. Пользователи должны быть извещены о запрете подключения к незаклеенным USB-портам ничего, кроме выданных СН или прочих разрешенных устройств. Или все открытые USB-порты должны обеспечивать подключение устройств только через доверенные USB-хабы. На все Ethernet-соединения должны быть установлены персональные аппаратные межсетевые экраны. И все это оборудование должно быть настроено и поддерживаться в актуальном состоянии в течении всего жизненного цикла системы. Впору вернуться к первоначальной постановке задачи и еще раз рассмотреть вариант отказа от использования чипсетов Intel и переход на защищенные альтернативные варианты.

Все вышеперечисленные выкладки относятся к случаю защиты от угроз, связанных с IME, универсальных СВТ, построенных на чипсетах Intel. Если провести анализ предложенных решений, вычленить в них главное (аппаратную независимость), объединить доверенные вычислители в одном и сделать полученное в едином конструктиве, то получится резидентный компонент безопасности (РКБ) [17]. Ситуация очень похожа на ситуацию с настоящими аппаратными модулями доверенной загрузки (АМДЗ), устанавливаемыми на системную шину и самостоятельно принимающими решения. Но в отличии от ситуации с АМДЗ использовать какую-либо системную шину при защите от угроз, связанных с IME, нельзя. Поэтому нужно отказываться от идеи защищать универсальные СВТ и разрабатывать специализированные материнские платы. На этих материнских платах РКБ будет правильным образом физически подключен по всем интерфейсам и будет сам контролировать USB и Ethernet-каналы. Формально это будет единая материнская плата, устанавливаемая внутрь корпуса СВТ, но фактически это будет физическое объединение двух компьютеров (РКБ и чипсета от Intel). В этом случае получится решение на порядок более простое в эксплуатации, чем набор подключаемых к различным портам устройств при защите универсальных СВТ, так как для пользователя СВТ будет выглядеть как обычное СВТ с привычным набором портов, а администраторам информационной безопасности не нужно будет контролировать физические порты и корректность подключения доверенных вычислителей к ним.

Список литературы

1 Конявский В. А., Щербаков А. Ю. Специальный съемный носитель информации. Патент на полезную модель № 94751. 27.05.2010, бюл. № 15.

2 Конявский В. А. Управление защитой информации на базе СЗИ НСД «Аккорд». -- М.: Радио и связь, 1999. -- 325 c., ил.

Размещено на Allbest.ru

...

Подобные документы

  • Архитектура системных плат на основе чипсетов Intel 6 Series и Intel P67 Express. Технологии, используемые в Intel 6 Series: Smart Response, Intel Quick Sync Video, Технология Hyper-Threading, Технология Intel vPro. Ошибка в чипсетах Intel 6-й серии.

    реферат [3,3 M], добавлен 11.12.2012

  • Стратегия развития процессоров Intel. Структурная организация современных универсальных микропроцессоров. Особенности многоядерной процессорной микроархитектуры Intel Core, Intel Nehalem, Intel Westmere. Серверные платформы Intel c использованием Xeon.

    реферат [36,5 K], добавлен 07.01.2015

  • История развития корпорации Intel, ее финансовые показатели и планы на будущее. Основные программные продукты: C++ Compiler for Linux и for Windows, Visual Fortran Compiler for Windows, VTune Performance Analyzer. Защита информации Intel Anti-Theft.

    реферат [20,6 K], добавлен 02.04.2010

  • Характеристика процессоров линейки Intel. Знакомство с особенностями микропроцессора, предназначенного для настольных систем с поддержкой симметричной многопроцессорности. Pentium Pro как процессор Intel шестого поколения, совместимый с архитектурой x86.

    реферат [57,6 K], добавлен 25.07.2013

  • История развития фирмы INTEL. Развитие и выпуск процессоров INTEL. Обзор технологии ATOM. Обзор процессоров. Материнская плата Gigabyte GC230D. Ноутбуки на базе процессоров INTEL ATOM. Ноутбук MSI Wind U100-024RU, ASUS Eee 1000H, Acer One AOA 150-Bb.

    курсовая работа [233,0 K], добавлен 24.11.2008

  • История Intel, выпуск оперативной памяти для компьютера. Главные особенности построения бренда компании. Модели процессоров, выпускаемые корпорацией Intel. Виды подложек, используемых при производстве микросхем. Краткая история процессоров Pentium.

    реферат [28,8 K], добавлен 13.02.2013

  • Характеристика микропроцессоров Intel и AMD. Развитие и сравнение производительности микропроцессоров. Штаб-квартира компании AMD, ее производственные мощности. Описание бесплатной операционной системы Linux и ее возможности. Способы ввода информации.

    контрольная работа [25,4 K], добавлен 19.02.2009

  • Гнездовой или щелевой разъём центрального процессора для облегчения его установки. Стандартный слот типа Socket. История изменения и характеристики всех сокетов, используемых для установки процессоров Intel. Разработка новых интерфейсов компании Intel.

    реферат [202,4 K], добавлен 01.10.2009

  • Исследование уровня осведомленности об ERP-программе среди молодых специалистов Intel: каналы распространения информации среди студентов, популярные веб-сервисы. Недостатки каналов вовлечения и эффективность группы. HR-метрики и узнаваемость бренда.

    реферат [525,4 K], добавлен 13.01.2017

  • Первые машины вычисления. Осуществление прорыва в области вычислительной техники. Процессоры пятого поколения. Развитие микропроцессоров Intel Pentium и Intel Pro. Языки программирования высокого уровня. Внутренняя оперативная память процессора.

    реферат [28,2 K], добавлен 07.10.2013

  • Функциональная схема микропроцессора Intel 8086 (i8086). Формирование физического адреса памяти, выборка команд из памяти и запись их в очередь команд. Система команд процессора. Суть защищенного режима, переход из защищенного режима в реальный режим.

    практическая работа [93,3 K], добавлен 24.03.2013

  • Загальна інформація про створення суперкомп’ютера Stampede. Аналіз прискорювача Intel Xeon Phi - карти Intel, архітектури Intel Xeon Phi, апаратної частини. Екскурсія по суперкомп’ютеру Stampede. Опис особливостей мережі. Характеристики сховища даних.

    реферат [2,8 M], добавлен 19.06.2015

  • Характеристика одноядерных и двухъядерных процессоров линейки Intel, история их развития. Знакомство с особенностями микропроцессоров, предназначенных для систем с поддержкой симметричной многопроцессорности. Pentium II и следующие поколения Pentium.

    реферат [30,0 K], добавлен 27.11.2013

  • Ознайомлення з історією заснування Intel. Дослідження роботи представництва даної корпорації в Україні. Загальна характеристика комп'ютерних процесорів фірми; структури мікросхем. Опис розвитку процесу кешування. Особливості партнерства з Apple.

    курсовая работа [4,7 M], добавлен 27.07.2015

  • Некоторые проблемы, испытываемые в последнее время Intel при разработке эффективных многоядерных процессоров. Традиционная процессорная FSB шина параллельного типа Quad Pumped, ее замена последовательным интерфейсом, используемым в процессорах AMD.

    лабораторная работа [818,7 K], добавлен 22.03.2015

  • Процессоры Intel Core 2 Duo, энергопотребление. Размер кристалла Core 2 Duo и число транзисторов. Технологии управления энергопотреблением Core 2 Duo. Ultra Fine Grained Power Control. Индикация энергопотребления процессора/PSI-2. Цифровые термодатчики.

    курсовая работа [5,4 M], добавлен 16.01.2009

  • Первичные компоненты, использовавшиеся в системных платах персонального компьютера. Архитектура чипсетов Intel на примере North/South Bridge. Интерфейс между процессором и остальной частью системной платы. Современные чипсеты Intel, их структурная схема.

    презентация [2,0 M], добавлен 27.08.2013

  • История создания и развития компьютерных процессоров Intel. Изучение архитектурного строения процессоров Intel Core, их ядра и кэш-память. Характеристика энергопотребления, производительности и систем управления питанием процессоров модельного рядя Core.

    контрольная работа [7,6 M], добавлен 17.05.2013

  • Разработка программного обеспечения, эффективно использующего вычислительные ресурсы за счет одновременного исполнения кода на нескольких вычислительных узлах. Обзор компании Intel в использовании инструментов и языков параллельного программирования.

    реферат [1,7 M], добавлен 25.12.2011

  • Анализ материнской платы Intel D815EEA, установка процессора. Хаб Графики и Памяти 82815E – GMCH, Южный мост. Описание программного Хаба 82802AB, слотов PCI и CNR, слотов памяти. Опциональные звуковые чипы. Цифровой видеовыход Digital Video Out.

    лабораторная работа [571,2 K], добавлен 11.05.2010

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.