Можно ли защититься от слежки и кражи данных при использовании информационных технологий?

Можно ли защититься от слежки и кражи данных при использовании информационных технологий?

Ренат Юсупов Москва, 2013

2

Оглавление

Низкоуровневые методы взлома. Примеры.Популярные методы защиты от вредоносного кода. Анализ проблем.Реализация новых механизмов защиты. Примеры.

3

Логическая схема цикла использования ПК

Независимые драйверы

Контрольстартовыхпроцедур,

ELAM

Контрольстартовыхпроцедур,

ELAM

зона работы типичных СЗИ (антивирусы,

файрволы, …)

зона работы типичных СЗИ (антивирусы,

файрволы, …)

UEFIUEFI VMVM OSOS

4

Недостатки шифрования дисков на примере McAfee Endpoint Protrction

Protective MBR, GPT Headers и Partition Tables не

могут быть зашифрованы:

Данные из этих областей необходимы до

расшифровки диска

Диск не может быть распознан как GPT

EFI System Partition не может быть зашифрована:

Содержит некоторые драйверы и запускаемые

файлы UEFI

Незашифрованные локальные конфигурационные

файлы и копии важных областей.

5

Пример проникновения вредоносного кода для кражи пароля шифрования

Оригинальный вариант загрузки

Простой вариант инсталляции кейлоггера на систему с зашифрованным диском

Что произойдёт после перезагрузки

6

Trusted Platform Module. Защита или канал утечки?

7

Режим SECURE BOOT. Кто удостоверяет?

• Загружаются только подписанные модули• Режим UEFI с запуском ТОЛЬКО подписанного загрузчика OS

8

Режим measurement boot. Технология ELAM от Microsoft

9

Метод защиты за пределами ОС. Скрытая VM?

Технология защиты Intel Protective Technology

10

ТЕХНОЛОГИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ KRAFTWAY

KSS – оболочка безопасности Kraftway Secure ShellСЗИ – средства защиты информации

Между включением компьютера и запуском СЗИ существует окно, когда никто не контролирует загружаемые драйверы и приложения.

ВНИМАНИЕ

РЕАЛЬНАЯ УГРОЗА

Запуск устройства в режиме превентивной защиты цикла использования

KSSСЗИUEFI Pre boot, VMСЗИ

Запуск устройства в режиме превентивной защиты UEFI + Pre boot

KSSСЗИUEFI Pre boot, VMСЗИ

СЗИ OSСЗИ

12

Оболочка безопасности Kraftway Security Shell

KSS - интегрированная в UEFI среда

гарантированного и защищенного

исполнения модулей безопасности

до загрузки операционной системы.

ExecutableAnd Data

Internal FS

Services

Drivers,

Data Files

Module Manage

r

Main BIOS

Module Manager

Driver

•Открытое API для интеграции модулей

других производителей.

•Модули безопасности реализованы в виде

Plug-In.

•Легко расширяется, легко портируется.

•Все данные и модели хранятся в

защищенной встроенной файловой системе.

13

KSS. Встраиваемые решения

«Антивирус Kaspersky на уровне UEFI»: программный модуль компании «Kaspersky Lab»;

«Встраиваемый модуль безопасности TSM (Trusted Security Module)» : программный комплекс идентификации и аутентификации компании «Аладдин Р.Д.»;

«Secure microSD»: программно-аппаратный модуль компании «Алладин Р.Д.»;

«Рутокен ЭЦП TPM»: программно-аппаратный модуль компании «Актив»;

«АПМДЗ-И/МП»: программно-аппаратный модуль доверенной загрузки компании «Анкад»;

«Комплект доверенного сеанса»: модуль защиты программно-аппаратного комплекса компании S-Terra CSP .

14

Централизованное управление KSS. Сервер Безопасности

Позволяет удаленно администрировать и осуществлять мониторинг работы модулей безопасности Kraftway Secure Shell (KSS)

Обновление баз данных встроенного антивируса касперского.

Осуществляет запросы к серверу сертификатов (Certificate Server) и серверу каталогов на предмет проверки прав пользователя для входа пользователя (на уровне BIOS, до загрузки ОС).

ПК c UEFI BIOS

Антивирус Каперского

Электронный замок

Сервер безопасности

Сервер каталогов Active Directory

Удостоверяющий центр

HTTP/S

LDAP/S

OCSP

Смарткарта с электронными сертификатами

Контроль программной и

аппаратной среды

.

Осуществляет контроль за правами доступа и разделение функции администратора безопасности и системного администратора.

Контролирует состав аппаратных средств ПК с целью обнаружения несанкционированного изменения комплектующих клиентских устройств.

Позволяет производить удаленную настройку BIOS клиентских устройств.

Позволяет удаленно восстанавливать образы ОС на встроенных носителях клиентов.

15

Вирусы. Угрозы на этапе загрузки ОС

Между включением компьютера и запуском антивирусной программы существует окно, когда никто не контролирует загружаемый драйверы и приложения. Boot-kit и root-kit приложения активно используют его для заражения системы.

ВНИМАНИЕРЕАЛЬНАЯ

УГРОЗА

16

Антивирус Kaspersky для UEFI: защита до загрузки ОС

Запуск предварительной антивирусной проверки в момент загрузки позволяет проверить все файлы, которые будут использоваться в процессе загрузки ОС и обеспечить защиту от функционирования вредоносного кода.

Спасибо за внимание!