ЗАГОЛОВОК ПРЕЗЕНТАЦИИ

Download Report

Transcript ЗАГОЛОВОК ПРЕЗЕНТАЦИИ 

Можно ли защититься от
слежки и кражи данных при
использовании
информационных технологий?
Ренат Юсупов
Москва, 2013
Оглавление
Низкоуровневые методы взлома. Примеры.
Популярные методы защиты от вредоносного
кода. Анализ проблем.
Реализация новых механизмов защиты. Примеры.
2
Логическая схема цикла использования ПК
VM
UEFI
Независимые
драйверы
OS
Контроль
стартовых
процедур,
ELAM
зона работы
типичных СЗИ
(антивирусы,
файрволы, …)
3
Недостатки шифрования дисков на примере McAfee
Endpoint Protrction
 Protective MBR, GPT Headers и Partition Tables не
могут быть зашифрованы:
 Данные из этих областей необходимы до
расшифровки диска
 Диск не может быть распознан как GPT
 EFI System Partition не может быть зашифрована:
 Содержит некоторые драйверы и запускаемые
файлы UEFI
 Незашифрованные локальные конфигурационные
файлы и копии важных областей.
4
Пример проникновения вредоносного кода для
кражи пароля шифрования
Оригинальный вариант загрузки
Простой вариант инсталляции кейлоггера на систему с
зашифрованным диском
Что произойдёт после перезагрузки
5
Trusted Platform Module. Защита или канал утечки?
6
Режим SECURE BOOT. Кто удостоверяет?
• Загружаются только подписанные модули
• Режим UEFI с запуском ТОЛЬКО подписанного загрузчика OS
7
Режим measurement boot. Технология ELAM от Microsoft
8
Метод защиты за пределами ОС. Скрытая VM?
9
Технология защиты Intel Protective Technology
10
ТЕХНОЛОГИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ KRAFTWAY
Между включением
компьютера и запуском
СЗИ существует окно,
когда никто не
контролирует загружаемые
драйверы и приложения.
UEFI
Запуск устройства в
режиме превентивной
защиты UEFI + Pre boot
Запуск устройства в
режиме превентивной
защиты цикла
использования
UEFI
UEFI
KSS – оболочка безопасности Kraftway Secure Shell
СЗИ – средства защиты информации
KSS
СЗИ
СЗИ
KSS
СЗИ
СЗИ
Pre boot, VM
OS
Pre boot, VM
OS
Pre boot, VM
СЗИ
СЗИ
OS
Оболочка безопасности Kraftway Security Shell
KSS - интегрированная в UEFI среда
гарантированного и защищенного
исполнения модулей безопасности до
загрузки операционной системы.
•Открытое API для интеграции модулей других
производителей.
•Модули безопасности реализованы в виде Plug-In.
•Легко расширяется, легко портируется.
•Все данные и модели хранятся в защищенной
встроенной файловой системе.
12
Main BIOS
Module
Manager
Module
Manager
Driver
Executable
And Data
Services
Drivers,
Data
Files
Internal FS
KSS. Встраиваемые решения
«Антивирус Kaspersky на уровне UEFI»:
программный модуль компании «Kaspersky Lab»;
«Встраиваемый модуль безопасности TSM
(Trusted Security Module)» : программный комплекс
идентификации и аутентификации компании «Аладдин
Р.Д.»;
«Secure microSD»: программно-аппаратный модуль
компании «Алладин Р.Д.»;
«Рутокен ЭЦП TPM»: программно-аппаратный модуль
компании «Актив»;
«АПМДЗ-И/МП»: программно-аппаратный модуль
доверенной загрузки компании «Анкад»;
«Комплект доверенного сеанса»: модуль защиты
программно-аппаратного комплекса компании S-Terra
CSP .
13
Централизованное управление KSS. Сервер Безопасности
Позволяет удаленно администрировать и осуществлять мониторинг работы модулей безопасности
Kraftway Secure Shell (KSS)
Обновление баз данных встроенного антивируса касперского.
Осуществляет запросы к серверу сертификатов (Certificate Server) и серверу каталогов на предмет
проверки прав пользователя для входа пользователя (на уровне BIOS, до загрузки ОС).
Осуществляет контроль за правами доступа и
разделение функции администратора
безопасности и системного администратора.
Сервер каталогов Active
Directory
ПК c UEFI BIOS
Контролирует состав аппаратных средств ПК с
целью обнаружения несанкционированного
изменения комплектующих клиентских
устройств.
Позволяет производить удаленную настройку
BIOS клиентских устройств.
Позволяет удаленно восстанавливать образы ОС
на встроенных носителях клиентов.
14
Сервер безопасности
Антивирус
Каперского
LDAP/S
HTTP/S
Удостоверяющий центр
Электронный
замок
Контроль
программной и
аппаратной среды
.
Смарткарта с
электронными
сертификатами
OCSP
Вирусы. Угрозы на этапе загрузки ОС
ВНИМАНИЕ
РЕАЛЬНАЯ УГРОЗА
Между включением компьютера и запуском антивирусной
программы существует окно, когда никто не контролирует
загружаемый драйверы и приложения. Boot-kit и root-kit
приложения активно используют его для заражения системы.
15
Антивирус Kaspersky для UEFI: защита до загрузки ОС
Запуск предварительной антивирусной проверки в момент
загрузки позволяет проверить все файлы, которые будут
использоваться в процессе загрузки ОС и обеспечить защиту от
функционирования вредоносного кода.
16
Спасибо за внимание!