Угроза невозможности управления правами пользователей bios
Невзирая на то, что BIOS является мощным средством защиты, существуют способы обхода установленного в ней пароля.
Иногда любопытные или стремящиеся максимально защитить свои данные пользователи ставят пароли на всём, на чём только можно, но нередко эти пароли ими забываются. Тяжело переносится забытие пароля на BIOS (пароль на загрузку системы), зачастую это может привести к покупке новой материнской платы, однако этого можно избежать воспользовавшись слабостями архитектуры построения ЭВМ и преднамеренно оставленными разработчиками «чёрными ходами».
Полагаю, что всем (или почти всем) обитателям Хабрахабра известно, что пароль BIOS (так же, как и иные основные настройки системы) хранится в памяти CMOS (Complimentary Matal-Oxide-Semiconductor — Комплиментарный Металло-Оксидный Полупроводник), которая требует постоянной подпитки батарейкой, установленной на материнской плате.
Отсюда и следует один из способов обхода пароля, точнее его сброса вместе со всеми настройками, хранящимися в BIOS:
Способ 1 — Метод Чубайса
так как CMOS требует постоянной подпитки для сохранения данных, то из этого следует, что убрав такую подпитку (батарейку) на некоторое время (примерно 24 часа) мы добьёмся очистки BIOS. После необходимо снова вставить батарейку на нужное место и при запуске ЭВМ указать снова задать нужные параметры вроде времени, нового пароля (если уж он так сильно необходим) и прочие нужные вам настройки.
Способ эффективный, но долгий, а время, как известно, очень ценный ресурс и пользователь, как и IT специалист не всегда обладает им. Эти особенности делают этот способ не очень практичным и скорее крайним средством, чем реальной практикой. К тому же батарейку на некоторых моделях материнских плат бывает крайне сложно извлечь без использования дополнительных инструментов, поэтому есть смысл прибегнуть к способу, который описывается в инструкциях к материнским платам:
Способ 2 — Аварийная кнопка
на большей части материнских плат существуют специальные разъёмы для очистки памяти CMOS, которые обычно они расположены в непосредственной близости от батарейки (узнать местоположение такого разъёма можно из схемы материнской платы, приведённой в инструкции к ней или на сайте компании-изготовителя). Для очистки памяти CMOS необходимо замкнуть эти разъёмы, после чего включить ПК и заново выставить настройки BIOS.
Способ 3 — Инженерный пароль
Заключается во вводе вместо забытого пароля BIOS инженерного пароля для данной системной платы:
AWARD | |
---|---|
_award | Condo |
01322222 | d8on |
589589 | HLT |
589721 | J262 |
595595 | J332 |
ALFAROME | J64 |
Ally | Lkwpeter |
ALLY | LKWPETER |
aLLy | Pint |
aPAf | PINT |
AWARD PW | SER |
AWARD SW | SKY_FOX |
AWARD_SW | SYXZ |
Awkward BIOSTAR | TTPTHA |
CONCAT | ZJAAADC |
AMI | |
---|---|
A.M.I. | CONDO |
AAAMMMIII | HEWINTT RAND |
AMI | LKWPETER |
AMI?SW | PASSWORD |
AMI_SW | SER |
BIOS |
Однако стоить помнить, что данные пароли работают только на BIOS версии 4,55G и ниже (класс системных плат до i845P чипсета).
Способ 4 — Вспомним старину
Ещё один из методов сброса пароля заключается в использовании среды DOS. Для этого необходимо загрузиться в среду DOS (чистую DOS, а не эмулированную из-под Windows) и ввести такие команды:
* AWARD и AMI BIOS:
DEBUG
-O 70 17
-O 71 17
Q
* Phoenix BIOS:
DEBUG
-O 70 FF
-O 71 FF
Q
Помимо данного метода существуют программы определения или сброса пароля BIOS из среды ОС. Например: amikrack.exe и awardcrack.exe и прочие, но для их использования необходимо иметь доступ к ОС, что проблематично, если стоит пароль на дальнейшую загрузку после тестирования железа ПК.
нужна помощь - Форум по вопросам информационной безопасности
Всем привет, у меня огромная проблема, работаю а администрации поселка, не какого отношения к ЗИ не имею. Но после прошедшей проверки и возложения штрафа на мое доблестное начальство на меня возложили функции по защите информации, а я ну полный 0 в этой теме. Люде добрые помоги решить 2 задачи буду рад любой помощи и информации.
1) определение угроз безопасности информации, формирование на их основе модели угроз.
2) Разработка на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации, предусмотренных для соответствующего класса информационных систем общего пользования.
буду рад любой помощи.
Классифицировали то как, вашу АС? или вы на бумажке работаете?)
Хм, у вас наверно автономка? под перечень попали в ходе проверки? под обязательную аттестацию попадаете или нет?
Да тут такое дело, во время самой проверки я отсутствовал, но мне вручи постановление о назначении административного наказания, в нем доходящего объяснены все нарушения, по государственной тайне у нас все норм. проверку прошли идеально а вот на счет систем общего пользования выдали список нарушений. На обучение отправят но это будет только ближе к лету, а исправлять все надо в ближайшее время, нет у нас не автономка все объединены в локалку. это все что я пока в этом знаю.
Arihon, я понимаю, что спрашиваю невозможное, но можно ли здесь обезличенно (затерев или не написав) конкретные названия, личные данные, привести полный перечень нарушений.
Что у нас не так.
to 111
*в сторону* пожалуй, все не так, начиная с корпоративной почты (если она, конечно, не по дико продуманному договору с хостером в части политики ИБ).
Если чуть более серьезно - посмотрите требования тех же 21 и 17 (ДСП же?) приказов ФСТЭК. Прикиньте класс/уровень защищенности ИС. И прикиньте, чем у вас это все закрыто/реализовано. А заодно пробегитесь по "бумажной части" (всякие Положения, приказы и проч. организационно-распорядительная документация). Ответ станет намного яснее.
Выдержка из постановления:
25 октября 2016 г. установлено что в нарушении п. 12 Требований №416/489 в администрации муниципального образования городской округ . :
1) определение угроз безопасности информации, формирование на их основе модели угроз Не выполнено
2) разработка на основе моделей угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации , предусмотренных для соответствующего класса информационных систем общего пользования Не выполнена.
3) проверка готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации Не выполнено.
4) установка и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией Не выполнено
5) обучение лиц, использующих средства защиты информации информации, применяемые в информационной системе общего пользования, правилам работы с ними Не выполнено
6) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним Не ведется
7) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией, Не осуществляется.
8) описание системы их защиты Отсутствует
9) разбирательства и составление заключений по фактам несоблюдения условий использования средств защиты информации, которые могут привести к нарушению безопасности информации или другим нарушениям, снижающим уровень защищенности информации системы общего пользования, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений Не проводились.
Эти нарушения нам выдвинула проверка от ФСБ России, с 2008 года в направлении защиты информации не каких действий администрация поселка не принимала вообще, нет даже банальной ежегодной отчетности.
Прошёлся по всей "бумаге" которая есть в нашей администрации, множество постановлений, приказов, распоряжений. Все дотированы 2008 годом, постановления пересылаемые нам с области оседали в неизвестной мне папке и удалялись в неизвестном же мне направлении, в итоге, я не имею абсолютно нечего и начинать приходиться все с 0. корпоративной почты у нас нет, нечто подобное только в приемной администрации, так у каждого сотрудника в обязательном порядке свой почтовый ящик.
У нас 11 отделов все используют персональные данные, ну плюс используют СУФД, СМЭВ, Бюджет-смарт Контур. Ну и все это в локалке. Считай все тоже самое.
Arihon
В вашем случае речь о защите информации в информационной системе "общего пользования". Требования, по которым вам предъявляют претензии, изложены в Приказе ФСБ РФ N 416, ФСТЭК РФ N 489 от 31.08.2010 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования". Думаю, есть смысл начать с его изучения.
to Arihon
Начните с:
1. Классификации своей ИСПДн. В ходе классификации возможно разбить ее на сегменты и каждый сегмент (с меньшим уровнем защищенности) защитить отдельно (будет легче и дешевле).
2. Определения всех машинных ресурсов, хранящих, передающих и обрабатывающих (служащих как средство обработки) ПДн.
3. Определения всех сотрудников, которым доступ к ПДн необходим во имя исполнения служебных обязанностей.
4. Определения всех уже используемых СЗИ и/или СКЗИ. Если ФСБ приходила, то уже должна была указать, какие СКЗИ у вас используются в ненадлежащем виде и с невыполнением требований по их эксплуатации.
На базе собранной информации распишите условную Частную модель угроз. Лучше всего запросить шаблон или Общую модель у вышестоящей организации или другой муниципальной администрации, уже прошедшей подобную проверку. Только копировать ее не под шаблон, а разбираться в сути написанного (надеюсь, более-менее грамотно написанного). Также ознакомьтесь с Базовой моделью угроз и методикой определения актуальных угроз за 2008 г. ФСТЭК России.
Ознакомьтесь с требованиями ПП 1119 и Приказа 21 ФСТЭК. Посмотрите, какие из требований у вас выполняются, а какие нет. Подтяните соответствующие (или обоснуйте их неактуальность в Модели угроз).
Ознакомьтесь с требованиями Роскомнадзора в части сопроводительных бумаг. Положения, приказы, перечни и инструкции, которые должны быть у вас разработаны.
При условии наличия СКЗИ для защиты ПДн в вашей ИС - ознакомьтесь с 378 Приказом ФСБ России и методикой ФСБ России по ПДн за 2015 г.
Все указанные документы есть в открытом доступе в Сети.
После всего этого - внедряйте СЗИ/СКЗИ там, где необходимо (не защищено) и приглашайте организацию-лицензиата ФСБ/ФСТЭК для проведения контроля и выдачи экспертного заключения (можно и в форме Аттестата соответствия).
Или, если нет сил/желания/времени разбираться самостоятельно - просто объявляйте конкурс на работы по защите информации в части ПДн, составляйте ТЗ (примеров много в Сети, но опять-таки не следует работать под копирку) и "ждите в гости" лицензиатов. Повезет - все сделают как надо (и фактическую защиту, и бумаги). Не повезет - прикроют вас ворохом бумаг, явно расходящихся с реальностью, до следующей серьезной проверки.
УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ОТНОШЕНИИ ИВК
При обработке информации на уровне ИВК возможна реализация следующих угроз безопасности информации (далее - УБИ):
угрозы информации, обрабатываемой в технических средствах ИВК;
угрозы информации, обрабатываемой в АРМ операторов ИВК;
угрозы утечки видовой информации;
угрозы преднамеренного искажения системного времени в компонентах ИСУЭ.
Реализация угрозы утечки видовой информации возможна за счет просмотра информации с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средства обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИВК.
Угрозы НСД в ИВК связаны с действиями нарушителей, имеющих доступ к ИВК, включая операторов АРМ, реализующих угрозы непосредственно в ИВК. Кроме этого, источниками угроз НСД к информации в ИВК могут быть нарушители с различным потенциалом, а также аппаратные закладки и вредоносные программы.
В ИВК возможны все виды уязвимостей в том числе: уязвимости в микропрограммном, общесистемном, прикладном программном обеспечение, уязвимости, связанные с используемыми протоколами передачи данных, уязвимости, в связи с возможностью наличия аппаратных закладок, уязвимости связанные с недостатками организации ТЗИ от НСД, уязвимости в СЗИ.
В ИВК в соответствии с используемыми технологиями, объектами воздействия, уязвимостями возможны следующие угрозы из Банка данных угроз безопасности информации ФСТЭК России:
УБИ.004: Угроза аппаратного сброса пароля BIOS;
УБИ.005: Угроза внедрения вредоносного кода в BIOS;
УБИ.006: Угроза внедрения кода или данных;
УБИ.007: Угроза воздействия на программы с высокими привилегиями;
УБИ.008: Угроза восстановления и/или повторного использования аутентификационной информации;
УБИ.009: Угроза восстановления предыдущей уязвимой версии BIOS;
УБИ.010: Угроза выхода процесса за пределы виртуальной машины;
УБИ.012: Угроза деструктивного изменения конфигурации/среды окружения программ;
УБИ.013: Угроза деструктивного использования декларированного функционала BIOS
УБИ.014: Угроза длительного удержания вычислительных ресурсов пользователями;
УБИ.015: Угроза доступа к защищаемым файлам с использованием обходного пути;
УБИ.018: Угроза загрузки нештатной операционной системы;
УБИ.019: Угроза заражения DNS-кеша;
УБИ.022: Угроза избыточного выделения оперативной памяти;
УБИ.023: Угроза изменения компонентов информационной; (автоматизированной) системы;
УБИ.024: Угроза изменения режимов работы аппаратных элементов компьютера;
УБИ.025: Угроза изменения системных и глобальных переменных;
УБИ.026: Угроза искажения XML-схемы;
УБИ.027: Угроза искажения вводимой и выводимой на периферийные устройства информации;
УБИ.028: Угроза использования альтернативных путей доступа к ресурсам;
УБИ.030: Угроза использования информации дентификации/аутентификации, заданной по умолчанию;
УБИ.031: Угроза использования механизмов авторизации для повышения привилегий;
УБИ.032: Угроза использования поддельных цифровых подписей BIOS;
УБИ.033: Угроза использования слабостей кодирования входных данных;
УБИ.034: Угроза использования слабостей протоколов сетевого/локального обмена данными;
УБИ.035: Угроза использования слабых криптографических алгоритмов BIOS;
УБИ.036: Угроза исследования механизмов работы программы;
УБИ.037: Угроза исследования приложения через отчеты об ошибках;
УБИ.039: Угроза исчерпания запаса ключей, необходимых для обновления BIOS;
УБИ.044: Угроза нарушения изоляции пользовательских данных внутри виртуальной машины;
УБИ.045: Угроза нарушения изоляции среды исполнения BIOS;
УБИ.046: Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия;
УБИ.048: Угроза нарушения технологии обработки информации путем несанкционированного внесения изменений в образы виртуальных машин;
УБИ.049: Угроза нарушения целостности данных кеша;
УБИ.051: Угроза невозможности восстановления сессии работы на ПЭВМ при выводе из промежуточных состояний питания;
УБИ.052: Угроза невозможности миграции образов виртуальных машин из-за несовместимости аппаратного и программного обеспечения;
УБИ.053: Угроза невозможности управления правами пользователей BIOS;
УБИ.058: Угроза неконтролируемого роста числа виртуальных машин;
УБИ.059: Угроза неконтролируемого роста числа зарезервированных вычислительных ресурсов;
УБИ.061: Угроза некорректного задания структуры данных транзакции;
УБИ.063: Угроза некорректного использования функционала программного и аппаратного обеспечения;
УБИ.067: Угроза неправомерного ознакомления с защищаемой информацией;
УБИ.068: Угроза неправомерного/некорректного использования интерфейса взаимодействия с приложением;
УБИ.069 : Угроза неправомерных действий в каналах связи;
Угроза нейтрализуется с помощью СКЗИ на канале связи между ИВК и ИВКЭ.
УБИ.071: Угроза несанкционированного восстановления удаленной защищаемой информации;
УБИ.072: Угроза несанкционированного выключения или обхода механизма защиты от записи в BIOS;
УБИ.073: Угроза несанкционированного доступа к активному и (или) пассивному виртуальному и (или) физическому сетевому оборудованию из физической и (или) виртуальной сети;
УБИ.074: Угроза несанкционированного доступа к аутентификационной информации;
УБИ.075: Угроза несанкционированного доступа к виртуальным каналам передачи;
УБИ.076: Угроза несанкционированного доступа к гипервизору из виртуальной машины и (или) физической сети;
УБИ.077: Угроза несанкционированного доступа к данным за пределами зарезервированного адресного пространства, в том числе выделенного под виртуальное аппаратное обеспечение;
УБИ.078: Угроза несанкционированного доступа к защищаемым виртуальным машинам из виртуальной и (или) физической сети;
УБИ.079: Угроза несанкционированного доступа к защищаемым виртуальным машинам со стороны других виртуальных машин;
УБИ.080: Угроза несанкционированного доступа к защищаемым виртуальным устройствам из виртуальной и (или) физической сети;
УБИ.083 : Угроза несанкционированного доступа к системе по беспроводным каналам;
Угроза нейтрализуется с помощью СКЗИ на канале связи между ИВК и ИВКЭ.
УБИ.084: Угроза несанкционированного доступа к системе хранения данных из виртуальной и (или) физической сети;
УБИ.085: Угроза несанкционированного доступа к хранимой в виртуальном пространстве защищаемой информации;
УБИ.086: Угроза несанкционированного изменения аутентификационной информации;
УБИ.087: Угроза несанкционированного использования привилегированных функций BIOS;
УБИ.088: Угроза несанкционированного копирования защищаемой информации;
УБИ.089: Угроза несанкционированного редактирования реестра;
УБИ.090: Угроза несанкционированного создания учетной записи пользователя;
УБИ.091: Угроза несанкционированного удаления защищаемой информации;
УБИ.092: Угроза несанкционированного удаленного внеполосного доступа к аппаратным средствам;
УБИ.093: Угроза несанкционированного управления буфером;
УБИ.094: Угроза несанкционированного управления синхронизацией и состоянием;
УБИ.095: Угроза несанкционированного управления указателями;
УБИ.098: Угроза обнаружения открытых портов и идентификации привязанных к ним сетевых служб;
УБИ.099: Угроза обнаружения хостов;
УБИ.100: Угроза обхода некорректно настроенных механизмов аутентификации;
УБИ.102: Угроза опосредованного управления группой программ через совместно используемые данные;
УБИ.103: Угроза определения типов объектов защиты;
УБИ.104: Угроза определения топологии вычислительной сети;
УБИ.108: Угроза ошибки обновления гипервизора;
УБИ.109: Угроза перебора всех настроек и параметров приложения;
УБИ.111: Угроза передачи данных по скрытым каналам;
УБИ.113: Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники;
УБИ.114: Угроза переполнения целочисленных переменных;
УБИ.115: Угроза перехвата вводимой и выводимой на периферийные устройства информации;
УБИ.117: Угроза перехвата привилегированного потока;
УБИ.118: Угроза перехвата привилегированного процесса;
УБИ.119: Угроза перехвата управления гипервизором;
УБИ.120: Угроза перехвата управления средой виртуализации;
УБИ.121: Угроза повреждения системного реестра;
УБИ.122: Угроза повышения привилегий;
УБИ.123: Угроза подбора пароля BIOS;
УБИ.124: Угроза подделки записей журнала регистрации событий;
УБИ.127: Угроза подмены действия пользователя путем обмана;
УБИ.128: Угроза подмены доверенного пользователя;
УБИ.129: Угроза подмены резервной копии программного обеспечения BIOS;
УБИ.130: Угроза подмены содержимого сетевых ресурсов;
УБИ.131: Угроза подмены субъекта сетевого доступа;
УБИ.132: Угроза получения предварительной информации об объекте защиты;
УБИ.139: Угроза преодоления физической защиты;
УБИ.140: Угроза приведения системы в состояние "отказ в обслуживании";
УБИ.143: Угроза программного выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации;
УБИ.144: Угроза программного сброса пароля BIOS;
УБИ.145: Угроза пропуска проверки целостности программного обеспечения;
УБИ.148: Угроза, сбоя автоматического управления системой разграничения доступа хранилища больших данных;
УБИ.149: Угроза, сбоя обработки специальным образом измененных файлов;
УБИ.150: Угроза сбоя процесса обновления BIOS;
УБИ.152: Угроза удаления аутентификационной информации;
УБИ.153: Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов;
УБИ.154 Угроза установки уязвимых версий обновления программного обеспечения BIOS;
УБИ.155: Угроза утраты вычислительных ресурсов;
УБИ.156: Угроза утраты носителей информации;
УБИ.157: Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации;
УБИ.158: Угроза форматирования носителей информации;
УБИ.160: Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации;
УБИ.162: Угроза эксплуатации цифровой подписи программного кода;
УБИ.163: Угроза перехвата исключения/сигнала из привилегированного блока функций;
УБИ.165: Угроза включения в проект не достоверно испытанных компонентов;
УБИ.166: Угроза внедрения системной избыточности;
УБИ.167: Угроза заражения компьютера при посещении неблагонадежных сайтов;
УБИ.169: Угроза наличия механизмов разработчика;
УБИ.170: Угроза неправомерного шифрования информации;
УБИ.171: Угроза скрытного включения вычислительного устройства в состав бот-сети;
УБИ.173: Угроза "спама" веб-сервера;
УБИ.177: Угроза неподтвержденного ввода данных оператором в систему, связанную с безопасностью;
УБИ.178: Угроза несанкционированного использования системных и сетевых утилит;
УБИ.179: Угроза несанкционированной модификации защищаемой информации;
УБИ.180: Угроза отказа подсистемы обеспечения температурного режима;
УБИ.181: Угроза перехвата одноразовых паролей в режиме реального времени;
УБИ.182: Угроза физического устаревания аппаратных компонентов;
УБИ.183: Угроза перехвата управления автоматизированной системой управления технологическими процессами;
УБИ.185: Угроза несанкционированного изменения параметров настройки средств защиты информации;
УБИ.186: Угроза внедрения вредоносного кода через рекламу, сервисы и контент;
УБИ.187: Угроза несанкционированного воздействия на средство защиты информации;
УБИ.188: Угроза подмены программного обеспечения;
УБИ.189: Угроза маскирования действий вредоносного кода;
УБИ.190: Угроза внедрения вредоносного кода за счет посещения зараженных сайтов в сети Интернет;
УБИ.191: Угроза внедрения вредоносного кода в дистрибутив программного обеспечения;
УБИ.192: Угроза использования уязвимых версий программного обеспечения;
УБИ.193: Угроза утечки информации за счет применения вредоносным программным обеспечением алгоритмов шифрования трафика;
УБИ.195: Угроза удаленного запуска вредоносного кода в обход механизмов защиты операционной системы;
УБИ.197: Угроза хищения аутентификационной информации из временных файлов cookie;
УБИ.198: Угроза скрытной регистрации вредоносной программой учетных записей администраторов;
УБИ.203: Угроза утечки информации с неподключенных к сети Интернет компьютеров;
УБИ.204: Угроза несанкционированного изменения вредоносной программой значений параметров программируемых логических контроллеров
УБИ.205: Угроза нарушения работы компьютера и блокирования доступа к его данным из-за некорректной работы установленных на нем средств защиты;
УБИ.208: Угроза нецелевого использования вычислительных ресурсов средства вычислительной техники;
УБИ.209: Угроза несанкционированного доступа к защищаемой памяти ядра процессора;
УБИ.210: Угроза нарушения работы информационной системы, вызванного обновлением используемого в ней программного обеспечения;
УБИ.211: Угроза использования непроверенных пользовательских данных при формировании конфигурационного файла, используемого программным обеспечением администрирования информационных систем;
УБИ.212: Угроза перехвата управления информационной системой;
УБИ.213: Угроза обхода многофакторной аутентификации;
УБИ.214: Угроза несвоевременного выявления и реагирования компонентами информационной (автоматизированной) системы (в том числе средствами защиты информации) на события безопасности информации;
УБИ.217: Угроза использования скомпрометированного доверенного источника обновлений программного обеспечения.
Обоснование неприменимости угроз к ИВК в связи с отсутствием технологий представлено в таблице 2.
УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ОТНОШЕНИИ ИВКЭ
При обработке информации на уровне ИВКЭ возможна реализация следующих УБИ:
угрозы информации, обрабатываемой в технических средствах ИВКЭ;
угрозы информации, обрабатываемой в АРМ операторов ИВКЭ;
угрозы утечки видовой информации;
угрозы преднамеренного искажения системного времени в компонентах ИСУЭ.
Реализация угрозы утечки видовой информации возможна за счет просмотра информации с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средства обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИВКЭ.
Угрозы НСД в ИВКЭ связаны с действиями нарушителей, имеющих доступ к ИВКЭ, включая операторов АРМ, реализующих угрозы непосредственно в ИВКЭ. Кроме этого, источниками угроз НСД к информации в ИВКЭ могут быть нарушители с различным потенциалом, а также аппаратные закладки и вредоносные программы.
В ИВКЭ возможны все виды уязвимостей в том числе: уязвимости в микропрограммном, общесистемном, прикладном программном обеспечение, уязвимости, связанные с используемыми протоколами передачи данных, уязвимости, в связи с возможностью наличия аппаратных закладок, уязвимости связанные с недостатками организации ТЗИ от НСД, уязвимости вСЗИ.
В ИВКЭ в соответствии с используемыми технологиями, объектами воздействия, уязвимостями возможны следующие угрозы из Банка данных угроз безопасности информации ФСТЭК России:
УБИ.004: Угроза аппаратного сброса пароля BIOS;
УБИ.005: Угроза внедрения вредоносного кода в BIOS;
УБИ.006: Угроза внедрения кода или данных;
УБИ.007: Угроза воздействия на программы с высокими привилегиями;
УБИ.008: Угроза восстановления и/или повторного использования аутентификационной информации;
УБИ.009: Угроза восстановления предыдущей уязвимой версии BIOS;
УБИ.010: Угроза выхода процесса за пределы виртуальной машины;
УБИ.012: Угроза деструктивного изменения конфигурации/среды окружения программ;
УБИ.013: Угроза деструктивного использования декларированного функционала BIOS;
УБИ.014: Угроза длительного удержания вычислительных ресурсов пользователями;
УБИ.015: Угроза доступа к защищаемым файлам с использованием обходного пути;
УБИ.018: Угроза загрузки нештатной операционной системы;
УБИ.019: Угроза заражения DNS-кеша;
УБИ.022: Угроза избыточного выделения оперативной памяти;
УБИ.023: Угроза изменения компонентов информационной; (автоматизированной) системы;
УБИ.024: Угроза изменения режимов работы аппаратных элементов компьютера;
УБИ.025: Угроза изменения системных и глобальных переменных;
УБИ.026: Угроза искажения XML-схемы;
УБИ.027: Угроза искажения вводимой и выводимой на периферийные устройства информации;
УБИ.028: Угроза использования альтернативных путей доступа к ресурсам;
УБИ.030: Угроза использования информации дентификации/аутентификации, заданной по умолчанию;
УБИ.031: Угроза использования механизмов авторизации для повышения привилегий;
УБИ.032: Угроза использования поддельных цифровых подписей BIOS;
УБИ.033: Угроза использования слабостей кодирования входных данных;
УБИ.034: Угроза использования слабостей протоколов сетевого/локального обмена данными;
УБИ.035: Угроза использования слабых криптографических алгоритмов BIOS;
УБИ.036: Угроза исследования механизмов работы программы;
УБИ.037: Угроза исследования приложения через отчеты об ошибках;
УБИ.039: Угроза исчерпания запаса ключей, необходимых для обновления BIOS;
УБИ.044: Угроза нарушения изоляции пользовательских данных внутри виртуальной машины;
УБИ.045: Угроза нарушения изоляции среды исполнения BIOS;
УБИ.046: Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия;
УБИ.048: Угроза нарушения технологии обработки информации путем несанкционированного внесения изменений в образы виртуальных машин;
УБИ.049: Угроза нарушения целостности данных кеша;
УБИ.051: Угроза невозможности восстановления сессии работы на ПЭВМ при выводе из промежуточных состояний питания;
УБИ.052: Угроза невозможности миграции образов виртуальных машин из-за несовместимости аппаратного и программного обеспечения;
УБИ.053: Угроза невозможности управления правами пользователей BIOS;
УБИ.058: Угроза неконтролируемого роста числа виртуальных машин;
УБИ.059: Угроза неконтролируемого роста числа зарезервированных вычислительных ресурсов;
УБИ.061: Угроза некорректного задания структуры данных транзакции;
УБИ.063: Угроза некорректного использования функционала программного и аппаратного обеспечения;
УБИ.067: Угроза неправомерного ознакомления с защищаемой информацией;
УБИ.068: Угроза неправомерного/некорректного использования интерфейса взаимодействия с приложением;
УБИ.069 : Угроза неправомерных действий в каналах связи;
Угроза нейтрализуется с помощью СКЗИ на канале связи между ИВК и ИВКЭ.
УБИ.071: Угроза несанкционированного восстановления удаленной защищаемой информации;
УБИ.072: Угроза несанкционированного выключения или обхода механизма защиты от записи в BIOS;
УБИ.073: Угроза несанкционированного доступа к активному и (или) пассивному виртуальному и (или) физическому сетевому оборудованию из физической и (или) виртуальной сети;
УБИ.074: Угроза несанкционированного доступа к аутентификационной информации;
УБИ.075: Угроза несанкционированного доступа к виртуальным каналам передачи;
УБИ.076: Угроза несанкционированного доступа к гипервизору из виртуальной машины и (или) физической сети;
УБИ.077: Угроза несанкционированного доступа к данным за пределами зарезервированного адресного пространства, в том числе выделенного под виртуальное аппаратное обеспечение;
УБИ.078: Угроза несанкционированного доступа к защищаемым виртуальным машинам из виртуальной и (или) физической сети;
УБИ.079: Угроза несанкционированного доступа к защищаемым виртуальным машинам со стороны других виртуальных машин;
УБИ.080: Угроза несанкционированного доступа к защищаемым виртуальным устройствам из виртуальной и (или) физической сети;
УБИ.083 : Угроза несанкционированного доступа к системе по беспроводным каналам;
Угроза нейтрализуется с помощью СКЗИ на канале связи между ИВК и ИВКЭ.
УБИ.084: Угроза несанкционированного доступа к системе хранения данных из виртуальной и (или) физической сети;
УБИ.085: Угроза несанкционированного доступа к хранимой в виртуальном пространстве защищаемой информации;
УБИ.086: Угроза несанкционированного изменения аутентификационной информации;
УБИ.087: Угроза несанкционированного использования привилегированных функций BIOS;
УБИ.088: Угроза несанкционированного копирования защищаемой информации;
УБИ.089: Угроза несанкционированного редактирования реестра;
УБИ.090: Угроза несанкционированного создания учетной записи пользователя;
УБИ.091: Угроза несанкционированного удаления защищаемой информации;
УБИ.092: Угроза несанкционированного удаленного внеполосного доступа к аппаратным средствам;
УБИ.093: Угроза несанкционированного управления буфером;
УБИ.094: Угроза несанкционированного управления синхронизацией и состоянием;
УБИ.095: Угроза несанкционированного управления указателями;
УБИ.098: Угроза обнаружения открытых портов и идентификации привязанных к ним сетевых служб;
УБИ.099: Угроза обнаружения хостов;
УБИ.100: Угроза обхода некорректно настроенных механизмов аутентификации;
УБИ.102: Угроза опосредованного управления группой программ через совместно используемые данные;
УБИ.103: Угроза определения типов объектов защиты;
УБИ.104: Угроза определения топологии вычислительной сети;
УБИ.107: Угроза отключения контрольных датчиков;
УБИ.109: Угроза перебора всех настроек и параметров приложения;
УБИ.111: Угроза передачи данных по скрытым каналам;
УБИ.113: Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники;
УБИ.114: Угроза переполнения целочисленных переменных;
УБИ.115: Угроза перехвата вводимой и выводимой на периферийные устройства информации;
УБИ.117: Угроза перехвата привилегированного потока;
УБИ.118: Угроза перехвата привилегированного процесса;
УБИ.119: Угроза перехвата управления гипервизором;
УБИ.120: Угроза перехвата управления средой виртуализации;
УБИ.121: Угроза повреждения системного реестра;
УБИ.122: Угроза повышения привилегий;
УБИ.123: Угроза подбора пароля BIOS;
УБИ.124: Угроза подделки записей журнала регистрации событий;
УБИ.127: Угроза подмены действия пользователя путем обмана;
УБИ.128: Угроза подмены доверенного пользователя;
УБИ.129: Угроза подмены резервной копии программного обеспечения BIOS;
УБИ.130: Угроза подмены содержимого сетевых ресурсов;
УБИ.131: Угроза подмены субъекта сетевого доступа;
УБИ.132: Угроза получения предварительной информации об объекте защиты;
УБИ.139: Угроза преодоления физической защиты;
УБИ.140: Угроза приведения системы в состояние "отказ в обслуживании";
УБИ.143: Угроза программного выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации;
УБИ.145: Угроза пропуска проверки целостности программного обеспечения;
УБИ.148: Угроза, сбоя автоматического управления системой разграничения доступа хранилища больших данных;
УБИ.149: Угроза, сбоя обработки специальным образом измененных файлов;
УБИ.152: Угроза удаления аутентификационной информации;
УБИ.153: Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов;
УБИ.154 Угроза установки уязвимых версий обновления программного обеспечения BIOS;
УБИ.155: Угроза утраты вычислительных ресурсов;
УБИ.156: Угроза утраты носителей информации;
УБИ.157: Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации;
УБИ.158: Угроза форматирования носителей информации;
УБИ.160: Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации;
УБИ.162: Угроза эксплуатации цифровой подписи программного кода;
УБИ.163: Угроза перехвата исключения/сигнала из привилегированного блока функций;
УБИ.165: Угроза включения в проект не достоверно испытанных компонентов;
УБИ.166: Угроза внедрения системной избыточности;
УБИ.167: Угроза заражения компьютера при посещении неблагонадежных сайтов;
УБИ.169: Угроза наличия механизмов разработчика;
УБИ.170: Угроза неправомерного шифрования информации;
УБИ.171: Угроза скрытного включения вычислительного устройства в состав бот-сети;
УБИ.173: Угроза "спама" веб-сервера;
УБИ.177: Угроза неподтвержденного ввода данных оператором в систему, связанную с безопасностью;
УБИ.178: Угроза несанкционированного использования системных и сетевых утилит;
УБИ.179: Угроза несанкционированной модификации защищаемой информации;
УБИ.180: Угроза отказа подсистемы обеспечения температурного режима;
УБИ.181: Угроза перехвата одноразовых паролей в режиме реального времени;
УБИ.182: Угроза физического устаревания аппаратных компонентов;
УБИ.183: Угроза перехвата управления автоматизированной системой управления технологическими процессами;
УБИ.185: Угроза несанкционированного изменения параметров настройки средств защиты информации;
УБИ.186: Угроза внедрения вредоносного кода через рекламу, сервисы и контент;
УБИ.187: Угроза несанкционированного воздействия на средство защиты информации;
УБИ.188: Угроза подмены программного обеспечения;
УБИ.189: Угроза маскирования действий вредоносного кода;
УБИ.190: Угроза внедрения вредоносного кода за счет посещения зараженных сайтов в сети Интернет;
УБИ.191: Угроза внедрения вредоносного кода в дистрибутив программного обеспечения;
УБИ.192: Угроза использования уязвимых версий программного обеспечения;
УБИ.193: Угроза утечки информации за счет применения вредоносным программным обеспечением алгоритмов шифрования трафика;
УБИ.195: Угроза удаленного запуска вредоносного кода в обход механизмов защиты операционной системы;
УБИ.197: Угроза хищения аутентификационной информации из временных файлов cookie;
УБИ.198: Угроза скрытной регистрации вредоносной программой учетных записей администраторов;
УБИ.203: Угроза утечки информации с неподключенных к сети Интернет компьютеров;
УБИ.204: Угроза несанкционированного изменения вредоносной программой значений параметров программируемых логических контроллеров
УБИ.205: Угроза нарушения работы компьютера и блокирования доступа к его данным из-за некорректной работы установленных на нем средств защиты;
УБИ.208: Угроза нецелевого использования вычислительных ресурсов средства вычислительной техники;
УБИ.209: Угроза несанкционированного доступа к защищаемой памяти ядра процессора;
УБИ.210: Угроза нарушения работы информационной системы, вызванного обновлением используемого в ней программного обеспечения;
УБИ.211: Угроза использования непроверенных пользовательских данных при формировании конфигурационного файла, используемого программным обеспечением администрирования информационных систем;
УБИ.212: Угроза перехвата управления информационной системой;
УБИ.213: Угроза обхода многофакторной аутентификации;
УБИ.214: Угроза несвоевременного выявления и реагирования компонентами информационной (автоматизированной) системы (в том числе средствами защиты информации) на события безопасности информации;
УБИ.217: Угроза использования скомпрометированного доверенного источника обновлений программного обеспечения.
Обоснование неприменимости угроз к ИВКЭ в связи с отсутствием технологий представлено в таблице 3.
Когда-то давно, в начале 2014 года, я назвал состояние безопасности большинства реализаций UEFI "полумифическим". С тех пор минуло полтора года, дело осторожно двигается с мертвой точки, но до сих пор очень многие производители ПК для конечного пользователя не обращают на эту самую безопасность почти никакого внимания — «пипл хавает».
В этой статье речь пойдет о модели угроз и векторах атаки на UEFI, а также о защитах от перезаписи содержимого микросхемы BIOS — самой разрушительной по возможным последствиям атаки.
Если вам интересно, как устроена защита UEFI и какие именно уязвимости в ней так и остаются неисправленными на большинстве современных систем — добро пожаловать под кат.
Часть нулевая. Введение
Модель угроз
Прежде чем говорить о защите и уязвимостях, поговорим немного о модели угроз.
Ни одна защита не может защитить от всего сразу. К примеру, защиту прошивки от поражающего действия ядерного взрыва или от сбоев при работе в открытом космосе, я в этой статье рассматривать не буду, хотя с удовольствием почитал бы подобную статью от специалистов в соответствующей области.
Уровни доступа
Определим для атакующего несколько уровней доступа и посмотрим, что и насколько успешно «среднестатистическая» реализация UEFI может противопоставить ему:
— атакующий первого уровня имеет физический доступ к системе, способен загружать любые ОС, изменять настройки UEFI, прошивать свой код UEFI вместо оригинального на программаторе, переставлять джамперы на мат. плате, замыкать выводы микросхем и т.п.
— атакующий второго уровня имеет физический доступ к системе, но программатора у него нет.
— атакующий третьего уровня имеет удаленный доступ к системе в режиме администратора.
Остальные случаи рассматривать не будем, т.к. от более могущественного атакующего, способного менять сидящие на шарах чипы, в UEFI защищаться практически нечем, а более слабых, без прав администратора, остановит ОС.
Векторы атаки
Теперь определим основные векторы и последствия успешно совершенной атаки, в порядке уменьшения опасности:
1. Хранилище основной прошивки (в 95% современных систем — 1-2 микросхемы NOR-flash с интерфейсом SPI )
Суть атаки — вставляем свой код в прошивку, удаляем части имеющегося, воруем, убиваем, молчим про гусей.
Последствия атаки варьируются от получения полного контроля над прошивкой, аппаратурой и ОС в лучшем случае, до DoS в худшем. Физический атакующий может устроить DoS в любом случае (с размаху отверткой в плату — вот тебе и DoS), поэтому подробнее на DoS для атакующих первого и второго уровней останавливаться не буду.
2. Код в SMM
Суть — получаем доступ к особо привилегированному режиму процессора, из которого нам доступна на чтение и запись вся физическая память и много другого вкусного.
Последствия — в лучшем случае доступ к хранилищу прошивки, и далее смотри пункт 1, в худшем — обход механизмов защиты ОС и гипервизора (которые, впрочем, можно было обойти и на уровне ОС, но из SMM это может быть намного проще).
3. Хранилище прошивки PCI-устройств
Суть — вставляем свой код в прошивку какого-либо PCI-устройства (она же Option ROM), к примеру, сетевой карты или контролера Thunderbolt, UEFI выполняет этот код при инициализации устройства, . профит.
Последствия — в лучшем случае смотри пункт 1, в худшем — почти то же самое, только стартуем значительно позже, и потому некоторые вещи уже настроены и заблокированы.
4. Переменные в NVRAM
Суть — получаем возможность изменять настройки UEFI, в том числе скрытые.
Последствия — в лучшем случае можно поотключать все защиты и сразу перейти к пункту 1, в худшем — снова DoS (пишем мусор в NVRAM, перезагружаемся, смотрим, что получилось).
5. SecureBoot
Суть — получаем возможность загрузить любую нужную ОС, в том числе UEFI Shell.
Последствия — в лучшем случае получается загрузить UEFI Shell и сразу оказаться в пункте 4, в худшем — заменить стандартный загрузчик ОС на модифицированный, закрепившись таким образом в ОС, пока бдительный пользователь не включит SecureBoot обратно.
Часть первая. Защиты от записи в хранилище основной прошивки
1. Аппаратная верификация прошивки или её части перед выполнением любого кода
2. Хранилище только для чтения с аппаратным переключателем
3. PR -регистры чипсета
Если аппаратно микросхему SPI защитить от записи не получилось, можно защитить ее силами чипсета. Все современные чипсеты имеют как минимум 4 регистра PR, предназначенных для защиты от чтения и/или записи блока физической памяти, а т.к. микросхема SPI всегда отображается на «дно» первых 4 Гб физической памяти (т.е. последний байт микросхемы SPI всегда находится по физическому адресу 0xFFFFFFFF), но можно защитить всю прошивку или ее часть.
Защита подобного рода тоже не обходится без проблем:
— ее нужно правильно реализовать, не забыв, что при перезагрузке значения регистров тоже сбрасываются, и их нужно восстанавливать.
— нужно не забыть установить (и восстановить после перезагрузки) lock на их конфигурацию, иначе вредоносный код их может банально сбросить.
— защита не может быть отключена, т.е. обновление прошивки из ОС без перезагрузки становится невозможным.
— и, конечно, NVRAM и другие RW-области защитить таким способом не получится.
В отличие от предыдущего пункта, систем с PR'ами на рынке море, и почти на всех защита реализована неграмотно или неполно.
4.1. SMM_BWP и SpiRomProtect
4.2. Intel BIOS Guard, в девичестве PFAT
5. BLE и BIOS_WE
6. Отсутствующая
Хрестоматийный пример «пирожка без никто». Некоторые производители материнских плат для десктопов, не будем показывать пальцем, до сих пор не защищают прошивку от перезаписи вообще. Ваша система — вы и заморачивайтесь, никакой иллюзии безопасности мы вам не даем, только голый BIOS, только хардкор. Вести себя таким образом с каждым днем становится труднее, ведь с одной стороны давит Intel с рекомендациями, а с другой — Microsoft с HSTI , но пока справляются. Безумству храбрых, и все такое.
Заключение
С защитами от прошивки более или менее разобрались, в следующей части поговорим об SMM и атаках на него.
Буду рад любым вопросам и комментариям. Спасибо за внимание.
Читайте также: