Компания Интел наконец-то предоставила общественности более подробную информацию о своей технологии безопасности LaGrande. Технология определяет аппаратные модификации, необходимые для обеспечения безопасной среды обработки данных, например, такой, как Microsoft's Next Generation Secure Computing Base (NGSCB), более известной, как Palladium. В этой статье я сделаю небольшой обзор случаев, когда действительно важна проблема безопасности и основных возможностей, как NGSCB, так и LaGrande, с акцентом на LaGrande.
Что и от чего или от кого нужно защищать?
Все знают, что мы живем в мире хакеров. Создается такое впечатление, что их легионы, они не имеют никаких других занятий и тратят время только на беспокойство остальной части человечества, иногда в виде мелких шалостей, а иногда, принося действительно серьезные проблемы. Некоторые хакерские атаки нацелены на специфические компании или правительственные организации или, возможно, связаны с террористами, но часть хакеров стремится украсть нашу информацию с помощью все более изощренных методов. Вирусы, черви, трояны, использующие дыры в системных программах заразили миллионы систем, вызывая сильную головную боль, потери времени и финансовые убытки. Микрософт, Интел и ряд других компаний занимаются разработками защищенных сред для работы, чтобы можно было не опасаться атак хакеров. Устойчивость системы повышается, когда приложения работают в защищенных разделах дисков и областях памяти.
В то время, как большинство методов защиты являются по своей сути "защитой от дурака", NGSCB и LaGrande уже достаточно хорошо продуманные и разработанные технологии. Так что в скором времени ожидается, что системы на базе этих технологий смогут защитить большинство пользователей и компаний от программных атак.
Ниже вы видите уровни защищенности в корпоративных средах. У вас это соотношение может немного отличаться, но, как правило, эти отличия незначительны. Наименее защищенными, как видно из иллюстрации, являются компьютеры клиентов. Сейчас существует очень много различных приемов использования этого факта, чтобы через клиента получить доступ к другим компьютерам. Что тут говорить о домашних системах, которые, в большинстве своем, вообще ничем не защищены.
Для реализации надежной системы безопасности необходимо наличие нескольких слоев или уровней защиты. Программные методы обязательно должны дополняться аппаратными средствами безопасности. Вы, вероятно, знакомы со смарткартами и скоро услышите о "Модуле обеспечения безопасности платформы" или TPM, который является чипом, содержащим уникальную информацию о платформе, ключи шифрования и содержит генератор псевдослучайных чисел для алгоритмов шифрования. LaGrande - аппаратная защита, и это значительно повышает уровень безопасности системы.
Какие же наиболее уязвимые места сегодняшних компьютеров? Данные на дисках, которые нужно шифровать и ограничивать к ним доступ. Пользовательские устройства ввода, информацию с которых можно перехватить. Устройства вывода, так как информацию из окна одного приложения может получить из видеопамяти любое другое приложение. И, конечно же, в защите нуждается обычная память, в которой тоже могут храниться важные данные. Давайте взглянем на основные задачи LaGrande более внимательно. Следует отметить, что новая технология изначально разрабатывалась, как не влияющая на производительность системы. Готовящийся к выходу процессор Prescott будет иметь встроенную поддержку LaGrande, но пока не активизированную, точно так же, как более ранние версии P4 были оснащены встроенной, но не активированной поддержкой HyperThreading. Интел не собирается активировать поддержку LaGrande в массовых процессорах в течение ближайших нескольких лет.
Как отмечалось выше, для обеспечения полной защиты аппаратные средства должны дополнять программные механизмы. NGSCB обеспечивает защиту ядра операционной системы и запуск программ в защищенном режиме. В этой технологии вводится термин аттестация - это функция, которая подразумевает четкий контроль системой всех выполняющихся процессов и блокировку выполнения неизвестных и незарегистрированных процессов. Микрософт в своей документации горячо дискутирует по поводу возможностей NGSCB: аттестации, защищенного режима выполнения приложений, защиты ввода вывода и т.п. В то же время, компания не упоминает никаких специфических возможностей процессора, необходимых для того, чтобы все это работало. Понятно, что Интел может предоставить гораздо больше деталей, но компания готовит их для последующих презентаций. AMD тоже работает над аналогичной технологией, но только Интел официально заявляет об этом, предоставляя информацию на своих форумах и разработчикам в рамках соглашений о неразглашении.
Следующий слайд демонстрирует Интел-версию разделения системы, предложенного изначально компанией Микрософт. Мы видим два практически независимых раздела системы: стандартный (слева) и защищенный (справа). В защищенном разделе выполняется защищенное ядро операционной системы и приложения. Также на слайде видно, что защищаются все потоки ввода/вывода.
В будущем Интел планирует продавать две модификации процессоров: с технологией LT (LaGrande Technology) и без нее. Так что, если у вас будут какие то сомнения по поводу новой технологии, вы просто сможете купить процессор без активированной LT (вот что значит свобода выбора :-). А если вы хотите, чтобы ваш компьютер был максмально защищен от хакеров - покупайте процессор с LT. Ожидаемая версия Windows Longhorn будет автоматически определять, совместима аппаратная часть с NGSCB или нет. Компания Интел настроена поддерживать информированность пользователей о самых тонких вопросах технологии, чтобы заручиться поддержкой большинства. Пользователи должны знать обо всем, что касается сохранения и безопасности их персональной информации. Но пока что для большинства пользователей новая технология представляется, как несколько работающих параллельно операционных систем, одна из которых защищенная, вторая - обычная.
Подобно Микрософт, Интел понимает, что конечные пользователи немного опасаются технологий NGSCB и LT, считая это очередным шагом в продвижении технологий защиты авторских прав, которые не позволят запускать на компьютере неавторизованные программы. Обе компании заявляют, что первоочередное направление внедрения LT - безопасность компьютерных систем в бизнесе. После распространения технологии на этом рынке, основной целью станут домашние компьютеры. Ожидается, что распространение технологии LT в настольных системах и портативных компьютерах произойдет на протяжении ближайших 2-3 лет.
Более подробно об основных функциях
Protected Execution
Большинство атак просто читают память приложения. Защита в процессе выполнения отделяет ресурсы защищенного приложения, предотвращая любые попытки доступа к ним. Эта функция предполагает наличие аппаратной поддержки.
Аттестация
Эта функция обеспечивает отделение защищенного приложения барьером и обеспечение целостности конфигурации и параметров системы. Аттестация обеспечивается аппаратным модулем TPM.
Sealed Storage
Защищенное хранение данных с функциями по их шифрованию. Обеспечивается доступ к данным только известными приложениями.
Trusted Platform Module (ТТM)
Эта микросхема обеспечивает функции аттестации и Sealed Storage.
Защищенный ввод
Создание защищенного канала между клавиатурой и менеджером клавиатуры, мышкой и менеджером мыши. LT обеспечивает необходимую аппаратную поддержку по созданию защищенных каналов. Операционная система должна поддерживать работу менеджера ввода данных в защищенном режиме.
Защищенная графика
Защита графического буфера от несанкционированного доступа и шифрование потоков данных, идущих к нему. Графический буфер должен быть зашифрован и защищен от просмотра.
Технические особенности
Естественно, для обеспечения всех описанных возможностей необходимы специальные процессоры и чипсеты, о чем мы уже говорили. Кроме того, для реализации защищенных каналов ввода больше всего подходят не PS/2, а USB мыши и клавиатуры. Графические адаптеры тоже должны подвергнуться изменениям для обеспечения защищенных каналов. Контроллер ввода/вывода получит защищенный доступ к TPM для чтения и записи информации. Кроме того, в системе должна быть установлена новая версия TPM 1.2. Пока что спецификации версии 1.2 не доступны, а чтобы ознакомиться с подобными характеристиками вы можете посмотреть спецификации последней на данный момент версии TPM 1.1b.
Обработка специальных случаев
Интел также была представлена интересная информация по поводу того, как различные события, такие, как сброс и переход в режим сна, влияют на защищенность выполняющегося кода или данных, находящихся в памяти. Если происходит сброс системы либо умышленный, либо из-за перепада напряжения, то данные могут остаться в памяти и оказаться незащищенными. Чтобы предотвратить появление остаточных данных в памяти, тем более в расшифрованном виде, в LT предусмотрена очистка памяти перед загрузкой операционной системы. В случае перехода в режим сна система зашифрует все данные и расшифрует их, когда с компьютером продолжат работать. В результате, мы просто прошлись по поверхности достаточно сложной технологии, которая будет добавлена в большинство новых компьютеров в течение нескольких лет. Пока Интел делает ставку на LaGrande, AMD тоже прокладывает путь аналогичной технологии по обеспечению аппаратные функций, необходимых для защищенного режима выполнения программ и операционной системы.
Автор: Владимир Володин
