В России создали защищенный BIOS

Интеграция Системное ПО Внедрения Электроника
мобильная версия
, Текст: Наталья Лаврентьева
Российский сборщик Kraftway спроектировал материнскую плату с собственной сборкой BIOS: ее основательно «почистили» от уязвимых модулей и встроили модуль доверенной загрузки. Основные предполагаемые заказчики ПК с защищенным BIOS – государство и корпоративный сектор.

Kraftway спроектировал и начал производить собственные материнские платы с модифицированной BIOS Phoenix Award, рассказал CNews старший вице-президент компании Ренат Юсупов. По его словам, это было сделано в рамках проекта по созданию защищенного ПК, для которого было необходимо создать материнскую плату с интегрированными функциями информационной безопасности, соответствующими российскому законодательству. Компьютеры Kraftway с защищенным BIOS были представлены на выставке, прошедшей в рамках CNews FORUM 2010.

Прозводство платы, по словам Юсупова, размещается на контрактных площадках за пределами России, а финальные операции по прошивке BIOS, проверке работоспособности и сборке ПК осуществляются на сертифицированной площадке на территории России – заводе Kraftway, что гарантирует отсутствие недекларированных возможностей и закладок гипервизоров на уровне BIOS.

Собственная сборка BIOS, по словам Юсупова, лишена модулей, составляющих потенциальную угрозу безопасности. Речь в данном случае идет о модулях, взаимодействующих со встроенными аппаратными возможностями чипсета по реализации функций управления - например, были убраны модули, отвечающие за Management Engine (механизма управления), а также отредактированы и отлажены модули, отвечающие за работу SPI (последовательный периферийный интерфейс).

«Кроме того, наши специалисты основательно «почистили» BIOS, исключив все известные на текущий момент возможности по перехвату управления загрузкой, что делает невозможным разрушение целостности доверенной программной среды, а также загрузку низкоуровневых - на уровне BIOS - виртуальных машин для перехвата управления ПК», - говорит Юсупов. Вышесказанное относится и к новым угрозам ИБ, против которых пока нет «инструментов адекватной защиты», добавляет он.

Помимо «чистки» BIOS, Kraftway интегрировала в него дополнительный программный модуль доверенной загрузки, разработанный компанией «Алладин-РД», исполняющий функции многофакторной авторизации, контроля программной среды, управления пользователями и регистрации событий безопасности.


Компьютеры с защищенным BIOS производятся на территории России

По словам Юсупова, теперь все возможности взлома, которые были ранее и появились в последнее время, исключены, по причине того, что код BIOS «собирается» под конкретный тип платы (фактически чипсет) и доводится до состояния, позволяющего собрать действительно защищённый ПК.

К устраненным возможностям Юсупов отнес гипервизоры уровня BIOS, активацию модулей управления, загрузку отдельных модулей BIOS до перехвата управления внешним аппаратно-программным модулем доверенной загрузки, обновление BIOS, очистку области хранения настроек BIOS.

По словам Юсупова, BIOS для встроенных адаптеров интегрируются в общий образ BIOS материнской платы в виде готовых бинарных кодов. Kraftway их не затрагивает, но может управлять вызовами, отключать, менять последовательность. «Мы не можем защититься от вредоносного кода, который может быть интегрирован в BIOS стороннего адаптера, установленного в слот материнской платы. Однако мы запретили модификацию BIOS материнской платы всеми неразрушимыми методами. Соответственно, нельзя внедрить вредоносный код в тело BIOS нашей материнской платы», - говорит Юсупов.

Как сообщают в компании, защищенные компьютеры не предназначены для широкой аудитории и не продаются в розничных сетях. Их предполагается реализовывать в составе поставок в госсектор и корпоративным заказчикам.

«Пока, на сегодняшний день это всего лишь одна материнская плата, но в следующем году выйдет уже целая серия материнских плат с «нашим» BIOS для разных ценовых сегментов, начиная с терминальных решений, до самых производительных корпоративных ПК», - поясняет Юсупов.

Он также отметил, что пока это решение проходит сертификацию, компания предлагает его как обычный ПК (по обычной цене) с возможностью дальнейшего включения замка после обновления версией BIOS, в которой есть сертифицированный электронный модуль доверенной загрузки.

Дальше останется только активировать этот модуль, купив лицензию Аладдин-РД и электронный USB ключ. По словам Юсупова, уже сейчас Kraftway имеет возможность поставлять ПК с версией BIOS, имеющей в своём составе замок, для того чтобы упростить процедуру превращения «обычного» ПК в «защищённый» ПК.

Глава Verysell Михаил Краснов не считает предложенное Kraftway решение революционным. «Сама технология производства таких ПК существует давно: до последнего времени использовались стандартные компьютеры, на базе которых делались защищенные. Существуют также хорошо отлаженные процедуры проверки компьютеров на наличие незадекларированных возможностей и т.д.», - говорит он.

Среди заказчиков, для которых вопрос ИБ является критичным, на такие ПК, по его мнению, существует устойчивый спрос: «В первую очередь это относится к организациям, связанным с национальной безопасностью, оборонным сектором».

По мнению Тагира Яппарова, генерального директора компании «АйТи», спрос на защищенные системы существует в структурах, которые предъявляют высокие требования к информационной безопасности. Это касается как госзаказчиков, так и корпоративных, считает он. Проект Kraftway, по его мнению, уникален с точки зрения того, что его реализовал сам производитель компьютеров.