HP совершенствует технологию SureStart для защиты пользователей от атак на BIOS

Hewlett-Packard развивает свою технологию SureStart, стремясь предоставить пользователям больше средств защиты. Представленная HP в сентябре 2013 г. эта технология обещает появление самовосстанавливающейся базовой системы ввода/вывода (BIOS), которая сможет защитить пользователей от атак.

«BIOS — это та область безопасности, которую HP давно считает подверженной потенциальному риску, — заявил корреспонденту eWeek заслуженный технолог HP Вали Али. — Если атакующий сумеет добраться до BIOS, могут произойти поистине большие неприятности».

Вирус, заражающий BIOS, потенциально способен долгое время оставаться незамеченным. И даже в случае его выявления нелегко устранить последствия атаки, сказал Али. В последние годы сообщалось о низкоуровневых атаках, в том числе о рутките Membromi BIOS, добавил он. (Membromi вводит в BIOS регистратор нажатия клавиш, что позволяет атакующему полностью отслеживать их на зараженной системе).

Задача SureStart — помочь пользователям защититься, выявлять атаки на BIOS и восстанавливать после них систему, сказал Али. Для данной технологии не важно, как атакующий попал в систему, зато важно определить, что в BIOS присутствует та или иная форма вредоносного кода, добавил он.

SureStart представляет собой систему обнаружения вторжений, которая не зависит от процессора или операционной системы. «Нам необходимо было спроектировать ее именно таким образом, чтобы при наличии уязвимостей в процессоре или операционной системе мы тем не менее могли обнаружить, не случилось ли какой беды», — сказал Али.

В последние годы потребность в защищенных системах и аутентификации во время загрузки удовлетворялась также использованием интерфейса UEFI (Unified Extensible Firmware Interface) Secure Boot, который представляет собой механизм проверки целостности операционной системы.

В отсутствие SureStart при первом включении системы процессор и системный набор микросхем традиционно начинают исполнять самую первую строчку кода BIOS, после чего BIOS получает возможность запустить механизм Secure Boot для операционной системы, пояснил Али.

«SureStart делает шаг назад с целью изучить, что, если кому-то удалось переписать самую первую строку кода в самой BIOS, — сказал Али. — Таким образом, при наличии SureStart перед исполнением самой первой строки кода у нас имеется особое устройство со встроенным ПО, которое составляет аппаратную основу нашего доверия и которое полностью изолировано от остальной системы».

Изоляция SureStart позволяет гарантировать, что ни один другой элемент системы не затронет того, что исполняется на отдельной аппаратной основе доверия. В результате аппаратная основа доверия SureStart заставит системный процессор проверить, не была ли первая строка кода в BIOS изменена или подменена. SureStart восстановит первую строку кода BIOS, если обнаружит, что она была изменена.

«UEFI Secure Boot запускается после завершения работы SureStart, — пояснил Али. — Таким образом, до того, как начнет исполняться что-то еще, SureStart уже сделает свое дело».

Помимо выявления потенциальных проблем с безопасностью BIOS восстановительная функция SureStart поможет исправить систему. SureStart можно рассматривать в качестве решения AirGap — технологии, которая отделена от остальной системы с целью повышения безопасности. Для восстановления системы SureStart необходимо иметь заведомо исправный источник.

«Исправный источник находится в особом месте платформы, которое полностью отделено от остальной системы, — сказал Али. — Мы создаем электрическую изоляцию определенной части системы, где храним доброкачественную BIOS, которую можем использовать для восстановления».

Сейчас HP поднимает идею SureStart на новый уровень, продолжал он. После атак необходимо восстанавливать различные виды встроенного системного ПО. И HP хочет быть готовой обеспечить более общий способ самовосстановления систем.

В настоящее время HP включила SureStart в некоторые из своих ПК, и отрасли следует ожидать новых сообщений об этой технологии, сказал Али.

«SureStart не зависит от процессора, так что мы можем рассматривать множество других идей, различные типы процессоров, платформы и устройства с архитектурой x86 и с другой архитектурой, — поведал Али. — Мы надеемся вскоре развернуть SureStart на всех типах устройств, не только на ПК, а на любых устройствах, которые загружаются, будь то принтеры, телефоны, планшеты или что-то еще».