Угроза изменения режимов работы аппаратных элементов компьютера
Одним из основных аспектов проблемы обеспечения безопасности является определение , анализ и классификация возможных угроз для конкретного объекта защиты. Перечень наиболее значимых угроз, оценка вероятности реализации угрозы и модель злоумышленника являются базовой информацией для построения оптимальной системы защиты.
Анализ актуальности угроз целесообразно проводить на основе логической цепочки:
Источник угрозы - уязвимость-угроза-атака
Источник угрозы - субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации [29].
Уязвимость - слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами[30].
Другими словами уязвимость - это слабое место (брешь) одного из элементов объекта защиты, фактор реализации угрозы. Уязвимость может быть вызвана недостатками процесса эксплуатации, свойствами архитектуры, недостатками используемых протоколов и т.п.
Угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации[29].
Угроза - потенциальная причина нежелательного инцидента, который может причинить вред системе или организации [30].
Угроза - опасность, предполагающая возможность потерь (ущерба)[31].
Наиболее полным кажется определение угрозы из Федерального закона №152 "О персональных данных":
Угроза - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в ИСПДн [32].
Если уязвимость соответствует угрозе, то существует потенциальный риск.
Атака - попытка реализации угрозы.
Существует множество критериев классификации угроз. Рассмотрим наиболее распространенные из них.
По природе возникновения: естественные и искусственные
Естественные угрозы - это угрозы, вызванные воздействиями на объект защиты и его элементы объективных физических процессов или стихийных природных явлений, независящих от человека.
В свою очередь искусственные угрозы - это угрозы, вызванные деятельностью человека.
По степени воздействия на объект защиты: пассивные и активные.
Пассивные угрозы - угрозы, не нарушающие состав и нормальную работу объекта защиты. Пример - копирование конфиденциальной информации, утечка через технические каналы утечки, подслушивание и т.п. Активная угроза, соответственно, нарушает нормальное функционирование объекта защиты, его структуру или состав.
Последствия реализации угрозы - нарушение конфиденциальности, доступности, целостности.
К угрозам нарушения доступности можно отнести как естественные, например, повреждение оборудования из-за грозы или короткого замыкания, так и искусственные угрозы. В настоящее время широко распространены сетевые атаки на доступность информации - DDos-атаки.
В последнее время в специальной литературе всё чаще говорится о динамической и статической целостностях. К угрозам статической целостности относится незаконное изменение информации, подделка информации, а также отказ от авторства. Угрозами динамической целостности является нарушение атомарности транзакций, внедрение нелегальных пакетов в информационный поток и т.д.
Также важно отметить, что не только данные являются потенциально уязвимыми к нарушению целостности, но и программная среда. Заражение системы вирусом может стать примером реализации угрозы целостности.
К угрозам конфиденциальности можно отнести любые угрозы, связанные с незаконным доступом к информации, например, перехват передаваемых по сети данных с помощью специальной программы или неправомерный доступ с использованием подобранного пароля.
По способу реализации: несанкционированный доступ (в том числе случайный) к защищаемой информации, специальное воздействие на информацию, утечка информации через технические каналы утечки ( рис. 4.1).
увеличить изображение
Рис. 4.1. Классификация угроз по способу реализации
Важно запомнить последние две классификации угроз, так как именно они наиболее часто встречаются на практике и в различных нормативных документах.
4.2. Классификация и характеристики угроз безопасности, связанных с несанкционированным доступом
Несанкционированный доступ к информации - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники (СВТ) или автоматизированными системами ( АС )[34].
Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем. Несмотря на это, действие внедренной программной закладки ("червя" и т.п.), результатом которого стало попадание защищаемой информации к злоумышленнику, также можно рассматривать как факт НСД.
К основным угрозам НСД можно отнести следующее:
- угрозы проникновения в операционную среду компьютера с использованием штатного программного обеспечения (средств операционной системы или прикладных программ общего применения);
- угрозы создания нештатных режимов работы программных (программно-аппаратных) средств за счет преднамеренных изменений служебных данных, игнорирования предусмотренных в штатных условиях ограничений на состав и характеристики обрабатываемой информации, искажения (модификации) самих данных и т.п.;
- угрозы внедрения вредоносных программ (программно-математического воздействия).
Кроме этого, возможны комбинированные угрозы, представляющие собой сочетание указанных угроз. Например, за счет внедрения вредоносных программ могут создаваться условия для НСД в операционную среду компьютера.
Источником угроз НСД может быть нарушитель, носитель вредоносной программы, аппаратная закладка. Нарушители (злоумышленники) делятся на внутренних и внешних в зависимости от наличия доступа к информационной системе ( рис. 4.2).
Примером аппаратной закладки может быть аппаратный кейлоггер (keylogger). Они существуют в различном исполнении. На рисунке 4.3 изображена модель, которая не требует дополнительного электропитания и размещается между клавиатурой и PS/2 портом. Объем памяти 2 Mb позволяет записать более миллиона символов, введенных с клавиатуры.
от 23 июля 2019 года N 4-П
Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в управлении делами Губернатора Астраханской области
В соответствии с частью 5 статьи 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" управление делами Губернатора Астраханской области (агентство Астраханской области) постановляет:
1. Определить угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных в управлении делами Губернатора Астраханской области согласно приложению к настоящему Постановлению.
2. Отделу нормативно-правового и кадрового обеспечения:
- не позднее трех рабочих дней в агентство связи и массовых коммуникаций Астраханской области для его официального опубликования;
- в семидневный срок поставщикам справочно-правовых систем "КонсультантПлюс" ООО "Астраханский информационный центр "КонсультантПлюс" и "Гарант" ООО "Астрахань-Гарант-Сервис".
4. Настоящее Постановление вступает в силу со дня его официального опубликования.
И.о. управляющего делами
А.Я.ЖАБИН
Приложение
к Постановлению управления делами
Губернатора Астраханской области
от 23 июля 2019 г. N 4-П
ПЕРЕЧЕНЬ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫХ В УПРАВЛЕНИИ ДЕЛАМИ ГУБЕРНАТОРА АСТРАХАНСКОЙ ОБЛАСТИ
Угроза безопасности ПДн
Угрозы утечки видовой информации
Угрозы утечки информации по каналам ПЭМИН
Кража носителей информации
Кража ключей и атрибутов доступа
Действия вредоносных программ (вирусов)
Недекларированные возможности программного обеспечения СЗИ
Установка ПО, не связанного с исполнением служебных обязанностей
Утрата ключей и атрибутов доступа
Непреднамеренное отключение СЗИ
Выход из строя аппаратно-программных средств
Сбой системы электроснабжения
Кража и разглашение информации лицами, допущенными к ее обработке
Несанкционированное отключение СЗИ
Угрозы несанкционированного доступа по каналам связи
Угроза аппаратного сброса пароля BIOS (УБИ. 004)
Угроза внедрения вредоносного кода в BIOS (УБИ. 005)
Угроза внедрения кода или данных (УБИ. 006)
Угроза воздействия на программы с высокими привилегиями (УБИ. 007)
Угроза восстановления аутентификационной информации (УБИ. 008)
Угроза восстановления предыдущей уязвимой версии BIOS (УБИ. 009)
Угроза выхода процесса за пределы виртуальной машины (УБИ. 010)
Угроза деструктивного изменения конфигурации/среды окружения программ (УБИ. 012)
Угроза деструктивного использования декларированного функционала BIOS (УБИ. 013)
Угроза длительного удержания вычислительных ресурсов пользователями (УБИ. 014)
Угроза доступа к защищаемым файлам с использованием обходного пути (УБИ. 015)
Угроза загрузки нештатной операционной системы (УБИ. 018)
Угроза заражения DNS-кеша (УБИ. 019)
Угроза избыточного выделения оперативной памяти (УБИ. 022)
Угроза изменения компонентов системы (УБИ. 023)
Угроза изменения режимов работы аппаратных элементов компьютера (УБИ. 024)
Угроза изменения системных и глобальных переменных (УБИ. 025)
Угроза искажения XML-схемы (УБИ. 026)
Угроза искажения вводимой и выводимой на периферийные устройства информации (УБИ. 027)
Угроза использования альтернативных путей доступа к ресурсам (УБИ. 028)
Угроза использования информации идентификации/аутентификации, заданной по умолчанию (УБИ. 030)
Угроза использования механизмов авторизации для повышения привилегий (УБИ. 031)
Угроза использования слабостей протоколов сетевого/локального обмена данными (УБИ. 034)
Угроза нарушения изоляции пользовательских данных внутри виртуальной машины (УБИ. 044)
Угроза неправомерного ознакомления с защищаемой информацией (УБИ. 067)
Угроза неправомерных действий в каналах связи (УБИ. 069)
Угроза несанкционированного восстановления удаленной защищаемой информации (УБИ. 071)
Угроза несанкционированного доступа к активному и (или) пассивному виртуальному и (или) физическому сетевому оборудованию из физической и (или) виртуальной сети (УБИ. 073)
Угроза несанкционированного доступа к аутентификационной информации (УБИ. 074)
Угроза несанкционированного доступа к гипервизору из виртуальной машины и (или) физической сети (УБИ. 076)
Угроза несанкционированного доступа к защищаемым виртуальным машинам из виртуальной и (или) физической сети (УБИ. 078)
Угроза несанкционированного доступа к защищаемым виртуальным устройствам из виртуальной и (или) физической сети (УБИ. 080)
Угроза несанкционированного изменения аутентификационной информации (УБИ. 086)
Угроза несанкционированного копирования защищаемой информации (УБИ. 088)
Угроза несанкционированного редактирования реестра (УБИ. 089)
Угроза несанкционированного создания учетной записи пользователя (УБИ. 090)
Угроза несанкционированного удаления защищаемой информации (УБИ. 091)
Угроза несанкционированного управления буфером (УБИ. 093)
Угроза обнаружения открытых портов и идентификации привязанных к нему сетевых служб (УБИ. 098)
Угроза обнаружения хостов (УБИ. 099)
Угроза обхода некорректно настроенных механизмов аутентификации (УБИ. 100)
Угроза определения топологии вычислительной сети (УБИ. 104)
Угроза перебора всех настроек и параметров приложения (УБИ. 109)
Угроза передачи данных по скрытым каналам (УБИ. 111)
Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники (УБИ. 113)
Угроза перехвата вводимой и выводимой на периферийные устройства информации (УБИ. 115)
Угроза перехвата данных, передаваемых по вычислительной сети (УБИ. 116)
Угроза перехвата привилегированного потока (УБИ. 117)
Угроза перехвата привилегированного процесса (УБИ. 118)
Угроза перехвата управления гипервизором (УБИ. 119)
Угроза перехвата управления средой виртуализации (УБИ. 120)
Угроза повреждения системного реестра (УБИ. 121)
Угроза повышения привилегий (УБИ. 122)
Угроза подбора пароля BIOS (УБИ. 123)
Угроза подделки записей журнала регистрации событий (УБИ. 124)
Угроза подмены действия пользователя путем обмана (УБИ. 127)
Угроза подмены доверенного пользователя (УБИ. 128)
Угроза подмены резервной копии программного обеспечения BIOS (УБИ. 129)
Угроза подмены содержимого сетевых ресурсов (УБИ. 130)
Угроза подмены субъекта сетевого доступа (УБИ. 131)
Угроза получения предварительной информации об объекте защиты (УБИ. 132)
Угроза преодоления физической защиты (УБИ. 139)
Угроза приведения системы в состояние "отказ в обслуживании" (УБИ. 140)
Угроза программного выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации (УБИ. 143)
Угроза программного сброса пароля BIOS (УБИ. 144)
Угроза пропуска проверки целостности программного обеспечения (УБИ. 145)
Угроза сбоя процесса обновления BIOS (УБИ. 150)
Угроза удаления аутентификационной информации (УБИ. 152)
Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов (УБИ. 153)
Угроза установки уязвимых версий обновления программного обеспечения BIOS (УБИ. 154)
Угроза утраты вычислительных ресурсов (УБИ. 155)
Угроза утраты носителей информации (УБИ. 156)
Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации (УБИ. 157)
Угроза форматирования носителей информации (УБИ. 158)
Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации (УБИ. 160)
Угроза включения в проект не достоверно испытанных компонентов (УБИ. 165)
Угроза внедрения системной избыточности (УБИ. 166)
Угроза заражения компьютера при посещении неблагонадежных сайтов (УБИ. 167)
Угроза "кражи" учетной записи доступа к сетевым сервисам (УБИ. 168)
Угроза наличия механизмов разработчика (УБИ. 169)
Угроза неправомерного шифрования информации (УБИ. 170)
Угроза скрытного включения вычислительного устройства в состав бот-сети (УБИ. 171)
Угроза распространения "почтовых червей" (УБИ. 172)
Угроза "фарминга" (УБИ. 174)
Угроза "фишинга" (УБИ. 175)
Угроза нарушения технологического/производственного процесса из-за временны х задержек, вносимых средством защиты (УБИ. 176)
Угроза неподтвержденного ввода данных оператором в систему, связанную с безопасностью (УБИ. 177)
Угроза несанкционированного использования системных и сетевых утилит (УБИ. 178)
Угроза несанкционированной модификации защищаемой информации (УБИ. 179)
Угроза отказа подсистемы обеспечения температурного режима (УБИ. 180)
Угроза несанкционированного изменения параметров настройки средств защиты информации (УБИ. 185)
Угроза несанкционированного воздействия на средство защиты информации (УБИ. 187)
Угроза подмены программного обеспечения (УБИ. 188)
Угроза маскирования действий вредоносного кода (УБИ. 189)
Угроза внедрения вредоносного кода за счет посещения зараженных сайтов в сети Интернет (УБИ. 190)
Угроза внедрения вредоносного кода в дистрибутив программного обеспечения (УБИ. 191)
Угроза использования уязвимых версий программного обеспечения (УБИ. 192)
Угроза утечки информации за счет применения вредоносным программным обеспечением алгоритмов шифрования трафика (УБИ. 193)
Угроза удаленного запуска вредоносного кода в обход механизмов защиты операционной системы (УБИ. 195)
Угроза хищения аутентификационной информации из временных файлов cookie (УБИ. 197)
Угроза скрытной регистрации вредоносной программной учетных записей администраторов (УБИ. 198)
Угроза утечки пользовательских данных при использовании функций автоматического заполнения аутентификационной информации в браузере (УБИ. 201)
Угроза нарушения работы компьютера и блокирования доступа к его данным из-за некорректной работы установленных на нем средств защиты (УБИ.205)
Угроза нецелевого использования вычислительных ресурсов средства вычислительной техники (УБИ.208)
Для иллюстрации этой тревожной тенденции рассмотрим пятерку опасных аппаратных уязвимостей, обнаруженных за последнее время в начинке современных компьютеров.
1 место: оперативная память
Первое место безоговорочно занимает проблема с оперативной памятью DDR DRAM, которую принципиально невозможно решить никаким программным патчем. Уязвимость, получившая название Rowhammer, связана… с прогрессом технологий производства чипов.
По мере того как микросхемы становятся компактнее, их соседние элементы все больше влияют друг на друга. В современных чипах памяти это может приводить к редкому эффекту самопроизвольного переключения ячейки памяти под действием электрического импульса от соседей.
До недавних пор предполагалось, что этот феномен практически невозможно использовать в реальной атаке для получения контроля над компьютером. Однако команде исследователей удалось таким образом получить привилегированные права на 15 из 29 тестовых ноутбуков.
Работает эта атака следующим образом. Для обеспечения безопасности изменения в каждый блок оперативной памяти могут вносить только определенная программа или процесс операционной системы. Условно говоря, некий важный процесс работает внутри хорошо защищенного дома, а неблагонадежная программа — на улице, за входной дверью.
Однако выяснилось, что если за входной дверью громко топать (быстро и часто менять содержимое ячеек памяти), то дверной замок с высокой вероятностью ломается. Такие уж замки ненадежные стали нынче делать.
Память более нового стандарта DDR4 и модули с контролем четности (которые стоят существенно дороже) к этой атаке невосприимчивы. И это хорошая новость.
Плохая же состоит в том, что очень многие современные компьютеры взломать таким образом можно. И сделать с этим ничего нельзя, единственное решение — поголовная замена используемых модулей памяти.
2 место: жесткие диски
Хорошая новость состоит в том, что такая атака — крайне трудоемкое и дорогостоящее мероприятие. Поэтому подавляющему большинству пользователей данная опасность не грозит — только особым счастливчикам, чьи данные настолько ценны, что их кража способна окупить расходы.
3 место: интерфейс USB
На третьем месте в нашем хит-параде уже не очень свежая, но по-прежнему актуальная уязвимость интерфейса USB. Совсем недавно новую жизнь в эту тему вдохнула современная компьютерная мода. Дело в том, что последние модели ноутбуков Apple MacBook и Google Pixel оснащены универсальным портом USB, через который в числе прочего подключается и зарядное устройство.
На первый взгляд ничего плохого здесь нет, всего лишь красивая унификация интерфейсов. Проблема в том, что подключение любого устройства через шину USB — дело небезопасное. Мы уже писали о критической уязвимости BadUSB, обнаруженной летом прошлого года.
Она позволяет внедрить вредоносный код непосредственно в микроконтроллер USB-устройства (флешки, клавиатуры и любого другого устройства) — там, где его не обнаружит, увы, ни одна антивирусная программа, даже самая хорошая. Тем, кому есть что терять, эксперты по безопасности советуют на всякий пожарный просто не пользоваться USB-портами. Вот только для новых Макбуков такая рекомендация нереализуема в принципе — зарядку же нужно подключать!
4 место: интерфейс Thunderbolt
Созданный им буткит Thunderstrike (кстати, первый буткит для яблочной операционной системы) использует функцию загрузки дополнительных модулей прошивки с внешних устройств. Thunderstrike подменяет ключи цифровых подписей в BIOS, которые используются для проверки обновлений, после чего с компьютером можно творить все что заблагорассудится.
После публикации исследования Хадсона Apple заблокировала возможность такой атаки в обновлении операционной системы (OS X 10.10.2). Правда, по словам Хадсона, этот патч — всего лишь временное решение. Принципиальная основа уязвимости по-прежнему остается нетронутой, так что история явно ждет продолжения.
5 место: BIOS
Когда-то каждый разработчик BIOS для материнских плат ПК использовал собственные рецепты, которые держались в секрете. Разобраться в устройстве таких микропрограмм было очень непросто, а значит, мало какой хакер был способен обнаружить в них баги.
С распространением UEFI изрядная часть кода для разных платформ стала общей, и это здорово облегчило жизнь не только производителям компьютеров и разработчикам BIOS, но и создателям зловредов.
Например, одна из недавних уязвимостей UEFI-систем позволяет перезаписать содержимое BIOS, несмотря на все ухищрения защиты, включая новомодную функцию Secure Boot в Windows 8. Ошибка допущена в реализации стандартной функции, поэтому работает во многих версиях BIOS разных производителей.
Большинство описанных выше угроз пока остаются некой экзотикой, с которой рядовые пользователи едва ли столкнутся. Однако завтра ситуация может в корне измениться — возможно, скоро мы с умилением будем вспоминать старые добрые времена, когда самым надежным способом лечения зараженного компьютера считалось форматирование жесткого диска.
Споры о том, насколько реально физическое разрушение тех или иных узлов
компьютера в результате действия вредоносных программ, начались задолго до
появления "персоналок", видимо сразу после того как возникли понятия "процессор"
и "программа". Вместе с тем и сегодня, когда мир уже многократно переживал атаку
вирусов, разрушающих содержимое ROM BIOS, встречаются люди, заявляющие о
принципиальной невозможности такого сценария. Существует и противоположная
крайность – описание картин дыма и огня, вырывающихся из системного блока, якобы
в результате запуска таинственного фрагмента машинного кода размером несколько
десятков байт.
Предлагаемый материал – это попытка навести порядок в данном вопросе.
Разумеется, поставить "жирную" точку не выйдет, хотя бы потому, что список
уязвимостей постоянно расширяется, в связи с появлением принципиально новых
устройств и технологий.
Эта статья написана не по мотивам известных вирусов, разрушающих "железо".
Вместо этого, на основе более чем 10-летнего опыта разработки аппаратного и
системного программного обеспечения, а также ремонта материнских плат и других
узлов персонального компьютера, автор анализирует существующие потенциальные
угрозы. Каждая из них описана по стандартной схеме:
- суть угрозы;
- симптомы;
- устранение проблемы, что делать, если это уже случилось;
- минимизация угрозы, профилактические меры;
- дополнительная информация для специалистов.
Заметим, что вирусная тема, это только часть рассматриваемого вопроса. Почти
все приведенные ниже сценарии, с некоторой вероятностью, могут осуществиться и в
результате обычного программного сбоя.
Искажение содержимого BIOS ROM
На одном из этапов эволюции платформы PC, а именно в середине 90-х годов
прошлого века, во времена процессоров Intel Pentium и AMD K5, в качестве
носителя BIOS начали использовать микросхемы электрически стираемых и
перепрограммируемых постоянных запоминающих устройств (Flash ROM). Это позволило
изменять ("перешивать") содержимое BIOS без физического вмешательства в
компьютер. Мотивацией для обновления BIOS является поддержка новых технологий и
устройств, исправление ошибок, допущенных разработчиками BIOS, установка
пользовательских заставок и т.п. Напомним, что одной из важнейших функций BIOS
является выполнение стартовой процедуры POST (Power-On Self Test) при включении
питания или сбросе. Именно в ходе этой процедуры платформа инициализируется и
подготавливается к загрузке ОС.
Именно к BIOS (по адресу FFFFFFF0h) обращается процессор при чтении первой
команды после сброса или включения питания. Таким образом, искажение содержимого
BIOS может привести к отсутствию старта материнской платы. Такое искажение может
произойти не только из-за действий вредительских программ, стирающих содержимое
BIOS ROM или записывающих в него некорректную информацию, но и по другим
причинам, например из-за дефекта микросхемы Flash ROM или зависания программы
перезаписи в интервале времени, когда старый BIOS уже вытерт, а новый еще не
записан.
Выше рассмотрена ситуация, при которой основной блок BIOS искажен, а Boot
Block исправен и пытается выполнить восстановление основного блока. Если данная
операция завершится успешно, BIOS будет восстановлен без физического
вмешательства в систему. Разумеется, если для такого аварийного запуска
использовался "старый" BIOS с CD диска, желательно после восстановления
нормального функционирования компьютера, "прошить" свежий BIOS с сайта
производителя платы.
Если защита Boot Block оказалась неэффективной, и он вытерт или искажен,
восстановить работоспособность материнской платы можно только путем физического
извлечения микросхемы BIOS и "перепрошивки" ее в программаторе или другой плате
того же класса, методом "hot-swap". Если микросхема BIOS не установлена в
"панельку", а запаяна, потребуется паяльная станция. Такая операция обычно
выполняется в условиях сервисного центра.
Что, кроме банального соблюдения антивирусной дисциплины, можно сделать для
профилактики подобных неприятностей?
Рекомендуется обратить внимание на перемычки (jumpers) управления доступом к
Flash ROM, установленные на некоторых платах. Такая защита более эффективна по
сравнению с программной защитой, управляемой из BIOS Setup. Если есть перемычка
для запрета записи в Boot Block, рекомендуется запретить запись. Как было
сказано выше, если BIOS искажен, но Boot Block сохранился, восстановление BIOS
под силу даже рядовому пользователю. Так как данная перемычка может по-разному
называться на платах различных производителей, следует обратиться к документации
на плату. Пример названия - TBL (Top BIOS Lock).
Наличие перемычки, полностью запрещающей запись в BIOS Flash ROM (а не только
в Boot Block), позволяет еще более повысить уровень безопасности, однако может
препятствовать законным операциям BIOS по перезаписи блоков ESCD (Extended
System Configuration Data) и DMI (Desktop Management Interface) при изменении
конфигурации системы. Иногда помогает компромиссный вариант – после изменений в
конфигурации системы (например, перестановки модулей памяти), разрешить запись
на время одной перезагрузки, чтобы BIOS обновил блоки параметров. Разумеется, не
следует путать информацию Flash ROM и CMOS. Память CMOS, хранящая установки BIOS
Setup находится в составе "южного моста" чипсета и запрет записи Flash ROM на
нее никак не влияет.
При выборе материнской платы, обратите внимание на модели, имеющие описанные
механизмы защиты, если вопрос вирусоустойчивости BIOS для Вас актуален. Если на
Вашей плате нет описанных перемычек, но вы разбираетесь в цифровой схемотехнике
и умеете держать в руках паяльник, защиту Flash ROM можно реализовать
самостоятельно. Как это сделать – тема отдельной статьи, такой материал будет
подготовлен при наличии читательского интереса к данной тематике. Тем, кому "не
терпится" рекомендую начать с изучения документации на Flash ROM, которая обычно
доступна на сайте производителя микросхемы.
Примеры микросхем с раздельными сигналами адреса, данных и управления
приведены в 2, [14], [22], с интерфейсом LPC (Low Pin Count) в [3], 16,
20, с интерфейсом SPI (Serial Peripheral Interface) в 17.
Искажение содержимого Video ROM
Если на видео адаптере, в качестве носителя BIOS, используется микросхема
Flash ROM с программной перезаписью, то, как и в случае с системным BIOS,
существует возможность злонамеренной модификации ее содержимого. Вирус может
повторить те же действия, которые выполняет законная программа перезаписи Video
BIOS, но вместо BIOS, записать например блок нулей. Насколько это реализуемо
практически? Сначала требуется настроить конфигурационные регистры графического
процессора для размещения Flash ROM в адресном пространстве. Это делается в
соответствии со спецификацией PCI PnP. Заметим, что для непосредственного
доступа к Flash ROM видео адаптера используется динамически назначаемая область
адресов выше 1MB, а не сегмент 0C000h, в котором находится Shadow RAM (копия
Video BIOS в оперативной памяти). Далее, требуется выключить защиту записи.
Операции, необходимые для этого (в какие регистры что записать), специфичны для
каждого графического процессора, а иногда и зависят от реализации видео адаптера
(если защита записи реализуется средствами, внешними по отношению к микросхеме
графического процессора). Здесь вирусописателю потребуется информация, которая
обычно не публикуется разработчиками графических процессоров и видео адаптеров.
К тому же, вирус должен быть снабжен модулями поддержки под каждый графический
чип, а иногда и конкретные модели видео адаптеров. Затем требуется распознать
тип Flash ROM (используя команду Read ID) и активировать процедуру записи,
которая также должна быть своя для каждого Flash ROM. Как видим, процедура
реализуема, а потому, угроза реальна.
Если это уже случилось, симптомы зависят от характера искажения. Обычно, если
Video BIOS просто вытерт, либо вместо него записан блок данных, не имеющий
сигнатуры Additional BIOS (два первых байта не 055h, 0AAh), либо некорректна
контрольная сумма, признаки будут такие же, как при отсутствии видео адаптера –
нет вывода на экран и специфический звуковой сигнал. Напомним, что реакция
материнской платы на отсутствие видео адаптера зависит от того, как написан BIOS
материнской платы и установки опций Setup. Иногда звуковой сигнал не подается.
Будет ли выполнен останов процедуры POST из-за отсутствия видео адаптера или
BIOS приступит к загрузке ОС, несмотря на данную неисправность (это будет
заметно по обращению к жесткому диску), также зависит от модели материнской
платы. Если вы хотите заранее знать, какова будет реакция заданной материнской
платы на данную неисправность видео адаптера, включите ее без видео адаптера.
Как в домашних условиях отремонтировать видео адаптер, если его BIOS искажен?
Во-первых, нужно найти программу для "перешивки" Video BIOS, например ATIFLASH
или NVFLASH, в зависимости от производителя графического процессора – ATI или
NVIDIA. Версия программы должна быть адекватна поколению адаптера. Старые
программы не поддерживают новые адаптеры и наоборот. Эта задача решается с
помощью стандартных методов поиска информации в Интернете. Во-вторых, нужен
двоичный образ BIOS, то есть файл, который собственно будет записан в Flash ROM.
С этим сложнее. Обычно для видео адаптеров, в отличие от материнских плат, файлы
BIOS не выкладываются на сайте поддержки. Хотя исключения все же бывают. Если
поиск нужного Video BIOS в Интернете не дал результатов, попробуйте найти такой
же адаптер (не просто похожий с таким же графическим процессором, а именно
адаптер той же модели) и прочитать его Video BIOS в файл. Сделать это можно не
разбирая компьютер, с помощью тех же утилит ATIFLASH или NVFLASH. Напомним, что
эти утилиты вычитывают образ Flash ROM, а не содержимое Shadow сегмента 0C000h,
где находится распакованное в ОЗУ содержимое ROM.
Итак, у нас есть двоичный образ видео BIOS и программа для его прошивки. Если
бы речь шла об обновлении BIOS на исправном видео адаптере, то дальнейшие
действия очевидны, но напомним, что наш адаптер не стартует. Если мы ремонтируем
адаптер с интерфейсом AGP или PCI Express, нам потребуется второй адаптер с
интерфейсом PCI. Запускаемся на этом адаптере, опцию в BIOS Setup, отвечающую за
последовательность опроса адаптеров на разных шинах, устанавливаем в состояние
"PCI". После этого, добавляем ремонтируемый адаптер (разумеется, при выключенном
питании). Теперь в нашей системе два адаптера: нестартующий, который надо
"перешить" и работающий (активный), который используется для вывода на дисплей.
Далее процесс "перешивки" не отличается от обновления BIOS на исправном
адаптере. Перед прошивкой рекомендуется сохранить в файле старый образ BIOS. Это
позволит просмотреть его, определить характер искажения, и искажен ли он вообще,
а также при необходимости вернуть исходное содержимое Flash ROM. Подробности в
7.
Искажение содержимого DIMM SPD ROM
Детектирование объема, типа и параметров модулей оперативной памяти (DIMM)
основано на использовании протокола SPD (Serial Presence Detect). На каждом
модуле устанавливается микросхема Flash ROM с последовательным доступом, объемом
256 байт. Используется микросхема 24C02 фирмы Atmel, описанная в [23] или ее
функциональные аналоги. BIOS на одном из этапов выполнения процедуры POST,
считывает информацию из микросхем SPD и использует ее при инициализации
контроллера памяти. Для доступа к SPD используется шина SMB (System Management
Bus), функционирующая на базе протокола I2C, предложенного фирмой Philips. Шина
SMB описана в [28]. Контроллер шины SMB обычно находится в составе "южного
моста" чипсета. Примеры в 5. Шина SMB также используется для доступа к
регистрам тактового генератора и некоторых модификаций схем аппаратного
мониторинга.
Если SPD искажено, симптомы зависят от характера искажения и от типа
материнской платы. Отметим, что во времена PC66/PC100/PC133 SDRAM протокол SPD
уже применялся, но большинство плат могли работать при неисправном SPD,
детектируя память по-старому, путем записей и контрольных считываний по
специальному алгоритму. Платы, использующие DDR/DDR2/DDR3 обычно, не стартуют
при некорректном содержимом SPD, процедура POST останавливается на
детектировании памяти.
Как восстановить модуль с искаженным SPD? Во-первых, нужна информация,
которую будем записывать в Flash ROM, а если конкретнее – 256-байтный двоичный
файл образа SPD. Как правило, производители DIMM не предоставляют подобные файлы
на своих сайтах. Составить содержимое SPD самостоятельно – достаточно интересная
и познавательная задача, но это потребует больших затрат времени. Простейший
путь – скопировать образ SPD из аналогичного модуля DIMM, если таковой имеется.
Заметим, что DIMM должен быть строго точно такой же, того же производителя и
модели. Если таковой недоступен, экспериментировать с похожими модулями есть
смысл если совпадает объем, количество микросхем, частотная спецификация, и,
разумеется, тип памяти (SDR/DDR/DDR2/DDR3). Можно взять за основу образ SPD от
похожего модуля и редактировать параметры вручную, не забывая корректировать
контрольную сумму. Для чтения и записи микросхем 24C02 можно использовать
соответствующий программатор или программу, выполняющую эту операцию
непосредственно на материнской плате. Написание такой программы, а также
детальное рассмотрение содержимого SPD – темы для двух отдельных больших статей,
автор планирует рассмотреть эту тему в будущем. Некоторые подробности приведены
в 29.
Источники информации
7) M56 Register Reference Guide. P/N RRG-216M56-03oOEM.
8) M76 Register Reference Guide. P/N 42590_m76_rrg_1.01o.
9) RV630 Register Reference Guide. 42589_rv630_rrg_1.01o.
10) AMD RS690 ASIC Family Register Reference Guide.
11) Radeon R3xx 3D Register Reference Guide (без номера).
12) Radeon R5xx Acceleration (без номера).
13) R600-Family Instruction Set Architecture (без номера).
14) 2 Megabit (256K x 8) Multi-Purpose Flash SST39SF020 Data Sheet.
15) 2 Mbit / 4 Mbit Firmware Hub SST49LF002A / SST49LF004A Data Sheet.
16) 2 Mbit LPC Flash SST49LF020 Data Sheet.
17) 1 Mbit SPI Serial Flash SST25VF010 Data Sheet.
18) 2 Mbit / 4 Mbit SPI Serial Flash SST25VF020 / SST25VF040 Data Sheet.
19) W49V002FA 256K x 8 CMOS Flash Memory with FWH Interface Data Sheet.
20) W49V002A 256K x 8 CMOS Flash Memory with LPC Interface Data Sheet.
21) Winbond LPC I/O W83627THF.
22) MX28F1000P 1M-BIT [128K x 8] CMOS Flash Memory Data Sheet.
23) AT24C01A/02/04/08/16 2-Wire Serial CMOS E2PROM Data Sheet.
24) IT8712F Environment Control – Low Pin Count Input/Output (EC-LPC I/O).
25) PCI BIOS Specification. Revision 2.1.
26) PCI Local Bus Specification. Revision 3.0.
27) PCI-to-PCI Bridge Architecture Specification. Revision 1.1.
28) System Management Bus (SMBus) Specification. Version 2.0.
29) 4.1.2.4 – Appendix D: DDR Synchronous DRAM (DDR SDRAM). JEDEC Standard
No.21-C Page 4.1.2.4 – 1.
30) Appendix X: Serial Presence Detects for DDR2 SDRAM (Revision 1.2). JEDEC
Standard No.21-C Page 4.1.2.10-1.
Электронные документы, доступные на сайте
acpi.info
31) Advanced Configuration and Power Interface Specification. Hewlett-Packard
Corporation, Intel Corporation, Microsoft Corporation, Phoenix Technologies
Ltd., Toshiba Corporation. Revision 3.0.
Книги
32) В.Л. Григорьев. Микропроцессор i486. Архитектура и программирование.
Москва ТОО “ГРАНАЛ” 1993.
33) Ю.М. Казаринов, В.Н. Номоконов, Г.С. Подклетнов, Ф.В. Филиппов.
Микропроцессорный комплект К1810. Структура, программирование, применение.
Справочная книга. Москва “Высшая школа” 1990.
34) М. Гук. Аппаратные средства IBM PC. Энциклопедия. Санкт-Петербург,
издательство “Питер” 2006.
Читайте также: