Безопасность информационных технологий

Актуальность исследований обусловлена необходимостью реализации технологий контролируемого исполнения программного кода, как для систем общего назначения, так и для систем, используемых в критической информационной инфраструктуре (КИИ). Технологии реализации защищённых сред исполнения являются одним из современных механизмов безопасности для защиты от эксплуатации уязвимостей и позволяющих обеспечить целостность и конфиденциальность информации. В работе рассматриваются существующие подходы к реализации доверенных сред исполнения программного кода и контролируемого выполнения программного обеспечения. Приводятся выводы о достоинствах, недостатках и ограничениях использования существующих решений. Предлагается рассмотрение ряда аспектов и методов реализации данного типа сред исполнения, с использованием штатных возможностей ядра ОС GNU/Linux. Предложен новый метод по реализации защищённых сред исполнения программного кода, расширяющий возможности существующих средств без использования проприетарных технологий. Результаты настоящей работы целесообразно использовать в программно-аппаратных комплексах и встроенных системах, функционирующих под управлением ОС семейства GNU/Linux.

1. Wenhui Zhang, Trent Jaeger, Peng Liu. Analyzing the Overhead of Filesystem Protection Using Linux Security Modules. DOI: https://doi.org/10.48550/arXiv.2101.11611.

2. Ермолов Марк М., Скляров Дмитрий В., Горячий Максим С. Недокументированные инструкции Х86 для управления CPU на уровне микроархитектуры в современных процессорах Intel. Безопасность информационных технологий, [S.l.], т. 29, № 4, с. 29–41, 2022. ISSN 2074-7128.
DOI: http://dx.doi.org/10.26583/bit.2022.4.03. – EDN CTVXOD.

3. Intel Corp. Intel Software Guard Extensions (Intel SGX) для Intel Compute Stick.
URL: https://www.intel.ru/content/www/ru/ru/download/19410/intel-software-guard-extensions-intel-sgx-for-intel-compute-stick.html (дата обращения: 03.04.2023).

4. TrustZone technology for Armv8-M Architecture.
URL: https://developer.arm.com/documentation/100690/latest/ (дата обращения: 03.04.2023).

5. Ian Pratt, Stephen Spector. Xen Virtualization. 2008.
URL: https://koreascience.kr/article/JAKO200832642389715.pdf (дата обращения: 03.04.2023).

6. Tom Spink, Harry Wagstaff, and Björn Franke. 2016. Hardware-Accelerated Cross-Architecture Full-System Virtualization. ACM Trans. Archit. Code Optim. 13, 4, Article 36 (December 2016), 25 p.
DOI: http://dx.doi.org/10.1145/2996798.

7. Intel Corp. Intel Management Engine Documentation.
URL: https://www.intel.com/content/www/us/en/support/articles/000008927/software/chipset-software.html (дата обращения: 03.04.2023).

8. Ashish Nadkarni, Shane Rau, Frank Dickson. Processor Security Underpins Secure Datacenter Infrastructure Sponsored by: Advanced Micro Devices. September 2019, IDC #US45487819.
URL: https://www.amd.com/system/files/documents/idc-security-whitepaper.pdf (дата обращения: 03.04.2023).

9. Victor Costan, Srinivas Devadas. Intel SGX Explained. Computer Science and Artificial Intelligence Laboratory Massachusetts Institute of Technology. URL: https://eprint.iacr.org/2016/086.pdf (дата обращения: 03.04.2023).

10. Insu Jang. Intel SGX Protection Mechanism. URL: https://insujang.github.io/2017-04-03/intel-sgx-protection-mechanism (дата обращения: 03.04.2023).

11. Samsung Group. KNOX and ARM TrustZone. URL: https://kp-cdn.samsungknox.com/c887e0a066f5598a1e9ecea2d68edbe1.pdf (дата обращения: 03.04.2023).

12. VMware. Glossary. URL: https://www.vmware.com/content/vmware/vmware-published-sites/us/topics/glossary/content/hypervisor.html.html (дата обращения: 03.04.2023).

13. Ilic Slavisa T., Gnjatovic Milan J., Popovic Brankica M., Macek Nemanja D. A pilot comparative analysis of the Cuckoo and Drakvuf sandboxes: An end-user perspective. April 2022 Military Technical Courier 70(2):372-392. DOI: https://doi.org/10.5937/vojtehg70-36196.

14. Christian Bargmann, Marina Tropmann-Fricka. Hamburg University of Applied Sciences. A Survey On Secure Container Isolation Approaches for Multi-Tenant Container Workloads and Serverless Computing.
URL: https://ceur-ws.org/Vol-2508/paper-bar.pdf (дата обращения: 03.04.2023).

15. Unicorn: Next Generation CPU Emulator Framework. URL: https://www.unicorn-engine.org/docs/beyond_qemu.html (дата обращения: 03.04.2023).

16. Intel Corp. Модуль доверенной платформы 2.0 AXXTPMENC8.
URL: https://ark.intel.com/content/www/ru/ru/ark/products/124461/trusted-platform-module-2-0-axxtpmenc8.html (дата обращения: 03.04.2023).

17. Intel Corp. Intel Hardware Shield – Below-the-OS Security.
URL: https://www.intel.com/content/dam/www/central-libraries/us/en/documents/below-the-os-security-white-paper.pdf (дата обращения: 03.04.2023).

18. Intel Corp. Intel Processor Vendor-Specific ACPI.
URL: https://www.intel.com/content/www/us/en/standards/processor-vendor-specific-acpi-specification.html (дата обращения: 03.04.2023).

19. Michael Schwarz, Samuel Weiser, Daniel Gruss, Clémentine Maurice, Stefan Mangard. Graz University of Technology. Malware Guard Extension: Using SGX to Conceal Cache Attacks.
DOI: https://doi.org/10.48550/arXiv.1702.08719.

20. Michael Schwarz, Samuel Weiser, Daniel Gruss. Practical Enclave Malware with Intel SGX.
DOI: https://doi.org/10.48550/arXiv.1902.03256.

21. Компания Аладдин Р.Д. Доверенная платформа на ARM-процессорах с собственной TrustZone.
URL: https://www.aladdin-rd.ru/catalog/trustzone/ (дата обращения: 03.04.2023).

22. How To Hack A Turned-Off Computer, Or Running Unsigned Code In Intel ME.
URL: https://www.blackhat.com/docs/eu-17/materials/eu-17-Goryachy-How-To-Hack-A-Turned-Off-Computer-Or-Running-Unsigned-Code-In-Intel-Management-Engine-wp.pdf (дата обращения: 03.04.2023).

23. Erica Portnoy, Peter Eckersleymay. Intel's Management Engine is a security hazard, and users need a way to disable it. May 8, 2017. URL: https://www.eff.org/deeplinks/2017/05/intels-management-engine-security-hazard-and-users-need-way-disable-it (дата обращения: 03.04.2023).

24. Catalin Cimpanu. Researchers Find a Way to Disable Much-Hated Intel ME Component Courtesy of the NSA August 28, 2017 URL: https://www.bleepingcomputer.com/news/hardware/researchers-find-a-way-to-disable-much-hated-intel-me-component-courtesy-of-the-nsa/ (дата обращения: 03.04.2023).

25. Описание уязвимости CVE-2017-5689 URL: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5689 (дата обращения: 03.04.2023).

26. Intel Corp.Intel Management Engine Critical Firmware Update (Intel-SA-00086).
URL: https://www.intel.com/content/www/us/en/support/articles/000025619/software.html (дата обращения: 03.04.2023).

27. Gallenmüller, S., Wiedner, F., Naab, J. et al. How Low Can You Go? A Limbo Dance for Low-Latency Network Functions. J Netw Syst Manage 31, 20 (2023). DOI: https://doi.org/10.1007/s10922-022-09710-3.

28. Red Hat Customer Portal. Product Documentation. Red Hat Enterprise Linux for Real Time. Installation Guide. Chapter 1. Why Use Red Hat Enterprise Linux for Real Time to Optimize Latency? URL: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_for_real_time/7/html/installation _guide/chap-why_use_rt_to_optimize_latency?intcmp=701f20000012ngPAAQ&extIdCarryOver=true&sc_ cid=701f2000001OH7EAAW (дата обращения: 03.04.2023).

29. Developer Quick Start Guide. Learn How To Get Involved With DPDK. URL: https://www.dpdk.org/ (дата обращения: 03.04.2023).

30. Linux/UNIX system programming training. Linux Programmer's Manual. SHM_OVERVIEW(7).
URL: https://man7.org/linux/man-pages/man7/shm_overview.7.html (дата обращения: 03.04.2023).

31. Linux/UNIX system programming training. Linux Programmer's Manual. MMAP(2).
URL: https://man7.org/linux/man-pages/man2/mmap.2.html (дата обращения: 03.04.2023).