Предотвращение и расследование киберпреступлений

Исследование управляющей программы жёстких дисков на предмет наличия вредоносного кода

Исследование управляющих программ (микропрограмм, прошивок) жёстких дисков может быть важной частью общего комплекса мероприятий в рамках:

  • обеспечения информационной безопасности;
  • криминалистического исследования инцидентов информационной безопасности.

Современные жёсткие диски фактически представляют собой компьютеры, работающие под управлением собственной операционной системы реального времени и имеющие прямой доступ ко всем хранящимся на них данным.

В настоящее время параметры отдельных моделей достигают следующих значений:

  • размер недоступной пользователям служебной зоны на поверхностях пластин, использующейся жёстким диском для хранения служебных данных и частей микропрограммы, достигает 600 Мб и 128 Мб ОЗУ;
  • используются многоядерные процессоры (до 4-x ядер).

Программная и аппаратная архитектура современных жёстких дисков таковы, что позволяют добавить в микропрограмму значительные по объёму фрагменты кода и данных без изменения функциональности устройства. В настоящее время такие случаи известны, и их количество неуклонно растёт.

Микропрограмма жёсткого диска может быть модифицирована:

  • на одной из стадий производства;
  • на пути от производителя к покупателю;
  • непосредственно в процессе эксплуатации.

Код микропрограммы жёсткого диска исполняется в адресном пространстве его ОЗУ. Происходящие в этом адресном пространстве процессы не могут быть проконтролированы какими-либо существующими на данный момент средствами защиты. При этом сама микропрограмма жёсткого диска имеет полный доступ к данным и может загрузить в ОЗУ компьютера фрагменты вредоносного кода, получив контроль над операционной системой.

Например, возможен такой сценарий, когда работая под управлением модифицированной микропрограммы, жёсткий диск подменяет загрузчик операционной системы, и в процессе загрузки внедряет в её ядро заранее подготовленные фрагменты вредоносного кода. Затем, при наличии соединения с сетью Интернет, отправляет злоумышленнику содержащиеся на компьютере, либо доступные с этого компьютера данные.

Защитить хранящуюся на компьютере информацию от таких угроз можно либо аппаратно заблокировав доступ во внешние информационные сети, либо используя носители информации, управляющие программы которых прошли предварительную проверку на предмет отсутствие вредоносного кода. При этом, в первом случае остаётся угроза уничтожения, блокирования либо внесения изменений в хранящиеся на жёстком диске данные.

Для практических целей достаточно выбрать наименее трудоёмкую с точки зрения исследования микропрограммы модель жёсткого диска из подходящих по надёжности и техническим характеристикам. Затем можно записать проверенную микропрограмму на все жёсткие диски этой модели, для которых требуется обеспечить гарантированное отсутствие вредоносного кода.

Оставайтесь на связи!
Читайте наши новости в социальных сетях
×

Свяжитесь с нами:

+7 495 984-33-64
help@group-ib.ru

Подробнее