RU2789614C1 - Device for protection of uefi bios from unauthorized changes - Google Patents
Device for protection of uefi bios from unauthorized changes Download PDFInfo
- Publication number
- RU2789614C1 RU2789614C1 RU2021133994A RU2021133994A RU2789614C1 RU 2789614 C1 RU2789614 C1 RU 2789614C1 RU 2021133994 A RU2021133994 A RU 2021133994A RU 2021133994 A RU2021133994 A RU 2021133994A RU 2789614 C1 RU2789614 C1 RU 2789614C1
- Authority
- RU
- Russia
- Prior art keywords
- computer system
- qms
- access
- central processor
- spi flash
- Prior art date
Links
Images
Abstract
Description
Изобретение относится к области вычислительной техники и предназначено для защиты кода UEFI BIOS, расположенного на микросхеме SPI Flash, от несанкционированного изменения в результате неправомерных действий пользователя, работы вредоносного кода на уровне операционной системы (ОС), не декларированными возможностями южного моста центрального процессора или его прошивки.The invention relates to the field of computer technology and is designed to protect the UEFI BIOS code located on the SPI Flash chip from unauthorized changes as a result of the user's unlawful actions, the operation of the malicious code at the operating system (OS), and the not declared capabilities of the southern bridge of the central processor or its firmware .
УРОВЕНЬ ТЕХНИКИBACKGROUND OF THE INVENTION
Наиболее близким техническим решением является RU119910U1, от 27.08.2012 в котором описан способ защиты от несанкционированного доступа к компьютеру. В данном способе предлагается настраивать BIOS так, что сразу после выполнения прохождения процедуры Power On Self-Test (POST) он осуществляет запуск встраиваемого модуля безопасности. При этом модуль безопасности содержит средство для блокировки доступа к настройкам BIOS всем, кроме авторизированных администраторов модуля безопасности, средство для аутентификации пользователя/администратора модуля безопасности, причем аутентификация пользователя/администратора производится с помощью идентифицирующего устройства (ИУ), подключаемого к системной шине ПЭВМ, средство для передачи управления BIOS для дальнейшей загрузки компьютера после аутентификации пользователя/администратора. Однако данные средства защиты недостаточно эффективно защищают компьютер от вредоносных программ.The closest technical solution is RU119910U1, dated 08/27/2012, which describes a method of protection against unauthorized access to a computer. In this method, it is proposed to configure the BIOS so that immediately after completing the Power On Self-Test (POST) procedure, it launches the plug-in security module. At the same time, the security module contains a means for blocking access to the BIOS settings to all, except for authorized administrators of the security module, a means for authenticating the user/administrator of the security module, and the user/administrator is authenticated using an identifying device (ID) connected to the PC system bus, a means to transfer BIOS control for further computer boot after user/administrator authentication. However, these protections are not effective enough to protect your computer from malware.
Технический результат предлагаемого технического решения - повышение защиты UEFI BIOS от несанкционированных изменений, за счет использования микроконтроллера (СМК). The technical result of the proposed technical solution is an increase in UEFI BIOS protection from unauthorized changes, through the use of a microcontroller (QMS).
РАСКРЫТИЕ ИЗОБРЕТЕНИЯDISCLOSURE OF THE INVENTION
Технический результат достигается тем, что предложено устройство защиты UEFI BIOS от несанкционированных изменений, содержащий микроконтроллер (СМК), расположенный на материнской плате вычислительного устройства - между центральным процессором и микросхемой SPI FLASH системы ЭВМ, причем устройство защиты подключается к блоку питания системы ЭВМ,The technical result is achieved by the fact that the UEFI BIOS protection device is proposed from unauthorized changes containing a microcontroller (QMS) located on the motherboard of the computing device - between the central processor and the SPI Flash microcircuit, the protection device is connected to the power supply unit,
при этом устройство СМК дополнительно содержит блок контроля питания системы ЭВМ, а также независимый источник питания, позволяющий защитить СМК от перебоев питания;In this case, the QMS device additionally contains a power control unit of a computer system, as well as an independent power source that allows you to protect the QMS from power outages;
СМК загружается до загрузки основной системы ЭВМ для первичного контроля доступа пользователей к системе ЭВМ и центрального процессора, причемThe QMS is loaded before the main computer system is loaded for the primary control of user access to the computer system and the central processor, and
СМК работает независимо от центрального процессора и содержит собственную оперативную память, долговременную память с загруженными базой данных прав доступа пользователей, а также программными модулями управления с реализацией всех команд работы протокола SPI FLASH и содержимым микросхемы SPI FLASH для целей ее эмуляции, а также для обработки и анализа входящих данные и команд до поступления их в микросхему SPI Flash и систему ЭВМ для осуществления контролируемого доступа, причем СМК реализовано для:The QMS works regardless of the central processor and contains its own RAM, long -term memory with the loaded database of user access rights, as well as the control modules with the implementation of all SPI FLASH workshop commands and the SPI Flash chip for the purpose of its emulation, as well as for processing and processing and Analysis of incoming data and commands before they enter the SPI Flash chip and computers for the implementation of controlled access, and the QMS is implemented for:
- регистрации каждого пользователя в устройстве СМК с определением прав доступа на чтение и запись информации в центральный процессор устройства ЭВМ, проведение процедуры идентификации и аутентификации;- registration of each user in the QMS device with the definition of access rights for reading and writing information to the central processor of the computer device, carrying out the identification and authentication procedure;
- блокировки компьютера в случае попытки входа в систему незарегистрированного пользователя путем программной блокировки доступа к центральному процессору и к системе ЭВМ и/или путем отключения питания системы ЭВМ;- locking the computer in case of trying to enter the system of an unregistered user by software blocking access to the central processor and to the computer system and/or by turning off the power system;
- регистрация событий в системном журнале;- registration of events in the system log;
- осуществление контроля целостности важных пользовательских и системных файлов, в том числе и операционной системы;- monitoring the integrity of important user and system files, including the operating system;
- запрет несанкционированной загрузки ОС с внешних съемных носителей; - prohibition of unauthorized booting of the OS from external removable media;
СМК дополнительно содержит независимый от цепей материнской платы аппаратной платформы блок связи для загрузки данных для отправки сигнала тревоги ответственному лицу и/или администратору о том, что произошел несанкционированный доступ к системе ЭВМ;The QMS additionally contains a communication unit unprofitable of the motherboard of the hardware platform for loading data to send anxiety signal to the responsible person and/or the administrator that unauthorized access to the computer system has occurred;
СМК дополнительно содержит блок звуковых и/или визуальных сигналов.The QMS additionally contains a block of sound and/or visual signals.
Кроме того, в частных случаях реализации изобретения:In addition, in particular cases of implementation of the invention:
- СМК подключается к мосту центрального процессора по шине SPI через стандартный разъем подключения карты расширения;- QMS is connected to the central processor bridge via the SPI bus through a standard expansion card connector;
- СМК подключается к мосту центрального процессора по шине SPI путем распайки на материнскую плату.- The QMS is connected to the central processor bridge over the SPI bus by steaming on the motherboard.
Рассмотрим работу предлагаемого способа защиты UEFI BIOS от несанкционированных изменений, на примере компьютера с защитой UEFI BIOS от несанкционированных изменений с микроконтроллером. Для реализации изобретения используется материнская плата компьютера, на которой расположен микроконтроллер. Остальные элементы компьютера представляют его стандартные элементы: процессор с системой охлаждения, оперативная память, видеокарта, жесткие диски (SSD или HDD), монитор, корпус с блоком питания, клавиатура и мышь. Consider the operation of the proposed method for protecting the UEFI BIOS from unauthorized changes, using the example of a computer with UEFI BIOS protection from unauthorized changes with a microcontroller. To implement the invention, a computer motherboard is used, on which the microcontroller is located. The remaining elements of the computer represent its standard elements: a processor with a cooling system, RAM, a video card, hard drives (SSD or HDD), a monitor, a case with a power supply, a keyboard and a mouse.
СМК подключается к мосту центрального процессора по шине SPI (через стандартный разъем подключения карты расширения или путем распайки на материнскую плату) и представляет собой SPI Slave устройство, подключенное между центральным процессором и микросхемой SPI FLASH (фиг.1). Таким образом, при включении системы ЭВМ, СМК загружается первым, т.е. до загрузки основной системы ЭВМ, для первичного контроля доступа пользователей к системе ЭВМ. The QMS is connected to the CPU bridge via the SPI bus (via a standard expansion card connector or by soldering to the motherboard) and is an SPI Slave device connected between the CPU and the SPI FLASH chip (Fig.1). Thus, when the computer system is turned on, the QMS is loaded first, i.e. before loading the main computer system, for the primary control of user access to the computer system.
С помощью программных модулей управления СМК происходит полная эмуляция типовой микросхемы SPI Flash с реализацией всех команд протокола работы SPI Flash таким образом, чтобы обрабатывать и анализировать входящие данные и команды до поступления их в микросхему SPI Flash и систему ЭВМ для осуществления контролируемого доступа и обнаружения вредоносного программного обеспечения (ПО). Вместе с тем также осуществляется:With the help of software control modules of the QMS, a typical SPI Flash chip is fully emulated with the implementation of all commands of the SPI Flash operation protocol in such a way as to process and analyze incoming data and commands before they enter the SPI Flash chip and the computer system for controlled access and detection of malicious software. software (software). However, it also does:
- регистрация каждого пользователя в устройстве СМК с определением прав доступа на чтение и запись информации в центральный процессор устройства ЭВМ, проведение процедуры идентификации и аутентификации;- registration of each user in the QMS device with the definition of access rights for reading and writing information to the central processor of the computer device, carrying out the identification and authentication procedure;
- блокировка компьютера в случае попытки входа в систему незарегистрированного пользователя или при обнаружении вредоносного ПО;- locking the computer in case of trying to enter the system of an unregistered user or if malicious software is detected;
- регистрация событий в системном журнале;- registration of events in the system log;
- осуществление контроля целостности важных пользовательских и системных файлов, в том числе и операционной системы (ОС);- monitoring the integrity of important user and system files, including the operating system (OS);
- запрет несанкционированной загрузки ОС с внешних съемных носителей.- prohibition of unauthorized booting of the OS from external removable media.
При этом содержимое эмулируемой микросхемы SPI Flash хранится в долговременной памяти СМК, доступ к которой контролируется программным кодом СМК и предоставляется только пользователям, имеющих необходимые права доступа. Кроме того, возможна реализация изобретения, в которой у пользователя имеется специализированный ключ доступа, реализованный на технологии USB и хранящий программные инструкции, а также зашифрованную запись о правах доступа к системе ЭВМ, использование которого в порте USB ЭВМ позволяет СМК узнать о правах доступа пользователя и защитить от несанкционированных изменений систему ЭВМ и микросхемы SPI Flash. At the same time, the contents of the emulated SPI Flash chip are stored in the long -term memory of the QMS, the access to which is controlled by the software code of the QMS and is provided only to users who have the necessary access rights. In addition, it is possible to implement the invention in which the user has a specialized access key implemented on USB technology and storing program instructions, as well as an encrypted record of access rights to the computer system, the use of which in the USB port of the computer allows the QMS to learn about the user's access rights and protect the computer system and SPI Flash chips from unauthorized changes.
Устройство СМК питается от системы ЭВМ путем подключения к блоку питания системы, причем устройство СМК содержит блок контроля питания системы ЭВМ. При этом устройство реализовано таким обозом, что бы оно имело также независимый источник питания, позволяющий защитить СМК от перебоев питания для доступа к системе ЭВМ и микросхеме SPI Flash. Таким образом, независимый источник питания, а именно аккумуляторная батарея или иные независимые источники питания, позволяют дополнительно защитить от несанкционированного доступа к системе ЭВМ, а также микросхеме SPI Flash.The QMS device is powered from the computer system by connecting to the power supply unit of the system, and the QMS device contains a power supply control unit of the computer system. At the same time, the device is implemented in such a way that it also has an independent power source, which allows protecting the QMS from power outages for accessing the computer system and the SPI Flash chip. Thus, an independent power source, namely a rechargeable battery or other independent power sources, can additionally protect against unauthorized access to the computer system, as well as the SPI Flash chip.
Вместе с тем СМК дополнительно может содержать источник звуковых и визуальных сигналов, таких, как динамик и/или звукопередающее устройство и/или светодиоды и/или световые индикаторы, которые настроены таким образом, чтобы, в случае обнаружения несанкционированного доступа и/или вредоносного ПО, оповещать звуковым и/или визуальным сигналом нарушение доступа. Причем СМК реализовано таким образом, что, в случае генерации звуковых и/или визуальных сигналов, СМК полностью блокирует доступ с системе ЭВМ, а также к микросхеме SPI Flash путем блокировки доступа к системе ЭВМ и/или отключения подачи питания к системе ЭВМ.At the same time, the QMS may additionally contain a source of audio and visual signals, such as a speaker and/or a sound transmitting device and/or LEDs and/or indicator lights, which are configured in such a way that, in the event of detection of unauthorized access and/or malware, notify with an audible and / or visual signal of an access violation. Moreover, the QMS is implemented in such a way that, in the case of generating sound and / or visual signals, the QMS completely blocks access to the computer system, as well as to the SPI Flash chip by blocking access to the computer system and / or turning off the power supply to the computer system.
Устройство СМК может содержать дополнительно блок связи, реализованный посредством технологий, например, WIFI, Bluetooth, ZigBee и т.п., для отправки сигнала тревоги ответственному лицу и/или администратору о том, что произошел несанкционированный доступ к системе ЭВМ. Информация может включать время, дату, место, номер идентификационного ключа, имя пользователя, его права доступа и иную информацию. Кроме того, посредством блока связи администратор и/или ответственное лицо может дополнять, изменять, корректировать и обновлять базу данных прав доступа пользователей.The QMS device may additionally contain a communication unit implemented using technologies such as WIFI, Bluetooth, ZigBee, etc., to send an alarm to the responsible person and / or administrator that an unauthorized access to the computer system has occurred. The information may include time, date, location, identification key number, user name, access rights, and other information. In addition, by means of the communication block, the administrator and/or the person in charge can supplement, modify, correct and update the database of user access rights.
Устройство СМК может дополнительно содержать блок контроля доступа к открытию корпуса системы ЭВМ, а также блокировки доступа к корпусу ЭВМ для пользователей, не имеющих необходимые права доступа.The QMS device can additionally contain an access control unit to open the computer system, as well as blocking access to a computer body for users who do not have the necessary access rights.
Использование данного подхода позволяет независимыми от центрального процессора, а также всей вычислительной платформы средствами контролировать обращение к микросхеме SPI Flash с целью чтения или записи информации, расположенной на ней. Ведение журнала операций обращений к микросхеме SPI Flash позволяет контролировать ее работу во время всего цикла ее функционирования. The use of this approach allows independent of the central processor, as well as the entire computing platform, to control the access to the SPI Flash chip in order to read or write information located on it. Keeping a log of operations of calls to the SPI Flash chip allows you to control its operation during the entire cycle of its operation.
Claims (13)
Publications (1)
Publication Number | Publication Date |
---|---|
RU2789614C1 true RU2789614C1 (en) | 2023-02-06 |
Family
ID=
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU119910U1 (en) * | 2012-05-17 | 2012-08-27 | Закрытое акционерное общество "Аладдин Р.Д." | BUILT-IN TSM SECURITY MODULE |
RU129674U1 (en) * | 2013-02-06 | 2013-06-27 | Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" | COMPUTER PROTECTED FROM UNAUTHORIZED ACCESS |
RU2538287C2 (en) * | 2013-02-06 | 2015-01-10 | Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" | Method of checking computer with antivirus in uefi at early stage of booting computer |
RU2583714C2 (en) * | 2013-12-27 | 2016-05-10 | Закрытое акционерное общество "Лаборатория Касперского" | Security agent, operating at embedded software level with support of operating system security level |
US20160188345A1 (en) * | 2014-12-26 | 2016-06-30 | American Megatrends Inc. | Method of a UEFI firmware and Computer System thereof |
US10489596B2 (en) * | 2013-02-21 | 2019-11-26 | Dell Products, Lp | Configuring a trusted platform module |
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU119910U1 (en) * | 2012-05-17 | 2012-08-27 | Закрытое акционерное общество "Аладдин Р.Д." | BUILT-IN TSM SECURITY MODULE |
RU129674U1 (en) * | 2013-02-06 | 2013-06-27 | Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" | COMPUTER PROTECTED FROM UNAUTHORIZED ACCESS |
RU2538287C2 (en) * | 2013-02-06 | 2015-01-10 | Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" | Method of checking computer with antivirus in uefi at early stage of booting computer |
US10489596B2 (en) * | 2013-02-21 | 2019-11-26 | Dell Products, Lp | Configuring a trusted platform module |
RU2583714C2 (en) * | 2013-12-27 | 2016-05-10 | Закрытое акционерное общество "Лаборатория Касперского" | Security agent, operating at embedded software level with support of operating system security level |
US20160188345A1 (en) * | 2014-12-26 | 2016-06-30 | American Megatrends Inc. | Method of a UEFI firmware and Computer System thereof |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10516533B2 (en) | Password triggered trusted encryption key deletion | |
CA2799932C (en) | Computer motherboard having peripheral security functions | |
CN106687985B (en) | Method for the safe input mechanism based on privileged mode | |
TWI390425B (en) | System for security verification and method for verifying security in a computer system | |
RU2538329C1 (en) | Apparatus for creating trusted environment for computers of information computer systems | |
CN109815698B (en) | Method and non-transitory machine-readable storage medium for performing security actions | |
Sparks | A security assessment of trusted platform modules | |
RU2569577C1 (en) | Device to create trusted execution environment for special purpose computers | |
CN107665308B (en) | TPCM system for building and maintaining trusted operating environment and corresponding method | |
EP2891104B1 (en) | Detecting a malware process | |
CN102955921A (en) | Electronic device and safe starting method | |
CN109614799B (en) | Information authentication method | |
Kursawe et al. | Analyzing trusted platform communication | |
WO2019209630A1 (en) | File processing method and system, and data processing method | |
US10817211B2 (en) | Method for completing a secure erase operation | |
US20090089588A1 (en) | Method and apparatus for providing anti-theft solutions to a computing system | |
Apostolopoulos et al. | Discovering authentication credentials in volatile memory of android mobile devices | |
CN104361298B (en) | The method and apparatus of Information Security | |
EP4006758B1 (en) | Data storage apparatus with variable computer file system | |
RU2789614C1 (en) | Device for protection of uefi bios from unauthorized changes | |
US11947466B2 (en) | Storage device, nonvolatile memory system including memory controller, and operating method of the storage device | |
CN109583169B (en) | Security authentication method | |
CN109598125B (en) | Safe starting method | |
RU119910U1 (en) | BUILT-IN TSM SECURITY MODULE | |
RU129674U1 (en) | COMPUTER PROTECTED FROM UNAUTHORIZED ACCESS |