RU2789614C1 - Device for protection of uefi bios from unauthorized changes - Google Patents

Device for protection of uefi bios from unauthorized changes Download PDF

Info

Publication number
RU2789614C1
RU2789614C1 RU2021133994A RU2021133994A RU2789614C1 RU 2789614 C1 RU2789614 C1 RU 2789614C1 RU 2021133994 A RU2021133994 A RU 2021133994A RU 2021133994 A RU2021133994 A RU 2021133994A RU 2789614 C1 RU2789614 C1 RU 2789614C1
Authority
RU
Russia
Prior art keywords
computer system
qms
access
central processor
spi flash
Prior art date
Application number
RU2021133994A
Other languages
Russian (ru)
Inventor
Алексей Юрьевич Кравцов
Original Assignee
Акционерное Общество "Крафтвэй Корпорэйшн Плс"
Filing date
Publication date
Application filed by Акционерное Общество "Крафтвэй Корпорэйшн Плс" filed Critical Акционерное Общество "Крафтвэй Корпорэйшн Плс"
Application granted granted Critical
Publication of RU2789614C1 publication Critical patent/RU2789614C1/en

Links

Images

Abstract

FIELD: computer technology.
SUBSTANCE: invention relates to the field of computer technology; it is intended for protection of UEFI BIOS code placed on SPI Flash microcircuit from unauthorized changes. A device for protection of UEFI BIOS from unauthorized changes contains a microcontroller placed on the motherboard of a computing device between a central processor and SPI FLASH microcircuit of a computer system, wherein the protection device is connected to a power supply unit of the computer system, the microcontroller operates independently of the central processor and contains own RAM, long-term memory with a loaded database of user access rights, as well as program control modules with implementation of all commands of SPI FLASH protocol operation and content of SPI FLASH microcircuit for its emulation, as well as for processing and analysis of input data and commands before their entering SPI Flash microcircuit and the computer system for controllable access.
EFFECT: increase in protection of UEFI BIOS from unauthorized changes.
3 cl, 1 dwg

Description

Изобретение относится к области вычислительной техники и предназначено для защиты кода UEFI BIOS, расположенного на микросхеме SPI Flash, от несанкционированного изменения в результате неправомерных действий пользователя, работы вредоносного кода на уровне операционной системы (ОС), не декларированными возможностями южного моста центрального процессора или его прошивки.The invention relates to the field of computer technology and is designed to protect the UEFI BIOS code located on the SPI Flash chip from unauthorized changes as a result of the user's unlawful actions, the operation of the malicious code at the operating system (OS), and the not declared capabilities of the southern bridge of the central processor or its firmware .

УРОВЕНЬ ТЕХНИКИBACKGROUND OF THE INVENTION

Наиболее близким техническим решением является RU119910U1, от 27.08.2012 в котором описан способ защиты от несанкционированного доступа к компьютеру. В данном способе предлагается настраивать BIOS так, что сразу после выполнения прохождения процедуры Power On Self-Test (POST) он осуществляет запуск встраиваемого модуля безопасности. При этом модуль безопасности содержит средство для блокировки доступа к настройкам BIOS всем, кроме авторизированных администраторов модуля безопасности, средство для аутентификации пользователя/администратора модуля безопасности, причем аутентификация пользователя/администратора производится с помощью идентифицирующего устройства (ИУ), подключаемого к системной шине ПЭВМ, средство для передачи управления BIOS для дальнейшей загрузки компьютера после аутентификации пользователя/администратора. Однако данные средства защиты недостаточно эффективно защищают компьютер от вредоносных программ.The closest technical solution is RU119910U1, dated 08/27/2012, which describes a method of protection against unauthorized access to a computer. In this method, it is proposed to configure the BIOS so that immediately after completing the Power On Self-Test (POST) procedure, it launches the plug-in security module. At the same time, the security module contains a means for blocking access to the BIOS settings to all, except for authorized administrators of the security module, a means for authenticating the user/administrator of the security module, and the user/administrator is authenticated using an identifying device (ID) connected to the PC system bus, a means to transfer BIOS control for further computer boot after user/administrator authentication. However, these protections are not effective enough to protect your computer from malware.

Технический результат предлагаемого технического решения - повышение защиты UEFI BIOS от несанкционированных изменений, за счет использования микроконтроллера (СМК). The technical result of the proposed technical solution is an increase in UEFI BIOS protection from unauthorized changes, through the use of a microcontroller (QMS).

РАСКРЫТИЕ ИЗОБРЕТЕНИЯDISCLOSURE OF THE INVENTION

Технический результат достигается тем, что предложено устройство защиты UEFI BIOS от несанкционированных изменений, содержащий микроконтроллер (СМК), расположенный на материнской плате вычислительного устройства - между центральным процессором и микросхемой SPI FLASH системы ЭВМ, причем устройство защиты подключается к блоку питания системы ЭВМ,The technical result is achieved by the fact that the UEFI BIOS protection device is proposed from unauthorized changes containing a microcontroller (QMS) located on the motherboard of the computing device - between the central processor and the SPI Flash microcircuit, the protection device is connected to the power supply unit,

при этом устройство СМК дополнительно содержит блок контроля питания системы ЭВМ, а также независимый источник питания, позволяющий защитить СМК от перебоев питания;In this case, the QMS device additionally contains a power control unit of a computer system, as well as an independent power source that allows you to protect the QMS from power outages;

СМК загружается до загрузки основной системы ЭВМ для первичного контроля доступа пользователей к системе ЭВМ и центрального процессора, причемThe QMS is loaded before the main computer system is loaded for the primary control of user access to the computer system and the central processor, and

СМК работает независимо от центрального процессора и содержит собственную оперативную память, долговременную память с загруженными базой данных прав доступа пользователей, а также программными модулями управления с реализацией всех команд работы протокола SPI FLASH и содержимым микросхемы SPI FLASH для целей ее эмуляции, а также для обработки и анализа входящих данные и команд до поступления их в микросхему SPI Flash и систему ЭВМ для осуществления контролируемого доступа, причем СМК реализовано для:The QMS works regardless of the central processor and contains its own RAM, long -term memory with the loaded database of user access rights, as well as the control modules with the implementation of all SPI FLASH workshop commands and the SPI Flash chip for the purpose of its emulation, as well as for processing and processing and Analysis of incoming data and commands before they enter the SPI Flash chip and computers for the implementation of controlled access, and the QMS is implemented for:

- регистрации каждого пользователя в устройстве СМК с определением прав доступа на чтение и запись информации в центральный процессор устройства ЭВМ, проведение процедуры идентификации и аутентификации;- registration of each user in the QMS device with the definition of access rights for reading and writing information to the central processor of the computer device, carrying out the identification and authentication procedure;

- блокировки компьютера в случае попытки входа в систему незарегистрированного пользователя путем программной блокировки доступа к центральному процессору и к системе ЭВМ и/или путем отключения питания системы ЭВМ;- locking the computer in case of trying to enter the system of an unregistered user by software blocking access to the central processor and to the computer system and/or by turning off the power system;

- регистрация событий в системном журнале;- registration of events in the system log;

- осуществление контроля целостности важных пользовательских и системных файлов, в том числе и операционной системы;- monitoring the integrity of important user and system files, including the operating system;

- запрет несанкционированной загрузки ОС с внешних съемных носителей; - prohibition of unauthorized booting of the OS from external removable media;

СМК дополнительно содержит независимый от цепей материнской платы аппаратной платформы блок связи для загрузки данных для отправки сигнала тревоги ответственному лицу и/или администратору о том, что произошел несанкционированный доступ к системе ЭВМ;The QMS additionally contains a communication unit unprofitable of the motherboard of the hardware platform for loading data to send anxiety signal to the responsible person and/or the administrator that unauthorized access to the computer system has occurred;

СМК дополнительно содержит блок звуковых и/или визуальных сигналов.The QMS additionally contains a block of sound and/or visual signals.

Кроме того, в частных случаях реализации изобретения:In addition, in particular cases of implementation of the invention:

- СМК подключается к мосту центрального процессора по шине SPI через стандартный разъем подключения карты расширения;- QMS is connected to the central processor bridge via the SPI bus through a standard expansion card connector;

- СМК подключается к мосту центрального процессора по шине SPI путем распайки на материнскую плату.- The QMS is connected to the central processor bridge over the SPI bus by steaming on the motherboard.

Рассмотрим работу предлагаемого способа защиты UEFI BIOS от несанкционированных изменений, на примере компьютера с защитой UEFI BIOS от несанкционированных изменений с микроконтроллером. Для реализации изобретения используется материнская плата компьютера, на которой расположен микроконтроллер. Остальные элементы компьютера представляют его стандартные элементы: процессор с системой охлаждения, оперативная память, видеокарта, жесткие диски (SSD или HDD), монитор, корпус с блоком питания, клавиатура и мышь. Consider the operation of the proposed method for protecting the UEFI BIOS from unauthorized changes, using the example of a computer with UEFI BIOS protection from unauthorized changes with a microcontroller. To implement the invention, a computer motherboard is used, on which the microcontroller is located. The remaining elements of the computer represent its standard elements: a processor with a cooling system, RAM, a video card, hard drives (SSD or HDD), a monitor, a case with a power supply, a keyboard and a mouse.

СМК подключается к мосту центрального процессора по шине SPI (через стандартный разъем подключения карты расширения или путем распайки на материнскую плату) и представляет собой SPI Slave устройство, подключенное между центральным процессором и микросхемой SPI FLASH (фиг.1). Таким образом, при включении системы ЭВМ, СМК загружается первым, т.е. до загрузки основной системы ЭВМ, для первичного контроля доступа пользователей к системе ЭВМ. The QMS is connected to the CPU bridge via the SPI bus (via a standard expansion card connector or by soldering to the motherboard) and is an SPI Slave device connected between the CPU and the SPI FLASH chip (Fig.1). Thus, when the computer system is turned on, the QMS is loaded first, i.e. before loading the main computer system, for the primary control of user access to the computer system.

С помощью программных модулей управления СМК происходит полная эмуляция типовой микросхемы SPI Flash с реализацией всех команд протокола работы SPI Flash таким образом, чтобы обрабатывать и анализировать входящие данные и команды до поступления их в микросхему SPI Flash и систему ЭВМ для осуществления контролируемого доступа и обнаружения вредоносного программного обеспечения (ПО). Вместе с тем также осуществляется:With the help of software control modules of the QMS, a typical SPI Flash chip is fully emulated with the implementation of all commands of the SPI Flash operation protocol in such a way as to process and analyze incoming data and commands before they enter the SPI Flash chip and the computer system for controlled access and detection of malicious software. software (software). However, it also does:

- регистрация каждого пользователя в устройстве СМК с определением прав доступа на чтение и запись информации в центральный процессор устройства ЭВМ, проведение процедуры идентификации и аутентификации;- registration of each user in the QMS device with the definition of access rights for reading and writing information to the central processor of the computer device, carrying out the identification and authentication procedure;

- блокировка компьютера в случае попытки входа в систему незарегистрированного пользователя или при обнаружении вредоносного ПО;- locking the computer in case of trying to enter the system of an unregistered user or if malicious software is detected;

- регистрация событий в системном журнале;- registration of events in the system log;

- осуществление контроля целостности важных пользовательских и системных файлов, в том числе и операционной системы (ОС);- monitoring the integrity of important user and system files, including the operating system (OS);

- запрет несанкционированной загрузки ОС с внешних съемных носителей.- prohibition of unauthorized booting of the OS from external removable media.

При этом содержимое эмулируемой микросхемы SPI Flash хранится в долговременной памяти СМК, доступ к которой контролируется программным кодом СМК и предоставляется только пользователям, имеющих необходимые права доступа. Кроме того, возможна реализация изобретения, в которой у пользователя имеется специализированный ключ доступа, реализованный на технологии USB и хранящий программные инструкции, а также зашифрованную запись о правах доступа к системе ЭВМ, использование которого в порте USB ЭВМ позволяет СМК узнать о правах доступа пользователя и защитить от несанкционированных изменений систему ЭВМ и микросхемы SPI Flash. At the same time, the contents of the emulated SPI Flash chip are stored in the long -term memory of the QMS, the access to which is controlled by the software code of the QMS and is provided only to users who have the necessary access rights. In addition, it is possible to implement the invention in which the user has a specialized access key implemented on USB technology and storing program instructions, as well as an encrypted record of access rights to the computer system, the use of which in the USB port of the computer allows the QMS to learn about the user's access rights and protect the computer system and SPI Flash chips from unauthorized changes.

Устройство СМК питается от системы ЭВМ путем подключения к блоку питания системы, причем устройство СМК содержит блок контроля питания системы ЭВМ. При этом устройство реализовано таким обозом, что бы оно имело также независимый источник питания, позволяющий защитить СМК от перебоев питания для доступа к системе ЭВМ и микросхеме SPI Flash. Таким образом, независимый источник питания, а именно аккумуляторная батарея или иные независимые источники питания, позволяют дополнительно защитить от несанкционированного доступа к системе ЭВМ, а также микросхеме SPI Flash.The QMS device is powered from the computer system by connecting to the power supply unit of the system, and the QMS device contains a power supply control unit of the computer system. At the same time, the device is implemented in such a way that it also has an independent power source, which allows protecting the QMS from power outages for accessing the computer system and the SPI Flash chip. Thus, an independent power source, namely a rechargeable battery or other independent power sources, can additionally protect against unauthorized access to the computer system, as well as the SPI Flash chip.

Вместе с тем СМК дополнительно может содержать источник звуковых и визуальных сигналов, таких, как динамик и/или звукопередающее устройство и/или светодиоды и/или световые индикаторы, которые настроены таким образом, чтобы, в случае обнаружения несанкционированного доступа и/или вредоносного ПО, оповещать звуковым и/или визуальным сигналом нарушение доступа. Причем СМК реализовано таким образом, что, в случае генерации звуковых и/или визуальных сигналов, СМК полностью блокирует доступ с системе ЭВМ, а также к микросхеме SPI Flash путем блокировки доступа к системе ЭВМ и/или отключения подачи питания к системе ЭВМ.At the same time, the QMS may additionally contain a source of audio and visual signals, such as a speaker and/or a sound transmitting device and/or LEDs and/or indicator lights, which are configured in such a way that, in the event of detection of unauthorized access and/or malware, notify with an audible and / or visual signal of an access violation. Moreover, the QMS is implemented in such a way that, in the case of generating sound and / or visual signals, the QMS completely blocks access to the computer system, as well as to the SPI Flash chip by blocking access to the computer system and / or turning off the power supply to the computer system.

Устройство СМК может содержать дополнительно блок связи, реализованный посредством технологий, например, WIFI, Bluetooth, ZigBee и т.п., для отправки сигнала тревоги ответственному лицу и/или администратору о том, что произошел несанкционированный доступ к системе ЭВМ. Информация может включать время, дату, место, номер идентификационного ключа, имя пользователя, его права доступа и иную информацию. Кроме того, посредством блока связи администратор и/или ответственное лицо может дополнять, изменять, корректировать и обновлять базу данных прав доступа пользователей.The QMS device may additionally contain a communication unit implemented using technologies such as WIFI, Bluetooth, ZigBee, etc., to send an alarm to the responsible person and / or administrator that an unauthorized access to the computer system has occurred. The information may include time, date, location, identification key number, user name, access rights, and other information. In addition, by means of the communication block, the administrator and/or the person in charge can supplement, modify, correct and update the database of user access rights.

Устройство СМК может дополнительно содержать блок контроля доступа к открытию корпуса системы ЭВМ, а также блокировки доступа к корпусу ЭВМ для пользователей, не имеющих необходимые права доступа.The QMS device can additionally contain an access control unit to open the computer system, as well as blocking access to a computer body for users who do not have the necessary access rights.

Использование данного подхода позволяет независимыми от центрального процессора, а также всей вычислительной платформы средствами контролировать обращение к микросхеме SPI Flash с целью чтения или записи информации, расположенной на ней. Ведение журнала операций обращений к микросхеме SPI Flash позволяет контролировать ее работу во время всего цикла ее функционирования. The use of this approach allows independent of the central processor, as well as the entire computing platform, to control the access to the SPI Flash chip in order to read or write information located on it. Keeping a log of operations of calls to the SPI Flash chip allows you to control its operation during the entire cycle of its operation.

Claims (13)

1. Устройство защиты UEFI BIOS от несанкционированных изменений, содержащее микроконтроллер (СМК), расположенный на материнской плате системы ЭВМ - между центральным процессором и микросхемой SPI FLASH системы ЭВМ, причем устройство защиты подключается к блоку питания системы ЭВМ,1. A UEFI BIOS protection device against unauthorized changes, containing a microcontroller (MCC) located on the motherboard of the computer system - between the central processor and the SPI FLASH chip of the computer system, and the protection device is connected to the power supply of the computer system, при этом устройство СМК дополнительно содержит блок контроля питания системы ЭВМ, а также независимый источник питания, позволяющий защитить СМК от перебоев питания;In this case, the QMS device additionally contains a power control unit of a computer system, as well as an independent power source that allows you to protect the QMS from power outages; СМК загружается до загрузки основной системы ЭВМ для первичного контроля доступа пользователей к системе ЭВМ и центрального процессора, причемThe QMS is loaded before the main computer system is loaded for the primary control of user access to the computer system and the central processor, and СМК работает независимо от центрального процессора и содержит собственную оперативную память, долговременную память с загруженными базой данных прав доступа пользователей, а также программными модулями управления с реализацией всех команд работы протокола SPI FLASH и содержимым микросхемы SPI FLASH для целей ее эмуляции, а также для обработки и анализа входящих данных и команд до поступления их в микросхему SPI Flash и систему ЭВМ для осуществления контролируемого доступа, причем СМК реализовано для:The QMS operates independently of the central processor and contains its own RAM, long-term memory with a loaded database of user access rights, as well as software control modules with the implementation of all commands of the SPI FLASH protocol and the contents of the SPI FLASH chip for the purpose of its emulation, as well as for processing and analysis of incoming data and commands before they enter the SPI Flash chip and the computer system for controlled access, and the QMS is implemented for: - регистрации каждого пользователя в устройстве СМК с определением прав доступа на чтение и запись информации в центральный процессор системы ЭВМ, проведение процедуры идентификации и аутентификации;- registration of each user in the QMS device with determining the rights of access and information access to the central processor of the computer system, conducting the identification and authentication procedure; - блокировки компьютера в случае попытки входа в систему незарегистрированного пользователя путем программной блокировки доступа к центральному процессору и к системе ЭВМ и/или путем отключения питания системы ЭВМ;- blocking the computer in the event of an attempt to log in to the system by an unregistered user by programmatically blocking access to the central processor and to the computer system and / or by turning off the power of the computer system; - регистрации событий в системном журнале;- registration of events in the system log; - осуществления контроля целостности пользовательских и системных файлов, в том числе и операционной системы;- monitoring the integrity of user and system files, including the operating system; - запрета несанкционированной загрузки ОС с внешних съемных носителей; - prohibition of unauthorized booting of the OS from external removable media; СМК дополнительно содержит независимый от цепей материнской платы аппаратной платформы блок связи для загрузки данных и для отправки сигнала тревоги ответственному лицу и/или администратору о том, что произошел несанкционированный доступ к системе ЭВМ;The QMS additionally contains a communication unit independent of the circuits of the motherboard of the hardware platform for downloading data and for sending an alarm signal to the responsible person and/or administrator that an unauthorized access to the computer system has occurred; СМК дополнительно содержит блок звуковых и/или визуальных сигналов.The QMS additionally contains a block of sound and/or visual signals. 2. Устройство по п. 1, отличающееся тем, что СМК подключается к мосту центрального процессора по шине SPI через разъем подключения карты расширения.2. The device according to claim 1, characterized in that the QMS is connected to the central processor bridge over the SPI bus through the extension card connector. 3. Устройство по п. 1, отличающееся тем, что СМК подключается к мосту центрального процессора по шине SPI путем распайки на материнскую плату.3. The device according to claim 1, characterized in that the QMS is connected to the CPU bridge via the SPI bus by soldering to the motherboard.
RU2021133994A 2021-11-22 Device for protection of uefi bios from unauthorized changes RU2789614C1 (en)

Publications (1)

Publication Number Publication Date
RU2789614C1 true RU2789614C1 (en) 2023-02-06

Family

ID=

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU119910U1 (en) * 2012-05-17 2012-08-27 Закрытое акционерное общество "Аладдин Р.Д." BUILT-IN TSM SECURITY MODULE
RU129674U1 (en) * 2013-02-06 2013-06-27 Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" COMPUTER PROTECTED FROM UNAUTHORIZED ACCESS
RU2538287C2 (en) * 2013-02-06 2015-01-10 Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" Method of checking computer with antivirus in uefi at early stage of booting computer
RU2583714C2 (en) * 2013-12-27 2016-05-10 Закрытое акционерное общество "Лаборатория Касперского" Security agent, operating at embedded software level with support of operating system security level
US20160188345A1 (en) * 2014-12-26 2016-06-30 American Megatrends Inc. Method of a UEFI firmware and Computer System thereof
US10489596B2 (en) * 2013-02-21 2019-11-26 Dell Products, Lp Configuring a trusted platform module

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU119910U1 (en) * 2012-05-17 2012-08-27 Закрытое акционерное общество "Аладдин Р.Д." BUILT-IN TSM SECURITY MODULE
RU129674U1 (en) * 2013-02-06 2013-06-27 Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" COMPUTER PROTECTED FROM UNAUTHORIZED ACCESS
RU2538287C2 (en) * 2013-02-06 2015-01-10 Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" Method of checking computer with antivirus in uefi at early stage of booting computer
US10489596B2 (en) * 2013-02-21 2019-11-26 Dell Products, Lp Configuring a trusted platform module
RU2583714C2 (en) * 2013-12-27 2016-05-10 Закрытое акционерное общество "Лаборатория Касперского" Security agent, operating at embedded software level with support of operating system security level
US20160188345A1 (en) * 2014-12-26 2016-06-30 American Megatrends Inc. Method of a UEFI firmware and Computer System thereof

Similar Documents

Publication Publication Date Title
US10516533B2 (en) Password triggered trusted encryption key deletion
CA2799932C (en) Computer motherboard having peripheral security functions
CN106687985B (en) Method for the safe input mechanism based on privileged mode
TWI390425B (en) System for security verification and method for verifying security in a computer system
RU2538329C1 (en) Apparatus for creating trusted environment for computers of information computer systems
CN109815698B (en) Method and non-transitory machine-readable storage medium for performing security actions
Sparks A security assessment of trusted platform modules
RU2569577C1 (en) Device to create trusted execution environment for special purpose computers
CN107665308B (en) TPCM system for building and maintaining trusted operating environment and corresponding method
EP2891104B1 (en) Detecting a malware process
CN102955921A (en) Electronic device and safe starting method
CN109614799B (en) Information authentication method
Kursawe et al. Analyzing trusted platform communication
WO2019209630A1 (en) File processing method and system, and data processing method
US10817211B2 (en) Method for completing a secure erase operation
US20090089588A1 (en) Method and apparatus for providing anti-theft solutions to a computing system
Apostolopoulos et al. Discovering authentication credentials in volatile memory of android mobile devices
CN104361298B (en) The method and apparatus of Information Security
EP4006758B1 (en) Data storage apparatus with variable computer file system
RU2789614C1 (en) Device for protection of uefi bios from unauthorized changes
US11947466B2 (en) Storage device, nonvolatile memory system including memory controller, and operating method of the storage device
CN109583169B (en) Security authentication method
CN109598125B (en) Safe starting method
RU119910U1 (en) BUILT-IN TSM SECURITY MODULE
RU129674U1 (en) COMPUTER PROTECTED FROM UNAUTHORIZED ACCESS