ДБО – как сделать это безопасным

...Виртуальные клавиатуры (якобы хакер, способный внедрить клавиатурного шпиона для физической клавиатуры, не сможет внедрить его для виртуальной!), списки одноразовых паролей, SMS-информирование и т.д., и т.п. Но ведь работать с документами можно только в доверенной среде. Волеизъявление человека гарантированно защищено от изменений только в доверенной среде. Доверенная среда обеспечивает достаточные условия для функционирования криптографии.

Знания эти давно не являются сакральными, они доступны всем желающим, и для того чтобы не знать этого, нужно сильно постараться или притвориться. Большинство добросовестных вендоров это знают и понимают. Эксперты оценивают, что "банки выдали клиентам почти миллион защищенных носителей ключей ЭП (USB-токенов), соответственно поле для деятельности хакеров крайне велико". Когда человек доверяет плохому или некомплексному продукту, у него возникает ощущение безопасности, что при реальной незащищенности обычно приводит к печальным последствиям. $3 млрд потерь в 2010 г., и $7 млрд – в 2011-м. Вот и результат.

Дешево, быстро, опасно – вот как расшифровывают сегодня ДБО.

На счетах банков вкладчики разместили около 11 трлн рублей, и значительная часть их может быть утрачена в результате хакерских атак.

Что же нам надо? Рассмотрим гипотетическую компанию, которой нужно управлять счетом дистанционно.

Описание компании

Итак, компания – малое предприятие с небольшим количеством работающих (примерно 10–15 человек). Вид деятельности – торгово-закупочная. Персонал обладает квалификацией в области мелкооптовой торговли, типичный уровень образования – среднее специальное. В основном персонал работает в офисе, используя для работы Интернет. Все компьютеры объединены в локальную сеть, используемая ОС – Windows, сеть администрируется внешним администратором в режиме фриланса, все сотрудники размещаются в одном офисе. От бухгалтерии сотрудники ожидают немедленного осуществления платежей и информирования о поступивших платежах, владелец компании ожидает эффективного и беспроблемного финансового менеджмента.

Отсюда и возникает основное требование к решениям по ДБО – ничего не требовать, но обеспечивать основной процесс. Конфиденциальность платежей не является сколько-нибудь важной, важна безопасность и оперативность. Значит, нужно использовать электронную подпись (ЭП) и, следовательно, необходимо обеспечить выполнение требований по неизменности среды применения ЭП.

Рассмотрим теперь, кто и как может помешать деятельности компании.

Нарушитель внешний
Внешний нарушитель – организованная группа хакеров-профессионалов, имеющая в своем распоряжении все известные средства вторжений и перехвата. Дополнительную угрозу представляет администратор.

Нарушитель внутренний
Внутренний нарушитель – не может делать ничего, кроме как подсмотреть пароль и несанкционированно воспользоваться системой ДБО. Максимум – установить на компьютер троян.

Итак, по известной классификации – внешний нарушитель Н5, внутренний – Н2. Наиболее опасные угрозы – перехват портов и перехват управления.

Как обеспечить безопасность ДБО?

Компьютер сделать изолированным невозможно, он был, есть и будет в составе ЛВС. Атаки на ДБО возможны со стороны Интернета, других компьютеров из ЛВС, возможны и закладки в компьютере для ДБО. Сеть не защищена. Основные угрозы – из Интернета. Таким образом, быть уверенным в том, что среда исполнения задач на компьютере является доверенной – совершенно невозможно.

Решения для ДБО

Традиционными для ДБО являются многие решения, но нет решений, при которых выполняются все требования регуляторов и ожидания пользователей. Рассмотрим некоторые из них.

Использование токенов в качестве хранилища ключей

Не противостоит и не может противостоять ни одной из современных атак – ни перехвату ключей, ни перехвату управления. Мероприятие, на наш взгляд, абсолютно бессмысленное с точки зрения безопасности.

Использование токенов с обеспечением неизвлекаемости ключей

Защищает ключи от перехвата, но не защищает от их несанкционированного использования в результате перехвата управления. Применение в ДБО ничем не обосновано, так как не защищает ни от внутреннего, ни от внешнего нарушителя.

Защита компьютера от НСД с помощью электронного замка
В качестве примера надежного СЗИ НСД можно назвать аппаратный модуль доверенной загрузки (АМДЗ) "Аккорд-АМДЗ". В достаточной степени защищает от внутреннего нарушителя при использовании изолированного компьютера, но такой защиты недостаточно для компьютера из незащищенной ЛВС и тем более недостаточно для защиты от внешнего нарушителя.

Фиксированная среда исполнения задачи

Фиксация среды обеспечивается загрузкой ОС и исполняемой задачи с носителя, на котором неизменность записанных программ обеспечивается технологически (CD-диски, специальные загрузочные флешки, работающие в режиме ReadOnly (только чтение)). Это отчасти надежное и дешевое решение, но совершенно неудобное и некомплексное. Для каждого компьютера такой носитель нужно изготавливать отдельно, ведь его невозможно настроить, во всяком случае, невозможно сохранить настройки. Отдельно нужно хранить ключи подписи и другую важную информацию.

Организация изолированной программной среды (ИПС)

ИПС организуется сертифицированными средствами разграничения доступа. Наиболее развитыми средствами создания ИПС является, например, специализированное ПО "Аккорд-Win32". Используется совместно с АМДЗ "Аккорд". Решение надежное, но дорогое, и требует профессиональных знаний по настройке СЗИ НСД.

Незащищенный компьютер с доверенным средством визуализации

Этот подход довольно давно предложен компанией IBM (еще в 2008 г.). USB-устройство (Zone Trusted Information Channel – ZTIC) за счет собственных ресурсов устанавливает SSL-соединение с банковским сервером, по созданному защищенному каналу передает информацию банку, на встроенном дисплее отображает информацию о платеже, распоряжение о котором получил банк, и пользователь может отменить распоряжение, если на дисплее не то, что должно быть.

Остроумное решение ограничено тем, что дисплей – это всего две текстовые строки, а на устройстве всего две кнопки – для подтверждения платежа или отказа от него.

К этому времени в ОКБ САПР было разработано собственное устройство примерно этого типа, с условным названием "Шипка с экраном". Оно отображало платежки на цветном графическом экране 3,5", подписывало и шифровало.

В серию это устройство не пошло, так как мы увидели принципиальное ограничение этого подхода, а именно: или в устройстве крайне ограничены возможности и его очень неудобно применять, или оно само требует полноценной защиты от атак по перехвату управления, так как становится практически полноценным компьютером. Проверенным, а значит, доверенным, может быть только простое устройство.

Тем не менее идея не потеряла актуальности, и подобные устройства сегодня анонсирует ряд компаний, в том числе "Актив", Банк Москвы и другие.

Чем устройство, имеющее экран, процессор, ОС, СКЗИ, прикладное ПО, средства удаленного обновления отличается от компьютера? Для него снова нужно обеспечивать доверенную загрузку, создавать ИПС и т.д. Дешево ли это? Увеличивает ли это безопасность?

Вывод – или неудобно, или проблемы не решаются.

Доверенный сеанс связи (ДСС)

Концепция ДСС развивается ОКБ САПР уже довольно давно. Суть концепции заключается в том, что компьютер практически всегда используется в незащищенных сетях, и только иногда – в защищенных. Значит, нужно добиваться не тотальной защиты, что дорого и неудобно, а защиты, при которой опасные ресурсы разделяются и не могут использоваться совместно.

Необходимый уровень защищенности ПК обеспечивается только на те периоды времени, когда высокая защищенность действительно необходима.

При этом пользователи могут выбирать режим работы на своем ПК: обычный режим (без доступа к сервисам доверенной ИС) и режим доверенного сеанса связи, в рамках которого обеспечивается защищенная работа с сервисами ИС.

Доверенный сеанс связи – период работы компьютера, в рамках которого обеспечивается доверенная загрузка ОС, организуется защищенное соединение, а также поддерживаются достаточные условия работы с ЭП.

Интересный вариант создания ДСС используется с 2008 г. в одной из государственных структур. Задача – использовать одни и те же ПК в различных режимах в разные временные интервалы. При этом в защищенном режиме отключена сеть и недоверенные

источники информационных ресурсов, а в незащищенном режиме недоступен защищенный диск. Такой режим обеспечивается совместным применением многих СЗИ НСД, в том числе Аккорд-АМДЗ и Аккорд-Win32, а переключение дисков "на лету" осуществляется с помощью специального аппаратного дополнения к СЗИ НСД "Аккорд", которое называется "Коммутатор SATA-устройств". Решение очень интересное и надежное, однако для ДБО небольшой компании несколько дороговато. Широко применяемые решения должны быть дешевле.

Дешевле – средство обеспечения доверенного сеанса "МАРШ!", изготавливаемое в виде специализированного USB-устройства.

При начале доверенного сеанса связи пользователь загружается с "МАРШа" (из защищенной от записи памяти), обеспечивая тем самым доверенную среду, жесткий диск компьютера не используется. Далее стартует браузер и все сопутствующее ПО, необходимое для работы. В браузере в доверенном сеансе обеспечивается защищенный обмен информацией с соблюдением всех требований 63-ФЗ.

После загрузки ОС на компьютер клиента и старта браузера устанавливается доверенный сеанс связи с сервером (VPN-шлюзом) центральной ИС (в данном случае банка). Сервер ИС выполняет авторизацию пользователя на доступ к сервисам ИС и соединение с требуемым сервисом ИС.

Такой вариант организации ДБО представляется наиболее соответствующим современным требованиям. Однако и он не лишен недостатков. Так, при использовании такого устройства пользователь должен будет провести настройку на параметры сети, которые определяются провайдером и зависят от него. Иногда это не слишком просто, бухгалтер с такой настройкой может и не справиться. Необходимо обеспечить one-click-технологию и добиться независимости от провайдера.

Разработка устройства, которое отвечает всем требованиям, уже завершена. О нем мы расскажем в следующем выпуске журнала.