Контакты
Подписка
МЕНЮ
Контакты
Подписка

О действенных методах защиты съемных носителей

О действенных методах защиты съемных носителей

В рубрику "Криптография" | К списку рубрик  |  К списку авторов  |  К списку публикаций

О действенных методах защиты съемных носителей

Что может предпринять злоумышленник в отношении флешки как носителя информации, включенного в интересующую его информационную систему? Есть всего несколько типов распространенных атак на флешки:

  1. Кража или находка.
  2. Отъем.
  3. Завладение оставленным без присмотра устройством.
  4. Завладение путем мошенничества и социальной инженерии.
  5. Покупка у мотивированного инсайдера.
Светлана Конявская
Заместитель генерального директора “ОКБ САПР"

Как правило, пп. 1, 2 и 5 имеют своей целью завладение данными с флешки, а пп. 3 и 4 могут также иметь целью внедрение подложных данных или вредоносного кода (реже, но тоже возможно – уничтожение данных на флешке).

Очевидно, что защитить маленькое устройство от физической кражи (или находки в результате целенаправленного поиска в местах возможных потерь, провокации потери) – крайне сложно.

Значит, задача защиты флешки сводится к тому, чтобы сделать нелегальное физическое обладание ею бессмысленным. То есть, даже имея флешку, получить доступ к данным на ней где-то, кроме разрешенного явно компьютера, кому-то, кроме разрешенного явно пользователя, должно быть невозможно.

Именно эта логика и положена в основу защищенных флешек семейства "СЕКРЕТ". Управляющий элемент в СН "Секрет" "коммутирует" компьютер с диском "Секрета" (собственно флеш-кой) только после успешного завершения контрольных процедур – взаимной аутентификации СН, компьютера и пользователя.

Дополнительно защитные свойства "Секрета" могут быть усилены шифрованием данных при записи на диск. Выбирать такой носитель целесообразно тогда, когда разумно предположение, что злоумышленник может попытаться считать данные с флеш-памяти напрямую, например, выпаяв ее с устройства.

Сравним эффективность противодействия перечисленным выше атакам традиционными способами и с применением "Секретов".

Находка или кража

Потеряв флешку, невозможно быть уверенным ни в том, потеряна она или украдена, ни в том, что случайно нашедший ее человек не воспользуется записанными данными.

В этой ситуации совершенно не успокаивает наличие в системе USB-фильтров. Это утешение звучит даже несколько издевательски.

Насколько в этой ситуации может успокоить PIN-код – вопрос философский. Примерно настолько же, насколько успокоительна мысль о том, что никто не станет поднимать валяющуюся флешку. Хорошо, если так, а если нет, то PIN-код подберут, и очень легко. Предназначенные для этого программы сегодня есть у каждого студента. Теоретически можно бороться с этим, увеличивая длину PIN-кода. Но чем длиннее PIN-код, тем выше вероятность того, что он записан на корпусе флешки.

Биометрия
Отпечаток пальца "подобрать" сложнее, чем PIN-код. Но если задуматься о том, как может быть реализована биометрическая аутентификация в обычной флешке, то становится ясно, что эталон хранится на самой же флешке, а

сравнение производится в оперативной памяти ПК (так как у флешки нет своих вычислительных ресурсов). Все следствия очевидны:

  • у системы есть доступ к флешке до аутентификации (иначе как она получит эталон?);
  • решение "сошлось" принимается в оперативной памяти компьютера.

Это значит, что на специально подготовленном компьютере (иными словами, на своем) злоумышленник сможет открыть флешку.

Шифрование данных на флешке
Пожалуй, самый убедительный из традиционных способов. Однако ограничения у этого способа все те же, что описаны выше в отношении биометрии.

Где-то на флешке хранится ключ, на котором в оперативной памяти ПК будут расшифровываться данные. Чтобы система получила доступ к ключу, нужно корректно аутентифициро-ваться. Таким образом, шифрование вообще никак не повышает защищенность флешки с PIN-кодом или "пальцем", так как задача сводится к предыдущему случаю – передать данные о корректной аутентификации.

Как же обстоит дело в случае применения "Секрета"?
Злоумышленник добыл "Секрет" и подключает его к своему "специально обученному" компьютеру.

Все, что он увидит, – некое "другое устройство" в "Устройствах". Ни одного "съемного диска" в "Моем компьютере" не появится, запроса PIN-кода тоже.

Доступа к диску "Секрета" и к данным, которые его открывают, нет ни у пользователя, ни у системы, поэтому запускать какие-то свои специальные программы злоумышленнику бессмысленно.

Отъем

Надо отдавать себе отчет в том, что злоумышленник понимает: за такую мелочь, как флешка, скорее всего, человек не будет биться до последнего, и в общем случае сработает вариант отобрать и, оказав психологическое давление (а сам факт отъема окажет на большинство людей известное психологическое давление!), выяснить PIN-код, если он имеется.

Фантазировать насчет биометрии – совершенно не хочется.

Шифрование не поможет по тем же причинам: выяснить данные, необходимые для доступа к ключу, несложно.

Как же обстоит дело в случае применения "Секрета"?
Смело отдавайте флешку и называйте PIN-код, не подвергайтесь опасности физического воздействия. Пускай злоумышленник уносит все это: на его компьютере "Секрет" не примонтируется и не запросит PIN-код.

Развивая сюжет боевика, можно вообразить ситуацию, что злоумышленник взял владельца с собой, чтобы убедиться, что тот назвал ему верный PIN-код. Мол, если не подойдет – поговорим по-другому.

Ничего страшного, он сам убедится, что "флешка сломанная" – не появляется диск в "Моем компьютере", и все тут.

Завладение оставленным без присмотра устройством

Наверное, самый распространенный способ получить чужую флешку – это взять там, где пользователь ее бросил "на 5 минут", вздремнув или отойдя попить кофе.

С точки зрения противодействия злоумышленнику этот случай не отличается от случая с кражей. С точки зрения действий злоумышленника по обходу этих защитных мер и получению доступа к диску флешки – тоже.

Однако есть существенная деталь, заставляющая рассматривать эту ситуацию как отдельную. В случае с кражей или потерей владелец устройства знает о том, что инцидент произошел. В описываемой же ситуации вполне реально представить все так, будто ничего и не было. Пользователь видит флешку на месте и не имеет ни малейших оснований для опасений, что его данные стали кому-то известны, а возможно, искажены, а возможно, флешка заражена вирусами или иными вредоносными программами.

И если для подбора PIN-кода или иной аутентифицирую-щей информации для доступа к данным (или к ключу для расшифрования данных) компьютер (ноутбук) злоумышленника должен быть снабжен минимальным инструментарием, а сам злоумышленник должен иметь минимальную квалификацию, то для того, чтобы записать на флешку вредоносный код или просто заразить ее вирусами, ничего этого не нужно.

Как уже упоминалось выше, любая флешка с аутентифика-ционными механизмами должна "пускать" к себе систему ПК, так как верификация предъявленных аутентифицирующих данных должна производиться в оперативной памяти компьютера, в которую необходимо загрузить эталон, хранящийся на флешке (система должна получить доступ к флешке, чтобы получить данные для проведения аутентификации).

У системы есть доступ к флешке, значит, есть он и у вредоносного ПО. Game over.

Как же обстоит дело в случае применения "Секрета"?
До успешного прохождения взаимной аутентификации "Секрета" с компьютером и успешной аутентификации пользователя в устройстве взаимодействие производится только с модулем аутентификации "Секрета", который физически отделен от флеш-памяти. Флеш-диск при этом не примонтирован и недоступен системе – ни на чтение, ни на запись.

Злоумышленник может экспериментировать с устройством сколько угодно, но на диск устройства при этом ничего не запишется, пока злоумышленник не пройдет все этапы аутентификации.

Ну а тот факт, что и пройти все этапы аутентификации ему не удастся, был уже доказан выше.

Заметим, что для случаев, когда важно не только не допустить успешной реализации такой атаки, но и знать обо всех попытках атак, в продукте "Секрет Особого Назначения" ведется аппаратный журнал событий, в котором фиксируются все без исключения попытки подключения устройства к различным компьютерам – вне зависимости от того, успешной или нет была попытка.

Если у вас возникли хоть малейшие подозрения (флешка, кажется, лежала не совсем здесь) – их можно проверить, чтобы знать точно.

Завладение путем мошенничества и социальной инженерии

По сути дела, это "мягкий" вариант "отъема", отягченный, впрочем, дополнительными обстоятельствами:

  • пострадавший не знает (во всяком случае, в первый момент), что стал жертвой покушения, – и не предпринимает своевременных мер;
  • при определенной квалификации мошенник может выстроить многоступенчатый сценарий атаки на систему, включающий не только единовременное завладение флешкой, но также и подмену данных, то же заражение системы или внедрение в нее нужных ему закладок.

Очевидно, что если флешки с PIN-кодом, биометрией и шифрованиембессильны в случае отъема и кражи, бессильны они и в этом случае. Наоборот, доверяя злоумышленнику, пользователь не только введет PIN-код и приложит палец, но и проследит, чтобы у злоумышленника все было хорошо.

Как же обстоит дело в случае применения "Секрета"?
Возможны два сценария развития событий в зависимости от того, как построена система работы с "Секретами" в организации.

Если пользователь не знает, как организована система защиты, а работает просто по факту – "на легальных компьютерах работать сможешь, на нелегальных – нет", он подумает, что либо компьютер нелегальный (и заподозрит злоумышленника), либо флешка сломалась. Так или иначе, даже будучи предельно доверчивым, помочь злоумышленнику открыть "Секрет" он не сможет.

Если же пользователь в курсе, как работает "Секрет", то он будет уверен: человек, который его склоняет отдать флешку, либо будет ее использовать в рамках легальной системы, а значит, "свой", либо не сможет использовать "Секрет".

Покупка у мотивированного инсайдера

Совершенно невозможно спорить с тем, что ни PIN-код, ни биометрическая аутентификация, ни зашифрование/расшифрование данных на флешке на основании введенных аутенти-фикационных данных пользователя не могут защитить от того, что легальный пользователь сам может отдать флешку заинтересованным лицам на привлекательных для себя условиях, или скопирует данные на домашний компьютер и отправит куда-то по почте, или принесет в информационную систему какие-то программы или данные в интересах третьих лиц.

Легальный пользователь – полновластный хозяин флешки.

Неужели с этим нужно смириться и подозревать всех, кто работает с флешками, каждый раз, когда они унесли их домой? Ведь проверить, "было или не было", невозможно.

Как же обстоит дело в случае применения "Секрета"?
Основной этап системы контроля доступа в "Секрете" – взаимная аутентификация "Секрета" и компьютера. В "Секрете" есть база компьютеров, а на компьютерах – база "Секретов". Только после того, как "Секрет" опознал компьютер, который для него разрешен, а компьютер опознал "Секрет", которому можно на нем работать, процедура контроля доступа переходит к стадии аутентификации пользователя.

Будь пользователь абсолютно легальным – "Секрет" даже и не узнает об этом, если подключить он (пользователь) его ("Секрет") пытается к "постороннему" компьютеру.

В таком случае просто бессмысленно уносить "Секрет" с собой.

Если же владелец хочет не только иметь уверенность в том, что флешка не была использована на чужих компьютерах, но и иметь возможность в любой момент проверить честность своих сотрудников – проверить, не пытались ли они сделать что-то подобное, – то этого можно добиться, используя "Секрет Особого Назначения". В "Секрете Особого Назначения" в специальном аппаратном журнале администратор может увидеть записи обо всех случаях подключений, даже неудачных. Это даст возможность не сомневаться, а проверить – и убедиться в добросовестности своих сотрудников.

ОКБ САПР, ЗАО
115114 Москва,
2-й Кожевнический пер., 8
Тел.: (499) 235-6265
Факс: (495) 234-0310
E-mail: okbsapr@okbsapr.ru
www.okbsapr.ru,
www.accord.ru,
www.shipka.ru,
www.proSecret.ru,
www.proTerminaly.ru,
www.accord-v.ru, www.марш.рф

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2014

Приобрести этот номер или подписаться

Статьи про теме