`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Ноутбук: мобильный помощник или источник утечек?

Статья опубликована в №10 (676) от 24 марта

+11
голос

Портативные компьютеры стали неизменными спутниками тех, кого в англоязычной литературе принято называть knowledge workers. Действительно, здорово всегда иметь под рукой и привычную рабочую среду, и нужную информацию. Однако последняя при этом подвергается немалой опасности и потому требует адекватной защиты, осознанно выбрать которую и попытается помочь настоящая статья.

Ноутбук мобильный помощник или источник утечек?
Если поддержка функций безопасности явно не указана, можно попробовать разобраться с помощью сервисных утилит

Ноутбуки всегда были объектом пристального внимания злоумышленников. Причины этого понятны: сравнительно компактную и дорогую вещь легко похитить, тем более, если сами владельцы склонны оставлять ее без присмотра в самых неподходящих местах. Только в американских аэропортах в прошлом году терялось порядка 12 тыс. портативных компьютеров в неделю, причем найти пропажу удавалось не чаще, чем в 30% случаев. ФБР приводит еще более устрашающие цифры: в США каждые 53 секунды воруют очередной ноутбук, и 97% из них исчезают окончательно и бесповоротно. Конечно, эти цифры в значительной степени характеризуют степень компьютеризации североамериканского общества, в наших краях они (если бы кто-то занялся таким исследованием) были бы иными, но суть от этого не меняется.

Причем прямые материальные потери (т. е. стоимость самого ноутбука) хоть и ощутимы, но вряд ли критичны, скажем, в масштабах даже небольшой компании. Гораздо опаснее утрата коммерческой информации, размещенной на жестком диске (либо SSD), ущерб от которой бывает даже сложно оценить. Статистика (а она, как известно, знает все) имеет мнение и на этот счет: именно украденные ноутбуки являются главным источником утечек идентификационных данных (по числу инцидентов), обгоняя даже целенаправленные взломы. Опять же можно было бы сослаться на заокеанскую специфику, но в любом случае трудно отвертеться от того факта, что информация на мобильных компьютерах оказывается наиболее уязвимой. И это тем печальнее, что существует множество разнообразных способов ее защиты, позволяющих в каждой конкретной ситуации найти разумный компромисс (или предпочесть бескомпромиссное решение) между удобством использования компьютера и эффективностью защиты.

Впрочем, стоит предупредить читателя, что «банальные» меры вроде паролей в BIOS или ОС способны лишь затруднить доступ к системе, но никак не к данным. Ведь ничто не помешает злоумышленнику, завладевшему ноутбуком, попросту извлечь накопитель и подключить его к собственному компьютеру. Соответственно, разрабатывая систему защиты, следует предусмотреть именно такую ситуацию.

При этом единственный гарантированный способ – при всей его кажущейся парадоксальности – состоит в том, чтобы вообще не хранить критичные или конфиденциальные данные локально (даже временно). Это подразумевает использование терминального доступа в классическом понимании либо в рамках более современной системы VDI. Конечно, подобная схема работы также требует определенной дисциплины, в частности, не может быть даже речи о кэшировании паролей (для VPN, RDP и т. д.), а лучше всего применять средства аппаратной аутентификации вроде смарт-карт или USD-ключей (которые, как ни странно, теряются реже ноутбуков).

Однако данная схема, к сожалению, приемлема далеко не всегда и не для всех, поскольку подразумевает повсеместный и беспроблемный доступ к Интернету, который может оказаться слишком дорогим удовольствием или просто технически невозможным в определенных ситуациях. Тогда все-таки приходится задуматься о защите непосредственно данных, соизмеряя сложность первой с ценностью последних.

Ноутбук мобильный помощник или источник утечек?
BitLocker заслуживает внимания не только из-за стандартного присутствия во многих современных системах, но и благодаря поддержке TPM

В самых простых ситуациях – т. е. когда действительно конфиденциальных сведений вы не храните, а защищать в основном нужно персональную информацию (скажем, доступ к почтовому ящику), вполне можно ограничиться встроенной парольной защитой, которая поддерживается во многих современных жестких дисках, хоть и является опциональной в стандарте ATA. В этой рекомендации нет никакого противоречия с вышесказанным (о «банальных» мерах), поскольку в данном случае пароль будет храниться в специальной системной области жесткого диска, т. е. эффекта не даст не только установка его в другую систему, но даже замена платы контроллера.

Тем не менее для того, чтобы понимать возможности и ограничения данного способа, следует знать ряд технических подробностей. Стандартом ATA определены два пароля – пользовательский (User) и мастер (Master), а также два уровня безопасности – высокий (High) и максимальный (Maximum). На высоком доступ к жесткому диску может быть открыт любым из паролей, тогда как на максимальном – только пользовательским, а мастер применим лишь для сброса защиты, которая сопровождается полным низкоуровневым стиранием данных.

Соответственно, большинство производителей ноутбуков, поддерживающих данную функциональность, фабрично включают высокий уровень, а в BIOS обеспечивают управление только пользовательским паролем. Таким образом, при утере последнего можно обратиться к специалистам вендора и, подтвердив право собственности, получить «отмычку» (она, кстати, не является универсальной и генерируется отдельно для каждого ноутбука). Но в то же время, совершенно очевидно, что это – дополнительная брешь в защите.

Применять встроенную парольную защиту можно и без соответствующей поддержки со стороны BIOS, правда, для этого нужны специальные низкоуровневые утилиты и предварительная загрузка, скажем, с USB- флэшки. Зато вы будете вправе управлять обоими паролями.

И все же общая надежность такой защиты остается под вопросом. Поскольку информация на пластинах хранится в открытом виде, формально она может быть считана на специальном оборудовании. Подобные услуги предлагают многочисленные профильные фирмы, причем вначале они пытаются воспользоваться менее «травматичными» для устройства способами, основываясь на имеющейся в их распоряжении технической документации и глубоких инженерных знаниях, и нередко добиваются успеха (см., к примеру, www.dataclinic.co.uk/password-protected-hard-drive.htm). Поэтому, повторимся, встроенная парольная защита жесткого диска годится только тогда, когда на ноутбуке не хранятся реально ценные данные, поскольку способна противостоять лишь случайному злоумышленнику, непрофессионалу.

Если же – по любым причинам – нужна действительно надежная защита данных, то выход только один – шифрование. Оно также может быть реализовано несколькими способами, от чисто программных до полностью аппаратных (последние, разумеется, обеспечивают наилучший эффект). Сегодня уже доступны (и не чрезмерно дороги) так называемые FDE-диски (Full Disk Encryption), оснащенные встроенным криптопроцессором, функционирующим абсолютно прозрачно для пользователя. Естественно, чтобы применять их без лишних сложностей, необходима как минимум поддержка на уровне BIOS, обеспечиваемая производителем ноутбука. Зато преимущества перед программными средствами очевидны: во-первых, такое шифрование никоим образом не сказываются на производительности всей системы, во-вторых, только оно является действительно, без оговорок, полнодисковым.

В программных средствах и подавно нет недостатка. Одно из самых распространенных, кстати, стандартно присутствует в старших (ориентированных на бизнес) версиях Windows Vista и Windows 7 – это BitLocker. Оно также выполняет полнодисковое шифрование (хотя небольшой необходимый для первичной инициализации системы раздел все же остается открытым), которое предпочтительнее защиты отдельных папок и даже разделов. Ведь доступ будет ограничен к любым файлам, в том числе и автоматически создаваемым временным, независимо от их размещения. При частичном же шифровании оградить информацию от кэширования в неположенном месте довольно проблематично.

Аналогичные функции реализует и многочисленное стороннее ПО (имеющееся для любых ОС), как коммерческое, так и свободное. Среди последнего наиболее популярна, пожалуй, программа TrueCrypt, также умеющая выполнять полнодисковое шифрование, а в последних версиях научившаяся хранить пароли на смарт-картах и USB-ключах (к сожалению, только при шифровании отдельных разделов с данными).

В любом случае значительно повысить надежность защиты данных (в первую очередь в смысле устойчивости ко взлому) при использовании любого вида шифрования позволяет TPM (Trusted Platform Module), специальный чип, распаянный на материнской плате. Такие модули нередко стандартно присутствуют в ноутбуках, предназначенных для деловых целей, и до появления BitLocker применялись в основном в связке с дополнительным сторонним ПО (вообще говоря, поддержка TPM предусмотрена далеко не в каждом пакете шифрования, к примеру, в TrueCrypt ее нет). Сам по себе TPM сложных криптографических функций не выполняет (хотя может генерировать ключи), а в основном служит защищенным хранилищем для специфических данных. BitLocker, к примеру, размещает в нем часть ключа шифрования, следовательно, в другой системе извлеченный жесткий диск расшифровать нельзя. Кроме того, TPM традиционно содержит «слепок» информации о конфигурации оборудования и способен заблокировать любые операции при ее изменении (т.е. перенос самого TPM в другую систему также невозможен).

В принципе, для TPM есть много полезных применений. Скажем, обнулив в нем информацию, можно очень просто и надежно утилизировать корпоративный ноутбук, на котором использовалось шифрование. Однако процедура первичной инициализации этого модуля далеко не тривиальна: необходимо установить «право владения», административный и пользовательский пароли и т. д. Часть операций может выполняться в BIOS, часть – в прикладной программе. В любом случае нужно понимать происходящее и четко следовать инструкциям, а разумнее всего доверить это техническому специалисту.

Еще один важный момент. В прошлом году исследователи Принстонского университета продемонстрировали исключительный способ взлома, по сути, любых систем шифрования ноутбуков на основе снимка текущего состояния оперативной памяти, который, как оказалось, сравнительно просто сделать даже после извлечения модулей RAM (если предварительно их охладить с помощью подручных средств). Из всего вышеперечисленного только защита, построенная на FDE-диске и TPM, будет устойчива к этому трюку, поскольку ключ шифрования даже не передается ОС. В противном случае защититься можно, если полностью выключать компьютер, к примеру, при длительной транспортировке. Пусть вы потеряете несколько минут на его повторный запуск, но зато перекроете крайне опасную лазейку.

И наконец, последнее. Решив воспользоваться любой системой шифрования, обязательно побеспокойтесь о создании всех возможных аварийных средств (а они бывают самыми разнообразными: загрузочные CD, ключевые файлы на любых носителях, запасные смарт-карты). Конечно, они создают дополнительные заботы и требуют отдельного надежного хранения (в сейфе, депозитной ячейке банка), но при случае сэкономят не только ваши нервы, но и деньги.

+11
голос

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT