Архив

Январь	Февраль	Март
Апрель	Май	Июнь
Июль	Август	Сентябрь
Октябрь	Ноябрь	Декабрь

2018 2014 2013 2011 2010 2009 2008 2007 2006 2005 2004

Telephone / Fax: +38 (044) 486 94 34
Mobile : +38 067 231 70 37
E-mail: office@infobezpeka.com

Опросы

Планируете ли вы внедрять DLP-систему в своей компании?

	Собираемся внедрить в ближайшие полгода
	Планы есть, но пока не внедряем
	Уже внедрили
	А зачем она нужна?

Начало → Публикации

Публикации

4 января 2008

Захист інформації в портативному ПК

В останні роки в наше життя ввійшов термін «мобільність», а з ним змінився й ритм життя. Змінилося поняття про робочий час. Якщо ще недавно старанний співробітник, що відробив повний робочий день, вважав, що чесно відробив свою зарплатню, то в сучасному укладі успішної IT-фірми це є, чи ледве не зневажливим відношенням до своїх обов'язків.

Безумовно мисляча людина при рішенні якої-небудь робочої проблеми не може не обмірковувати її в неробочий час. І якщо відповідь знайдена, то в інтересах компанії забезпечити співробітникові інструмент для реалізації, перевірки або просто запису результатів. Одним з таких інструментів у сучасному світі є ноутбук. І ми вже не говоримо про випадок, коли власник малого чи великого бізнесу просто зобов'язаний завжди бути в курсі подій і мати під рукою вірного і надійного друга й помічника - мобільний комп'ютер.

І дійсно, що може бути зручніше? Хочеш працювати в локальній мережі офісу - став ноутбук на стіл і підключай до нього кабель. Потрібно їхати на виставку, презентацію, прес-конференцію, переговори - забирай портативний комп'ютер разом з усіма необхідними документами й матеріалами. Не встигаєш зробити щось на роботі - неси ноутбук додому й сиди за ним хоч всю ніч. Загалом, плюсів у портативних ПК багато.

Тому немає нічого дивного в тім, що продажі комп'ютерів такого типу останнім часом значно зросли. І зараз рідко можна зустріти ділову людину, яка б не була власником ноутбука. Тенденція сама по собі, звичайно, непогана, але описана ситуація створює свої проблеми. На жорсткому диску мобільного комп'ютера частенько зберігаються корпоративні документи, втрата яких може мати серйозні наслідки для компанії. Із усього наведеного вище можна зробити висновок, що у всіх розглянутих ситуаціях переносний комп'ютер є сховищем корисної інформації. Але, як це не дивно, багато користувачів згадують про це тільки тоді, коли ноутбук уже украдений, або з нього вилучили конфіденційну інформацію. За доступ до неї певна категорія громадян готова викласти чималі суми, а, як відомо, попит народжує пропозицію. Та і без того прибуткового кримінального бізнесу перепродажу крадених ноутбуків, як просто дорогої речі, додалися крадіжки з метою одержання доступу до важливої інформації.

Багато користувачів напевно скажуть, що на їхньому комп'ютері немає ніяких важливих даних, здатних кого-небудь зацікавити. Однак не слід забувати, що, оскільки ноутбук іноді підключається до корпоративної мережі, на ньому зберігаються логіни й паролі користувачів, аутентифікаційні дані для доступу в мережу Internet та корпоративну мережу, різного роду реєстраційна інформація тощо. Тим часом втрата ноутбука по неуважності власника або його крадіжка, наприклад, з автомобіля, - явище досить розповсюджене. У світі відомі випадки, коли портативні комп'ютери із найсекретнішою інформацією губилися навіть в офіцерів спецслужб.

Відповідно до дослідження Інституту комп'ютерної безпеки США й ФБР («CSI/FBI Computer Crime and Security Survey 2005»), торік інформаційні втрати від крадіжок ноутбуків у США склали $ 4 107 300.

Тому на цей час проблема захисту даних й обмеження доступу до інформації, що зберігається на жорсткому диску мобільного комп'ютера, постала досить серйозно.

Виробники ноутбуків швидко усвідомили наявність попиту на захищені вироби й негайно цим скористалися. Сьогодні на ринку співіснують моделі з різними вбудованими системами обмеження доступу до інформації, що в них зберігається. Крім того, існують програмні продукти, призначені для рішення цієї ж проблеми.

Умовно всі небезпеки, що загрожують ноутбуку, мають фізичну або інформаційну природу. Але вони дуже тісно взаємозалежні між собою(щоб зчитати файли з жорсткого диска, потрібно одержати до нього доступ, а для одержання доступу потрібний сам ноутбук), тому важливо використати комплексний підхід у забезпеченні безпеки, оскільки саме він забезпечує найвищий рівень збереження як власне мобільного ПК, так й інформації в ньому. Розглянемо існуючі способи й методи захисту. Який рівень безпеки вам необхідний, вирішувати вам.

Шкідливість мобільності

Як відомо, ноутбук є мобільним пристроєм. Цей факт наділяє його безліччю переваг стосовно того ж настільного комп'ютера, але з'являються й певні мінуси. Портативний комп'ютер дуже ласа здобич для злодіїв (розміри малі, висока вартість). Тому за ним потрібен ретельний догляд.

У більшості випадків ціль крадіжок - перепродаж ноутбука. Самі розумієте, що в цьому випадку цінність інформації, що перебуває в ньому, для злодія дорівнює нулю, важливий сам ноутбук. Ну а як протистояти цьому, всі напевно, знають, - ніколи не залишати пристрій без догляду. Причому це правило стосується не тільки громадських місць, але й навіть власного офісу - усяке буває. Однак бувають ситуації, коли необхідно відлучитися, і в таких випадках варто згадати про спеціалізовані рішення, які перешкоджають крадіжці або полегшують пошук пропажі.

Найпростіший спосіб не допустити фізичної втрати ноутбука - просто прив'язати його до чого-небудь важкого. У буквальному значенні. Для цього розроблений спеціальний пристрій - замок Кенсінгтона (Kensington lock). Він представляє собою гнучкий металевий трос із петлею на одному кінці й засувкою на іншому. Засувка вставляється в отвір на корпусі комп'ютера й надійно закріплюється. Якщо немає спеціального ключа, або невідомий секретний код, зловмисника чекає невдача. Міцність і надійність цього гнучкого троса, виготовленого зі сталі або високоміцних сплавів досить висока, а рівень безпеки замкового пристрою ви можете вибрати виходячи із власних потреб. Існують троси зі звичайним замком, кодовим (розрізняються кількістю розрядів), соленоїдним. Вам просто необхідно буде докупити цей пристрій.

Однак у деяких випадках подібний захист може виявитися неефективним, або навіть неможливим. Тоді варто вдатися до випробуваного способу автолюбителів - сигналізації. Подібні рішення не зможуть перешкодити фізичній крадіжці ноутбука, але серйозно налякають злодія й цілком можливо, що змусять його відмовитися від задуманого. Найчастіше подібні системи виконані у форматі PC Card (такий слот сьогодні є практично в будь-якому ноутбуці) і по своїй суті являють собою програмно-апаратний комплекс безпеки (наприклад, Halcyonics Caveo, DEFCON MDP тощо) основою якого є датчик руху. Користувач вправі сам вибрати й настроїти подію (наближення до ноутбука, переміщення ноутбука, перетинання ним заздалегідь певного периметра тощо), по події якого пролунає потужна сирена, що створює шумовий тиск близько ПО дБ. У випадку, якщо ноутбук все-таки вдалося украсти, то через певний період часу після спрацьовування сирени програмна оболонка зашифрує конфіденційну інформацію (у деяких системах передбачене стирання даних).

Є й більше примітивні рішення, що складаються із двох блоків зв'язаних між собою радіоканалом (наприклад, Dicota Sentinel Alarm-System, Targus (PA430E) Defcon 3 тощо). Один з них перебуває в сумці з ноутбуком, другий у кишені користувача. Як тільки відстань між ними перевищує значення, установлене власником пристрою, лунає сигнал тривоги.

Також не варто нехтувати й використанням усілякого ПЗ, що може надати неоціненну допомогу в плані пошуку украденого ноутбука. Якщо для викрадача ноутбук не просто товар, то він цілком може використати його по призначенню, ну, скажімо, побродити по Інтернету. Зрозуміло, подібне ПЗ працездатне доти, поки його не відключать (наприклад, переустановкою ОС), але існують і більше сучасні та складні рішення, виконані нарівні BIOS, наприклад, TheftGuard від Phoenix, деінсталювати які важко навіть професіоналові.

Програмне забезпечення

Отже, ноутбук дійсно має потребу в захисті. Більшість користувачів використовують для цього стандартні засоби. Деякі встановлюють пароль на завантаження комп'ютера в BIOS. На жаль, застосування одного цього рішення великої користі не принесе. Досить розібрати комп'ютер і на якийсь час вийняти батарейку, що живить мікросхему BIOS, щоб скасувати всі встановлені користувачем настроювання, включаючи й пароль. Однак деякі моделі ноутбуків, наприклад фірми IBM Thinkpad, в BIOS зберігають паролі доступу до жорсткого диска, тому при скиданні живлення з мікросхеми буде загублений доступ не тільки до ваших даних, а до жорсткого диска взагалі.

Ще один спосіб захисту, до якого часто вдаються користувачі, - це установка пароля на вхід в Windows. Однак сьогодні існує величезна кількість способів одержати інформацію з такого комп'ютера. Можна, наприклад, завантажитися з дискети або з компакт-диску й прямо або за допомогою спеціальної утиліти одержати вільний доступ до всіх даних. Або ще простіше: зняти жорсткий диск із ноутбука й підключити його до іншого комп'ютера. Але все ж таки не слід нехтувати цим захистом.

Операційні системи Windows 98 та Me, що використовуються до цього часу побудовані на ядрі Windows 3.0, і забезпечують тільки мінімальний рівень безпеки, «обійти» який не є проблемою для професіонала. Тому краще їх не використовувати. Більш високим ступенем захисту володіють системи на ядрі NT (Windows 2000 або ХР). Звичайно, найкращий варіант із цього погляду - це UNIX- системи, але мабуть не кожен користувач погодиться розбиратися в тонкощах цих ОС.

Оскільки в сучасних ноутбуках переважно інсталюється Windows XP, подальші рекомендації будуть виходячи саме з цього. Якщо безпека інформаційного вмісту ноутбука для вас не порожній звук, то при форматуванні жорсткого диска обов'язково варто вибирати файлову систему NTFS, що у порівнянні з FAT відрізняється більшою надійністю й стійкістю до відмов. Крім того, до складу NTFS входить EFS (Encryption File System), що забезпечує 56-бітне шифрування файлів і папок «на льоту».

Іншим, набагато більш надійним способом захисту інформації в ноутбуці є різні програми, що шифрують важливі дані. Це дійсно прекрасний вихід з положення. Зловмисник, що одержав доступ до портативного комп'ютера, не зможе прочитати інформацію, не знаючи заданого власником пароля. Це таке ПЗ як StrongDisk (Росія), Secret Net 5.0 й ін.

Принцип захисту таких продуктів гранично простий: програма створює захищені диски, які надалі сприймаються операційною системою як звичайні логічні диски. Відмінність полягає в тому, що при запису на такий диск інформація відразу ж шифрується, а при читанні - дешифрується. Фактично ж захищений диск являє собою файл, що може розташовуватися в будь-якому місці й мати довільне ім'я й розширення. Щоб одержати доступ до інформації, захищений диск необхідно підключити.

При підключенні диска потрібно ввести пароль і/або підключити зовнішні ключі. Як зовнішній ключ може виступати електронний ключ, смарт-карта або файл-ключ. На зовнішній ключ записується код, що необхідний для дешифрування інформації на захищеному диску. Цей код генерується випадковим чином і має значну довжину, що виключає можливість швидкого його підбору.

Подібних програм дійсно дуже багато, і вони надають різний рівень безпеки, тому кожний може вибрати що-небудь своє залежно від важливості вмісту жорсткого диску.

Якщо ви використовуєте шифрування, то майте на увазі, що як ключ звичайно використовується пароль входу в систему, тому його потрібно вибрати максимально ретельно (не меншим 8 символів, не словниковий, у різних регістрах, та повинен мати в своєму складі спецсимволи). Паролі, у яких указується своє ім'я (ім'я дружини, кішки, день народження, вулицю, назву організації й т. п.), зловмисники за допомогою спеціальних програм підбирають досить швидко.

Що стосується об'єктів для шифрування, то, варто шифрувати всю інформацію, з якою ви щодня працюєте. Але є один маленький нюанс, у процесі своєї роботи ви залишаєте безліч «слідів», про знищення яких також варто подбати. У першу чергу, це всі тимчасові файли (гляньте, для прикладу в папку TEMP, там можна знайти робочі копії документів, що редагувалися, тощо), друге - пошта (прочитані чи не прочитані та не видалені повідомлення), третє це кошик, у якому може перебувати все, що завгодно, також варто уважно переглянути папки типу REPAIR, у яких можуть зберігатися копії реєстру або база паролів. Щодо видалення документів, то варто інсталювати одну з програм яка гарантовано їх знищує без можливості відновлення іншим ПЗ.

Взагалі варто зашифрувати, всі місця, де зберігаються критичні документи й де є якісь натяки на те, як одержати конфіденційну інформацію. У цій справі краще дещо «переборщити», чим потім кусати себе за лікті. Тим більше, що продуктивність ноутбука від частого шифрування інформації практично не зменшується.

Однак на думку багатьох експертів система шифрування EFS, не забезпечує гідного рівня захисту, провиною всьому є широка поширеність ОС Windows, що породило масу способів злому цієї системи.

Альтернативний варіант крипто-системи, на яку варто звернути увагу - це PGP (Pretty Good Privacy), що дозволяє шифрувати окремі файли, створювати захищені розділи. До того ж вона дозволяє дуже ефективно шифрувати поштовий обмін, оскільки наявність двох асиметричних ключів (один у відправника, інший в одержувача) гарантує високу криптостійкість.

Настійно рекомендується включити всі опції безпеки в BIOS. Наприклад, варто поставити пароль на BIOS (звичайно, є інженерні паролі, але не кожен знає про них), заборонити завантаження з USB-драйву, CD-приводу або дискети.

Смарт-карти - серйозний бар'єр на шляху зловмисника

Скажемо так, серйозного зловмисника це навряд чи зупинить (він буде готовий до такого повороту подій), але для випадкового створить безліч проблем. Не варто забувати й про резервування даних, це найдійовіший засіб для відновлення інформації у випадку крадіжки або втрати ноутбука. Доцільно створити правила та графік резервування, визначити для цього носії і надалі його суворо дотримуватися. Принаймні, на «чорний день» у вас залишиться інформація - найцінніша частина ноутбука. Ну, а про антивірусні та антишпіонські програми, брандмауери згадувати не будемо, сподіваємося, користувач усвідомлює про необхідність їхнього застосування й регулярного оновлення.

3 USB-токенами немає необхідності запам'ятовувати безліч паролів (Малюнок)

Системи аутентифікації

Загальновідомо, що парольний захист вважається таким, що не відповідає сучасним вимогам інформаційної безпеки. І самою слабкою ланкою тут є користувач, що іноді вибирає занадто прості паролі, однакові для всіх сервісів. А до того ж записує паролі в записну книжку (або ще гірше - у текстовий файл, що зберігається на цьому ж таки ноутбуці).

Позбутися від цього недоліку дозволяють спеціальні пристрої - персональні ідентифікатори або токени. Вони представляють собою пристрої призначені для зберігання ключів шифрування, паролів й іншої конфіденційної чи секретної інформації. Для того щоб одержати доступ до всіх цим даних, користувачеві потрібно запам'ятати всього лише пін-код. Причому за його безпеку теж можна не боятися - токени захищені від підбора пароля.

У цей час на ринку представлено чимало персональних ідентифікаторів, що розрізняються як по технічних можливостях і функціональності, так і за форм-фактором. Розглянемо їх докладніше.

Смарт-карти

По своєму зовнішньому вигляді вони нічим, крім малюнка, не відрізняються від звичайних банківських (чипових, не магнітних) карт. Ці пристрої мають гарні характеристики надійності. У них є власний вбудований мікропроцесор, що дозволяє реалізувати різні алгоритми захисту.

Залежно від виробника захищеність карт міняється. У маленький шматок пластику із чипом можуть вбудовуватися різні датчики призначення яких заборона функціонування мікропроцесора при спробі пошкодження пластику. Це можуть бути температурні датчики або датчики, чутливі до механічних впливів - наприклад, до зрізання пластикового впакування для прямого доступу до електроніки. Вся інформація, що зберігається в чипі, шифрується, щоб фахівцю, що знайде лазівку до вмісту мікросхеми не вдалося її прочитати, принаймні відразу. Є також захист від підбору пароля аж до знищення всіх даних, що знаходяться в чипі.

Призначені смарт-карти для зберігання особистої інформації, паролів доступу й даних для аутентифікації. Гарні вони тим, що, будучи досить компактними, мають такі якості, як довговічність і великий об'єм даних, що можуть зберігати. Для успішної аутентифікації потрібно вставити смарт-карту в зчитувальний пристрій і ввести пароль (PIN-код).

Загалом, смарт-карти - дуже серйозний бар'єр на шляху зловмисника. Це зручний і недорогий засіб для захисту інформації. Однак вони мають серйозний недолік - низьку мобільність, оскільки для роботи з ними потрібен зчитувальний пристрій - рідер.

Продукт	Основні переваги		Основні недоліки
USB-токени	Мобільність - токен можна використати на будь-якому комп'ютері, де є USB-порт. Підтримка великої кількості додатків ІТ-безлеки. Очевидна приналежність токена користувачеві		Потрібна установка ПЗ користувача
Смарт-карти	Високий рівень безпеки. Компактність. Підтримка великої кількості додатків		Потрібна установка ПЗ користувача Потрібен зчитувальний пристрій
USB-токени з убудованим чипом	Високий рівень безпеки. Мобільність. Підтримка великої кількості додатків. Очевидна приналежність токена користувачеві		Як недолік можна зазначити, що не потрібна установка ПЗ користувача. Однак це може бути і перевагою
ОТР-токени	Мобільність. Легкість у використанні. Не потрібна установка ПЗ користувача		Обмежене коло підтримуваних додатків. Потрібен сервер аугентифікації. Обмежений час експлуатації у зв'язку з використанням батарейки
Гібридні токени	Мобільність. Підтримка великої кількості додатків. Не потрібна установка ПЗ користувача для застосування одноразових паролів (ОТР). Очевидна приналежність токена користувачеві		Обмежений час експлуатації у зв'язку з використанням батарейки (крім тих випадків, коли користувач може замінити батарейку самостійно)
Програмні токени		Не потрібен апаратний пристрій	Секретний ключ слабко захищений. Обмежене коло підтримуваних додатків. Потрібен сервер аугентифікації

І якщо на настільні комп'ютери встановлення додаткового обладнання особливих ускладнень не викликає, то для ноутбуків це вже досить серйозна проблема. Але, у принципі, вихід є, і не один. Так, у продажі є рідер, виконаний у форм-факторі флопі-дисковода та спілкується з ноутбуком через його ж інтерфейс. А останнім часом розроблювачі ноутбуків стали вбудовувати в нові моделі пристрої для читання смарт-карт. Природно, що й самі картки йдуть у комплекті. Яскравим прикладом може служити ноутбук від компанії Acer-Travel Mate 800.

На відміну від простих USB-to-кенів, смарт-карти забезпечують значно більшу безпеку зберігання ключів і профілів користувача. Смарт-карти оптимальні для використання в інфраструктурі відкритих ключів (РКІ), тому, що здійснюють зберігання ключового матеріалу й сертифікатів користувачів у самому пристрої, а секретний ключ користувача не попадає у вороже зовнішнє середовище.

Тому, якщо ви збираєтеся використати для захисту інформації саме цей тип токенів, то будьте уважні при виборі ноутбука.

USB-токени

Що стосується USB-токенів, то найчастіше використовуються пристрої eToken Pro, розроблені й випущені компанією Aladdin Knowledge Systems. Зовні цей пристрій представляє собою звичайну флешку, але по своїм виконуваним функціям він багато в чому відповідає смарт-карті. Користуватися цими пристроями дуже зручно, оскільки немає необхідності запам'ятовувати безліч паролів і кодів доступу, вся інформація зберігається в USB-токені. Крім того на носії можуть бути цифрові підписи, сертифікати й інша інформація, яку небезпечно зберігати на жорсткому диску ноутбука.

Процес двохфакторної аутентифікації з використанням USB-токенів проходить у два етапи: користувач підключає цей невеликий пристрій в USB-порт комп'ютера й вводить PIN-код. Перевагою даного типу засобів аутентифікації є висока мобільність, тому що USB-порти є на кожній робочій станції й на будь-якому ноутбуці.

При цьому застосування окремого фізичного пристрою, що здатен забезпечити безпечне зберігання конфіденційних даних (ключів шифрування, цифрових сертифікатів тощо), дозволяє реалізувати безпечний локальний або віддалений вхід в обчислювальну мережу, шифрування файлів на ноутбуках, робочих станціях і серверах, керування правами користувача й здійснення безпечних транзакцій.

Крім того, USB-токени більше практичні, ніж смарт-карти: їх можна причіпляти замість брелока до звичайних ключів, що зводить ризик втрати до мінімуму. Недоліком же цих токенів є ціна. У середньому смарт-карта коштує у два рази дешевше USB-ключа.

USB-токени з убудованим чипом

Від смарт-карт даний тип персонального ідентифікатора відрізняється тільки формфактором. USB-токени з убудованим чипом мають всі переваги смарт-карт, пов'язаними з безпечним зберіганням конфіденційних відомостей і здійсненням криптографічних операцій прямо усередині токена, але позбавлені їхнього основного недоліку, тобто не вимагають спеціального зчитувального пристрою. Поліфункціональність токенів забезпечує широкі можливості їхнього застосування - від суворої аутентифікації й організації безпечного локального або віддаленого входу в обчислювальну мережу до побудови на їхній основі систем юридично важливого електронного документообігу, організації захищених каналів передачі даних, керування правами користувача, здійснення безпечних транзакцій й ін.

ОТР-токени

Технологія ОТР (One Time Password) припускає використання одноразових паролів, які генеруються за допомогою токена. Для цього служить секретний ключ користувача, розміщений як усередині ОТР-токена, так і на сервері аутентифікації. Для того щоб одержати доступ до необхідних ресурсів, співробітник повинен увести пароль, створений за допомогою ОТР-токена.

Цей пароль порівнюється зі значенням, згенерованим на сервері аутентифікації, після чого виноситься рішення про надання доступу. Перевагою такого підходу є те, що користувачеві не потрібно з'єднувати токен з комп'ютером (на відміну від перерахованих вище типів ідентифікаторів). Однак кількість додатків ІТ-безпеки, які підтримують можливість роботи з ОТР-токенами, сьогодні набагато менше, ніж для USB-токенів (як із чипом, так і без) і смарт-карт. Недоліком ОТР-токенів є обмежений час життя цих пристроїв (три-чотири роки), тому що автономність роботи припускає використання батарейки.

Гібридні токени

Ці пристрої, що сполучають у собі функціональність двох типів пристроїв - USB-токенів з убудованим чипом й ОТР-токенів, - з'явилися на ринку відносно недавно. З їхньою допомогою можна організувати процес як двохфакторної аутентифікації з підключенням до USB-порту, так і безконтактної аутентифікації в тих випадках, коли доступу до USB-порт немає (наприклад, в Інтернет-кафе). Варто зазначити, що гібридні смарт-карти, що володіють функціональністю USB-і ОТР-токенів, а також мають убудова-ний чип, відповідають найвищому рівню гнучкості й безпеки.

Програмні токени

У цьому випадку роль токена грає програмне забезпечення, що генерує одноразові паролі, застосовувані поряд зі звичайними паролями для бага-тофакторної аутентифікації. На підставі секретного ключа программа-токен генерує одноразовий пароль, що відображається на екрані комп'ютера або мобільного пристрою й повинен бути використаний для аутентифікації. Але оскільки токеном є програма, записана на робочій станції, мобільному комп'ютері або стільниковому телефоні, то ні про яке безпечне зберігання ключової інформації мови не йде. Таким чином, даний спосіб безпечніший в порівнянні зі звичайними паролями, але набагато слабкіший ніж застосування апаратних ідентифікаторів.

Біометричні сканери

Додатковий носій - це предмет, що може бути загублений або украдений, і із цієї причини значне поширення в сучасних ноутбуках одержали біометричні сканери. Звичайно в ролі «біометричного предмета» використовується відбиток пальця користувача, його неможливо украсти й дуже складно підробити. Система настроюється на відбиток пальця власника й при наступному доступі порівнює відскановане зображення з оригіналом, що зберігається. Використання біометричного сканера відбитка пальців дуже просто й у той же час досить надійно. Кращий пароль для входу в систему або ж спосіб шифрування інформації й придумати неможливо.

На сьогоднішній день це самий надійний метод входу в систему. Однак варто знати, що одна наявність сканера не гарантує високого ступеня безпеки вашої інформації. Для ефективного захисту даних біометрична система повинна бути інтегрована в криптосистему.

Але стосовно до ноутбуків він має той же недолік, що й смарт-карти. Адже для зчитування, наприклад, відбитків пальців необхідний спеціальний сканер. І на сьогоднішній день тільки розробляються пристрої, які можна було б користувачеві вставляти усередину ноутбука. На щастя, виробники портативних ПК і тут виявилися на висоті. Звичайно, ноутбуків, оснащених біометричними сканерами, менше, ніж тих, у яких є убудовані рідери смарт-карт. Проте, придбати таку модель не проблема - вони вільно продаються в усім світі.

Комп'ютери зі сканерами відбитка пальця вже випустили такі відомі фірми, як Hewlett-Packard, Acer, Samsung тощо. Так, наприклад, у ноутбуках IBM лінійки ThinkPad використовується сканер відбитків пальців із системою запису Client Security Solution (відмінна риса - облікові записи відбитків пальців зберігаються в спеціальному чипі сканера). Але в більшості дешевих моделей IBM можна зустріти й більше просту систему запису Ominpass, що зберігає ці дані на жорсткому диску.

Крім відбитка пальця, є й інші біометричні системи. Так, на сьогоднішній день доступний пристрій для сканування райдужної оболонки ока, причому досить компактний. Варто зазначити, що райдужна оболонка ока має високий рівень індивідуальності, а це значить, що не можна зустріти людини з таким же малюнком. Отже, у даного способу дуже високий рівень захисту, значно вищий, ніж при скануванні відбитка пальця. Але досить висока ціна - у кілька сотень доларів - поки не дозволяє розроблювачам вбудовувати подібні сканери в ноутбуки - і без того не дешеві пристрої.

Нові розробки систем захисту

Компанії, що займаються випуском портативних комп'ютерів, не зупиняються на досягнутому. Вони активно ведуть роботи в області розробки засобів захисту інформації, що будуть вмонтовуватися в ноутбук.

Останнім часом у деяких ноутбуках використовуються ТРМ-модулі (Trusted Platform Module). Фактично такий модуль представляє собою спеціальну мікросхему, установлювану на материнську плату ноутбука, і може зберігати паролі, цифрові сертифікати, з її допомогою можна шифрувати файли й папки. Однак існує думка, що ця система не так вже безпечна, як це підноситься, адже звертання до ТРМ-модуля й робота з ним здійснюються програмним шляхом.

Є в потенційних власників ноутбуків і ще одна надія на майбутнє. Мова йде про технології захисту інформації на рівні центрального процесора, які розробляють відразу кілька великих компаній (наприклад, Intel). Уже зараз відомо, що в лінійці захищених «каменів» будуть і мобільні моделі, призначені для установки в портативні комп'ютери. Таким чином, сучасні технології цілком дозволяють використовувати ноутбуки й при цьому надійно захищати дані, розміщені на їхніх жорстких дисках.

Компанія A-Data вирішила піти на новий щабель захисту, вмонтувавши FBI USB двигун, в USB flash диск. Це дало змогу створити сканер відбитків пальця безпосередньо в пристрої USB flash. За допомогою ПЗ перевіряється ваш відбиток пальця при першому використанні та вимагаються подібні методи аутентифікації для наступного доступу до даних, що знаходяться на диску. Якщо відбитки пальця недоступні, або якщо ви хочете комусь надати ваш US В flash диск, то завжди можна використати резервну систему пароля. FBI випускається з об'ємом пам'яті в 256 MB, 512 MB, 1GB, і 2GB. Модель що має 2GB пам'яті продається за ціною $59.99.

Особливо цікаві спроби створення спеціалізованих не комп'ютерних технологій. Це використання так званої технології Zero-Interaction Authentication system (ZIA - система аутентифікації нульової взаємодії), розробленої американським ученим Брайаном Ноублом (Brian Noble) з Мічиганського університету.

Вся інформація на ноутбуці кодується в режимі реального часу. При цьому ключ шифрування зберігається в спеціальному пристрої, який користувач повинен мати завжди при собі. Принцип роботи захисту полягає в тім, що цей токен є мініатюрним радіопередавачем, що регулярно відправляє в ефір спеціальні сигнали. Вони вловлюються приймачем у ноутбуці й перевіряються. При цьому визначається, чи дійсно передавач, що згенерував ці сигнали, «прив'язаний» до цього комп'ютера. У випадку позитивного результату інформація декодується. Як тільки передавач відійде від ноутбука на певну відстань (визначається по потужності сигналу), відразу спрацьовує захист, що закриває дані.

Для роботи використовується кеш в 32 МБ, що дозволяє значно підвищити швидкість процесу кодування-де-кодування, що у цьому випадку займає всього п'ять-шість секунд. Таким чином, весь процес відбувається практично непомітно для користувача й не вимагає з його боку абсолютно ніяких зусиль.

Взагалі, принцип цієї технології дуже схожий на метод роботи USB-ключів або смарт-карт. Єдина відмінність полягає в тім, що користувач урятований від необхідності постійного підключення й відключення токенів, а також уведення PIN-коду. Крім того, і це важливо, зовні ноутбук виглядає абсолютно незахищеним. Так що зловмисник довідається про те, що інформація зашифрована, тільки після його крадіжки, коли зробити що-небудь (спробувати роздобути токен) уже буде неможливо.

Фірмою Wheels of Zeus («Колеса Зевса», у короткому написанні - wOz) розроблено продукт за назвою wOz Location-Based Encryption (шифрування на основі місця розташування), що готується до виходу на ринок.

Якщо характеризувати продукт гранично коротко, то це орієнтований на корпоративний ринок мережевий додаток, в якому система визначення географічного місця розташування GPS інтегрована в бездротову мережу для участі в шифруванні конфіденційної інформації.

По суті справи, вся ця система призначена для захисту інформації на ноутбуках, дуже популярних у комп'ютерних злодіїв, а також для допомоги в поверненні украдених комп'ютерів. Технологічний директор фірми Стів Возняк припускає, що нетрадиційній технології, що просуває його фірма, буде супроводжувати удача, оскільки зараз - за останнім даними ФБР - 98% украдених ноутбуків повернути власникам не вдається. А нова система фірми wOz ретельно стежить за місцем розташування кожного комп'ютера в мережі й уживає ряд захисних заходів, як тільки з'являються ознаки загрози.

Реалізується ця схема за допомогою спеціальної «заглушки безпеки», що вставляється в кожен ноутбук, який працює в бездротовій мережі корпорації. ПЗ базової станції мережі розбиває територію на «зони безпеки», так що комп'ютери, що перебувають у них, постійно відслідковуються на фізичну присутність, а доступ до даних відразу блокується, якщо ноутбук покинув зону. Коли співробітник підключається до мережі, система автоматично запитує в заглушки підтвердження на допуск роботи в зоні. Після підтвердження допуску заглушка починає регулярно запитувати GPS-інформацію як частину криптоключа для шифрування/дешифрування конфіденційних даних, що перебувають у мережі. Базова станція, у свою чергу, постійно контролює зв'язок із заглушками приєднаних до мережі комп'ютерів.

Завдяки такій системі, пояснює Возняк, доступ до даних корпорації автоматично блокується, як тільки співробітник або злодій виносить ноутбук із зони безпеки без відповідного дозволу адміністрації. При цьому, оскільки заглушка постійно запитує GPS-дані, поза зоною автоматично включається механізм блокування локальної інформації на дисках - розділи зашифровуються або повністю стираються. Вилучення заглушки з комп'ютера теж означає повну втрату доступу до критично важливих даних на дисках, оскільки шифрування здійснюється апаратно за допомогою цього пристрою. GPS-інформація, що фіксується базовою станцією про географічне місце розташування повинна допомогти повернути украдений комп'ютер.

Вся ця схема представлена поки лише в описах її головного розроблювача Стіва Возняка. Але комп'ютерні й мережні системи безпеки, як відомо, річ надзвичайно тонка, і головні уразливості тут звичайно криються не в теорії, а в конкретній реалізації. Тому, про реальну безпеку системи можна говорити тільки після її тривалого вивчення сторонніми експертами. Нова система «шифрування на базі GPS» убудована в закрите фірмове мережне ПЗ wOzNet, що забезпечує функції локальної бездротової мережі. А це неминуче звузить коло її експертів, що аналізують, а виходить, і знизить інтерес до новинки.

Захист заради спокою

Саме так можна оцінити позицію користувача, що побажав убезпечити свій ноутбук на сто відсотків. Ідеального захисту немає, і бути не може -це прекрасно розуміють всі. Але все-таки зазначимо, що, скориставшись перерахованими вище способами, можна досягти дуже високого ступеня захищеності. Зламати можна все що завгодно, але, як відомо, ціль повинна виправдувати засоби, і злом багатьох систем безпеки реальний тільки в тому випадку, якщо інформація, що зберігається в ноутбуці, має величезну цінність.

Просто не потрібно відмахуватися від проблем інформаційної безпеки й вживати всі необхідні запобіжні заходи.

http://daily.sec.rи

http://www.aladdin.ru

http://www.kinnet.ru

Мусіенко Д., № 4/2006 «Бизнес и безопасность»

Публикации по теме

30 декабря 2013 Стремительная эволюция систем Endpoint Security Решения для защиты конечных точек появились на рынке не так давно, фактически после начала массового развертывания в компаниях локальных сетей. Прообразом этих продуктов послужил обычный антивирус для защиты персонального компьютера.
25 февраля 2011 Утечка информации в 2010 году. Google Утечка данных о бюджетах пользователей сервиса контекстной рекламы Google AdWords стала одной из самых интересных в прошедшем году.
24 февраля 2011 Утечка информации в 2010 году. Facebook Еще одна крупная утечка в 2010 году связана с самой популярной в мире социальной сетью Facebook, аудитория которой превышает 500 млн зарегистрированных пользователей по всему миру.
31 января 2018 Meltdown и Spectre - как бороться с уязвимостями нового поколения.
29 апреля 2014 MDM-система берет гаджеты под контроль Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети.