Архив
Январь Февраль Март
Апрель Май Июнь
Июль Август Сентябрь
Октябрь Ноябрь Декабрь
Тел./факс: +38 (044) 593-37-13
Моб. Тел : +38 067 231 70 37
E-mail: office@infobezpeka.com
НачалоПубликации

Публикации

4 января 2008

Захист інформації в портативному ПК

В останні роки в наше життя ввійшов термін «мобільність», а з ним змінився й ритм життя. Зміни­лося поняття про робочий час. Якщо ще недавно старанний співробітник, що відробив повний робочий день, вважав, що чесно відробив свою зарплатню, то в сучасному укладі успішної IT-фірми це є, чи ледве не зневажливим відношенням до своїх обов'язків.

Безумовно мисляча людина при рішенні якої-небудь робочої проблеми не може не обмірко­вувати її в неробочий час. І якщо відповідь знайдена, то в інтересах компанії забезпечити співробітникові інструмент для реалізації, перевірки або просто запису результатів. Одним з таких інструментів у сучасному світі є ноутбук. І ми вже не говоримо про випадок, коли власник малого чи ве­ликого бізнесу просто зобов'язаний завжди бути в курсі подій і мати під рукою вірного і надійного друга й помічника - мобільний комп'ютер.

І дійсно, що може бути зручніше? Хо­чеш працювати в локальній мережі офісу - став ноутбук на стіл і підключай до нь­ого кабель. Потрібно їхати на виставку, презентацію, прес-конференцію, перего­вори - забирай портативний комп'ютер разом з усіма необхідними документами й матеріалами. Не встигаєш зробити щось на роботі - неси ноутбук додому й сиди за ним хоч всю ніч. Загалом, плюсів у портативних ПК багато.

Тому немає нічого дивного в тім, що продажі комп'ютерів такого типу ос­таннім часом значно зросли. І зараз рідко можна зустріти ділову людину, яка б не була власником ноутбука. Тенденція сама по собі, звичайно, не­погана, але описана ситуація створює свої проблеми. На жорсткому диску мобільного комп'ютера частенько зберігаються корпоративні докумен­ти, втрата яких може мати серйозні наслідки для компанії. Із усього наве­деного вище можна зробити висно­вок, що у всіх розглянутих ситуаціях переносний комп'ютер є сховищем корисної інформації. Але, як це не дивно, багато користувачів згадують про це тільки тоді, коли ноутбук уже украдений, або з нього вилучили конфіденційну інформацію. За доступ до неї певна категорія громадян готова викласти чималі суми, а, як відомо, попит народжує пропозицію. Та і без того прибуткового кримінального бізнесу перепродажу крадених ноутбуків, як просто дорогої речі, додали­ся крадіжки з метою одержання досту­пу до важливої інформації.

Багато користувачів напевно скажуть, що на їхньому комп'ютері немає ніяких важливих даних, здатних кого-небудь зацікавити. Однак не слід забувати, що, оскільки ноутбук іноді підключається до корпоративної мережі, на ньому зберіга­ються логіни й паролі користувачів, аутентифікаційні дані для доступу в мере­жу Internet та корпоративну мережу, різного роду реєстраційна інформація тощо. Тим часом втрата ноутбука по не­уважності власника або його крадіжка, наприклад, з автомобіля, - явище до­сить розповсюджене. У світі відомі ви­падки, коли портативні комп'ютери із найсекретнішою інформацією губилися навіть в офіцерів спецслужб.

Відповідно до дослідження Інститу­ту комп'ютерної безпеки США й ФБР («CSI/FBI Computer Crime and Securi­ty Survey 2005»), торік інформаційні втрати від крадіжок ноутбуків у США склали $ 4 107 300.

Тому на цей час проблема захисту даних й обмеження доступу до інфор­мації, що зберігається на жорсткому диску мобільного комп'ютера, поста­ла досить серйозно.

Виробники ноутбуків швидко усвідомили наявність попиту на захи­щені вироби й негайно цим скориста­лися. Сьогодні на ринку співіснують моделі з різними вбудованими систе­мами обмеження доступу до інфор­мації, що в них зберігається. Крім то­го, існують програмні продукти, приз­начені для рішення цієї ж проблеми.

Умовно всі небезпеки, що загрожу­ють ноутбуку, мають фізичну або інформаційну природу. Але вони ду­же тісно взаємозалежні між собою(щоб зчитати файли з жорсткого диска, потрібно одержати до нього доступ, а для одержання доступу потрібний сам ноутбук), тому важ­ливо використати комплексний підхід у забезпеченні безпеки, оскільки саме він забезпечує найви­щий рівень збереження як власне мобільного ПК, так й інформації в ньому. Розглянемо існуючі способи й методи захисту. Який рівень безпе­ки вам необхідний, вирішувати вам.

 

Шкідливість мобільності

Як відомо, ноутбук є мобільним пристроєм. Цей факт наділяє його безліччю переваг стосовно того ж настільного комп'ютера, але з'явля­ються й певні мінуси. Портативний комп'ютер дуже ласа здобич для злодіїв (розміри     малі,     висока вартість). Тому за ним потрібен ре­тельний догляд.

У більшості випадків ціль крадіжок - перепродаж ноутбука. Самі розумієте, що в цьому випадку цінність інфор­мації, що перебуває в ньому, для злодія дорівнює нулю, важливий сам ноутбук. Ну а як протистояти цьому, всі напевно, знають, - ніколи не залишати пристрій без догляду. Причому це правило сто­сується не тільки громадських місць, але й навіть власного офісу - усяке бу­ває. Однак бувають ситуації, коли необхідно відлучитися, і в таких випад­ках варто згадати про спеціалізовані рішення, які перешкоджають крадіжці або полегшують пошук пропажі.

Найпростіший спосіб не допустити фізичної втрати ноутбука - просто прив'язати його до чого-небудь важко­го. У буквальному значенні. Для цього розроблений спеціальний пристрій - замок Кенсінгтона (Kensington lock). Він представляє собою гнучкий металевий трос із петлею на одному кінці й засув­кою на іншому. Засувка вставляється в отвір на корпусі комп'ютера й надійно закріплюється. Якщо немає спеціально­го ключа, або невідомий секретний код, зловмисника чекає невдача. Міцність і надійність цього гнучкого троса, виго­товленого зі сталі або високоміцних сплавів досить висока, а рівень безпеки замкового пристрою ви можете вибрати виходячи із власних потреб. Існують троси зі звичайним замком, кодовим (розрізняються кількістю розрядів), со­леноїдним. Вам просто необхідно буде докупити цей пристрій.

Однак у деяких випадках подібний захист може виявитися неефективним, або навіть неможливим. Тоді варто вда­тися до випробуваного способу авто­любителів - сигналізації. Подібні рішення не зможуть перешкодити фізичній крадіжці ноутбука, але серйозно налякають злодія й цілком можливо, що змусять його відмовитися від задуманого. Найчастіше подібні системи виконані у форматі PC Card (такий слот сьогодні є практично в будь-якому ноутбуці) і по своїй суті яв­ляють собою програмно-апаратний комплекс безпеки (наприклад, Halcy­onics Caveo, DEFCON MDP тощо) ос­новою якого є датчик руху. Користувач вправі сам вибрати й настроїти подію (наближення до ноутбука, переміщен­ня ноутбука, перетинання ним зазда­легідь певного периметра тощо), по події якого пролунає потужна сирена, що створює шумовий тиск близько ПО дБ. У випадку, якщо ноутбук все-таки вдалося украсти, то через певний період часу після спрацьовування сире­ни програмна оболонка зашифрує конфіденційну інформацію (у деяких системах передбачене стирання даних).

Є й більше примітивні рішення, що складаються із двох блоків зв'язаних між собою радіоканалом (наприклад, Dicota Sentinel Alarm-System, Targus (PA430E) Defcon 3 тощо). Один з них перебуває в сумці з ноутбуком, другий у кишені користувача. Як тільки відстань між ними перевищує значен­ня, установлене власником пристрою, лунає сигнал тривоги.

Також не варто нехтувати й вико­ристанням усілякого ПЗ, що може надати неоціненну допомогу в плані пошуку украденого ноутбука. Якщо для викрадача ноутбук не просто то­вар, то він цілком може використати його по призначенню, ну, скажімо, побродити по Інтернету. Зрозуміло, подібне ПЗ працездатне доти, поки його не відключать (наприклад, пере­установкою ОС), але існують і більше сучасні та складні рішення, виконані нарівні BIOS, наприклад, TheftGuard від Phoenix, деінсталювати які важко навіть професіоналові.

Програмне забезпечення

Отже, ноутбук дійсно має потребу в захисті. Більшість користувачів використовують для цього стандартні засо­би. Деякі встановлюють пароль на за­вантаження комп'ютера в BIOS. На жаль, застосування одного цього рішення великої користі не принесе. Досить розібрати комп'ютер і на якийсь час вийняти батарейку, що живить мікрос­хему BIOS, щоб скасувати всі встанов­лені користувачем настроювання, включаючи й пароль. Однак деякі мо­делі ноутбуків, наприклад фірми IBM Thinkpad, в BIOS зберігають паролі дос­тупу до жорсткого диска, тому при ски­данні живлення з мікросхеми буде за­гублений доступ не тільки до ваших да­них, а до жорсткого диска взагалі.

Ще один спосіб захисту, до якого час­то вдаються користувачі, - це установка пароля на вхід в Windows. Однак сьо­годні існує величезна кількість способів одержати інформацію з такого комп'ютера. Можна, наприклад, заван­тажитися з дискети або з компакт-диску й прямо або за допомогою спеціальної утиліти одержати вільний доступ до всіх даних. Або ще простіше: зняти жорсткий диск із ноутбука й підключити його до іншого комп'ютера. Але все ж таки не слід нехтувати цим захистом.

Операційні системи Windows 98 та Me, що використовуються до цього ча­су побудовані на ядрі Windows 3.0, і за­безпечують тільки мінімальний рівень безпеки, «обійти» який не є пробле­мою для професіонала. Тому краще їх не використовувати. Більш високим ступенем захисту володіють системи на ядрі NT (Windows 2000 або ХР). Звичайно, найкращий варіант із цього погляду - це UNIX- системи, але ма­буть не кожен користувач погодиться розбиратися в тонкощах цих ОС.

Оскільки в сучасних ноутбуках пе­реважно інсталюється Windows XP, подальші рекомендації будуть виходя­чи саме з цього. Якщо безпека інфор­маційного вмісту ноутбука для вас не порожній звук, то при форматуванні жорсткого диска обов'язково варто вибирати файлову систему NTFS, що у порівнянні з FAT відрізняється біль­шою надійністю й стійкістю до відмов. Крім того, до складу NTFS входить EFS (Encryption File System), що забезпечує 56-бітне шифрування файлів і папок «на льоту».

Іншим, набагато більш надійним способом захисту інформації в ноут­буці є різні програми, що шифрують важливі дані. Це дійсно прекрасний вихід з положення. Зловмисник, що одержав доступ до портативного комп'ютера, не зможе прочитати інформацію, не знаючи заданого влас­ником пароля. Це таке ПЗ як StrongDisk (Росія), Secret Net 5.0 й ін.

Принцип захисту таких продуктів гранично простий: програма створює захищені диски, які надалі сприйма­ються операційною системою як зви­чайні логічні диски. Відмінність по­лягає в тому, що при запису на такий диск інформація відразу ж шифрується, а при читанні - дешифрується. Фактично ж захищений диск являє собою файл, що може розташовува­тися в будь-якому місці й мати довільне ім'я й розширення. Щоб одержати доступ до інформації, захи­щений диск необхідно підключити.

При підключенні диска потрібно ввести пароль і/або підключити зовнішні ключі. Як зовнішній ключ може виступати електронний ключ, смарт-карта або файл-ключ. На зовнішній ключ записується код, що необхідний для дешифрування інформації на захищеному диску. Цей код генерується випадковим чином і має значну довжину, що виключає можливість швидкого його підбору.

Подібних програм дійсно дуже бага­то, і вони надають різний рівень без­пеки, тому кожний може вибрати що-небудь своє залежно від важливості вмісту жорсткого диску.

Якщо ви використовуєте шифру­вання, то майте на увазі, що як ключ звичайно використовується пароль входу в систему, тому його потрібно вибрати максимально ретельно (не меншим 8 символів, не словниковий, у різних регістрах, та повинен мати в своєму складі спецсимволи). Паролі, у яких указується своє ім'я (ім'я дру­жини, кішки, день народження, ву­лицю, назву організації й т. п.), злов­мисники за допомогою спеціальних програм підбирають досить швидко.

Що стосується об'єктів для шифру­вання, то, варто шифрувати всю інформацію, з якою ви щодня пра­цюєте. Але є один маленький нюанс, у процесі своєї роботи ви залишаєте безліч «слідів», про знищення яких та­кож варто подбати. У першу чергу, це всі тимчасові файли (гляньте, для прикладу в папку TEMP, там можна знайти робочі копії документів, що редагувалися, тощо), друге - пошта (прочитані чи не прочитані та не вида­лені повідомлення), третє це кошик, у якому може перебувати все, що зав­годно, також варто уважно перегляну­ти папки типу REPAIR, у яких можуть зберігатися копії реєстру або база па­ролів. Щодо видалення документів, то варто інсталювати одну з програм яка гарантовано їх знищує без можливості відновлення іншим ПЗ.

Взагалі варто зашифрувати, всі місця, де зберігаються критичні до­кументи й де є якісь натяки на те, як одержати конфіденційну інфор­мацію. У цій справі краще дещо «пе­реборщити», чим потім кусати себе за лікті. Тим більше, що продук­тивність ноутбука від частого шиф­рування інформації практично не зменшується.

Однак на думку багатьох експертів система шифрування EFS, не забезпе­чує гідного рівня захисту, провиною всьому є широка поширеність ОС Windows, що породило масу способів злому цієї системи.

Альтернативний варіант крипто-системи, на яку варто звернути ува­гу - це PGP (Pretty Good Privacy), що дозволяє шифрувати окремі файли, створювати захищені розділи. До того ж вона дозволяє ду­же ефективно шифрувати поштовий обмін, оскільки наявність двох аси­метричних ключів (один у відправ­ника, інший в одержувача) гарантує високу криптостійкість.

Настійно рекомендується включити всі опції безпеки в BIOS. Наприклад, варто поставити пароль на BIOS (зви­чайно, є інженерні паролі, але не ко­жен знає про них), заборонити заван­таження з USB-драйву, CD-приводу або дискети.

Смарт-карти - серйозний бар'єр на шляху зловмисника


Скажемо так, серйозного зловмисника це навряд чи зупи­нить (він буде готовий до такого по­вороту подій), але для випадкового створить безліч проблем. Не варто за­бувати й про резервування даних, це найдійовіший засіб для відновлення інформації у випадку крадіжки або втрати ноутбука. Доцільно створити правила та графік резервування, виз­начити для цього носії і надалі його суворо дотримуватися. Принаймні, на «чорний день» у вас залишиться інформація - найцінніша частина ноутбука. Ну, а про антивірусні та антишпіонські програми, брандмауери згадувати не будемо, сподіваємося, користувач   усвідомлює    про   необхідність їхнього застосування й ре­гулярного оновлення.

3 USB-токенами немає необхідності запам'ятовувати безліч паролів (Малюнок)

 

Системи аутентифікації

Загальновідомо, що парольний за­хист вважається таким, що не відповідає сучасним вимогам інформаційної безпеки. І самою слабкою ланкою тут є користувач, що іноді вибирає занадто прості паролі, однакові для всіх сервісів. А до того ж записує паролі в записну книжку (або ще гірше - у текстовий файл, що зберігається на цьому ж таки ноутбуці).

Позбутися від цього недоліку доз­воляють спеціальні пристрої - пер­сональні ідентифікатори або токени. Вони представляють собою пристрої призначені для зберігання ключів шифрування, паролів й іншої конфіденційної чи секретної інформації. Для того щоб одержати доступ до всіх цим даних, користу­вачеві потрібно запам'ятати всього лише пін-код. Причому за його без­пеку теж можна не боятися - токени захищені від підбора пароля.

У цей час на ринку представлено чи­мало персональних ідентифікаторів, що розрізняються як по технічних можливостях і функціональності, так і за форм-фактором. Розглянемо їх докладніше.

Смарт-карти

По своєму зовнішньому вигляді во­ни нічим, крім малюнка, не відрізня­ються від звичайних банківських (чипових, не магнітних) карт. Ці прист­рої мають гарні характеристики надійності. У них є власний вбудова­ний мікропроцесор, що дозволяє ре­алізувати різні алгоритми захисту.

Залежно від виробника захи­щеність карт міняється. У маленький шматок пластику із чипом можуть вбудовуватися різні датчики призна­чення яких заборона функціонуван­ня мікропроцесора при спробі пош­кодження пластику. Це можуть бути температурні датчики або датчики, чутливі до механічних впливів - нап­риклад, до зрізання пластикового впакування для прямого доступу до електроніки. Вся інформація, що зберігається в чипі, шифрується, щоб фахівцю, що знайде лазівку до вмісту мікросхеми не вдалося її прочитати, принаймні відразу. Є також захист від підбору пароля аж до знищення всіх даних, що знаходяться в чипі.

Призначені смарт-карти для зберігання особистої інформації, па­ролів доступу й даних для аутентифікації. Гарні вони тим, що, будучи досить компактними, мають такі якості, як довговічність і великий об'єм даних, що можуть зберігати. Для успішної аутентифікації потрібно вставити смарт-карту в зчитувальний пристрій і ввести пароль (PIN-код).

Загалом, смарт-карти - дуже серйозний бар'єр на шляху зловмис­ника. Це зручний і недорогий засіб для захисту інформації. Однак вони мають серйозний недолік - низьку мобільність, оскільки для роботи з ними потрібен зчитувальний пристрій - рідер.

 

Продукт

Основні переваги

Основні недоліки

USB-токени

Мобільність - токен можна використати на будь-якому комп'ютері, де є USB-порт. Підтримка великої кількості додатків ІТ-безлеки. Очевидна приналежність токена користувачеві

Потрібна установка ПЗ користувача

Смарт-карти

Високий рівень безпеки. Компактність. Підтримка великої кількості додатків

Потрібна установка ПЗ користувача Потрібен зчитувальний пристрій

USB-токени з убудованим чипом

Високий рівень безпеки. Мобільність. Підтримка великої кількості додатків. Оче­видна приналежність токена користувачеві

Як недолік можна зазначити, що не потрібна установка ПЗ користувача. Однак це може бути і перевагою

ОТР-токени

Мобільність. Легкість у використанні. Не потрібна установка ПЗ користувача

Обмежене коло підтримуваних додатків. Потрібен сервер аугентифікації. Обмежений час експлуатації у зв'язку з використанням батарейки

Гібридні токени

Мобільність. Підтримка великої кількості додатків. Не потрібна установка ПЗ корис­тувача для застосування одноразових па­ролів (ОТР). Очевидна приналежність токе­на користувачеві

Обмежений час експлуатації у зв'язку з ви­користанням батарейки (крім тих випадків, коли користувач може замінити батарейку самостійно)

Програмні токени

Не потрібен апаратний пристрій

Секретний ключ слабко захищений. Обме­жене коло підтримуваних додатків. Потрібен сервер аугентифікації

 

І якщо на настільні комп'ютери встановлення додаткового обладнан­ня особливих ускладнень не викликає, то для ноутбуків це вже досить серйозна проблема. Але, у принципі, вихід є, і не один. Так, у продажі є рідер, вико­наний у форм-факторі флопі-дисковода та спілкується з ноутбуком через його ж інтерфейс. А останнім часом розроблювачі ноутбуків стали вбудо­вувати в нові моделі пристрої для чи­тання смарт-карт. Природно, що й самі картки йдуть у комплекті. Яскра­вим прикладом може служити ноутбук від компанії Acer-Travel Mate 800.

На відміну від простих USB-to-кенів, смарт-карти забезпечують значно більшу безпеку зберігання ключів і профілів користувача. Смарт-карти оптимальні для вико­ристання в інфраструктурі відкритих ключів (РКІ), тому, що здійснюють зберігання ключового матеріалу й сертифікатів користувачів у самому пристрої, а секретний ключ користу­вача не попадає у вороже зовнішнє середовище.

Тому, якщо ви збираєтеся викорис­тати для захисту інформації саме цей тип токенів, то будьте уважні при ви­борі ноутбука.

USB-токени

Що стосується USB-токенів, то най­частіше використовуються пристрої eToken Pro, розроблені й випущені компанією Aladdin Knowledge Systems. Зовні цей пристрій представляє собою звичайну флешку, але по своїм вико­нуваним функціям він багато в чому відповідає смарт-карті. Користуватися цими пристроями дуже зручно, оскіль­ки немає необхідності запам'ятовувати безліч паролів і кодів доступу, вся інформація зберігається в USB-токені. Крім того на носії можуть бути циф­рові підписи, сертифікати й інша інформація, яку небезпечно зберігати на жорсткому диску ноутбука.

Процес двохфакторної аутентифікації з використанням USB-токенів прохо­дить у два етапи: користувач підключає цей невеликий пристрій в USB-порт комп'ютера й вводить PIN-код. Пере­вагою даного типу засобів аутен­тифікації є висока мобільність, тому що USB-порти є на кожній робочій станції й на будь-якому ноутбуці.

При цьому застосування окремого фізичного пристрою, що здатен забез­печити безпечне зберігання кон­фіденційних даних (ключів шифру­вання, цифрових сертифікатів тощо), дозволяє реалізувати безпечний ло­кальний або віддалений вхід в обчис­лювальну мережу, шифрування файлів на ноутбуках, робочих станціях і сер­верах, керування правами користува­ча й здійснення безпечних транзакцій.

Крім того, USB-токени більше прак­тичні, ніж смарт-карти: їх можна причіпляти замість брелока до звичай­них ключів, що зводить ризик втрати до мінімуму. Недоліком же цих токенів є ціна. У середньому смарт-кар­та коштує у два рази дешевше USB-ключа.

USB-токени з убудованим чипом

Від смарт-карт даний тип персо­нального ідентифікатора відрізняєть­ся тільки формфактором. USB-токени з убудованим чипом мають всі перева­ги смарт-карт, пов'язаними з безпеч­ним зберіганням конфіденційних відомостей і здійсненням криптог­рафічних операцій прямо усередині токена, але позбавлені їхнього основ­ного недоліку, тобто не вимагають спеціального зчитувального прист­рою. Поліфункціональність токенів забезпечує широкі можливості їхнього застосування - від суворої аутен­тифікації й організації безпечного ло­кального або віддаленого входу в об­числювальну мережу до побудови на їхній основі систем юридично важли­вого електронного документообігу, організації захищених каналів пере­дачі даних, керування правами корис­тувача, здійснення безпечних тран­закцій й ін.

ОТР-токени

Технологія ОТР (One Time Password) припускає використання одноразових паролів, які генеруються за допомо­гою токена. Для цього служить секрет­ний ключ користувача, розміщений як усередині ОТР-токена, так і на сервері аутентифікації. Для того щоб одержа­ти доступ до необхідних ресурсів, співробітник повинен увести пароль, створений за допомогою ОТР-токена.

Цей пароль порівнюється зі значен­ням, згенерованим на сервері аутен­тифікації, після чого виноситься рішення про надання доступу. Перева­гою такого підходу є те, що користува­чеві не потрібно з'єднувати токен з комп'ютером (на відміну від перера­хованих вище типів ідентифікаторів). Однак кількість додатків ІТ-безпеки, які підтримують можливість роботи з ОТР-токенами, сьогодні набагато менше, ніж для USB-токенів (як із чи­пом, так і без) і смарт-карт. Недоліком ОТР-токенів є обмежений час життя цих пристроїв (три-чотири роки), то­му що автономність роботи припускає використання батарейки.

Гібридні токени

Ці пристрої, що сполучають у собі функціональність двох типів прист­роїв - USB-токенів з убудованим чи­пом й ОТР-токенів, - з'явилися на ринку відносно недавно. З їхньою до­помогою можна організувати процес як двохфакторної аутентифікації з підключенням до USB-порту, так і без­контактної аутентифікації в тих випад­ках, коли доступу до USB-порт немає (наприклад, в Інтернет-кафе). Варто зазначити, що гібридні смарт-карти, що володіють функціональністю USB-і ОТР-токенів, а також мають убудова-ний чип, відповідають найвищому рівню гнучкості й безпеки.

Програмні токени

У цьому випадку роль токена грає програмне забезпечення, що генерує одноразові паролі, застосовувані по­ряд зі звичайними паролями для бага-тофакторної аутентифікації. На підставі секретного ключа программа-токен генерує одноразовий пароль, що відображається на екрані комп'ютера або мобільного пристрою й повинен бути використаний для ау­тентифікації. Але оскільки токеном є програма, записана на робочій станції, мобільному комп'ютері або стільниковому телефоні, то ні про яке безпечне зберігання ключової інфор­мації мови не йде. Таким чином, да­ний спосіб безпечніший в порівнянні зі звичайними паролями, але набагато слабкіший ніж застосування апарат­них ідентифікаторів.

Біометричні сканери

Додатковий носій - це предмет, що може бути загублений або украдений, і із цієї причини значне поширення в сучасних ноутбуках одержали біомет­ричні сканери. Звичайно в ролі «біометричного предмета» використо­вується відбиток пальця користувача, його неможливо украсти й дуже складно підробити. Система наст­роюється на відбиток пальця власника й при наступному доступі порівнює відскановане зображення з оригіна­лом, що зберігається. Використання біометричного сканера відбитка пальців дуже просто й у той же час до­сить надійно. Кращий пароль для вхо­ду в систему або ж спосіб шифрування інформації й придумати неможливо.

На сьогоднішній день це самий надійний метод входу в систему. Од­нак варто знати, що одна наявність сканера не гарантує високого ступеня безпеки вашої інформації. Для ефек­тивного захисту даних біометрична система повинна бути інтегрована в криптосистему.

Але стосовно до ноутбуків він має той же недолік, що й смарт-карти. Адже для зчитування, наприклад, відбитків пальців необхідний спеціальний сканер. І на сьогоднішній день тільки розробля­ються пристрої, які можна було б корис­тувачеві вставляти усередину ноутбука. На щастя, виробники портативних ПК і тут виявилися на висоті. Звичайно, но­утбуків, оснащених біометричними ска­нерами, менше, ніж тих, у яких є убудовані рідери смарт-карт. Проте, придбати таку модель не проблема - вони вільно продаються в усім світі.

Комп'ютери зі сканерами відбитка пальця вже випустили такі відомі фірми, як Hewlett-Packard, Acer, Sam­sung тощо. Так, наприклад, у ноутбу­ках IBM лінійки ThinkPad використо­вується сканер відбитків пальців із системою запису Client Security Solu­tion (відмінна риса - облікові записи відбитків пальців зберігаються в спеціальному чипі сканера). Але в більшості дешевих моделей IBM можна зустріти й більше просту сис­тему запису Ominpass, що зберігає ці дані на жорсткому диску.

Крім відбитка пальця, є й інші біометричні системи. Так, на сьо­годнішній день доступний пристрій для сканування райдужної оболонки ока, причому досить компактний. Варто зазначити, що райдужна обо­лонка ока має високий рівень індивідуальності, а це значить, що не можна зустріти людини з таким же малюнком. Отже, у даного способу дуже високий рівень захисту, значно вищий, ніж при скануванні відбитка пальця. Але досить висока ціна - у кілька сотень доларів - поки не доз­воляє розроблювачам вбудовувати подібні сканери в ноутбуки - і без того не дешеві пристрої.

Нові розробки систем захисту

Компанії, що займаються випуском портативних комп'ютерів, не зупиняються на досягнутому. Вони активно ведуть роботи в області розробки за­собів захисту інформації, що будуть вмонтовуватися в ноутбук.

Останнім часом у деяких ноутбуках використовуються ТРМ-модулі (Trusted Platform Module). Фактично такий модуль представляє собою спеціальну мікросхему, установлюва­ну на материнську плату ноутбука, і може зберігати паролі, цифрові сер­тифікати, з її допомогою можна шиф­рувати файли й папки. Однак існує думка, що ця система не так вже без­печна, як це підноситься, адже звер­тання до ТРМ-модуля й робота з ним здійснюються програмним шляхом.

Є в потенційних власників ноут­буків і ще одна надія на майбутнє. Мова йде про технології захисту інформації на рівні центрального процесора, які розробляють відразу кілька великих компаній (наприк­лад, Intel). Уже зараз відомо, що в лінійці захищених «каменів» будуть і мобільні моделі, призначені для ус­тановки в портативні комп'ютери. Таким чином, сучасні технології цілком дозволяють використовувати ноутбуки й при цьому надійно захи­щати дані, розміщені на їхніх жорстких дисках.

Компанія A-Data вирішила піти на новий щабель захисту, вмонтувавши FBI USB двигун, в USB flash диск. Це дало змогу створити сканер відбитків пальця безпосередньо в пристрої USB flash. За допомогою ПЗ перевіряється ваш відбиток пальця при першому ви­користанні та вимагаються подібні методи аутентифікації для наступного доступу до даних, що знаходяться на диску. Якщо відбитки пальця недос­тупні, або якщо ви хочете комусь на­дати ваш US В flash диск, то завжди можна використати резервну систему пароля. FBI випускається з об'ємом пам'яті в 256 MB, 512 MB, 1GB, і 2GB. Модель що має 2GB пам'яті про­дається за ціною $59.99.

Особливо цікаві спроби створення спеціалізованих не комп'ютерних технологій. Це використання так зва­ної технології Zero-Interaction Authentication system (ZIA - система аутентифікації нульової взаємодії), розробленої американським ученим Брайаном Ноублом (Brian Noble) з Мічиганського університету.

Вся інформація на ноутбуці ко­дується в режимі реального часу. При цьому ключ шифрування зберігаєть­ся в спеціальному пристрої, який ко­ристувач повинен мати завжди при собі. Принцип роботи захисту поля­гає в тім, що цей токен є мініатюр­ним радіопередавачем, що регулярно відправляє в ефір спеціальні сигна­ли. Вони вловлюються приймачем у ноутбуці й перевіряються. При цьому визначається, чи дійсно передавач, що згенерував ці сигнали, «прив'язаний» до цього комп'ютера. У випадку позитивного результату інформація декодується. Як тільки передавач відійде від ноутбука на певну відстань (визначається по потуж­ності сигналу), відразу спрацьовує захист, що закриває дані.

Для роботи використовується кеш в 32 МБ, що дозволяє значно підвищи­ти швидкість процесу кодування-де-кодування, що у цьому випадку зай­має всього п'ять-шість секунд. Таким чином, весь процес відбувається практично непомітно для користува­ча й не вимагає з його боку абсолютно ніяких зусиль.

Взагалі, принцип цієї технології ду­же схожий на метод роботи USB-ключів або смарт-карт. Єдина відмінність полягає в тім, що користу­вач урятований від необхідності постійного підключення й відключен­ня токенів, а також уведення PIN-ко­ду. Крім того, і це важливо, зовні ноут­бук виглядає абсолютно незахищеним. Так що зловмисник довідається про те, що інформація зашифрована, тільки після його крадіжки, коли зро­бити що-небудь (спробувати роздобу­ти токен) уже буде неможливо.

Фірмою Wheels of Zeus («Колеса Зевса», у короткому написанні - wOz) розроблено продукт за назвою wOz Location-Based Encryption (шиф­рування на основі місця розташуван­ня), що готується до виходу на ринок.

Якщо характеризувати продукт гранич­но коротко, то це орієнтований на кор­поративний ринок мережевий додаток, в якому система визначення географічного місця розташування GPS інтегрована в бездротову мережу для участі в шифру­ванні конфіденційної інформації.

По суті справи, вся ця система призначена для захисту інформації на ноутбуках, дуже популярних у комп'ютерних злодіїв, а також для допомоги в поверненні украдених комп'ютерів. Технологічний дирек­тор фірми Стів Возняк припускає, що нетрадиційній технології, що просу­ває його фірма, буде супроводжувати удача, оскільки зараз - за останнім даними ФБР - 98% украдених ноутбуків повернути власникам не вдається. А нова система фірми wOz ретельно стежить за місцем розташу­вання кожного комп'ютера в мережі й уживає ряд захисних заходів, як тільки з'являються ознаки загрози.

Реалізується ця схема за допомогою спеціальної «заглушки безпеки», що вставляється в кожен ноутбук, який працює в бездротовій мережі корпо­рації. ПЗ базової станції мережі роз­биває територію на «зони безпеки», так що комп'ютери, що перебувають у них, постійно відслідковуються на фізичну присутність, а доступ до да­них відразу блокується, якщо ноут­бук покинув зону. Коли співробітник підключається до мережі, система автоматично   запитує   в   заглушки підтвердження на допуск роботи в зоні. Після підтвердження допуску заглушка починає регулярно запиту­вати GPS-інформацію як частину криптоключа для шифрування/де­шифрування конфіденційних даних, що перебувають у мережі. Базова станція, у свою чергу, постійно конт­ролює зв'язок із заглушками приєднаних до мережі комп'ютерів.

Завдяки такій системі, пояснює Воз­няк, доступ до даних корпорації авто­матично блокується, як тільки співробітник або злодій виносить но­утбук із зони безпеки без відповідного дозволу адміністрації. При цьому, оскільки заглушка постійно запитує GPS-дані, поза зоною автоматично включається механізм блокування ло­кальної інформації на дисках - розділи зашифровуються або повністю стираються. Вилучення заглушки з комп'ютера теж означає повну втрату доступу до критично важливих даних на дисках, оскільки шифрування здійснюється апаратно за допомогою цього пристрою. GPS-інформація, що фіксується базовою станцією про геог­рафічне місце розташування повинна допомогти повернути украдений комп'ютер.

Вся ця схема представлена поки лише в описах її головного розроблювача Стіва Возняка. Але комп'ютерні й мережні системи безпеки, як відомо, річ надзвичайно тонка, і головні уразли­вості тут звичайно криються не в теорії, а в конкретній реалізації. Тому, про ре­альну безпеку системи можна говорити тільки після її тривалого вивчення сто­ронніми експертами. Нова система «шифрування на базі GPS» убудована в закрите фірмове мережне ПЗ wOzNet, що забезпечує функції локальної безд­ротової мережі. А це неминуче звузить коло її експертів, що аналізують, а ви­ходить, і знизить інтерес до новинки.

Захист заради спокою

Саме так можна оцінити позицію користувача, що побажав убезпечити свій ноутбук на сто відсотків. Ідеаль­ного захисту немає, і бути не може -це прекрасно розуміють всі. Але все-таки зазначимо, що, скориставшись перерахованими вище способами, можна досягти дуже високого ступе­ня захищеності. Зламати можна все що завгодно, але, як відомо, ціль по­винна виправдувати засоби, і злом багатьох систем безпеки реальний тільки в тому випадку, якщо інфор­мація, що зберігається в ноутбуці, має величезну цінність.

Просто не потрібно відмахуватися від проблем інформаційної безпеки й вжи­вати всі необхідні запобіжні заходи.

 

http://daily.sec.rи

http://www.aladdin.ru

http://www.kinnet.ru

 

Мусіенко Д., № 4/2006 «Бизнес и безопасность»


Публикации по теме

30 декабря 2013 Решения для защиты конечных точек появились на рынке не так давно, фактически после начала массового развертывания в компаниях локальных сетей. Прообразом этих продуктов послужил обычный антивирус для защиты персонального компьютера.
Захист інформації в портативному ПК
25 февраля 2011 Утечка данных о бюджетах пользователей сервиса контекстной рекламы Google AdWords стала одной из самых интересных в прошедшем году.
24 февраля 2011 Еще одна крупная утечка в 2010 году связана с самой популярной в мире социальной сетью Facebook, аудитория которой превышает 500 млн зарегистрированных пользователей по всему миру.
29 апреля 2014 Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети.
Захист інформації в портативному ПК
28 февраля 2014 Как известно, десять лет назад появился первый в мире мобильный вирус Cabir. Он был разработан для заражения телефонов Nokia Series 60, атака заключалась в появлении слова «Caribe» на экранах заражённых телефонов. Современные вирусы для мобильных устройств гораздо более опасны и многообразны.
Захист інформації в портативному ПК
Blue Coat  | SnapGear  | Sidewinder G2  | GFI languard, webmonitor  | Фильтрация Web трафика  | Zdisk  | StrongDisk  | DriveCrypt  | защита файлов PGP  | Защита папок Zserver  | Zbackup  | Zlock  | LanAgent  | PGP Desktop Email  | электронный ключ iKey (электронные ключи)  | Шифрование жесткого диска  | Смарт-карт считыватели (ридеры)  | WatchGuard Firebox firewall  | смарт-карты  | McAfee  | Защита информации (информационная безопасность)  | Цена(купить)  | Захист інформації  | SIEM