Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
Теоретически это достижимо с помощью оргмер. Владелец флешки, которая используется только внутри защищенного помещения для переноса информации между несколькими защищенными от вирусов компьютерами, может быть спокоен: флешка не снижает общей защищенности его системы.
К сожалению, такая идеальная с точки зрения безопасности ситуация даже если и возникает, то обычно длится недолго: флешку понадобится куда-то вынести.
Главная особенность мобильных носителей состоит в том, что они подвержены дополнительным угрозам (по отношению к угрозам, актуальным для основной («стационарной») системы), связанным с тем, что контур системы для них проницаем: они могут не только выноситься (и выносятся!) за пределы системы, но и использоваться там. Как следствие, это приводит к утечкам информации из системы и к притоку вредоносного ПО в систему.
Именно поэтому проекты защищенных информационных систем зачастую предусматривают полный запрет на использование USB-носителей. Флешки признаются абсолютным злом потому, что они могут использоваться вне системы. Значит, защищенный носитель – это такой носитель, который может использоваться только внутри системы (государственной, корпоративной, личной) и не может использоваться вне ее.
Назовем такой носитель служебным.
Служебный носитель – это такой носитель, который позволяет оперативно и просто переносить информацию внутри системы согласно ее внутренним правилам, но не позволяет ни выносить хранимую на нем информацию из системы, ни приносить в систему информацию, записанную на него вне системы. Никому, в том числе и легальному, пользователю. Только в этом случае носитель не будет снижать общего уровня защищенности системы даже при его физическом выносе за ее периметр.
Если посмотреть с этой точки зрения на продукты информационной безопасности, позиционируемые поставщиками как средства защиты информации на флешках, то выяснится, что при всех своих возможных плюсах необходимую задачу они не решают.
Критерии оценки, которые адекватны понятию «защищенный служебный носитель», следующие:
1) является ли продукт средством хранения и переноса информации (носителем);
2) удобно ли его использование (аппаратные требования, требовательность к навыкам эксплуататора, мобильность, дружественность);
3) снижает ли применение продукта степень негативных последствий кражи или утери носителя с данными для системы;
4) защищает ли продукт данные от доступа посторонних лиц;
5) способен ли продукт при использовании вне защищенной системы предотвратить заражение вредоносным ПО, которое в дальнейшем может попасть в систему;
6) можно ли при помощи продукта защитить данные от хищения мотивированным инсайдером;
7) имеет ли применение продукта нормативные ограничения в РФ;
8) сколько стоит продукт.
Ни одно из представленных на рынке средств или решений по защите информации до сих пор не давало возможности создать систему, включающую в себя защищенные служебные носители, поскольку не было предложено решение главной задачи: привязки носителя к системе.
В программно-аппаратных комплексах (ПАК) линейки «Секрет» именно эта функция является основной.
Что может предпринять злоумышленник в отношении флешки как носителя информации, включенного в интересующую его систему?
1. Кража или находка.
2. Отъем.
3. Завладение оставленным без присмотра устройством.
4. Завладение устройством путем мошенничества и социальной инженерии.
5. Покупка у мотивированного инсайдера.
Как правило, действия из п. 1, 2 и 5 имеют своей целью завладение данными с флешки, а целью действий из п. 3 или 4 может также быть внедрение подложных данных или вредоносного кода (реже – уничтожение данных на флешке).
В отличие от угроз данным в сетях или на локальных компьютерах, которые реализуются посредством весьма разнообразных атак, угрозы, связанные с флешками, характеризуются значимыми общими признаками возможных атак: это физическое завладение устройством и получение доступа к его памяти на каком-либо ПК.
Атаки на флешки через сеть, например, весьма маловероятны и будут скорее атаками на данные на дисках компьютера (подключаемых), а не на данные на флешке. И в любом случае вряд ли возможность реализации такого рода угрозы может быть классифицирована как уязвимость флешки.
Очевидно, что защитить маленькое устройство от физической кражи (или находки в результате целенаправленного поиска в местах возможных потерь, провокации потери) крайне сложно и сделать это техническими методами практически невозможно.
Более того, и применение организационных мер крайне затруднительно, поскольку на физическое владение таким маленьким предметом очень сильно влияет характер пользователя: возможно, он рассеян, любит похвалиться, нечист на руку или доверчив.
Значит, задача защиты флешки сводится к тому, чтобы сделать нелегальное физическое обладание ею бессмысленным. То есть, даже имея флешку, получить доступ к данным на ней на компьютере, не разрешенном явно для этой флешки, не разрешенному явно пользователю должно быть невозможно.
Тогда одинаково бесполезно (или, если смотреть с другой стороны баррикад, – не опасно) ее красть (терять), отнимать (отдавать), покупать (продавать) и т. д.
Для того чтобы флешка работала на одних компьютерах и не работала на других, она должна уметь различать компьютеры.
Это первая задача, только после решения которой можно обсуждать, по каким параметрам различать компьютеры правильно, а по каким нет или каким образом добиваться изменения списка разрешенных (или запрещенных) компьютеров.
Очевидно, что все эти вопросы важны, но только в том случае, если флешка в принципе различает компьютеры.
Обыкновенная флешка этого делать не может: у нее просто нет ресурсов. Если говорить упрощенно, флешка состоит из памяти и контроллера USB (рис. 66).
Ни то, ни другое не является ресурсом, способным осуществлять произвольные операции.
Компьютер может различать флешки по их уникальным идентификаторам: VID, PID и серийному номеру, если на нем установлены средства для этого (например, USB-фильтры), потому что у него, в отличие от флешки, есть необходимые вычислительные ресурсы. Стоит иметь в виду, что эти уникальные идентификаторы не всегда и не совсем уникальны (все флешки некоторых производителей имеют один и тот же серийный номер, а с помощью специального технологического ПО эти «уникальные параметры» можно менять). Однако в любом случае, чтобы проанализировать тот или иной признак объекта (флешки ли, компьютера ли), тот, кто проводит анализ, должен иметь предназначенные для этого ресурсы.
Вывод очевиден: чтобы различать компьютеры, флешка должна сама быть компьютером. Именно в этом и заключается особенность служебных носителей (СН) «Секрет». В устройствах «Секрет» архитектура флешек изменена так, как показано на рис. 67.
USB-контроллерFlash-память
Рис. 66. USB-накопитель
Рис. 67. Служебный носитель «Секрет»
Управляющий элемент в СН «Секрет» различных модификаций реализован по-разному, однако общая логика остается единой: управляющий элемент «коммутирует» компьютер с диском «Секрета» (собственно флешкой) только после успешного завершения контрольных процедур: взаимной аутентификации СН, компьютера и пользователя. Прежде чем сценарий аутентификации не будет успешно разыгран до конца, диск «Секрета» не будет примонтирован, не появится в списке дисков и не окажется доступен не только для пользователя, но и для системы (с ее потенциальными закладками или вирусами).
Дополнительно защитные свойства «Секрета» могут быть усилены шифрованием данных при записи на диск. Выбирать такой носитель целесообразно тогда, когда разумно предположение, что злоумышленник может попытаться считать данные с флеш-памяти напрямую, например выпаяв ее с устройства. Однако надо иметь в виду, что за счет аппаратного шифрования заметно снижается скорость чтения/записи, – это неизбежные издержки. В СН «Секрет» без