Алекс Экслер - Омерт@. Учебник по информационной безопасности для больших боссов
Нередко бывают случаи, когда работникам (да и тебе самому) нужно иметь доступ к корпоративной почте извне – через веб-интерфейс или, например, через GPRS сотового телефона (наладонного компьютера). Если такой доступ действительно необходим, его нужно предоставлять с соблюдением всех мер предосторожности.
Существуют специальные методы (программы) безопасного доступа к почте и к компьютеру через веб-интерфейс. Кроме того, разработано весьма эффективное решение по безопасному доступу через мобильную связь с GPRS. (Я имею в виду технологию Blackberry.)
Мало уничтожить! Нужно еще ликвидировать труп!
Не нужно пугаться, речь идет всего-навсего об уничтожении документов. Далеко не все знают, что когда ты удаляешь на диске некий документ, отмечая его и нажимая клавишу Delete, физически он не уничтожается. Файл перемещается в так называемую Корзину, откуда его можно восстановить во мгновенье ока. Так что это вообще не уничтожение, а все равно что документ аккуратно положить в корзину, стоящую рядом со столом – бери кто хочет!
Можно, конечно, уничтожать документ с нажатым Shift – тогда он удаляется, не попадая в Корзину, и обычными средствами до него уже не добраться. Однако следует иметь в виду, что даже в этом случае документ физически вовсе не уничтожается. Операционная система работает таким образом, что когда ей поступает обычная команда на удаление, она, грубо говоря, меняет первый символ имени на специальный значок и считает, что место на диске, на котором размещен данный файл (документ), можно занимать. Это как в случае, когда жильцам отказали от съёмной квартиры: они там ещё находятся, собирая вещи, но как только появятся новые жильцы – старых из квартиры выставят.
То же самое происходит с «удалённым» файлом. И основная проблема заключается в том, что пока на его место не вселились новые жильцы (то есть файлы), «удалённый» файл можно восстановить, воспользовавшись для этого весьма несложной программкой. Причём, что характерно, находиться в состоянии, при котором его ещё можно восстановить, файл может очень и очень долго – дни, недели и даже месяцы.
Известны случаи, когда к злоумышленникам попадали пустые дискеты из офиса, и на этих дискетах при глубинном просмотре обнаруживались крайне интересные «удалённые» файлы.
Таким образом, следует разделять просто удаление (фактически – скрытие) и безопасное удаление файлов. При безопасном удалении файл не просто скрывается, а сначала намеренно портится (например, забивается нулями от начала и до конца), после чего удаляется обычным образом. Теперь при восстановлении злоумышленник дырку от бублика получит, а не информацию.
Чем делается безопасное удаление? Специальными, но вполне несложными программами, называемыми «вайперами» (от английского слова wipe – уничтожение) или шредерами (по характеру действия это, собственно, и есть шредер для электронных документов). Например, одна из таких программ под названием WipeInfo входит в весьма популярный комплект Norton Utilities (Norton SystemWorks).
Время Ч
Как известно, очень многое в схеме построения безопасности в офисе направлено на решение проблем в случае наступления так называемого Времени Ч – то есть Чужой в офисе. Да на самом деле всё равно, кто это будет: налётчики, подосланные конкурентами, марсиане, террористы или партнеры по бизнесу, явившиеся с дружеским визитом и отрядом бойцов. Важен сам факт – в офисе Недружественное проникновение.
В этот момент нам важно одно – не дать чужому завладеть нашей информацией. Это во-первых. Во-вторых, саму информацию нам желательно сохранить для дальнейшего использования. (Хотя, конечно, бывают случаи, когда дешевле уничтожить вообще все.)
В своё время я довольно много занимался вопросами обеспечения безопасности в момент наступления Времени Ч. При этом вопрос сохранения информации, разумеется, стоял на втором месте, потому что при наличии грамотно организованного архивирования (бэкапирования) уничтожение информации на сервере проблем в дальнейшем не создает: берёшь зашифрованные архивы и всё из них восстанавливаешь. Ну да, при этом будет потеряна какая-то небольшая часть информации (все-таки архивирование производится не ежеминутно), но даже если архивирование производится раз в сутки – тогда никаких особых потерь не произойдёт.
Таким образом, наиболее важный вопрос, который стоит при разработке мер защиты, - это как быстро и эффективно уничтожить информацию на сервере при возникновении определённых проблем.
Как уже говорилось, обычное уничтожение – это курам на смех, потому что «уничтоженные» файлы легко можно восстановить. Безопасное уничтожение, вроде бы, решает проблему, однако безопасное уничтожение делается значительно медленнее обычного, а в случае больших объёмов документов оно может производиться минуты и даже десятки минут, что совершенно недопустимо, учитывая специфику момента.
Когда подобный вопрос решался в относительно старые компьютерные времена, нам пришлось перебрать большое количество всевозможных способов. Тогда единственным разумным вариантом было уничтожение информации на жёстком диске сервера физическими, а не программными методами.
Но физически испортить жёсткий диск – тоже не так уж и просто. Мы потратили не одну тысячу долларов, перепробовав различные аппаратные решения, при которых, например, на винчестер подавался мощный разряд электрического тока при вводе специального кода на замке двери, ведущей в серверную комнату, и так далее, но наиболее эффективное решение, как сейчас помню, обошлось в один доллар двадцать три цента.
Это был обычный молоток, правда, с красивой ручкой. Молоток лежал в ящике админа, который сидел рядом с сервером. В момент наступления времени Ч у админа на столе загоралась специальная лампочка, после чего админ доставал молоток, вынимал жёсткий диск из сервера (есть специальные варианты установки жёсткого диска в так называемых hot rack, при которых диск очень легко вытаскивается из корпуса сервера) и изо всей силы ударял молотком, целясь в область расположения вала, на котором крутятся пластины с информацией. Жёсткий диск при этом умирал навсегда вместе со всеми данными – это было доказано на практике.
Впрочем, потом наступили другие времена. Были разработаны весьма эффективные программно-аппаратные средства, позволяющие не заниматься такой ерундой, как физическое уничтожение носителя. Появилось такое понятие, как зашифрованный раздел жёсткого диска, доступ к которому осуществляется как с помощью пароля, так и с помощью различных программно-аппаратных ключей (смарт-карты, e-token), и вот тут уже возможные всякие интересные варианты защиты, о чем мы поговорим буквально на следующей странице…
Информация под замочком
Весьма серьёзная проблема с безопасностью при использовании современных операционных систем заключается в том, что даже если некий документ защищается обычными средствами операционной системы, то злоумышленник всегда имеет возможность получить доступ к этому файлу на чисто физическом уровне, минуя саму операционку, - то есть считав документ с жёсткого диска, загрузившись с помощью другой системы.
Таким образом, нужно как-то сделать так, чтобы важные документы хранились на диске в зашифрованном виде, а ещё лучше – чтобы шифровались целые разделы жёсткого диска со своими папками и файлами. Причем весьма актуально, чтобы это было не статичное шифрование (зашифрованный архив), а именно «прозрачное» шифрование - чтобы с данными можно было работать, но на диске они всё время оставались в зашифрованном виде.
Задача эта давно решена с помощью различных программ – как непосредственно программой PGP, так и других программ защиты, реализующих похожие алгоритмы.
Выглядит это следующим образом… Администратор с помощью соответствующей программы создает на сервере так называемый секретный диск. Физически он представляет собой обычный файл, записанный на жёстком диске. После идентификации (серьёзный пароль и, возможно, какое-то программно-аппаратное средство) диск становится видимым в системе, и на нём можно создавать папки и различные документы. Таким образом, пользователи видят как бы обычный логический диск, но на физическом уровне это один, причём зашифрованный файл.
