Алекс Экслер - Омерт@. Учебник по информационной безопасности для больших боссов
Такой файл можно украсть (скопировать), но подобное действие злоумышленнику ничего не даст, потому что файл шифруется криптостойкими алгоритмами, и расшифровать его почти нереально.
Ключ для шифрования данных, введённый админом, находится в памяти компьютера всё время, пока секретный диск открыт для работы другим сотрудникам (они для доступа к секретному диску также чётко идентифицируются паролем и, возможно, программно-аппаратными средствами). Но если вдруг наступает время Ч, администратор должен надёжно закрыть доступ к информации и/или её вообще уничтожить.
Для этой цели в секретном диске самим же администратором задаются так называемые «зелёные», «жёлтые» и «красные» коды (в разных системах они могут называться совершенно по-разному). «Зелёный» код (пароль, вводимый администратором) – просто открывает админу доступ к секретному диску. «Красный» код, вводимый в момент наступления каких-то проблем, немедленно закрывает любой доступ к нему.
Ты понимаешь? Это происходит практически мгновенно. Админ просто ввёл код – и всё, секретный диск никому не доступен, а на физическом уровне представляет собой один здоровый файл с совершенно неудобоваримым содержимым. Таким образом, информация и полностью скрыта от посторонних, и сохранена, потому что когда опасность минует (мы оба очень надеемся на то, что это произойдет довольно быстро), админ сможет снова открыть этот диск для работы.
Но возможен еще один вариант развития событий. Ты хорошо знаешь, что Чужие могут быть очень грубы. А что если один из них приставит пушку к голове несчастного админа и скажет ему нежно-нежно: «Если ты, скотина, не хочешь лишиться башки, тогда быстро открывай свой грёбаный PGP-диск и не вздумай со мной шутить – иначе твои мозги разлетятся по всему серверу». Понятное дело, никакой админ (ну разве что это будет совсем Наш и совсем духовой парень) в подобном случае не станет рисковать своей единственной головой и вводить «красный» код. Он введет «зелёный». И тогда грош цена всей этой секретности, потому что сработал человеческий фактор, подкреплённый пушкой у головы.
Так вот как раз на такой случай и предусмотрен «жёлтый» код! Это очень интересная и весьма хитрая штука, разработанная как раз для подобных случаев. Работает он следующим образом… Админ заранее задает «жёлтый» код и время его действия (например, полчаса, час). Когда возникает ситуация пистолета у башки – админ сообщает «жёлтый» код чужим. Те его вводят – и секретный диск полностью открыт. «Опа!» - говорят чужие, радуются и отпускают админа. Тот идет менять штаны, слегка пострадавшие после встречи с пистолетом, поднесенным к башке, а чужие, радостно гогоча, берут сервер и делают ноги из офиса. Они же знают код доступа к секретному диску, так что потом смогут заняться разбором секретных документов в спокойной обстановке.
Но хохма в том, что «жёлтый» код срабатывает один раз, причем на непродолжительное время. При последующем вводе «жёлтый» код насмерть закроет информацию, и прочитать данные будет уже невозможно.
(Я намеренно не рассматриваю ситуацию, когда Чужие, радостно гогоча, берут под мышку и сервер, и админа, чтобы в тишине и спокойствии узнать у него «зелёный» код. Потому что это называется не Время Ч, а ПЗ – то есть Полная Задница.)
Та же Маша, но не наша
Есть еще один довольно простой, но тем не менее эффективный способ натянуть чужим нос. Делается так называемая обманка – полная имитация общего каталога с офисными папками и файлами. Туда кладутся – разумеется, после предварительной тщательной проверки - старые и не имеющие никакой ценности документы, а также, возможно, специально разработанные под данную задачу базы данных и бухгалтерские базы.
В момент наступления Времени Ч админ закрывает секретный диск – который, напомню, со стороны представляет собой обычный большой файл (ну, мало ли какие здоровые файлы лежат на сервере) и открывает каталог-обманку. Чужие или копируют этот каталог на свои переносные устройства, держа пистолет у лба несчастного админа, или забирают сервер и сматываются.
Как ни странно, этот простой способ достаточно эффективен, несмотря на то, что если поизучать компьютеры пользователей, то там будет видно, что пользователь работает с секретным диском (это если пользователи не имеют инструкций по поведению в подобной ситуации и у них не прогремел звоночек, означающий наступление этого неприятного времени), однако у чужих обычно нет времени изучать компьютеры пользователей. Как правило, они просто честно отнимают сервер. Да пускай забирают и наслаждаются каталогом-обманкой...
Секретный диск
Более продвинутый, на сегодняшний день, способ шифрования данных – создание не просто секретного каталога, представляющего собой один файл на диске, а целого секретного диска, который выглядит как отдельное логическое устройство (в терминологии Windows XP - том).
Когда секретный диск открыт админом – это просто логический диск. Когда же введён «красный» код – секретный диск со стороны выглядит как неиспользуемый раздел жёсткого диска. Теоретически никому и в голову не придёт, что там хранятся какие-то данные, если не знать, что этот раздел используется для секретного диска. Но даже если и знать – получить доступ просто так не получится.
Шифровка под контролем старины Мюллера
«Капусточка – это хорошо, мама, но в доме должна быть и мясная закуска», - говорил персонаж одного очень забавного российского фильма с совершенно незапоминаемым для иностранца названием.
Шифрование, PGP и секретные диски – это всё очень хорошо, но не следует забывать, что только от тебя или особо доверенных людей должны исходить все механизмы шифрования в офисе. Не следует позволять работникам использовать свои собственные механизмы шифрования – в дальнейшем это чревато очень серьёзными проблемами.
Твоя мясная закуска среди офисной капусты – это строгий контроль над тем, что именно происходит с корпоративными документами и корпоративной почтой разных пользователей. Недопустима ситуация, когда они что-то там хранят на локальном компьютере, зашифрованное персональными ключами, и на вопрос, где именно тот или иной документ, отвечают, что, дескать, они сейчас расшифруют и выложат на сервер. Давить такой подход, однозначно!
Есть чёткая схема действий – все документы и почта хранятся на сервере, причём на зашифрованном диске - вот пусть они этой схеме и следуют. Как только у кого-то появляется желание создать свой островок совершенно приватной безопасности среди моря корпоративной безопасности – тебе следует объяснить, что в этом офисе нет босса кроме босса, и админ – пророк его.
В офисе не может быть приватной безопасности без четкой санкции сверху. Это Фил Циммерман может бороться за право индивидуума хранить свои секреты от государства – мы его в этом полностью одобряем, - однако схема взаимоотношений на фирме не имеет ничего общего со схемой взаимоотношения граждан с государством.
Ты же не требуешь от людей раскрывать тебе их личные приватные секреты! Тебя не волнует кто там с кем спит, кто кому сколько денег проиграл на выходные в покер и кто у кого отбил любовницу. Однако все что касается их работы на тебя – уже никоим образом не относится к их privacy, а следовательно – не может от тебя скрываться ни под каким видом. Даже в нашей несвободной и политкорректной Америке есть понятие «разумного ожидания частной жизни» - «reasonable expectation of privacy», - и самый Большой судья вынес постановление, что эту прайваси нечего ожидать на офисном компьютере, который принадлежит компании.
Кроме того, когда каждый сотрудник, считающий себя великим спецом по безопасности, начинает самостоятельно «защищать» свои документы, - это подставляет под удар всю фирму, потому что чёрт его, сотрудника, знает, что именно он подразумевает под защитой – возможно, простое архивирование с паролем «123».