Служебные носители: флешки

Служебные носители: флешки

Пример технического средства, в отношении которого постоянно ведутся разговоры о непреодолимости «человеческого фактора», — это разного рода носители информации. В первую очередь, конечно, флешки.

Однако недалеко отстоят и, например, токены — ключевые носители, на небрежном отношении пользователей к которым основывается большинство попыток вендоров оправдать утечки и потери, произошедшие «под защитой» их устройств.

Как и все остальные, мы считаем, что бесполезно бороться с человеческим фактором. Здесь, так же как и в предыдущем случае, не надо пытаться изменить человека, надо изменить то, что в наших силах — архитектуру «железки».

Изменение в отношении архитектуры носителя требуется принципиально того же плана, как и в отношении компьютера: универсальное устройство нужно сделать менее универсальным.

Таким, чтобы оно выполняло те функции, которые нужно, на тех компьютерах, на которых можно, и совершенно ничего не выполняло в любых других условиях.

Если предельно обобщить (охватывая все возможные носители сразу), то их стандартная архитектура будет характеризоваться двумя важными для безопасности параметрами — памятью RW (универсальной, для любых задач) и возможностью работы на любом ПК (универсальный инструмент).

Ограничивать универсальность этих параметров можно и нужно.

Рассмотрим основные типы носителей, наиболее часто применяемые в реальных системах.

Флешки

В информационных системах — государственных, частных или личных — данные хранятся, передаются и обрабатываются. Средства хранения данных принято называть носителями.

Носители данных в информационной системе (как, впрочем, и средства их обработки) могут быть стационарными и мобильными. Помимо этого носители информации могут быть составной частью оборудования, выполняющего также и обработку данных, а могут быть носителями в собственном смысле слова — устройствами, с помощью которых информацию носят, и во время того, как ее носят, она там хранится. А потом, когда информацию перенесли, она обрабатывается с помощью какого-либо другого оборудования. И вновь сохраняется на носитель, чтобы быть перенесенной куда-то еще.

Являясь частью защищенной информационной системы, носители информации тоже должны быть защищенными.

Защищенность — характеристика объекта, определяющая его способность противостоять атакам. Поэтому тезис о том, что защищенность различных элементов информационных систем обеспечивается разными способами, очевиден: защищенность объекта повышает способность противостоять именно тем атакам, осуществление которых наиболее вероятно по отношению к данному элементу системы. Спасательный круг существенно повысит защищенность на воде, но совершенно не повысит ее при пожаре или, скажем, морозе.

Что это означает применительно к вопросу защищенности мобильных носителей информации?

Носители информации являются частью информационной системы, и, значит, существенно большая их защищенность по отношению к остальным ресурсам системы не имеет смысла («общий уровень защищенности определяется уровнем защищенности самого слабого звена», или «дыра в заборе»112), она никак не усилит общую защищенность данных, и переплачивать за нее нецелесообразно. Нет практического смысла использовать сверхзащищенную флешку в незащищенной системе.

Однако, даже для того, чтобы защищенность флешки соответствовала уровню защищенности самого обыкновенного домашнего компьютера, не защищенного ничем, кроме антивируса, эта флешка должна:

  • находиться в квартире и нигде кроме;
  • быть каким-то мистическим образом защищена от возможного воздействия вирусов.

Теоретически это достижимо с помощью организационных мер. Владелец флешки, которая используется только внутри защищенного помещения для переноса информации между несколькими защищенными от вирусов компьютерами, может быть спокоен — флешка не снижает общей защищенности его системы.

К сожалению, такая идеальная с точки зрения безопасности ситуация даже если и возникает, то обычно длится недолго: флешку понадобится куда-то вынести.

Самая главная особенность мобильных носителей состоит в том, что они подвержены дополнительным угрозам (по отношению к угрозам, актуальным для основной («стационарной») системы), связанным с тем, что контур системы для них проницаем: они могут не только выноситься (и выносятся!) за пределы системы, но и использоваться там. А, как следствие, это приводит к утечкам информации из системы и к притоку вредоносного ПО в систему.

Именно поэтому проекты защищенных информационных систем зачастую предусматривают полный запрет на использование USB-носителей. Флешки признаются абсолютным злом потому, что они могут использоваться вне системы. Значит, защищенный носитель — это такой носитель, который может использоваться только внутри системы (государственной, корпоративной, личной) и не может использоваться вне ее. Назовем такой носитель служебным.

Служебный носитель — это такой носитель, который позволяет оперативно и просто переносить информацию внутри системы согласно ее внутренним правилам, но не позволяет ни выносить хранимую на нем информацию из системы, ни приносить в систему информацию, записанную на него вне системы. Никому, в том числе и легальному пользователю. Только в этом случае носитель не будет снижать общего уровня защищенности системы даже при его физическом выносе за ее периметр.

Если посмотреть с этой точки зрения на продукты информационной безопасности, позиционируемые поставщиками как средства защиты информации на флешках, то выяснится, что при всех своих возможных плюсах необходимую задачу они не решают.

Критерии оценки для понятия «защищенный служебный носитель»

Критерии оценки, которые адекватны понятию «защищенный служебный носитель», следующие:

  • является ли продукт средством хранения и переноса информации (носителем);
  • удобно ли его использование (аппаратные требования, требовательность к навыкам эксплуататора, мобильность, дружественность);
  • снижает ли применение продукта степень негативных последствий кражи или утери носителя с данными для системы;
  • защищает ли продукт данные от доступа посторонних лиц;
  • при использовании вне защищенной системы способен ли продукт предотвратить «заражение» вредоносным ПО, которое в дальнейшем может попасть в систему;
  • можно ли при помощи продукта защитить данные от хищения мотивированным инсайдером;
  • имеет ли применение продукта нормативные ограничения в Российской Федерации;
  • сколько стоит продукт.

Ни одно из представленных до сих пор на рынке средств или решений по защите информации не давало возможности создать систему, включающую в себя защищенные служебные носители, поскольку не было предложено решения главной задачи: привязки носителя к системе.

В программно-аппаратных комплексах (ПАК) линейки «СЕКРЕТ» именно эта функция является основной.

Что может предпринять злоумышленник в отношении флешки как носителя информации, включенного в интересующую его систему?

  • Кража или находка.
  • Завладение оставленным без присмотра устройством.
  • Завладение путем мошенничества и социальной инженерии.
  • Покупка у мотивированного инсайдера.

Как правило, пп. 1, 2 и 5 имеют своей целью завладение данными с флешки, а п. 3 или 4 может также иметь целью внедрение подложных данных или вредоносного кода (реже, но тоже возможно, — уничтожение данных на флешке).

Угрозы, связанные с флешками

В отличие от угроз данным в сетях или на локальных компьютерах, которые реализуются разнообразными атаками, угрозы, связанные с флешками, характеризуют мощные общие признаки возможных атак: физическое завладение устройством и получение доступа к его памяти на каком-то ПК.

Атаки на флешки через сеть, например, весьма маловероятны и будут скорее атаками на данные на дисках компьютера (подключаемых), а не на данные на флешке. И в любом случае вряд ли возможность реализации такого рода угрозы может быть классифицирована как уязвимость флешки.

Очевидно, что защитить маленькое устройство от физической кражи (или находки в результате целенаправленного поиска в местах возможных потерь, провокации потери) — крайне сложно и практически невозможно сделать это техническими методами.

Более того, и применение организационных мер крайне затруднительно, поскольку на физическое владение таким маленьким предметом очень сильно влияет характер пользователя — рассеянный он или любит похвалиться, или нечист на руку, или доверчивый.

Задачи защиты флешки

Значит, задача защиты флешки сводится к тому, чтобы сделать нелегальное физическое обладание ею бессмысленным. То есть, даже имея флешку, получить доступ к данным на ней на не разрешенном явно для этой флешки компьютере не разрешенному явно пользователю должно быть невозможно. Тогда одинаково бесполезно (или, если смотреть с другой стороны баррикад, — не опасно) ее красть (терять), отнимать (отдавать), покупать (продавать) и т.д.

Для того чтобы флешка работала на одних компьютерах и не работала на других, она должна уметь различать компьютеры.

Это первая задача, только после решения которой можно обсуждать, по каким параметрам различать компьютеры правильно, а по каким нет, или каким образом добиваться изменения списка разрешенных (или запрещенных) компьютеров.

Очевидно, что все эти вопросы важны, но только в том случае, если флешка в принципе различает компьютеры.

Обыкновенная флешка делать этого не может. Это связано с тем, что у нее нет для этого никаких ресурсов. Если говорить упрощенно, флешка состоит из памяти и контроллера USB.

Ни то ни другое не является ресурсом, способным осуществлять произвольные операции.

Компьютер может различать флешки по их уникальным идентификаторам — VID, PID и серийному номеру, если на нем установлены средства для этого (например, USB-фильтры), потому что у него, в отличие от флешки, есть необходимые вычислительные ресурсы. Стоит иметь в виду, что эти уникальные идентификаторы не всегда и не совсем уникальны (все флешки некоторых производителей имеют один и тот же серийный номер, а с помощью специального технологического ПО эти «уникальные параметры» можно менять). Однако в любом случае, для того чтобы проанализировать тот или иной признак объекта (флешки ли, компьютера ли), тот, кто анализирует, должен иметь ресурсы, предназначенные для такого анализа.

Вывод очевиден: чтобы различать компьютеры, флешка должна сама быть компьютером.

Особенности устройств «Секрет»

Именно в этом и состоит отличие служебных носителей (СН) «Секрет». Архитектура флешек изменена в устройствах «Секрет» следующим образом.

Управляющий элемент в СН «Секрет» различных модификаций реализован по-разному, однако общая логика остается единой: управляющий элемент «коммутирует» компьютер с диском «Секрета» (собственно флешкой) только после успешного завершения контрольных процедур: взаимной аутентификации СН, компьютера и пользователя.

До того как сценарий аутентификации будет успешно разыгран до конца, диск «Секрета» не будет примонтирован, не появится в списке дисков и не окажется доступен не только для пользователя, но и для системы (с ее потенциальными закладками или вирусами).

Дополнительно защитные свойства «Секрета» могут быть усилены шифрованием данных при записи на диск. Выбирать такой носитель целесообразно тогда, когда разумно предположение, что злоумышленник может попытаться считать данные с флеш-памяти напрямую, например, выпаяв ее с устройства. Однако надо иметь в виду, что за счет аппаратного шифрования заметно снижается скорость чтения/записи, это неизбежные издержки. В СН «Секрет» без шифрования скорости чтения/записи не отличаются от скоростей обычных флешек.

Такова принципиальная структура и логика защитных свойств служебного носителя «Секрет», а продукты линейки «СЕКРЕТ» различаются тем, как организовано управление процессом взаимной аутентификации компьютера, «Секрета» и его пользователя.