В рубрику "Криптография" | К списку рубрик | К списку авторов | К списку публикаций
Что может предпринять злоумышленник в отношении флешки как носителя информации, включенного в интересующую его информационную систему? Есть всего несколько типов распространенных атак на флешки:
Как правило, пп. 1, 2 и 5 имеют своей целью завладение данными с флешки, а пп. 3 и 4 могут также иметь целью внедрение подложных данных или вредоносного кода (реже, но тоже возможно – уничтожение данных на флешке).
Очевидно, что защитить маленькое устройство от физической кражи (или находки в результате целенаправленного поиска в местах возможных потерь, провокации потери) – крайне сложно.
Значит, задача защиты флешки сводится к тому, чтобы сделать нелегальное физическое обладание ею бессмысленным. То есть, даже имея флешку, получить доступ к данным на ней где-то, кроме разрешенного явно компьютера, кому-то, кроме разрешенного явно пользователя, должно быть невозможно.
Именно эта логика и положена в основу защищенных флешек семейства "СЕКРЕТ". Управляющий элемент в СН "Секрет" "коммутирует" компьютер с диском "Секрета" (собственно флеш-кой) только после успешного завершения контрольных процедур – взаимной аутентификации СН, компьютера и пользователя.
Дополнительно защитные свойства "Секрета" могут быть усилены шифрованием данных при записи на диск. Выбирать такой носитель целесообразно тогда, когда разумно предположение, что злоумышленник может попытаться считать данные с флеш-памяти напрямую, например, выпаяв ее с устройства.
Сравним эффективность противодействия перечисленным выше атакам традиционными способами и с применением "Секретов".
Потеряв флешку, невозможно быть уверенным ни в том, потеряна она или украдена, ни в том, что случайно нашедший ее человек не воспользуется записанными данными.
В этой ситуации совершенно не успокаивает наличие в системе USB-фильтров. Это утешение звучит даже несколько издевательски.
Насколько в этой ситуации может успокоить PIN-код – вопрос философский. Примерно настолько же, насколько успокоительна мысль о том, что никто не станет поднимать валяющуюся флешку. Хорошо, если так, а если нет, то PIN-код подберут, и очень легко. Предназначенные для этого программы сегодня есть у каждого студента. Теоретически можно бороться с этим, увеличивая длину PIN-кода. Но чем длиннее PIN-код, тем выше вероятность того, что он записан на корпусе флешки.
Биометрия
Отпечаток пальца "подобрать" сложнее, чем PIN-код. Но если задуматься о том, как может быть реализована биометрическая аутентификация в обычной флешке, то становится ясно, что эталон хранится на самой же флешке, а
сравнение производится в оперативной памяти ПК (так как у флешки нет своих вычислительных ресурсов). Все следствия очевидны:
Это значит, что на специально подготовленном компьютере (иными словами, на своем) злоумышленник сможет открыть флешку.
Шифрование данных на флешке
Пожалуй, самый убедительный из традиционных способов. Однако ограничения у этого способа все те же, что описаны выше в отношении биометрии.
Где-то на флешке хранится ключ, на котором в оперативной памяти ПК будут расшифровываться данные. Чтобы система получила доступ к ключу, нужно корректно аутентифициро-ваться. Таким образом, шифрование вообще никак не повышает защищенность флешки с PIN-кодом или "пальцем", так как задача сводится к предыдущему случаю – передать данные о корректной аутентификации.
Как же обстоит дело в случае применения "Секрета"?
Злоумышленник добыл "Секрет" и подключает его к своему "специально обученному" компьютеру.
Все, что он увидит, – некое "другое устройство" в "Устройствах". Ни одного "съемного диска" в "Моем компьютере" не появится, запроса PIN-кода тоже.
Доступа к диску "Секрета" и к данным, которые его открывают, нет ни у пользователя, ни у системы, поэтому запускать какие-то свои специальные программы злоумышленнику бессмысленно.
Надо отдавать себе отчет в том, что злоумышленник понимает: за такую мелочь, как флешка, скорее всего, человек не будет биться до последнего, и в общем случае сработает вариант отобрать и, оказав психологическое давление (а сам факт отъема окажет на большинство людей известное психологическое давление!), выяснить PIN-код, если он имеется.
Фантазировать насчет биометрии – совершенно не хочется.
Шифрование не поможет по тем же причинам: выяснить данные, необходимые для доступа к ключу, несложно.
Как же обстоит дело в случае применения "Секрета"?
Смело отдавайте флешку и называйте PIN-код, не подвергайтесь опасности физического воздействия. Пускай злоумышленник уносит все это: на его компьютере "Секрет" не примонтируется и не запросит PIN-код.
Развивая сюжет боевика, можно вообразить ситуацию, что злоумышленник взял владельца с собой, чтобы убедиться, что тот назвал ему верный PIN-код. Мол, если не подойдет – поговорим по-другому.
Ничего страшного, он сам убедится, что "флешка сломанная" – не появляется диск в "Моем компьютере", и все тут.
Наверное, самый распространенный способ получить чужую флешку – это взять там, где пользователь ее бросил "на 5 минут", вздремнув или отойдя попить кофе.
С точки зрения противодействия злоумышленнику этот случай не отличается от случая с кражей. С точки зрения действий злоумышленника по обходу этих защитных мер и получению доступа к диску флешки – тоже.
Однако есть существенная деталь, заставляющая рассматривать эту ситуацию как отдельную. В случае с кражей или потерей владелец устройства знает о том, что инцидент произошел. В описываемой же ситуации вполне реально представить все так, будто ничего и не было. Пользователь видит флешку на месте и не имеет ни малейших оснований для опасений, что его данные стали кому-то известны, а возможно, искажены, а возможно, флешка заражена вирусами или иными вредоносными программами.
И если для подбора PIN-кода или иной аутентифицирую-щей информации для доступа к данным (или к ключу для расшифрования данных) компьютер (ноутбук) злоумышленника должен быть снабжен минимальным инструментарием, а сам злоумышленник должен иметь минимальную квалификацию, то для того, чтобы записать на флешку вредоносный код или просто заразить ее вирусами, ничего этого не нужно.
Как уже упоминалось выше, любая флешка с аутентифика-ционными механизмами должна "пускать" к себе систему ПК, так как верификация предъявленных аутентифицирующих данных должна производиться в оперативной памяти компьютера, в которую необходимо загрузить эталон, хранящийся на флешке (система должна получить доступ к флешке, чтобы получить данные для проведения аутентификации).
У системы есть доступ к флешке, значит, есть он и у вредоносного ПО. Game over.
Как же обстоит дело в случае применения "Секрета"?
До успешного прохождения взаимной аутентификации "Секрета" с компьютером и успешной аутентификации пользователя в устройстве взаимодействие производится только с модулем аутентификации "Секрета", который физически отделен от флеш-памяти. Флеш-диск при этом не примонтирован и недоступен системе – ни на чтение, ни на запись.
Злоумышленник может экспериментировать с устройством сколько угодно, но на диск устройства при этом ничего не запишется, пока злоумышленник не пройдет все этапы аутентификации.
Ну а тот факт, что и пройти все этапы аутентификации ему не удастся, был уже доказан выше.
Заметим, что для случаев, когда важно не только не допустить успешной реализации такой атаки, но и знать обо всех попытках атак, в продукте "Секрет Особого Назначения" ведется аппаратный журнал событий, в котором фиксируются все без исключения попытки подключения устройства к различным компьютерам – вне зависимости от того, успешной или нет была попытка.
Если у вас возникли хоть малейшие подозрения (флешка, кажется, лежала не совсем здесь) – их можно проверить, чтобы знать точно.
По сути дела, это "мягкий" вариант "отъема", отягченный, впрочем, дополнительными обстоятельствами:
Очевидно, что если флешки с PIN-кодом, биометрией и шифрованиембессильны в случае отъема и кражи, бессильны они и в этом случае. Наоборот, доверяя злоумышленнику, пользователь не только введет PIN-код и приложит палец, но и проследит, чтобы у злоумышленника все было хорошо.
Как же обстоит дело в случае применения "Секрета"?
Возможны два сценария развития событий в зависимости от того, как построена система работы с "Секретами" в организации.
Если пользователь не знает, как организована система защиты, а работает просто по факту – "на легальных компьютерах работать сможешь, на нелегальных – нет", он подумает, что либо компьютер нелегальный (и заподозрит злоумышленника), либо флешка сломалась. Так или иначе, даже будучи предельно доверчивым, помочь злоумышленнику открыть "Секрет" он не сможет.
Если же пользователь в курсе, как работает "Секрет", то он будет уверен: человек, который его склоняет отдать флешку, либо будет ее использовать в рамках легальной системы, а значит, "свой", либо не сможет использовать "Секрет".
Совершенно невозможно спорить с тем, что ни PIN-код, ни биометрическая аутентификация, ни зашифрование/расшифрование данных на флешке на основании введенных аутенти-фикационных данных пользователя не могут защитить от того, что легальный пользователь сам может отдать флешку заинтересованным лицам на привлекательных для себя условиях, или скопирует данные на домашний компьютер и отправит куда-то по почте, или принесет в информационную систему какие-то программы или данные в интересах третьих лиц.
Легальный пользователь – полновластный хозяин флешки.
Неужели с этим нужно смириться и подозревать всех, кто работает с флешками, каждый раз, когда они унесли их домой? Ведь проверить, "было или не было", невозможно.
Как же обстоит дело в случае применения "Секрета"?
Основной этап системы контроля доступа в "Секрете" – взаимная аутентификация "Секрета" и компьютера. В "Секрете" есть база компьютеров, а на компьютерах – база "Секретов". Только после того, как "Секрет" опознал компьютер, который для него разрешен, а компьютер опознал "Секрет", которому можно на нем работать, процедура контроля доступа переходит к стадии аутентификации пользователя.
Будь пользователь абсолютно легальным – "Секрет" даже и не узнает об этом, если подключить он (пользователь) его ("Секрет") пытается к "постороннему" компьютеру.
В таком случае просто бессмысленно уносить "Секрет" с собой.
Если же владелец хочет не только иметь уверенность в том, что флешка не была использована на чужих компьютерах, но и иметь возможность в любой момент проверить честность своих сотрудников – проверить, не пытались ли они сделать что-то подобное, – то этого можно добиться, используя "Секрет Особого Назначения". В "Секрете Особого Назначения" в специальном аппаратном журнале администратор может увидеть записи обо всех случаях подключений, даже неудачных. Это даст возможность не сомневаться, а проверить – и убедиться в добросовестности своих сотрудников.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2014