15 сентября, 2009

Безмалый В.Ф.
MVP Consumer Security
Аналитик отдела безопасности информационных систем и технологий
ОАО «Мироновский хлебопродукт»

Мы с вами, увы, живем в печальные времена. Кризис шагает по планете. Что это означает для нас с вами? Это означает то, что с каждым днем армия безработных будет только увеличиваться, все больше сотрудников окажется за воротами. Среди них будут и ИТ-специалисты и менеджеры высокого уровня и т.д. и т.п. Но что это означает для нас, офицеров безопасности? А означает это то, что все больше людей будут терять моральные ценности и устои и заниматься банальным воровством данных. Кто в преддверии увольнения, а кто-то из желания отомстить работодателю. Согласны? Таким образом, все большее значение будет приобретать закрытие каналов утечки информации.

Контроль над информацией, перемещаемой через границы периметра локальной сети компании, является одной из главных задач службы информационной безопасности. С каждым годом эта работа становится все более и более сложной. Резко возросло число всевозможных USB-накопителей. В качестве примера можно привести все возрастающий объем флеш-дисков (диски в 4Гб уже давно не редкость), переносные MP3-плейеры с жестким диском, фотоаппараты, мобильные телефоны с большим объемом памяти. Рынок таких устройств показывает экспоненциальный рост, при этом физические размеры устройств становятся все меньше и меньше, а производительность их и объем переносимых данных – все больше.

Постоянно увеличиваются инвестиции в межсетевые экраны, разрабатываются все новые способы шифрования данных, другие средства и технологии контроля для защиты данных от хищения через Интернет. Однако не стоит забывать, что все эти меры не способны остановить хищение данных со стороны собственных сотрудников, приносящих на работу флеш-диски и скачивающих на них конфиденциальную информацию. Все эти технологии не смогут воспрепятствовать обиженным сотрудникам, которые вполне могут использовать USB-устройства для загрузки злонамеренного ПО в сеть компании.

Наибольшую опасность для информационной безопасности компании представляют именно обиженные внутренние сотрудники.
Все это практически сводит к нулю эффективность административных мер по защите информации в этой области.

Именно поэтому и был разработан целый класс программного обеспечения для контроля сменных носителей.

В интернет полно сообщений о все новых утечках информации из-за обычных потерь мобильных устройств. Приведем несколько наиболее впечатляющих примеров:

• В Британии на стоянке нашли "флэшку" с секретными данными – именами и паролями для правительственной компьютерной системы. Утерянная карта памяти позволяла любому, кто ее найдёт, получить доступ к личной информации 12 миллионов человек [1]
• Местные органы самоуправления графства в Британии признали, что была утеряна карта памяти, содержащая имена и банковские реквизиты более чем 1000 получателей государственного пособия на жилье.[2]
• Как стало известно аналитическому центру компании InfoWatch, в одной из британских больниц было утеряно более 100 компьютерных дисков, содержащих персональную информацию пациентов.[3]

Такие примеры можно приводить и далее. Все это приводит нас к мысли, что этих неприятностей можно было бы избежать, если бы данные на сменных носителях были зашифрованы.

Сегодня существует уже огромное количество различных технологий шифрования. Попробуем рассмотреть некоторые из них – шифрование внешних мобильных носителей информации в Windows Vista, Windows 7, шифрование с помощью программного обеспечения Secret Disk от компании Aladdin Security Solution и аппаратное шифрование на примере USB-флеш IronKey.
В данной статье ни в коей мере не ставится цель сравнивать эти технологии. Я всего лишь хочу показать какие технологии существуют на рынке. Выбирать же конкретное решение вам, господа офицеры безопасности. Ведь за обеспечение информации вашей компании отвечаете именно вы!

Шифрование сменных носителей в Windows Vista

На самом деле процедура шифрования (отметим, что она доступна лишь в версиях Windows Vista Enterprise и Windows Vista Ultimate) ничем не отличается от процедуры шифрования встроенного диска данных. Т.е. для шифрования флеш-диска нам нужно чтобы он был размечен (отформатирован) под NTFS. Далее процедура шифрования описана уже достаточно подробно и, на мой взгляд, в дополнительном описании не нуждается.

Шифрование сменных носителей в Windows 7

Шифрование сменных носителей в Windows 7 может быть осуществлено несколькими способами.

Наиболее простой способ – это шифрование USB-диска в том случае, если он отформатирован под NTFS. В этом случае шифрование осуществляется аналогично шифрованию жесткого диска.

Однако не стоит забывать, что некоторые из правил групповой политики шифрования могут быть использованы именно для управления сменными носителями. Например, с помощью Provide the unique identifiers for your organization вы сможете задать уникальное название вашей организации, а затем использовать это поле для управления сменными носителями.

Provide the unique identifiers for your organization

Данное правило политики позволит вам создавать уникальные идентификаторы для каждого нового диска, принадлежащего организации и защищаемого с помощью BitLocker. Данные идентификаторы хранятся как первое и второе поля идентификатора. Первое поле идентификатора позволит установить уникальный идентификатор организации на диски, защищенные BitLocker. Этот идентификатор будет автоматически добавляться к новым дискам, защищаемым BitLocker и может быть обновлен для существующих дисков, зашифрованных с помощью BitLocker с помощью программного обеспечения командной строки Manage-BDE.

Второе поле идентификатора используется в комбинации с правилом политики «Запрет доступа на сменные носители, не защищенные BitLocker» и может использоваться для управления сменными дисками в вашей компании. В нем хранится список идентифицирующих полей вашей или других внешних организаций.

Комбинация этих полей может использоваться для определения, принадлежит ли диск вашей организации или нет.
В случае если значение данного правила не определено или отключено, поля идентификации не требуются.
Поле идентификации может иметь длину до 260 символов.

Как видите, мы с вами можем задать условия, при которых только сменные носители, принадлежащие нашей или другой доверенной организации, смогут быть использованы.

Рассмотрим правила групповой политики, относящиеся к шифрованию сменных дисков.

Removable Data Drives

Control use of BitLocker on removable drives

С помощью данного правила групповой политики вы сможете управлять шифрованием BitLocker на сменных дисках.
Вы можете выбрать с помощью каких параметров настройки пользователи смогут конфигурировать BitLocker.
В частности, для разрешения выполнения мастера установки шифрования BitLocker на сменном диске вы должны выбрать "Allow users to apply BitLocker protection on removable data drives".
Если вы выберете "Allow users to suspend and decrypt BitLocker on removable data drives", то пользователь сможет расшифровать ваш сменный диск или приостановить шифрование.

Если данное правило не сконфигурировано, то пользователи могут использовать BitLocker на съемных носителях.

Если данное правило отключено, то пользователи не смогут использовать BitLocker на съемных дисках.

Configure use of smart cards on removable data drives

С помощью данной установки политики вы сможете определить, можно ли использовать смарт-карты для аутентификации пользователя и доступа его к сменным дискам на данном ПК.

Deny write access to removable drives not protected BitLocker

С помощью данного правила политики вы можете запретить запись на сменные диски, не защищенные BitLocker. В таком случае все сменные диски, не защищенные BitLocker будут доступны только для чтения.

Если будет выбрана опция "Deny write access to devices configured in another organization", в таком случае запись будет доступна только на сменные диски, принадлежащие вашей организации. Проверка производится по двум полям идентификации, определенным согласно правила групповой политики "Provide the unique identifiers for your organization".

Если вы отключили данное правило или оно не сконфигурировано, то все сменные диски будут доступны и по чтению и по записи.

Внимание! Это правило можно отменить параметрами настройки политики User Configuration\Administrative Templates\System\Removable Storage Access Если правило "Removable Disks: Deny write access" разрешено, то это правило будет проигнорировано.

Allow access to BitLocker-protected removable data drives from earlier versions of Windows

Это правило определяет, могут ли сменные диски, отформатированные под FAT, быть разблокированы и просмотрены на компьютерах под управлением Windows 2008, Windows Vista, Windows XP SP3 и Windows XP SP2.

Если данное правило разрешено или не сконфигурировано, то сменные диски с файловой системой FAT могут быть разблокированы и просмотрены на компьютерах под управлением Windows 2008, Windows Vista, Windows XP SP3 и Windows XP SP2. При этом эти диски будут доступны только для чтения.

Если это правило заблокировано, то соответствующие сменные диски не могут быть разблокированы и просмотрены на компьютерах под управлением Windows 2008, Windows Vista, Windows XP SP3 и Windows XP SP2.

Данное правило не относится к дискам, отформатированным под NTFS.

Configure password complexity requirements and minimum length

Данное правило политики определяет, должны ли сменные диски, заблокированные с помощью BitLocker, быть разблокированы с помощью пароля. Если же вы позволите использовать пароль, вы сможете установить требования к его сложности и минимальную длину пароля. Стоит учесть, что в этом случае требования сложности должны совпадать с требованиями политики паролей Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\

Choose how BitLocker-protected removable drives can be recovered

Данное правило позволяет выбрать способ восстановления сменных дисков, защищенных BitLocker.

Кроме того, правила использования сменных носителей могут быть заданы в разделе групповой политики Computer Configuration – Administrative Templates –System – Device Installation - Device Installation Restrictions.

Несомненным достоинством подхода к шифрованию с помощью средств встроенных в операционные системы Windows Vista и Windows 7 является его дешевизна Ведь нам не нужно платить повторно. Однако хотел бы сказать, что данный способ не совсем применим в нашей стране по той причине, что для применения криптографических средств защиты нужно получить лицензию на право использования подобных средств. А лицензия выдается только на сертифицированные средства шифрования.

Кроме того, хочу сказать, что данный подход будет несколько проблематичен и для домашних пользователей. Ведь большинство из них если и использует Windows Vista, то скорее всего Windows Vista Home или Business версию. Что, соответственно, не позволит использовать средства шифрования.

К несомненным достоинствам данного способа шифрования необходимо отнести то, что вам не нужно устанавливать ПО от третьих производителей на компьютерах, на которых вам потребуется прочесть содержимое вашего зашифрованного съемного носителя.

Кроме того, не стоит забывать о многочисленных пользователях Windows XP. И тут на помощь нам придет ПО от стороннего производителя. В нашем случае Secret Disk от компании Aladdin Security Solution.

Шифрование с помощью Secret Disk

Перед установкой Secret Disk 4 вам нужно установить eToken PKI Client 5.0 SP1 (рис.1).

Рисунок 1 Установка PKI Client 5.0 SP1

В свою очередь установка Secret Disk 4 не вызовет у пользователя никаких проблем (рис.2).

Рисунок 2 Установка Secret Disk

Программное обеспечение Secret Disk 4 предназначено для решения следующих задач:

• Шифрование системного раздела жест кого диска
• Шифрование существующих, в том числе и съемных дисков
• Создание зашифрованных виртуальных дисков.

При этом для доступа к зашифрованным дискам используется персональный USB-токен или смарт-карта eToken. При отключении eToken все зашифрованные диски становятся недоступными. Отключенные зашифрованный диски система воспринимает как неотформатированную область.

Двухфакторная аутентификация

Для обращения к Secret Disk 4 пользователь должен подключить к компьютеру eToken с лицензией Secret Disk 4. Если используется несколько поставщиков криптографии, то в процессе аутентификации можно применять любой из сертификатов, связанных в Secret Disk 4 с учетной записью пользователя.

Таким образом, для работы с Secret Disk 4 пользователь должен пройти двухфакторную аутентификацию.
Шифрование сменных носителей производится из той же рабочей панели, что и жестких дисков (рис.3).

Рисунок 3 Панель Secret Disk

После чего выбрав соответствующий диск – нажать правую клавишу мыши и выбрать Зашифровать диск.

Защита мастер-ключей зашифрованных дисков

В начале процесса шифрования диска пользователь должен выбрать алгоритм шифрования диска. При выборе алгоритма шифрования указывается криптопровайдер, который реализует данный алгоритм.

После выбора алгоритма шифрования криптопровайдер генерирует мастер-ключ зашифрованного диска. Далее этот мастер-ключ зашифровывается с применением открытого ключа сертификата. Содержимое диска шифруется посекторно с использованием выбранного алгоритма шифрования и сгенерированного мастер-ключа зашифрованного диска.

Для расшифровывания  пользователь должен подключить диск. Для этого необходимо подключить eToken и ввести PIN-код. После этого хранящийся в eToken закрытый ключ используется для расшифровывания  копии мастер-ключа, находящего в хранилище eToken. Мастер-ключ передается в драйвер Secret Disk или передается под управление используемого криптопровайдера.
Находящиеся на диске данные всегда зашифрованы.

Поддержка криптопровайдеров

Secret Disk 4 не имеет встроенных средств шифрования. В Secret Disk 4 применяются установленные в данной операционной системе поставщики криптографии. В качестве поставщика криптографии Secret Disk 4 может использовать:

1. Microsoft Enhanced CSP (стандартный поставщик криптографии в Windows 2000, для шифрования дисков по умолчанию можно применять алгоритмы RC2 и Triple DES);
2. Microsoft Enhanced RSA and AES Cryptographic Provider (стандартный поставщик криптографии в Windows XP/Vista);
3. Signal-COM CSP (для шифрования дисков применяется алгоритм, соответствующий ГОСТ 28147-89 "Система обработки информации. Защита криптографическая");
4. КриптоПро CSP (для шифрования дисков применяется алгоритм, соответствующий ГОСТ 28147-89);
5. Infotecs CSP (для шифрования дисков применяется алгоритм, соответствующий ГОСТ 28147-89).

Кроме того, с веб-сайта компании Aladdin можно бесплатно загрузить пакет Secret Disk NG Crypto Pack 3.1, добавляющий возможность использовать алгоритмы AES (длина ключа 128 бит и 256 бит.) и Twofish (длина ключа 256 бит).

Данный метод обладает повышенной устойчивостью за счет использования двухфакторной аутентификации. Кроме того, хотелось бы отметить, что данное ПО сертифицировано для применения в Украине, что снимет существенную головную боль при проверке государственными органами.

Заключение

Как видите, сегодня мы с вами можем шифровать данные на сменных носителях. Вместе с тем вы сможете задать законный вопрос. Ну, хорошо, мы определили список сменных носителей, на которые можно осуществить запись, зашифровали эти носители, но кто помешает нашему сотруднику записать информацию на наш же носитель, зашифровать его, а потом вынести за пределы предприятия и продать конкурентам? Ничто?

На самом деле здесь помимо всего прочего нужна будет политика использования сменных носителей, в которой должно быть определено, что и кому можно выносить за пределы предприятия, а что нельзя. И если сменные носители не подлежат выносу, то они должны сдаваться перед уходом с работы. А вы как думаете?

Литература

1. Глобальное исследование утечек 2008 http://www.infowatch.ru/analytics?id=207733191
2. http://www.infowatch.ru/press?chapter=153986408&id=207733186
3. http://www.infowatch.ru/press?chapter=153986408&id=207733182