Конявская Текхнологии зашчишченного применения УСБ-носителеы 2014
.pdf
Опасность |
|
Механизмы защиты |
|
Недостатки |
||||||||||
|
|
|
граничения |
доступа, |
||||||||||
ми или другим вредо- |
разграничения |
доступа |
||||||||||||
носным ПО. |
|
(запрета |
запуска |
про- |
действительно |
обеспе- |
||||||||
|
|
|
|
грамм, |
отсутствующих |
чивающие |
эту |
функ- |
||||||
|
|
|
|
в разрешенном списке, |
цию, |
дороги |
и |
редко |
||||||
|
|
|
|
проверки |
целостности |
устанавливаются |
толь- |
|||||||
|
|
|
|
программ перед запус- |
ко |
для |
того, |
чтобы |
||||||
|
|
|
|
ком, |
замены |
повре- |
обеспечить |
возмож- |
||||||
|
|
|
|
жденных |
программ |
ность работы с USB- |
||||||||
|
|
|
|
резервными |
копиями |
памятью. |
|
|
|
|||||
|
|
|
|
по результатам провер- |
|
|
|
|
|
|
||||
|
|
|
|
ки). |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
Пользователи относят- |
Орг.меры |
(централизо- |
Поскольку |
устройство |
||||||||||
ся к устройству легко- |
ванные закупки, |
реги- |
недорогое, |
материаль- |
||||||||||
мысленно, |
используют |
страция и учет, запрет |
ная |
ответственность за |
||||||||||
не только в служебных |
на внеслужебное |
ис- |
него не слишком обре- |
|||||||||||
целях, |
передают |
друг |
пользование, штраф за |
менительна, а |
внеслу- |
|||||||||
другу |
и часто теряют. |
утерю), использование |
жебное использование |
|||||||||||
|
|
|
|
устройств |
с |
механиз- |
не поддается контролю |
|||||||
|
|
|
|
мами |
аутентификации |
благодаря возможности |
||||||||
|
|
|
|
и/или |
|
шифрования |
многократной записи и |
|||||||
|
|
|
|
|
|
|
|
|
удаления |
информации, |
||||
|
|
|
|
|
|
|
|
|
в |
результате |
данные |
|||
|
|
|
|
|
|
|
|
|
подвергаются |
опасно- |
||||
|
|
|
|
|
|
|
|
|
сти искажения или уда- |
|||||
|
|
|
|
|
|
|
|
|
ления |
по |
невниматель- |
|||
|
|
|
|
|
|
|
|
|
ности, умыслу или под |
|||||
|
|
|
|
|
|
|
|
|
воздействием |
|
вредо- |
|||
|
|
|
|
|
|
|
|
|
носного ПО |
|
|
|||
|
|
|
|
|||||||||||
Вынос за пределы ор- |
Орг.меры |
(усиление |
Выполнение запрета на |
|||||||||||
ганизации трудно уста- |
охраны, запрет на вы- |
вынос |
трудно |
прокон- |
||||||||||
новить |
|
визуально, |
нос устройств за пре- |
тролировать, |
усиление |
|||||||||
устройство |
легко |
мо- |
делы территории пред- |
охраны предприятия не |
||||||||||
жет быть |
украдено у |
приятия). |
|
|
|
снижает |
вероятности |
|||||||
легального |
пользовате- |
|
|
|
|
|
кражи за пределами его |
|||||||
ля злоумышленником. |
|
|
|
|
|
территории, часто вы- |
||||||||
|
|
|
|
|
|
|
|
|
нос за пределы охраня- |
|||||
|
|
|
|
|
|
|
|
|
емой территории необ- |
|||||
|
|
|
|
|
|
|
|
|
ходим |
для |
решения |
|||
|
|
|
|
|
|
|
|
|
служебной задачи. |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
31
Получается, что все принимаемые меры имеют весьма отдаленное отношение к проблемам, связанным с применением USBустройств.
Решения состоят так или иначе в снабжении флешек механизмами аутентификации пользователя и в предоставлении возможности запрещать использование в информационной системе таких устройств вообще, или разрешать использование только устройств с теми или иными уникальными идентификаторами. В лучшем случае это дополняется возможностью настройки правил разграничения доступа таким образом, чтобы пользоваться определенными флешками можно было только определенным пользователям и записывать на них не что угодно, а только определенные файлы2.
Все это скорее осложняет жизнь пользователям и администраторам безопасности информации, чем создает действительно защищенную и в то же время удобную инфраструктуру использования USB-памяти. Потому что «решения», как мы видим, «борются» просто не с тем, в чем состоят «проблемы».
Это очень легко понять, если проанализировать как, собственно, нам бы хотелось применять USB-носители в идеале.
Как мы уже определили, главная проблема с флешками состоит не в том, как они применяются внутри системы, и не в том, как они применяются снаружи, а в том, что для флешек не существует разницы между понятиями «внутри» и «снаружи», и свободно пересекая границы системы, они размывают ее защищенный контур.
Информацию, записанную на флешку с рабочего ПК, можно унести и скопировать на другой ПК с неизвестно какими целями. Вредоносное или просто нежелательное, неразрешенное ПО самого разного рода можно записать на них с постороннего ПК и принести в организацию.
2 В Приложении 1 приведен анализ условий, в которых предпочтительно применение фильтра подключаемых устройств (на примере Device Lock), защищенных флешек или комбинирования продуктов этих двух типов. В зависимости от наличия свободных часов можно разобрать этот материал на занятиях или дать слушателям для самостоятельного изучения.
32
И в этом смысле мало что дает ограничение «использовать только строго определенные флешки», ведь и с разрешенной к использованию флешки можно переписать то, что не следует, туда, куда не следует.
Метод защиты от утечек через USB-носители путем ограничения их использования на защищаемых ПК несет в себе принципиальную ущербность, ведь применение флешек на посторонних ПК при этом никак не ограничивается.
Необходимо наоборот, сделать невозможным использование флешек вне системы, сделать их зависимыми от нее.
Если посмотреть с этой точки зрения на продукты информационной безопасности, позиционируемые поставщиками как средства защиты информации на флешках, то выяснится, что при всех своих возможных плюсах необходимую задачу они не решают.
Критерии оценки, которые адекватны понятию «защищенный служебный носитель», следующие:
1)является ли продукт средством хранения и переноса информации (носителем),
2)удобно ли его использование (аппаратные требования, требовательность к навыкам эксплуататора, мобильность, дружественность),
3)снижает ли применение продукта степень негативных последствий кражи или утери носителя с данными для системы,
4)защищает ли продукт данные от доступа посторонних лиц,
5)при использовании вне защищенной системы способен ли продукт предотвратить «заражение» вредоносным ПО, которое в дальнейшем может попасть в систему,
6)можно ли при помощи продукта защитить данные от хищения мотивированным инсайдером,
7)имеет ли применение продукта нормативные ограничения в
РФ,
8)сколько стоит продукт.
Ни одно из представленных до сих пор на рынке средств или решений по защите информации не давало возможности создать систему, включающую в себя защищенные служебные носители, поскольку не было предложено решения главной задачи: привязки носителя к системе.
33
В программно-аппаратных комплексах (ПАК) линейки «СЕКРЕТ» именно эта функция является основной.
Что может предпринять злоумышленник в отношении флешки как носителя информации, включенного в интересующую его систему?
1.Кража или находка
2.Отъем
3.Завладение оставленным без присмотра устройством
4.Завладение путем мошенничества и социальной инжене-
рии
5.Покупка у мотивированного инсайдера
Как правило, пп. 1, 2 и 5 имеют своей целью завладение данными с флешки, а п. 3 или 4 может также иметь целью внедрение подложных данных или вредоносного кода (реже, но тоже возможно – уничтожение данных на флешке).
В отличие от угроз данным в сетях или на локальных компьютерах, которые реализуются весьма разнообразными атаками, угрозы, связанные с флешками, характеризуются очень мощными общими признаками возможных атак: физическое завладение устройством и получение доступа к его памяти на каком-то ПК.
Атаки на флешки через сеть, например, весьма маловероятны и будут скорее атаками на данные на дисках компьютера (подключаемых), а не на данные на флешке. И в любом случае, вряд ли возможность реализации такого рода угрозы может быть классифицирована как уязвимость флешки.
Очевидно, что защитить маленькое устройство от физической кражи (или находки в результате целенаправленного поиска в местах возможных потерь, провокации потери) – крайне сложно и практически невозможно сделать это техническими методами.
Более того, и применение организационных мер крайне затруднительно, поскольку на физическое владение таким маленьким предметом очень сильно влияет характер пользователя – рассеянный он, или любит похвалиться, или нечист на руку, или доверчивый...
Значит, задача защиты флешки сводится к тому, чтобы сделать нелегальное физическое обладание ею бессмысленным. То есть,
34
даже имея флешку, получить доступ к данным на ней на не разрешенном явно для этой флешки компьютере не разрешенному явно пользователю должно быть невозможно.
Именно эта логика и положена в основу защищенных флешек семейства «СЕКРЕТ».
2. Концептуальная основа технологии «Секрет»: «рукопожатие» – логика и техника
Здесь рассмотрим те особенности технологии, положенной в основу линейки «Секрет», которые обеспечивают принципиальное отличие продуктов этой линейки от любых других способов защиты информации, в жизненном цикле которой присутствуют USBнакопители.
2.1. Взаимная аутентификация – теория
Итак, в основе защитных свойств «Секретов» лежит взаимная аутентифкация устройства и компьютера, к которому его подключают. Остановимся в первую очередь на этом.
Аутентификация – понятие относительное. Что-то одно можно аутентифицировать относительно чего-то другого, нельзя аутентифицировать что бы то ни было само по себе [6].
Таким образом, в процессе аутентификации участвуют не менее двух сторон. Если это стороны А и Б, то:
-А можно аутентифицировать относительно Б (например, А – это действительно администратор этого «Аккорда»);
-Б можно аутентифицировать относительно А (например, Б – это действительно справочная служба РЖД, а не фишинговая страничка);
-Стороны А и Б можно аутентифицировать одну относительно другой – взаимно аутентифицировать.
Иными словами, взаимная аутентификация предполагает, что оба участника процесса убеждаются в подлинности второй стороны. Например, не только сервер убеждается, что к нему подключа-
35
ется «правильный» терминал, но и терминал убеждается, что он подключается к «правильному» серверу.
Казалось бы, взаимная аутентификация явно «лучше» (ведь чем больше проведено проверок, тем надежнее общий результат), почему бы всегда не использовать именно ее.
Причин несколько, и главные из них – это
1)избыточность в целом ряде случаев (допустим, действительно ли Администратору «Аккорда» необходимо убедиться, что это «тот самый» «Аккорд», если он и так установлен в «ту самую» машину
и«тот самый» идентификатор Администратора воспринимает как верный? Или так ли важно справочной службе РЖД знать, действительно ли посетитель, желающий узнать расписание «Сапсана»
– тот, за кого он выдает себя?)
2)для взаимной аутентификации обе аутентифицирующиеся стороны должны быть активными – способными на проведение контрольных операций с полученными аутентифицирующими ланными и принятие решения по их результату. Недостаточно передать свои аутентифицирующие данные, противоположная сторона должна их корректно обработать. В противном случае взаимная аутентификация только изображается, а не производится.
Рассмотрим оба ограничения применительно к взаимодействию компьютера и флешки.
Целесообразность взаимной аутентификации определяется тем, что равно недопустимо подключать Вашу флешку к «чужому» компьютеру и подключать к Вашему компьютеру «чужую» флешку. И то и другое может быть атакой, успешная реализация которой крайне нежелательна. Значит, аутентификация компьютера и флешки должна быть взаимной.
Возможность взаимной аутентификации определяется тем, что оба участвующие в процессе устройства – активные и способны на проведение контрольных процедур. Компьютер в состоянии, получив данные о подключенном устройстве, при наличии необходимого ПО провести контрольные процедуры.
Есть ли аналогичные ресурсы у флешки? Может ли она, получив какие-либо данные от компьютера, их проанализировать?
36
2.2.Флешки и «Секреты» с точки зрения аппаратных ресурсов
Для того чтобы флешка работала на одних компьютерах и не работала на других, флешка должна уметь различать компьютеры. Это первая задача, только после решения которой можно обсуждать, по каким параметрам различать компьютеры правильно, а по каким нет или каким образом добиваться изменения списка разрешенных (или запрещенных) компьютеров.
Такова принципиальная структура и логика защитных свойств
служебного носителя «Секрет».
Очевидно, что все эти вопросы важны, но только в том случае, если флешка в принципе различает компьютеры.
Обыкновенная флешка делать этого не может. Это связано с тем, что у флешки просто нет для этого никаких ресурсов. Если говорить упрощенно, флешка состоит из памяти и контроллера USB.
Рис. 1. Упрощенная схема флешки
37
Ни то, ни другое не является ресурсом, способным осуществлять произвольные операции.
Компьютер может различать флешки по их уникальным идентификаторам – VID, PID и серийному номеру, если на нем установлены средства для этого (например, USB-фильтры), потому что у него, в отличие от флешки, есть необходимые вычислительные ресурсы. Стоит иметь в виду, что эти уникальные идентификаторы не всегда и не совсем уникальны (все флешки некоторых производителей имеют один и тот же серийный номер, а с помощью специального технологического ПО эти «уникальные параметры» можно менять). Однако, в любом случае, для того чтобы проанализировать тот или иной признак объекта (флешки ли, компьютера ли), тот, кто анализирует, должен иметь ресурсы, предназначенные для такого анализа.
Вывод очевиден: чтобы различать компьютеры, флешка должна сама быть компьютером. Именно в этом и состоит отличие служебных носителей (СН) «Секрет».
Рис. 2. Упрощенная схема устройства «Секрет»
38
Управляющий элемент в СН «Секрет» различных модификаций реализован по-разному, однако общая логика остается единой: управляющий элемент «коммутирует» компьютер с диском «Секрета» (собственно флешкой) только после успешного завершения контрольных процедур: взаимной аутентификации СН, компьютера и пользователя. До того как сценарий аутентификации будет успешно разыгран до конца, диск «Секрета» не будет примонтирован, не появится в списке дисков и не окажется доступен не только для пользователя, но и для системы (с ее потенциальными закладками или вирусами).
2.3. Базовая и криптографическая модификации «Секретов»
Дополнительно защитные свойства «Секрета» могут быть усилены шифрованием данных при записи на диск. Шифрование производится «не лету» («прозрачное шифрование»), то есть при записи на диск данные зашифровываются, а при чтении с диска – расшифровываются. Шифрование производится аппаратно, по ГОСТ 28147-89, на ключах, вырабатываемых в устройстве, хранящихся в отдельной защищенной памяти устройства, к которой нет доступа извне, и не покидающих его никогда. Ключи шифрования в криптографических «Секретах» никак не связаны с ключевой информацией, в помощью которой производится взаимная аутентификация «Секрета» с «Секретным агентом», это совершенно разные ключи.
Выбирать такой носитель целесообразно тогда, когда разумно предположение, что злоумышленник может попытаться считать данные с флеш-памяти напрямую, например, выпаяв ее с устройства. Однако надо иметь в виду, что за счет аппаратного шифрования заметно снижается скорость чтения/записи, это неизбежные издержки. В СН «Секрет» без шифрования скорости чтения/записи не отличаются от скоростей обычных флешек.
2.4.Рукопожатие «Секрета» и «Секретного агента»
В«Секретах» для различных нужд используется целый набор различной ключевой информации, четкие представления о которой не требуются ни для применения, ни для администрирования ком-
39
плекса, поэтому останавливаться на этом подробно – не будем. В случае необходимости эту информацию можно почерпнуть из документа «Руководство по КСЗ», который есть на каждый из продуктов линейки «Секрет». Вся эта ключевая информация – служебного характера и ни в каких процессах, кроме внутренних механизмов «Секрета» она участия не принимает.
Так, взаимная аутентификация устройства «Секрет» и ПО рабочей станции или Сервера аутентификации производится на основе ключевой информации, выработанной при первичной регистрации носителя. В ходе этого процесса в безличном до этого устройстве вырабатывается ключ служебного носителя, на основе которого будут вырабатываться аутентификационные данные для последующих взаимных аутентификаций «Секрета». Этот ключ служебного носителя в дальнейшем будет использоваться также для повторных регистраций на других рабочих станциях.
Чтобы обезопасить систему от «подслушивания» протокола взаимной аутентификации «Секрета» и компьютера, аутентифицирующий набор данных не постоянный, он вырабатывается на один день.
Ключи, необходимые для осуществления протокола «рукопожатия» СН и «Секретного агента» (будь он расположен на рабочей станции или на Сервере аутентификации в распределенных версиях), вырабатываются ежесуточно на основании ключа устройства, ключа серверного ПО и даты. Поэтому не стоит опасаться, что в случае, если «Секрет» какое-то время не использовался, его аутентифицирующие данные «устареют». Они всегда вырабатываются корректно, вне зависимости от времени неактивности «Секрета».
Таким образом, монтирование устройства происходит в том случае, если и «Секрет», и компьютер приняли положительное решение.
Служебный носитель принимает положительное решение в том случае, если ответная часть (компьютер или сервер) правильно выполнила вычисления криптографического характера, зависящие от секретной ключевой информации.
Компьютер принимает положительное решение, если подключаемый «Секрет» есть в его базе, а пользователь корректно ввел PIN-код.
40