Конявская Текхнологии зашчишченного применения УСБ-носителеы 2014

Процесс демонстрации:

На Ноутбуке 1:

1.Подключаем Личный Секрет, вводим PIN-код. Видим, что доступ к Личному Секрету теперь есть из «Мой Компьютер».

2.Удаляем, копируем и читаем данные с Личного Секрета.

3.Отключаем Личный Секрет, подключаем, отказываемся от предложения ввести PIN-код, видим, что доступа к Личному Секрету нет.

4.Демонстрируем смену PIN-кода.

5.Заходим в DeviceLock Management Console, выбираем раздел «Сервис DeviceLock – Устройства – Белый список USB-устройств»

инажимаем «Управления оффлайновыми настройками», демонстрируем, что Личный Секрет добавлен в белый список разрешенных USB-устройств.

6.Демонстрируем, что произвольная флешка не добавлена в список разрешенных USB-устройств.

7.В DeviceLock Management Console выбираем раздел «Сервис DeviceLock – Устройства – Разрешения» раздел «USB-порт», переходим в «Установить оффлайн разрешения», демонстрируем что в данный день недели в данное время для устройств не включенных в белый список работа запрещена, выходим из DeviceLock Management Console.

8.Подключаем в USB-порт произвольную USB-флешку, демонстрируем, что доступ к ней запрещен.

На Ноутбуке 2:

1.Подключаем Личный Секрет. Демонстрируем, что доступа к Личному Секрету нет и что он не определён в системе.

2.Отключаем Личный Секрет. Ставим ПО «Секретный агент», регистрируем компьютер в ПО «Секретный агент» – подключаем Личный Секрет.

3.Появляется сообщение о подключении незарегистрированного Личного Секрета. Демонстрируем, что доступа к Личному Секрету нет.

4.Открываем «Секретный агент» и регистрируем Личный Сек-

рет.

5.Нажимаем «Открыть Секрет», вводим PIN-код, получаем доступ к данным, работаем с данными.

51

6.Переподключаем Личный Секрет, меняем PIN-код. Открываем данные.

7.Переподключаем Личный Секрет, отменяем регистрацию. Демонстрируем отсутствие доступа.

8.Служебный пункт: после окончания демонстрации необходимо привести ноутбук в исходное состояние, то есть удалить ПО «Секретный агент», чтобы при следующей демонстрации не нарушать ее план.

После проведения демонстрации необходимо разобрать с учащимися все продемонстрированное и ответить на возможные вопросы.

3.2.1. Личное применение

Доступ к диску служебного носителя для чтения и записи на него пользовательских данных предоставляется только в случае успешного выполнения процедур взаимной аутентификации компьютера, «Личного Секрета» и его пользователя. Для того чтобы все взаимодействующие стороны узнали о существовании друг друга, перед использованием служебного носителя на компьютере необходимо выполнить процедуру регистрации – «первичной» или «вторичной».

«Первичная» регистрация является самым ответственным этапом подготовки служебного носителя к дальнейшей эксплуатации и в обычных условиях выполняется один раз. В ходе «первичной» регистрации формируются PIN-код, который используется для получения доступа к данным, и код регистрации, который в дальнейшем понадобится для выполнения административных операций, таких как повторная регистрация и аннулирование регистрации, а также для разблокирования служебного носителя при утрате PINкода.

Как правило, сущность и характер использования флешки предполагают необходимость получения доступа к содержащимся на ней данным на нескольких компьютерах – независимо от того, применяется ли она для личных нужд (некоторыми секретами хочется/приходится делиться с друзьями) или в качестве средства передачи данных между изолированными компьютерами в организации. Разумеется, «Личный Секрет» не препятствует реализации

52

такого сценария: в решении предусмотрена возможность выполнения «вторичных» регистраций, дополнительных к «первичной» регистрации, на «дружественных» компьютерах (до ста штук). Крайне желательно «сбрасывать» (аннулировать) «вторичную» регистрацию на тех компьютерах, на которых «Секрет» был зарегистрирован для разового использования, или если следующее использование на этом компьютере планируется не скоро. Сброс «вторичной» регистрации никак не повлияет на настройки «Секрета» – его регистрацию на других компьютерах, его код регистрации и PIN-код, а вот сброс «первичной» регистрации «обнуляет» «Секрет», возвращает его с исходному состоянию, как было до «первичной» регистрации, то есть все его «вторичные» регистрации, его PIN-код и код регистрации сбрасываются.

В результате выполнения процедуры регистрации (будь то «первичная» регистрация или одна из «вторичных») в специальную базу «Личный Секрет», имеющуюся на каждом компьютере, на котором установлено ПО «Личный Секрет», записывается информация о зарегистрированном служебном носителе, включая криптографические данные, необходимые для выполнения процедуры взаимной аутентификации компьютера и служебного носителя. А на СН «Секрет» в ходе этой процедуры записывается уникальная информация о каждом компьютере, на котором он зарегистрирован (тем самым формируется список разрешенных для использования компьютеров), и также криптографические данные, необходимые для выполнения процедуры взаимной аутентификации. Таким образом, компьютер становится разрешенным для получения на нем доступа к пользовательским данным.

3.2.2. Корпоративное применение

«Личный Секрет» – продукт, предназначенный для частного использования, однако при этом может успешно применяться в целях безопасного хранения и передачи информации конфиденциального характера и в организациях.

В последнем случае его применение может быть признано целесообразным и желательным, если защищенную флешку требуется подключать к относительно небольшому числу компьютеров, не превышающему нескольких десятков, и особенно в том случае, если эти компьютеры не подключены к локальной сети и, следова-

53

тельно, невозможно применение распределенной версии продукта – «Секрета Фирмы».

Очевидно, что в случае корпоративного использования ПАК «Личный Секрет» исключить возможность несанкционированного использования служебного носителя Пользователем на компьютере, не входящем в список разрешенных, можно только в том случае, если Пользователю не известен код регистрации. Для этого первичным компьютером для всех «Секретов» должен быть сделан специально выделенный компьютер Администратора, на котором Администратор произведет регистрацию всех «Секретов». Компьютер Администратора должен быть защищен от несанкционированного доступа, а распечатки кодов регистрации (либо журнал, в котором записаны коды регистрации) должны храниться в гарантированно недоступном для Пользователей и, разумеется, посторонних лиц месте.

После первичной регистрации всех «Секретов» на компьютере Администратора, Администратор должен произвести повторную регистрацию каждого из «Секретов» на тех компьютерах, на которых, в соответствии с политикой безопасности, Пользователю данного «Секрета» разрешено работать с СН.

После этого каждому Пользователю выдается зарегистрированный для него «Секрет» и сообщается его PIN-код.

ВНИМАНИЕ! Если Пользователю станет известен код регистрации, он сможет зарегистрировать свой «Секрет» на любом компьютере, а также сбросить регистрацию на служебных компьютерах. При этом, сбросив первичную регистрацию (при недостаточной защищенности от НСД компьютера, на котором произведена первичная регистрация данного «Секрета»), он может без потери данных зарегистрировать его на другом компьютере, получив новый код регистрации, который не будет известен Администратору, тем самым, фактически, выведет «Секрет» из корпоративной системы. С помощью ПАК «Личный Секрет» контролировать использование такого «Секрета» в ИС предприятия нельзя. Поэтому необходимо исключить попадание кода регистрации в руки Пользователя.

54

Наличие описанных защитных механизмов позволяет ПАК «Личный Секрет» успешно противостоять атакам со стороны злоумышленника: в случае потери, кражи, отъема, завладения устройством с помощью мошенничества или покупки у мотивированного инсайдера служебного носителя злоумышленник не сможет зарегистрировать его на стороннем компьютере, поскольку ему не известен код регистрации, сформированный на этапе первичной регистрации служебного носителя. А в случае завладения устройством, оставленным без присмотра на рабочем месте, злоумышленник не сможет получить доступ к данным, поскольку ему не известен PIN-код.

3.3. «Секрет Фирмы» – демонстрация

Если в случае с «Личным Секретом» логично начинать с демонстрации, а затем дать необходимые пояснения, поскольку комплекс простой и состоит из небольшого числа компонентов, то в случае с «Секретом Фирмы» рекомендуется сначала разобрать с учащимися его состав и защитные функции, а затем – продемонстрировать работу.

Однако на усмотрение преподавателя этот порядок может быть и обратным.

3.3.1. Состав и архитектура комплекса

«Секрет Фирмы» представляет собой корпоративное решение, позволяющее получать доступ к данным, хранящимся в «Секрете», только на заранее определенных компьютерах в рамках локальной сети предприятия, находящихся в on-line связи с Сервером Аутентификации.

В состав комплекса входит USB-фильтр, поэтому можно установить режим, при котором на этих компьютерах не смогут быть использованы другие носители информации (скопировать данные на принесенный с собой носитель будет невозможно).

Аутентификация «Секрета» и его пользователя производится относительно не самой рабочей станции (РС), а относительно Сервера Аутентификации (СА), связанного с РС с помощью сети.

55

этой рабочей станции разрешено работать именно с этим «Секретом»);

–ведения базы «Секретов», зарегистрированных в сети;

–выполнения процедур синхронизации баз «Секретов» на всех СА сети.

ПО АРМ эмиссии предназначено для «привязки» нейтральных при приобретении СН и СНСА к информационной системе конкретного предприятия. Ключевая информация, необходимая для эмиссии, сохраняется на СНЭ.

«Секреты» выдаются пользователям и применяются ими на тех рабочих станциях, на которых а) установлено ПО «Секретный агент» и б) разрешено работать с данным конкретным «Секретом». Настройки, в том числе назначения, на каких ПК можно работать с какими «Секретами», задаются на Сервере Аутентификации, на котором установлено ПО «Центр управления».

Защищенное хранение информации пользователя достигается с помощью выполнения СН и СА (РС) взаимной криптографической аутентификации. При этом монтирование флеш-диска выполняется только после успешного завершения процедуры аутентификации. Пользователь получает доступ к содержимому «Секрета» в том случае, если рабочая станция получила от Сервера Аутентификации подтверждение, что «Секрет» разрешен для работы на ней, пользователь ввел верный PIN-код, подтвердив свое право использовать «Секрет», и СА подтвердил права пользователя и «Секрета».

В рамках работы с «Секретом Фирмы» поддерживается возможность разрешать использование «Секрета» в другом сегменте той же сети, отличном от сегмента, которым управляет СА, «первичный» для данного СН. Это своего рода аналог «вторичной» регистрации в ПАК «Личный Секрет», но учитывающий особенности корпоративного применения. В процедуре участвует так называемый мандат на «вторичную» регистрацию, передаваемый Администратором «первичного» Сервера Аутентификации Администратору того сервера, в чьем сегменте будет также использоваться данный «Секрет». При этом сервера аутентификации каждого сегмента могут иметь связь только оффлайн. Подробно процедура «вторичной» регистрации описана в документации на комплекс.

57

3.3.2. Понятие эмиссии

Никакой реальной – измеряемой – связи между владельцем и его собственностью, как правило, нет, эта связь носит социальный

– правовой, моральный и т. д. характер [5]. Мы можем установить, что человек, объявляющий себя собственником, является таковым, по признакам, не связанным неразрывно ни с владельцем, ни с имуществом – по документам на собственность, например. Даже детальное изучение человека не позволяет заключить, его ли та или иная вещь, и изучение вещи тоже не укажет на ее владельца.

Именно поэтому мы с детства стараемся «пометить» особенно дорогие нам вещи – поцарапать, приклеить наклейку, написать свою фамилию, нанести логотип. «Привязать» к себе свою собственность.

Это дает возможность различить свое и чужое, но, к сожалению, никак не ограничивает возможности «самозванца» безосновательно распоряжаться чужим имуществом в личных целях.

Защита приоритетного права владельца распоряжаться своей собственностью – задача тем более не простая, когда непосредственные действия по использованью предмета собственности должны осуществлять совсем другие лица, интересы которых, возможно, и не противопоставлены интересам владельца, но и не прямо совпадают с ними. В этом случае задачей защиты интересов владельца будет обеспечение режима, когда он способен контролировать, кем и для чего используется его собственность.

Это задача схожа с той, которую решает банк-эмитент, эмитируя банковские карты. Банковская карта является собственностью банка, одним из технических средств, инструментов функционирования его системы, однако использует ее совсем другой человек, причем для банка совершенно принципиально, какой именно. Основанием эмиссии карты является договор, правовые отношения между банком и клиентом, однако эмиссия делает эти отношения «материальными», технологически связывая банк, карту и держателя карты (владельца счета). Яблочко не падает далеко от яблоньки, потому что является порожденной ею частью, элементом ее системы.

Именно такой механизм мы заложили в основу системы «Секрет Фирмы» – в систему управления специальными служебными USBносителями.

58

Хорошо понятно, что такая система должна быть явным образом «привязана» к эксплуатирующей ее организации. Если, пусть даже и только по предварительному сговору, было бы можно раскрывать «Секреты» одной организации в системе другой, тоже применяющей эту технологию, смысл защиты свелся бы на «нет».

Аутентификация «Секрета» на сервере аутентификации производится на основании специального протокола с применением криптографических ключей. Эти ключи и являются той самой технологической привязкой, по которой сервер аутентификации отличает свой «Секрет» от «Секрета» другой фирмы. Для этого служебные носители «Секрет», применяемые в информационной системе, эмитируются в этой же системе на АРМ эмиссии, ПО которого входит в состав «Секрета фирмы». Эта технология исключает, что кто-либо, даже производитель «Секретов», сможет выпустить носитель, «подходящий» для использования в чужой системе. Нейтральные при покупке носители с помощью специальной защищенной процедуры эмитируются как элементы именно той системы, для которой они приобретены.

Для работы на сервере аутентификации и АРМ эмиссии необходимы два особых «Секрета» – специальный носитель сервера аутентификации (СНСА) и специальный носитель эмитента (СНЭ), которые также входят в состав комплекса для распределенных модификаций.

Для использования эмитированного «Секрета» на компьютерах системы его нужно зарегистрировать на сервере аутентификации. При этом «Секрет» и сервер аутентификации обмениваются ключами аутентификации, выработанными при эмиссии и известными только им, а значит, «Секреты» эмитированные для других фирм в принципе не смогут быть зарегистрированы в этой системе.

Таким образом мы получаем систему, при которых легальные пользователи могут использовать служебные носители на разрешенных компьютерах без ограничений функциональности обыкновенной флешки – только с введением PIN-кода, но ни они, ни ктолибо другой случайно или намеренно завладевший «Секретом» не сможет раскрыть его ни на одном другом компьютере, даже в системе, в которой тоже используется «Секрет» и установлено необходимое для его применения ПО. И даже при содействии мотивированных инсайдеров среди управляющего персонала системы не

59

получится ввести в нее «Секрет», эмитрированный для другой организации, без его полного обнуления. А это, в свою очередь, делает бесполезным «внедрение» такого «крота». Яблочко не падает далеко именно от той яблоньки, на которой оно выросло. И это принципиально.

Непосредственные действия Администратора эмиссии на АРМ эмиссии не представляют собой никаких сложностей и подробно описаны в соответствующем документе («Секрет Фирмы». Руководство администратора эмиссии [7]).

3.3.3. Понятие вторичной регистрации в рамках СФ

Перед повторной регистрацией СН предварительно должен пройти процедуру подготовки к повторной регистрации, которая выполняется в первичном СА. При этом в СН из СА передается мандат регистрации СН, где указан идентификатор дружественного СА. Он сохраняется во внутренней памяти СН и недоступен извне. Кроме того, при подготовке к повторной регистрации создается файл мандата регистрации СА, который должен быть передан на дружественный СА. Передача и обеспечение безопасности файла мандата регистрации должны обеспечиваться эксплуатирующей организацией самостоятельно, специальных механизмов доля этого в составе комплекса не предусмотрено.

При повторной регистрации СН на дружественном СА происходит проверка соответствия мандатов регистрации СН и дружественного СА, переданных независимым способом, с последующей регистрацией СН в дружественном СА. PINкод и код регистрации остаются прежними. После этого СН может использоваться на рабочих станциях сегмента сети, который обслуживает этот СА. Для исключения из дружественного сегмента должна быть выполнена операция сброса на том же СА. Администратор дружественного СА также может исключить СН из списка используемых в его сегменте с помощью ПО АРМ администратора СА без участия СН. Однако при этом информация аутентификации остается во внутренней памяти СН до операции сброса на первичном СА или новой первичной регистрации.

60