О действенных методах защиты съемных носителей

Что может предпринять злоумышленник в отношении флешки как носителя информации, включенного в интересующую его информационную систему? Есть всего несколько типов распространенных атак на флешки:

1. Кража или находка
2. Отъем
3. Завладение оставленным без присмотра устройством
4. Завладение путем мошенничества и социальной инженерии
5. Покупка у мотивированного инсайдера

Как правило, пп. 1, 2 и 5 имеют своей целью завладение данными с флешки, а п. 3 или 4 может также иметь целью внедрение подложных данных или вредоносного кода (реже, но тоже возможно — уничтожение данных на флешке).

Очевидно, что защитить маленькое устройство от физической кражи (или находки в результате целенаправленного поиска в местах возможных потерь, провокации потери) — крайне сложно.

Значит, задача защиты флешки сводится к тому, чтобы сделать нелегальное физическое обладание ею бессмысленным. То есть, даже имея флешку, получить доступ к данным на ней где-то, кроме разрешенного явно компьютера, кому-то, кроме разрешенного явно пользователя, должно быть невозможно.

Именно эта логика и положена в основу защищенных флешек семейства «СЕКРЕТ». Управляющий элемент в СН «Секрет» «коммутирует» компьютер с диском «Секрета» (собственно флешкой) только после успешного завершения контрольных процедур — взаимной аутентификации СН, компьютера и пользователя.

Дополнительно защитные свойства «Секрета» могут быть усилены шифрованием данных при записи на диск. Выбирать такой носитель целесообразно тогда, когда разумно предположение, что злоумышленник может попытаться считать данные с флеш-памяти напрямую, например, выпаяв ее с устройства.

Сравним эффективность противодействия перечисленным выше атакам традиционными способами и с применением «Секретов».

Находка или кража

Потеряв флешку, невозможно быть уверенным ни в том, потеряна она или украдена, ни в том, что случайно нашедший ее человек не воспользуется записанными данными.

В этой ситуации совершенно не успокаивает наличие в системе USB-фильтров. Это утешение звучит даже несколько издевательски.

Насколько в этой ситуации может успокоить PIN-код — вопрос философский. Примерно на столько же, насколько успокоительна мысль о том, что никто не станет поднимать валяющуюся флешку. Хорошо, если так, а если нет, то PIN-код подберут, и очень легко. Предназначенные для этого программы сегодня есть у каждого студента. Теоретически можно бороться с этим, увеличивая длину PIN-кода. Но чем длиннее PIN-код, тем выше вероятность того, что он записан на корпусе флешки.

Биометрия. Отпечаток пальца «подобрать» сложнее, чем PIN-код. Но если задуматься о том, как может быть реализована биометрическая аутентификация в обычной флешке, то становится ясно, что эталон хранится на самой же флешке (флешке больше негде его хранить), а сравнение производится в оперативной памяти ПК (так как у флешки нет своих вычислительных ресурсов). Все следствия очевидны:

1) у системы есть доступ к флешке до аутентификации (иначе как она получит эталон?),

2) решение «сошлось» принимается в оперативной памяти компьютера.

Это значит, что на специально подготовленном компьютере (иными словами, на своем компьютере) злоумышленник сможет открыть флешку.

Шифрование данных на флешке, пожалуй, самый убедительный из традиционных способов. Однако ограничения у этого способа все те же, что описаны выше в отношении биометрии.

Где-то на флешке хранится ключ, на котором в оперативной памяти ПК будут расшифровываться данные. Чтобы система получила доступ к ключу, нужно корректно аутентифицироваться. Таким образом, шифрование вообще никак не повышает защищенности флешки с PIN-кодом или «пальцем», так как задача сводится к предыдущему случаю — передать данные о корректной аутентификации.

Как же обстоит дело в случае применения «Секрета»?

Злоумышленник добыл «Секрет» и подключает его к своему «специально обученному» компьютеру.

Все, что он увидит, — это некое «другое устройство» в «Устройствах». Ни одного «съемного диска» в «моем компьютере» не появится, запроса PIN-кода тоже.

Доступа к диску «Секрета» и к данным, которые его открывают, нет ни у пользователя, ни у системы, поэтому запускать какие-то свои специальные программы злоумышленнику бессмысленно.

Отъем

Надо отдавать себе отчет в том, что злоумышленник понимает: за такую мелочь, как флешка, скорее всего, человек не будет биться до последнего, и в общем случае сработает вариант отобрать и, оказав психологическое давление (а сам факт отъема окажет на большинство людей известное психологическое давление!), выяснить PIN-код, если он имеется.

Фантазировать насчет биометрии - совершенно не хочется.

Шифрование не поможет по тем же причинам: выяснить данные, необходимые для доступа к ключу, не сложно.

Как же обстоит дело в случае применения «Секрета»?

Смело отдавайте флешку и называйте PIN-код, не подвергайтесь опасности физического воздействия. Пускай злоумышленник уносит все это: на его компьютере «Секрет» не примонтируется и не запросит PIN-код.

Развивая сюжет боевика, можно вообразить ситуацию, что злоумышленник взял владельца с собой, чтобы убедиться, что тот назвал ему верный PIN-код. Мол, если не подойдет — поговорим по-другому.

Ничего страшного, он сам убедится, что «флешка сломанная» — не появляется диск в «Моем компьютере» и все тут.

Завладение оставленным без присмотра устройством

Наверное, самый распространенный способ получить чужую флешку — это взять ее там, где пользователь ее бросил «на 5 минут», вздремнув или отойдя попить кофе.

С точки зрения противодействия злоумышленнику этот случай не отличается от случая с кражей. С точки зрения действий злоумышленника по обходу этих защитных мер и получению доступа к диску флешки — тоже.

Однако есть существенная деталь, заставляющая рассматривать эту ситуацию как отдельную. В случае с кражей или потерей владелец устройства знает о том, что инцидент произошел. В описываемой же ситуации вполне реально представить все так, будто ничего и не было. Пользователь видит флешку на месте и не имеет ни малейших оснований для опасений, что его данные стали кому-то известны, а возможно, искажены, а возможно, флешка заражена вирусами или иными вредоносными программами.

И если для подбора PIN-кода или иной аутентифицирующей информации для доступа к данным (или к ключу для расшифрования данных) компьютер (ноутбук) злоумышленника должен быть снабжен минимальным инструментарием, а сам злоумышленник должен иметь минимальную квалификацию, то для того, чтобы записать на флешку вредоносный код или просто заразить ее вирусами, ничего этого не нужно.

Как уже упоминалось выше, любая флешка с аутентификационными механизмами должна «пускать» к себе систему ПК, так как верификация предъявленных аутентифицирующих данных должна производиться в оперативной памяти компьютера, в которую необходимо загрузить эталон, хранящийся на флешке (система должна получить доступ к флешке, чтобы получить данные для проведения аутентификации).

У системы есть доступ к флешке, значит, есть он и у вредоносного ПО. Game over.

Как же обстоит дело в случае применения «Секрета»?

До успешного прохождения взаимной аутентификации «Секрета» с компьютером и успешной аутентификации пользователя в устройстве — взаимодействие производится только с модулем аутентификации «Секрета», который физически отделен от флеш-памяти. Флеш-диск при этом не примонтирован и недоступен системе — ни на чтение, ни на запись.

Злоумышленник может экспериментировать с устройством сколько угодно, но на диск устройства при этом ничего не запишется, пока злоумышленник не пройдет все этапы аутентификации.

Ну а тот факт, что и пройти все этапы аутентификации ему не удастся, был уже доказан выше.

Заметим, что для случаев, когда важно не только не допустить успешной реализации такой атаки, но и знать обо всех попытках атак, в продукте «Секрет Особого Назначения» ведется аппаратный журнал событий, в котором фиксируются все без исключения попытки подключения устройства к различным компьютерам — вне зависимости от того, успешной или нет была попытка.

Если у Вас возникли хоть малейшие подозрения (флешка, кажется, лежала не совсем здесь) — их можно проверить, чтобы знать точно.

Завладение путем мошенничества и социальной инженерии

По сути дела, это «мягкий» вариант «отъема», отягченный, впрочем, дополнительными обстоятельствами:

1. пострадавший не знает (во всяком случае, в первый момент), что стал жертвой покушения, — и не предпринимает своевременных мер;
2. при определенной квалификации мошенник может выстроить многоступенчатый сценарий атаки на систему, включающий не только единовременное завладение флешкой, но также и подмену данных, то же заражение системы или внедрение в нее нужных ему закладок.

Очевидно, что, если флешки с PIN-кодом, биометрией и шифрованием бессильны в случае отъема и кражи, бессильны они и в этом случае. Наоборот, доверяя злоумышленнику, пользователь не только введет PIN-код и приложит палец, но и проследит, чтобы у злоумышленника все было хорошо.

Как же обстоит дело в случае применения «Секрета»?

Возможны два сценария развития событий в зависимости от того, как построена система работы с «Секретами» в организации.

Если пользователь не знает, как организована система защиты, а работает просто по факту — «на легальных компьютерах работать сможешь, на нелегальных — нет», он подумает, что либо компьютер нелегальный (и заподозрит злоумышленника), либо флешка сломалась. Так или иначе, даже будучи предельно доверчивым, помочь злоумышленнику открыть «Секрет» он не сможет.

Если же пользователь в курсе, как работает «Секрет», то он будет уверен: человек, который его склоняет отдать флешку, либо будет ее использовать в рамках легальной системы, а значит, «свой», либо не сможет использовать «Секрет».

Покупка у мотивированного инсайдера

Совершенно невозможно спорить с тем, что ни PIN-код, ни биометрическая аутентификация, ни зашифрование/расшифрование данных на флешке на основании введенных аутентификационных данных пользователя не могут защитить от того, что легальный пользователь сам может отдать флешку заинтересованным лицам на привлекательных для себя условиях, или скопирует данные на домашний компьютер и отправит куда-то по почте, или принесет в информационную систему какие-то программы или данные в интересах третьих лиц.

Легальный пользователь — полновластный хозяин флешки.

Неужели с этим нужно смириться и подозревать всех, кто работает с флешками, каждый раз, когда они унесли их домой? Ведь проверить, «было или не было?», невозможно.

Как же обстоит дело в случае применения «Секрета»?

Основной этап системы контроля доступа в «Секрете» — взаимная аутентификация «Секрета» и компьютера. В «Секрете» есть база компьютеров, а на компьютерах — база «Секретов». Только после того, как «Секрет» опознал компьютер, который для него разрешен, а компьютер опознал «Секрет», которому можно на нем работать, процедура контроля доступа переходит к стадии аутентификации пользователя.

Будь пользователь абсолютно легальным - «Секрет» даже и не узнает об этом, если подключить он (пользователь) его («Секрет») пытается к «постороннему» компьютеру.

В таком случае просто бессмысленно уносить «Секрет» с собой.

Если же владелец хочет не только иметь уверенность в том, что флешка не была использована на чужих компьютерах, но и иметь возможность в любой момент проверить честность своих сотрудников - проверить, не пытались ли они сделать что-то подобное, то этого можно добиться, используя «Секрет Особого Назначения». В «Секрете Особого Назначения» в специальном аппаратном журнале администратор может увидеть записи обо всех случаях подключений, даже неудачных. Это даст возможность не сомневаться, а проверить — и убедиться в добросовестности своих сотрудников.

Автор: Конявская С. В.

Дата публикации: 01.01.2014

Библиографическая ссылка: Конявская С. В. О действенных методах защиты съемных носителей // Information Security/Информационная безопасность. М., 2014. № 5 (ноябрь). С. 44–45.

---