О физиках, лириках и флешках
Светлана Конявская, 15/09/23
Гуманитарные знания, без сомнений, делают мир лучше. Точнее, они дают методологию того, как это в принципе можно было бы сделать. Это бесконечно важно (во всяком случае, я как гуманитарий в этом уверена). Но проблема в том, что эффективное применение гуманитарных знаний на практике требует не только высокой квалификации, но также много времени, сил и денег.
Автор: Светлана Конявская-Счастнвя, зам. генерального директора АО “ОКБ САПР”, к.ф.н., доцент кафедры защиты информации ФРКТ МФТИ
Существенно лучше сделать так, чтобы сотрудники добровольно и осознанно вели себя хорошо, чем вводить правила и ограничения, исполнение которых контролировать организационными и техническими мерами. Однако у большинства из нас на воспитание 1–2 приличных человек уходит примерно вся жизнь непрерывного живого участия в процессе. Вряд ли возможно за разумные деньги организовать что-то подобное в отношении целого коллектива. Технические же меры на людей действуют слабо. Однако они прекрасно действуют на технические средства. Важно только точно определить, какие меры целесообразны, а какие дают чисто декоративный эффект.
Что особенного во флешках
В отличие от угроз данным в сетях или на локальных компьютерах, которые реализуются весьма разнообразными атаками, угрозы, связанные с флешками, характеризуются очень мощными общими признаками возможных атак: 1) физическое завладение устройством и 2) получение доступа к его памяти на каком-то ПК.
Защитить маленькое устройство от кражи (находки в результате целенаправленного поиска, провокации потери) крайне сложно, а техническими методами – вообще практически невозможно.
Да и применение организационных мер крайне затруднительно, поскольку на физическое владение таким маленьким предметом очень сильно влияет характер пользователя: рассеянный он, или любит похвалиться, или нечист на руку, или доверчивый... То есть мы стремительно движемся в сторону области действия гуманитарных знаний.
Техническая задача защиты флешки сводится к тому, чтобы сделать нелегальное физическое обладание ею бессмысленным. Эта задача решена в защищенной флешке “Секрет Особого Назначения”. Коротко рассмотрим, как.
[img]https://www.itsec.ru/hs-fs/hubfs/ris1-Sep-15-2023-07-49-03-5353-AM.jpg?width=2022&height=2000&name=ris1-Sep-15-2023-07-49-03-5353-AM.jpg[/img]
Находка или кража
Потерять маленькое устройство очень просто, тем более если пользователь по характеру не очень внимательный и собранный.
Невозможно знать, потеряна флешка или украдена, как распорядится ею тот, кто нашел.
В такой ситуации совершенно не успокаивает наличие в системе организации USB-фильтров и DLP-систем. Это утешение звучит даже несколько издевательски, ведь флешка-то уже не в системе.
Насколько в этой ситуации может успокоить ПИН-код – вопрос философский. Предназначенные для подбора ПИН-кода программы сегодня есть у каждого студента. Теоретически можно бороться с этим, увеличивая длину ПИН-кода. Но чем длиннее ПИН-код, тем выше вероятность того, что он записан на корпусе флешки.
Считается, что отпечаток пальца "подобрать" сложнее, чем ПИН-код. Но если задуматься о том, как может быть реализована биометрическая аутентификация в обычной флешке, то становится предельно ясно, что эталон хранится на самой же флешке (флешке больше негде его хранить), а сравнение производится в оперативной памяти ПК (так как у флешки нет своих вычислительных ресурсов). Все следствия очевидны:
У системы есть доступ к флешке до аутентификации (иначе как она получит эталон?).
Решение "сошлось" принимается в оперативной памяти компьютера (иначе где?).
Это значит, что на специально подготовленном компьютере (иными словами, на своем компьютере) злоумышленник сможет открыть флешку.
Шифрование данных на флешке – пожалуй, самый психологически убедительный из традиционных способов. Однако ограничения у него все те же: где-то на флешке хранится ключ, на котором в оперативной памяти ПК будут расшифровываться данные. Чтобы система получила доступ к ключу, нужно корректно аутентифицироваться. Таким образом, шифрование вообще никак не повышает защищенность флешки с ПИН-кодом или "пальцем", так как задача сводится к той же – передать данные о корректной аутентификации.
Как же обстоит дело в случае применения "Секрета"?
Злоумышленник добыл "Секрет" и подключает его к своему "специально обученному" компьютеру. Все, что он увидит, – это появившаяся строка "другое устройство" в "Устройствах". Запускать какие-то специальные программы для взлома злоумышленнику бессмысленно, так как в системе не появилось никакого подключенного съемного диска.
Отъем
За такую мелочь, как флешка, скорее всего, человек не будет биться до последнего, значит, "выяснить" ПИН-код не вызовет затруднений у "серьезно настроенного" злоумышленника.
Фантазировать насчет биометрии – совершенно не хочется.
Шифрование не поможет по тем же причинам: достаточно выяснить данные, необходимые для доступа к ключу.
Как же обстоит дело в случае применения "Секрета"?
Применять силовые меры обычно неприятно, поэтому, скорее всего, отняв флешку и выяснив аутентифицирующую информацию, злоумышленник с невольным "инсайдером" расстанется.
А на его компьютере "Секрет" не примонтируется и не запросит ПИН-код.
Развивая сюжет боевика, можно вообразить ситуацию, что злоумышленник взял владельца с собой, чтобы убедиться, что тот назвал ему верный ПИН-код. Мол, "если не подойдет – поговорим по-другому".
Ничего страшного, он сам убедится, что "флешка сломанная": не появляется диск в "Моем компьютере", некуда вводить ПИН-код.
Завладение оставленным без присмотра устройством
Наверное, самый распространенный способ получить чужую флешку – это взять ее там, где пользователь ее бросил "на пять минут", вздремнув или отойдя попить кофе. В этот момент сотрудник и становится "инсайдером" .
С точки зрения противодействия злоумышленнику этот случай не отличается от случая с кражей. С точки зрения действий злоумышленника – тоже.
Однако в случае с кражей или потерей владелец устройства знает о том, что инцидент произошел. А тут пользователь видит флешку на месте и не имеет ни малейших оснований для опасений.
Причем если для подбора ПИН-кода или иной аутентифицирующей информации компьютер (ноутбук) злоумышленника должен быть снабжен минимальным инструментарием, а сам злоумышленник должен иметь минимальную квалификацию, то для того, чтобы записать на флешку вредоносный код или просто заразить ее вирусами, ничего этого не нужно.
У системы есть доступ к флешке, значит, есть он и у вредоносного ПО. Game over.
Как же обстоит дело в случае применения "Секрета"?
До успешного прохождения взаимной аутентификации "Секрета" с компьютером и успешной аутентификации пользователя в устройстве взаимодействие производится только с модулем аутентификации "Секрета", который физически отделен от флеш-памяти. Флеш-диск при этом не примонтирован и недоступен системе ни на чтение, ни на запись.
Заметим, что для случаев, когда важно не только не допустить успешной реализации такой атаки, но и знать обо всех попытках атак, в продукте "Секрет Особого Назначения" ведется аппаратный журнал событий, в котором фиксируются все попытки подключения устройства к различным компьютерам вне зависимости от того, успешной или нет была попытка.
Если у вас возникли хоть малейшие подозрения (флешка, кажется, лежала не совсем здесь), можно проверить, чтобы знать точно.
Завладение путем мошенничества и социальной инженерии
По сути дела, это "мягкий" вариант "отъема", отягченный, впрочем, дополнительными обстоятельствами:
пострадавший не знает (во всяком случае, в первый момент), что стал жертвой покушения, и не предпринимает своевременных мер;
при определенной квалификации мошенник может выстроить многоступенчатый сценарий атаки на систему, включающий не только единовременное завладение флешкой, но также и подмену данных, то же заражение системы или внедрение в нее нужных ему закладок.
Очевидно, что, если флешки с ПИН-кодом, биометрией и шифрованием бессильны в случае отъема и кражи, бессильны они и в этом случае. Наоборот, доверяя злоумышленнику, пользователь не только введет ПИН-код и приложит палец, но и проследит, чтобы у злоумышленника все было хорошо.
Как же обстоит дело в случае применения "Секрета"?
Это самый интересный случай, поскольку в нем человеческий фактор имеет, казалось бы, решающий вес.
Возможны два сценария развития событий.
Если пользователь не знает, как организована система защиты (пользователям это знать не обязательно), а работает просто по факту – "на легальных компьютерах работать сможешь, на нелегальных – нет", – он подумает, что либо компьютер нелегальный, либо флешка сломалась. Так или иначе, даже будучи предельно доверчивым, помочь злоумышленнику открыть "Секрет" он не сможет.
Если же пользователь в курсе, как работает "Секрет", но мошенник сможет убедить пользователя, что правда на его стороне, пользователь будет вынужден обратиться к администратору за предоставлением разрешения на доступ, а администратор четко знает политику назначения прав.
Покупка у мотивированного инсайдера
Невозможно спорить с тем, что ни ПИН-код, ни биометрическая аутентификация, ни шифрование данных не могут защитить от того, что легальный пользователь сам может отдать флешку заинтересованным лицам на привлекательных для себя условиях, или скопирует данные на домашний компьютер и отправит куда-то по почте, или принесет в информационную систему какие-то программы или данные в интересах третьих лиц.
Легальный пользователь – полновластный хозяин флешки.
Неужели с этим нужно смириться и подозревать всех, кто работает с флешками, каждый раз, когда они унесли их домой? Ведь проверить, "было или не было?", невозможно.
Как же обстоит дело в случае применения "Секрета"?
Основной этап системы контроля доступа в "Секрете" – аутентификация компьютера. В "Секрете" есть база компьютеров, только после того, как "Секрет" опознал компьютер, который для него разрешен, процедура контроля доступа переходит к стадии аутентификации пользователя.
То есть если "Секрет" подключен к постороннему компьютеру, он даже не станет выяснять, легален ли пользователь.
В таком случае просто бессмысленно уносить "Секрет" с собой.
Если же владелец хочет иметь возможность в любой момент проверить честность своих сотрудников – проверить, не пытались ли они подключать "Секрет", то это можно сделать, так как в "Секрете Особого Назначения" в специальном аппаратном журнале администратор может увидеть записи обо всех случаях подключений, даже неудачных. Это даст возможность не сомневаться, а проверить – и убедиться в добросовестности своих сотрудников.
Несколько лет назад я с интересом прочитала цикл статей, который, по словам автора, был вдохновлен моим учебником "Прикладная риторика для специалистов по защите информации". Основная идея цикла была в том, что безопаснику нужно проявлять к людям разного рода человечность, чтобы им нравиться, и тогда они хотя бы не будут делать назло. Это, безусловно, тоже крайне важно, но, к сожалению, людям удается и из лучших побуждений натворить бед. Там, где может помочь простое техническое решение, стоит этим воспользоваться!
www.itsec.ru