Защита конфиденциальных данных на ноутбуках и КПК

Одной из самых опасных угроз сегодня является несанкционированныйдоступ. Согласно исследованию Института компьютерной безопасности и ФБР(см. CSI/FBI Computer Crime and Security Survey 2005), впрошлом году 55% компаний зарегистрировали инциденты, связанные снеправомочным доступом к данным. Более того, вследствиенеавторизованного доступа каждая фирма потеряла в 2005 году в среднем$303тыс. Причем по сравнению с 2004 годом убытки увеличились в шесть раз.Таким образом, суммарные убытки, которые понесли свыше 600 опрошенныхфирм, за год превысили $30 млн (см. диаграмму).

Проблема усугубляется тем, что за неавторизованным доступом кконфиденциальной информации часто следует ее кража. В результате такойкомбинации двух чрезвычайно опасных угроз убытки компании могутвозрасти в несколько раз (в зависимости от ценности похищенных данных).Кроме того, фирмы нередко сталкиваются и с физической кражей мобильныхкомпьютеров, вследствие чего реализуются как угрозынесанкционированного доступа, так и кражи чувствительной информации.Кстати, стоимость самого портативного устройства зачастую несопоставимасо стоимостью записанных на нем данных.

Проблемы, возникающие у предприятия в случае утечки информации,особенно показательны на примере кражи ноутбуков. Достаточно вспомнитьнедавние инциденты, когда у компании Ernst&Young в течениенескольких месяцев было похищено пять ноутбуков, содержащих приватныесведения клиентов фирмы: компаний Cisco, IBM, Sun Microsystems, BP,Nokia и т. д. Здесь в высшей мере проявился такойтрудноизмеримый показатель нанесенного ущерба, как ухудшение имиджа иснижение доверия со стороны клиентов. Между тем аналогичные трудностииспытывает множество компаний.

Так, в марте 2006 года фирма Fidelity потеряла ноутбук с приватнымиданными 200 тыс. служащих HP, а в феврале аудиторская компанияPricewaterhouseCoopers лишилась ноутбука с чувствительнымисведениями 4 тыс. пациентов одного американского госпиталя. Еслипродолжать список, то в него попадут такие известные компании, как Bankof America, Kodak, Ameritrade, Ameriprise, Verizon, идругие.

Таким образом, помимо защиты конфиденциальной информации отнесанкционированного доступа необходимо оберегать и сам физическийноситель. При этом надо учитывать, что такая системабезопасности должна быть абсолютно прозрачной и не доставлятьпользователю трудностей при доступе к чувствительным данным ни вкорпоративной среде, ни при удаленной работе (дома или вкомандировке).

До сих пор ничего более эффективного в области защиты информации отнесанкционированного доступа, чем шифрование данных, не изобретено. Приусловии сохранности криптографических ключейшифрование гарантирует безопасность чувствительных данных.

Технологии шифрования

Для того чтобы защитить информацию от несанкционированного доступа,применяются технологии шифрования. Однако у пользователей, необладающих надлежащими знаниями о методах шифрования, можетвозникнуть ложное ощущение, будто все чувствительные данные надежнозащищены. Рассмотрим основные технологии шифрования данных.

  • Пофайловое шифрование. Пользователь сам выбирает файлы,которые следует зашифровать. Такой подход не требует глубокойинтеграции средства шифрования в систему, а следовательно, позволяетпроизводителям криптографических средств реализоватьмультиплатформенное решение для Windows, Linux, MAC OS X и т. д.
  • Шифрование каталогов. Пользователь создает папки, все данныев которых шифруются автоматически. В отличие от предыдущего подходашифрование происходит на лету, а не по требованию пользователя. Вцелом шифрование каталогов довольно удобно и прозрачно, хотя в егооснове лежит все то же пофайловое шифрование. Такой подход требуетглубокого взаимодействия с операционной системой, поэтому зависитот используемой платформы.
  • Шифрование виртуальных дисков. Концепция виртуальных дисковреализована в некоторых утилитах компрессии, например Stacker илиMicrosoft DriveSpace. Шифрование виртуальных дисков подразумеваетсоздание большого скрытого файла на жестком диске. Этот файл вдальнейшем доступен пользователю как отдельный диск (операционнаясистема видит его как новый логический диск). Например, диск Х:\.Все сведения, хранящиеся на виртуальном диске, находятся взашифрованном виде. Главное отличие от предыдущих подходов в том, чтокриптографическому программному обеспечению не требуется шифроватькаждый файл по отдельности. Здесь данные шифруются автоматически толькотогда, когда они записываются на виртуальный диск или считываются снего. При этом работа с данными ведется на уровне секторов(обычно размером 512 байт).
  • Шифрование всего диска. В этом случае шифруется абсолютно все: загрузочный сектор Windows, все системные файлы и любая другая информация на диске.
  • Защита процесса загрузки. Если зашифрован весь диск целиком,то операционная система не сможет запуститься, пока какой-либо механизмне расшифрует файлы загрузки. Поэтому шифрование всего дискаобязательно подразумевает и защиту процесса загрузки. Обычнопользователю требуется ввести пароль, чтобы операционная система могластартовать. Если пользователь введет пароль правильно, программашифрования получит доступ к ключам шифрования, что позволит читатьдальнейшие данные с диска.

Таким образом, существует несколько способов зашифровать данные.Некоторые из них менее надежные, некоторые более быстрые, а частьвообще не годится для защиты важной информации. Чтобы иметьвозможность оценить пригодность тех или иных методов, рассмотримпроблемы, с которыми сталкивается криптографическое приложение призащите данных.

Особенности операционных систем

Остановимся на некоторых особенностях операционных систем, которые,несмотря на все свои положительные функции, подчас только мешаютнадежной защите конфиденциальной информации. Далее представленынаиболее распространенные системные механизмы, оставляющие длязлоумышленника ряд лазеек и актуальные как для ноутбуков, так и дляКПК.

  • Временные файлы. Многие программы (в том числе иоперационная система) используют временные файлы для храненияпромежуточных данных во время своей работы. Часто во временный файлзаносится точнаякопия открытого программой файла, что позволяет обеспечить возможностьполного восстановления данных в случае непредвиденных сбоев. Конечно,полезная нагрузка временных файлов велика, однако, будучинезашифрованными, такие файлы несут прямую угрозу корпоративнымсекретам.
  • Файлы подкачки (или swap-файлы). Очень популярной всовременных операционных системах является технология swap-файлов,позволяющая предоставить любому приложению практически неограниченныйобъемоперативной памяти. Так, если операционной системе не хватает ресурсовпамяти, она автоматически записывает данные из оперативной памяти нажесткий диск (в файл подкачки). Как только возникаетпотребность воспользоваться сохраненной информацией, операционнаясистема извлекает данные из swap-файла и в случае необходимостипомещает в это хранилище другую информацию. Точно так же, как и впредыдущем случае, в файл подкачки легко может попасть секретнаяинформация в незашифрованном виде.
  • Выравнивание файлов. Файловая система Windows размещаетданные в кластерах, которые могут занимать до 64 секторов. Даже еслифайл имеет длину в несколько байтов, он все равно займет целыйкластер. Файл большого размера будет разбит на порции, каждая размеромс кластер файловой системы. Остаток от разбиения (обычно последниенесколько байтов) все равно будет занимать целый кластер.Таким образом, в последний сектор файла попадает случайная информация,которая находилась в оперативной памяти ПК в момент записи файла надиск. Там могут оказаться пароли и ключи шифрования. Другимисловами, последний кластер любого файла может содержать довольночувствительную информацию, начиная от случайной информации изоперативной памяти и заканчивая данными из электронных сообщений итекстовых документов, которые раньше хранились на этом месте.
  • Корзина. Когда пользователь удаляет файл, Windows перемещаетего в корзину. Пока корзина не очищена, файл можно легко восстановить.Тем не менее, даже если очистить корзину, данные все равнофизически останутся на диске. Другими словами, удаленную информациюочень часто можно найти и восстановить (если поверх нее не былозаписано других данных). Для этого существует огромное количествоприкладных программ, некоторые из них бесплатны и свободнораспространяются через Интернет.
  • Реестр Windows. Сама система Windows, как и большоеколичество приложений, хранит свои определенные данные в системномреестре. Например, web-браузер сохраняет в реестре доменные имена техстраниц, которые посетил пользователь. Даже текстовый редактор Wordсохраняет в реестре имя файла, открытого последним. При этом реестриспользуется ОС при загрузке. Соответственно, если какой-либометод шифрования запускается после того, как загрузилась Windows, торезультаты его работы могут быть скомпрометированы.
  • Файловая система Windows NT (NTFS). Считается, что файловаясистема со встроенным управлением доступом (как в Windows NT) являетсябезопасной. Тот факт, что пользователь должен ввести пароль дляполучения доступа к своим персональным файлам, оставляет ложноеощущение, будто личные файлы и данные надежно защищены. Тем не менеедаже файловая система со встроенными списками контроля доступа(Access Control List — ACL), например NTFS, не обеспечивает абсолютноникакой защиты против злоумышленника, имеющего физический доступ кжесткому диску или права администратора на данном компьютере.В обоих случаях преступник может получить доступ к секретным данным.Для этого ему понадобится недорогой (или вообще бесплатный) дисковыйредактор, чтобы прочитать текстовую информацию на диске, ккоторому у него есть физический доступ.
  • Режим сна. Этот режим очень популярен на ноутбуках, так какпозволяет сэкономить энергию батареи в тот момент, когда компьютервключен, но не используется. Когда лэптоп переходит в состояние сна,операционная система копирует на диск абсолютно все данные, находящиесяв оперативной памяти. Таким образом, когда компьютер проснется,операционная система легко сможет восстановить свое прежнеесостояние. Очевидно, что в этом случае на жесткий диск легко можетпопасть чувствительная информация.
  • Скрытые разделы жесткого диска. Скрытый раздел — это такойраздел, который операционная система вообще не показывает пользователю.Некоторые приложения (например, те, что занимаютсяэнергосбережением на ноутбуках) используют скрытые разделы, чтобыхранить в них данные вместо файлов на обычных разделах. При такомподходе информация, размещаемая на скрытом разделе, вообще никак незащищается и легко может быть прочитана кем угодно с помощью дисковогоредактора.
  • Свободное место и пространство между разделами. Сектора всамом конце диска не относятся ни к одному разделу, иногда ониотображаются как свободные. Другое незащищенное место — пространствомеждуразделами. К сожалению, некоторые приложения, а также вирусы могутхранить там свои данные. Даже если отформатировать жесткий диск, этаинформация останется нетронутой. Ее легко можновосстановить.

Таким образом, чтобы эффективно защитить данные, недостаточно ихпросто зашифровать. Необходимо позаботиться о том, чтобы копиисекретной информации не утекли во временные и swap-файлы, а такжев другие потайные места операционной системы, где они уязвимы длязлоумышленника.

Пригодность различных подходов к шифрованию данных

Рассмотрим, как различные подходы к шифрованию данных справляются с особенностями операционных систем.

Пофайловое шифрование (схема 1).Данный метод используется в основном для того, чтобы посылатьзашифрованные файлы по e-mail или через Интернет. В этом случаепользователь шифрует конкретный файл,который необходимо защитить от третьих лиц, и отправляет егополучателю. Такой подход страдает низкой скоростью работы, особеннокогда дело касается больших объемов информации (ведь требуетсяшифровать каждый прикрепляемый к письму файл). Еще одной проблемойявляется то, что шифруется лишь файл-оригинал, а временные файлы и файлподкачки остаются полностью незащищенными, поэтому защитаобеспечивается только от злоумышленника, пытающегося перехватитьсообщение в Интернете, но не против преступника, укравшего ноутбук илиКПК. Таким образом, можно сделать вывод: пофайловое шифрованиене защищает временные файлы, его использование для защиты важнойинформации неприемлемо. Тем не менее данная концепция подходит дляотправки небольших объемов информации через сеть от компьютера ккомпьютеру.

Шифрование папок. В отличие от пофайлового шифрования данныйподход позволяет переносить файлы в папку, где они будут зашифрованыавтоматически. Тем самым работать с защищенными данными намногоудобнее. Поскольку в основе шифрования папок лежит пофайловоешифрование, оба метода не обеспечивают надежной защиты временныхфайлов, файлов подкачки, не удаляют физически данные с диска и т. д.Более того, шифрование каталогов очень неэкономично сказывается наресурсах памяти и процессора. От процессора требуется время дляпостоянного зашифровывания/расшифровывания файлов, также для каждогозащищенного файла на диске отводится дополнительное место (иногда более2 кбайт). Все это делает шифрование каталогов очень ресурсоемким имедленным. Если подвести итог, то хотя данный метод довольнопрозрачен, его нельзя рекомендовать для защиты важной информации.Особенно если злоумышленник может получить доступ к временным файламили файлам подкачки.

Шифрование виртуальных дисков (схема 2).Эта концепция подразумевает создание скрытого файла большого размера,находящегося на жестком диске. Операционная система работает с ним какс отдельнымлогическим диском. Пользователь может помещать программное обеспечениена такой диск и сжимать его, чтобы сэкономить место. Рассмотримпреимущества и недостатки данного метода.

Прежде всего, использование виртуальных дисков создает повышеннуюнагрузку на ресурсы операционной системы. Дело в том, что каждый разпри обращении к виртуальному диску операционной системеприходится переадресовывать запрос на другой физический объект — файл.Это, безусловно, отрицательно сказывается на производительности.Вследствие того, что система не отождествляет виртуальный дискс физическим, могут возникнуть проблемы с защитой временных файлов ифайла подкачки. По сравнению с шифрованием каталогов концепциявиртуальных дисков имеет как плюсы, так и минусы. Например,зашифрованный виртуальный диск защищает имена файлов, размещенные ввиртуальных файловых таблицах. Однако этот виртуальный диск не можетбыть расширен столь же просто, как обыкновенная папка, чтоочень неудобно. Подводя итог, можно сказать, что шифрование виртуальныхдисков намного надежнее двух предыдущих методов, но может оставить беззащиты временные файлы и файлы подкачки, еслиразработчики специально об этом не позаботятся.

Шифрование всего диска (схема 3).В основе данной концепции лежит не пофайловое, а посекторноешифрование. Другими словами, любой файл, записанный на диск, будетзашифрован. Криптографическиепрограммы шифруют данные прежде, чем операционная система поместит ихна диск. Для этого криптографическая программа перехватывает всепопытки операционной системы записать данные на физический диск(на уровне секторов) и производит операции шифрования на лету.Благодаря такому подходу зашифрованными окажутся еще и временные файлы,файл подкачки и все удаленные файлы. Логичным следствием данногометода должно стать существенное снижение общего уровняпроизводительности ПК. Именно над этой проблемой трудятся многиеразработчики средств шифрования, хотя несколько удачных реализацийтакихпродуктов уже есть. Можно подвести итог: шифрование всего дискапозволяет избежать тех ситуаций, когда какая-либо часть важных данныхили их точная копия остаются где-нибудь на диске внезашифрованном виде.

Защита процесса загрузки. Как уже отмечалось, защищатьпроцесс загрузки целесообразно при шифровании всего диска. В этомслучае никто не сможет запустить операционную систему, не пройдяпроцедуруаутентификации в начале загрузки. А для этого необходимо знать пароль.Если у злоумышленника есть физический доступ к жесткому диску ссекретными данными, то он не сможет быстро определить, гденаходятся зашифрованные системные файлы, а где — важная информация.Следует обратить внимание: если криптографическое программноеобеспечение шифрует весь диск целиком, но не защищает процессзагрузки, значит, оно не зашифровывает системные файлы и загрузочныесектора. То есть диск зашифровывается не полностью.

Таким образом, сегодня для надежной защиты конфиденциальных данныхна ноутбуках следует использовать технологию шифрования либовиртуальных дисков, либо всего диска целиком. Однако в последнемслучае необходимо убедиться в том, что криптографическое средство неотнимает ресурсы компьютера настолько, что это мешает работатьпользователям. Заметим, что российские компании пока не производятсредства шифрования диска целиком, хотя несколько таких продуктов ужесуществует на западных рынках. К тому же защищать данные на КПКнесколько проще, поскольку ввиду малых объемов хранимойинформации разработчики могут себе позволить шифровать вообще вседанные, например на флэш-карте.

Шифрование с использованием сильной аутентификации

Для надежного сохранения данных требуются не только мощные и грамотнореализованные криптографические технологии, но и средствапредоставления персонализированного доступа. В этой связи применениестрогой двухфакторной аутентификации на основе аппаратных ключей илисмарт-карт является самым эффективным способом хранения ключейшифрования, паролей, цифровых сертификатов и т. д. Чтобы успешнопройти процедуру сильной аутентификации, пользователю необходимопредъявить токен (USB-ключ или смарт-карту) операционной системе(например, вставить его в один из USB-портов компьютера или вустройство считывания смарт-карт), а потом доказать свое право владенияэтим электронным ключом (то есть ввести пароль). Таким образом, задачазлоумышленника, пытающегося получить доступ кчувствительным данным, сильно осложняется: ему требуется не простознать пароль, но и иметь физический носитель, которым обладают лишьлегальные пользователи.

Внутреннее устройство электронного ключа предполагает наличиеэлектронного чипа и небольшого объема энергонезависимой памяти. Спомощью электронного чипа производится шифрование и расшифровываниеданных на основе заложенных в устройстве криптографических алгоритмов.В энергонезависимой памяти хранятся пароли, электронные ключи, кодыдоступа и другие секретные сведения. Сам аппаратный ключзащищен от хищения ПИН-кодом, а специальные механизмы, встроенныевнутрь ключа, защищают этот пароль от перебора.

Итоги

Таким образом, эффективная защита данных подразумевает использованиенадежных средств шифрования (на основе технологий виртуальных дисковили покрытия всего диска целиком) и средств сильнойаутентификации (токены и смарт-карты). Среди средств пофайловогошифрования, идеально подходящего для пересылки файлов по Интернету,стоит отметить известную программу PGP, которая можетудовлетворить практически все запросы пользователя.

Довольно большое число российских производителей поставляютсредства шифрования на основе виртуальных дисков. Например, компанияAladdin имеет продукт Secret Disk NG, компания Физтехсофт —StrongDisk, компания SecurIT — Zdisk, а компания ЛанКрипто — цифровойсейф Индис. С точки зрения технологии, все эти продукты реализуютметод защиты на основе виртуальных дисков. Заметим, что нароссийском рынке не представлены продукты для шифрования всего дискацеликом. Тем не менее заинтересованный читатель может ознакомиться синформацией о них в Интернете. Одним из таких разработчиковявляется фирма WinMagic.

Среди производителей средств шифрования данных на КПК стоит отметитьЛабораторию Касперского. В состав продукта Kaspersky Security для PDAпомимо антивируса для портативных компьютеров входят исредства шифрования, позволяющие обеспечить полноценное шифрованиечувствительных данных.