Учебное пособие

Самоучитель системного администратора

9.5. Защита от утечки данных

Во время работы компьютера доступ к информации контролируется средствами операционной системы и программного обеспечения. Порядок настройки прав доступа не представляет особой сложности и успешно реализуется администраторами. Но как только данные выходят из-под контроля операционной системы (например, компьютер выключается или данные переносятся на сменный носитель), то исключить их попадание в чужие руки крайне сложно.

Шифрование данных

Шифрование данных на сегодня является самым надежным способом обеспечения конфиденциальности информации.

Применение шифрования ограничено действующим законодательством (например, требуется лицензия, необходимо применять только сертифицированные алгоритмы шифрования и т. п.), но на практике существует и применяется много вариантов кодирования данных.

Шифрование данных на устройствах хранения

Примечание

При работе с зашифрованной информацией важно исключить утечку по другим каналам: например, через временные файлы, которые система создает при обработке данных, через электромагнитное излучение монитора, на котором воспроизведен текст и т. п.

Шифрование архивов

Самый простой способ, но далеко не самый надежный. Для многих архиваторов разработаны программы подбора паролей, и, учитывая склонность пользователей к простым вариантам, информация из архивов может быть получена за конечное время.

Нужно также учитывать, что коммерческие варианты архиваторов могут иметь инженерные пароли, с помощью которых соответствующие службы при необходимости прочтут данные.

Бесплатные программы шифрования данных

Существует несколько программ, которые позволяют шифровать данные с высокой степенью надежности. Можно отметить такие продукты, как SCARABAY (http:// www.alnichas.info/, предназначена для шифрования личных данных и паролей), Crypt4Free (http://www.secureaction.com/, шифрует файлы на любых носителях, использует алгоритмы 128-битный DESX и 448-битный Blowfish) и др.

Я же хочу порекомендовать утилиту TrueCrypt (http://www.truecrypt.org/). Это бесплатное кроссплатформенное решение, версии которого есть для Windows 7/Windows XP, Mac OS, Linux). Косвенно качество программы подтверждает факт ее применения в вооруженных силах Израиля.

Утилита TrueCrypt создает виртуальный зашифрованный диск и монтирует его как реальный диск. Шифрование данных осуществляется в реальном режиме времени и не требует никаких дополнительных операций. При этом виртуальный зашифрованный диск может являться просто файлом на диске или сменном носителе компьютера или быть полностью преобразованным логическим диском (в том числе, и системным). Программа использует строгие алгоритмы (AES-256, Twofish и др.), для нее легко найти русификатор.

Среди особенностей программы отметим возможность создания скрытого тома (рис. 9.22).

Рис. 9.22.
Мастер создания скрытого тома

Цель создания скрытого тома следующая. Вы можете попасть в такую ситуацию, что вынуждены будете раскрыть пароль зашифрованного диска (специалисты смогут найти обнаружить контейнер, используемый для хранения зашифрованной информации). Для такого случая TrueCrypt позволяет создать для одного контейнера два зашифрованных диска, доступ к которым осуществляется по различным паролям. Вы можете сообщить первый пароль и расшифровать диск, на котором будет ничего не значащая информация. Обнаружить на свободной части этого диска на личие зашифрованных данных невозможно — там будут просто случайные данные, шум.

Примечание

Скрытый том создается вторым этапом на свободном месте первого зашифрованного диска. Программа никак не может контролировать запись данных на это место при работе с первым диском. Поэтому сначала нужно создать "открытый" вариант зашифрованного диска, заполнить его некими данными, а потом на оставшемся свободном месте создать скрытый том. И больше не записывать данные на первый диск.

Максимум, чем вы рискуете в такой ситуации, так это потерей данных на скрытом томе, поскольку знающий о такой возможности специалист может дописать данные на первый диск и исключить возможность дешифрования скрытого тома.

Утилиту TrueCrypt можно использовать и без установки (переносной, portable, вариант). Для этого нужно только на этапе установки программы выбрать Extract на втором шаге и распаковать в нужную папку переносную версию.

Шифрование дисков: коммерческие программы

Существует достаточное количество программ сторонних фирм, позволяющих реализовать возможность шифрования всего диска. Например, PGP, которая позволяет не только шифровать диски, но и осуществлять безопасную переписку по электронной почте (рис. 9.23).

Рис. 9.23.
Для создания зашифрованного диска в программе PGP достаточно определить только несколько параметров

Можно упомянуть также программы: Private Disk компании Dekart, SafeGuard компании Utimaco (в том числе версии для мобильных компьютеров, смартфонов), DriveCrypt компании SecurStar и др.

Коммерческие программы отличаются обычно большим количеством возможностей. Среди основных можно упомянуть поддержку специализированных сменных устройств для хранения ключей шифрования, что повышает стойкость защиты. Например, можно использовать устройства eToken, в которых реализована защита ключей шифрования — ключ не может быть считан, устройство сообщает только результаты его проверки.

Шифрование в Linux

Функции шифрования в Linux поддерживаются на уровне ядра операционной системы. В последних версиях, например, Ubuntu шифрование домашнего каталога предлагается в качестве выбора при установке операционной системы.

В случае необходимости шифрования всего диска и т. п. Соответствующие рекомендации легко найти в Сети (поиск по ключу dm-crypt).

Шифрование файловой системы Windows

Шифрование файлов присутствует в Windows, начиная с версии Windows 2000. Для этого диск компьютера должен быть отформатирован в файловой системе NTFS, а сам способ носит название EFS (Encrypted File System).

Примечание

Ограничение, которое существует при шифровании файлов, — это невозможность одновременного сжатия файлов и их шифрования. Вы можете либо сжимать данные для экономии места на диске, либо шифровать их в целях обеспечения безопасности данных.

Зашифровать файл (или папку с файлами) можно следующим образом: выделить его в задаче Проводник (или в любом окне просмотра папок диска) и открыть меню Свойства. Далее на вкладке Общие нажать кнопку Дополнительно и в окне Дополнительные атрибуты установить флажок Шифровать содержимое для защиты данных. После подтверждения операции данные будут зашифрованы. Если вы сохранили настройку параметров интерфейса в значениях по умолчанию, то шифрованные файлы и папки будут отображены светло-зеленым цветом.

После того как файл зашифрован, открыть его может только тот пользователь, который осуществил шифрование. Тот, кто зашифровал файл, может расширить число пользователей, имеющих возможность чтения данных. Для этого нужно опять раскрыть меню свойств файла и дойти до вкладки Дополнительные атрибуты. Если файл уже зашифрован, то будет доступна кнопка Подробно. При ее нажатии вы увидите окно, в котором перечислены пользователи (рис. 9.24), которые могут расшифровать файл.

Рис. 9.24.
Список пользователей, которым разрешено расшифровать данные файла

Чтобы добавить нового пользователя, достаточно нажать кнопку Добавить и выбрать пользователей, которые имеют на данном компьютере сертификат.

Совет

Самый простой способ получения сертификата — попытаться зашифровать файл. Во время операции будет создан сертификат, если он отсутствовал.

Если вы работаете в составе домена, то учитывайте, что в корпоративных политиках предусматривается наличие специального пользователя, которому разрешается расшифровывать все данные. Делается это в целях сохранности производственной информации в непредвиденных ситуациях (несчастный случай с работником и т. п.).

Технически такая политика реализуется либо включением дополнительного сертификата восстановления (пользователя) в свойства файла. Кроме того, администратор может настроить опции так, что при создании пары ключей пользователя его закрытый ключ будет храниться в виде копии в службе каталогов. В результате специально назначенный администратор сможет при необходимости восстановить этот ключ и получить доступ к файлу (фактически от имени пользователя).

При шифровании файлов следует учитывать также то, что параметры операции привязаны к параметрам безопасности учетной записи. Если получить доступ к паролю, то можно и расшифровать этот файл. Так, в Интернете сегодня можно найти несколько утилит, с помощью которых восстанавливается информация из зашифрованных таким способом файлов.

EFS можно использовать и для сменных носителей, но для этого их нужно сначала отформатировать в файловой системе NTFS.

Шифрование диска при помощи BitLocker

В старшие версии Windows (Windows Vista/Windows 7 Максимальная/Корпоративная, Windows 2008 R2) включена возможность шифрования данных на диске по технологии BitLocker. Помимо требований к версии ОС, для установки необходим компьютер с совместимой версией BIOS, наличием модуля TPM версии 1.2 (Trusted Platform Module — специальной микросхемы на материнской плате компьютера для хранения конфиденциальной информации). При наличии модуля TPM один из ключей, используемых при шифровании данных, хранится в этом модуле, что обеспечивает самый высокий уровень его защиты.

С использованием BitLocker могут быть зашифрованы системные логические диски и диски с данными (отформатированные в NTFS, FAT16/32, ExFAT), сменные носители, использующие флэш-память (флэшки), логические диски на RAID-массивах — все независимо от варианта подключения (IDE, ATA, SATA, SCSI, USB, Fireware).

Если предполагается зашифровать системный диск, то перед включением BitLocker необходимо, чтобы на диске было создано как минимум два раздела: на одном из них, размером не менее 100—300 Мбайт (размер зависит от выпуска ОС), размещаются загрузочные файлы и среда для восстановления (Windows PE). Этот раздел невидим, ему не присваивается буква логического диска и создается он автоматически при новой установке Windows 7. Но если, например, компьютер обновлен с Windows XP, то такого раздела в системе не будет.

Если сменный диск отформатирован в FAT, а потом зашифрован с помощью BitLocker To Go, то этот носитель может быть прочитан и при подключении к Windows XP. Но именно прочитан, т. к. запись на него в Windows XP будет невозможна.

BitLocker может быть распространен централизованно. Так же централизованно могут храниться и данные для восстановления (доступа к зашифрованным дискам).

Совет

При использовании BitLocker могут проверяться параметры BIOS. Поэтому в случае необходимости обновления BIOS внимательно изучите соответствующие разделы описания технологии. В противном случае вам придется использовать вариант доступа к диску в режиме восстановления.

Процесс шифрования диска занимает достаточно длительное время и зависит от объема диска. В этот период можно продолжать работать на компьютере, хотя его производительность несколько снижается.

Сам BitLocker тоже влияет на производительность системы. Но обычно снижение производительности происходит в диапазоне нескольких процентов.

Совет

Технология BitLocker позволяет создавать ключ восстановления при любом варианте шифрования. Не пренебрегайте этой возможностью. Иначе, например, в случае аппаратных проблем вы потеряете все свои данные.

Использование BitLocker на компьютерах без TPM

Технология BitLocker может быть использована и на компьютерах, не имеющих TPM-модуля.

Можно зашифровать диск, используя сменный USB-носитель для хранения ключа. Такая возможность включается только через настройки групповой политики. Для открытия редактора групповой политики наберите в командной строке mmc и добавьте в оснастку консоли Редактор групповой политики. При запросе объекта редактирования выберите Локальный компьютер.

Параметры, которые необходимо изменить для включения дополнительных возможностей шифрования, находятся по следующему пути: Политика "Локальный компьютер" | Конфигурация компьютера | Административные шаблоны | Компоненты Windows | Шифрование диска BitLocker | Диски операционной системы | параметр Обязательная дополнительная проверка подлинности при запуске (рис. 9.25). В свойствах параметра необходимо разрешить использование BitLocker без совместимого TPM.

Рис. 9.25.
Настройка параметров для включения BitLocker на компьютерах без TPM

Обратите внимание, что в этом случае BIOS должна поддерживать чтение с USB в режиме старта.

Включение шифрования

Включение шифрования BitLocker осуществляется с помощью Панель управления | Шифрование диска BitLocker. Если все необходимые для шифрования условия выполнены, то в окне появляется опция Включить шифрование. После ее выбора запускается мастер операций.

Вам нужно просто следовать указаниям программы.

Режим восстановления

В случае выхода из строя оборудования (модуля TPM или всей материнской платы), изменения загрузочных файлов (например, перепрошивке BIOS и т. п.) нормальная загрузка компьютера становится невозможной. Вы увидите черный экран с предложением ввести пароль восстановления.

Пароль восстановления создается на одном из этапов подготовки диска к шифрованию с помощью мастера операций. Потом его можно продублировать, воспользовавшись соответствующими опциями задачи шифрования. Пароль представляет собой последовательность цифр. Для того чтобы можно было отличить один пароль от другого (если вы работаете с несколькими системами), вам сообщается также его название, состоящее из ряда цифр и букв. И название пароля, и его значение сохраняются в один файл, так что легко можно выяснить, подойдет ли данный пароль для восстановления.

Как уже было сказано, пароль состоит только из цифр и вводится при помощи не цифровых, а функциональных клавиш, при этом клавиши <F1>, <F2>, ..., <F10> соответствуют цифрам 1, 2, ..., 0.

После ввода пароля система продолжит загрузку, а затем вы можете отключить режим шифрования.

Обратите внимание, что есть две возможности отключения шифрования. Первая предполагает полное дешифрование диска; это довольно длительная операция. Вторая только временно отключает режим шифрования, если вы собираетесь, например, заменить на компьютере BIOS.

Шифрование почты

Электронная почта передается по открытым каналам связи, поэтому не исключен риск ее перехвата или модификации. Электронная подпись письма гарантирует, что текст сообщения никем не изменен, а шифрование делает просмотр письма недоступным для посторонних.

Можно использовать различные варианты шифрования сообщений (например, вкладывать в письмо заранее зашифрованный какой-либо программой текст), но одним из самых удобных является стандарт S/MIME (Secure/Multipurpose Internet Mail Extensions). Почтовая программа автоматически шифрует текст письма и пересылает полученный код в виде файла, вложенного в обычное почтовое сообщение, поэтому шифрованные письма могут без каких-либо дополнительных настроек пересылаться обычными почтовыми системами.

Работа с подписанными или шифрованными сообщениями не представляет сложности. Система автоматически обрабатывает сообщение, пользователю достаточно только включить соответствующую опцию в свойствах письма. О том, что письмо зашифровано, сообщают только пиктограммы в панели инструментов сообщения (рис. 9.26, выделено стрелкой). Сам текст автоматически расшифровывается в момент открытия сообщения. Если щелкнуть по пиктограммам, то можно увидеть информацию по сертификату, использованному при составлении письма.

Рис. 9.26.
Образец почтового сообщения с электронной подписью и шифрованием текста

Получение открытого ключа для защищенной переписки

Шифрование сообщения по стандарту S/MIME производится с помощью открытого ключа получателя письма личным ключом отправителя. Поэтому расшифровано оно может быть только тем пользователем, у которого имеется соответствующий использованному открытому ключу закрытый ключ.

Поскольку для шифрования требуется знать открытый ключ получателя, то его необходимо иметь до отправки письма. В рамках организации (домена Windows) открытые ключи пользователей доступны через службу каталогов. Если же вы хотите написать письмо внешнему адресату, то предварительно следует получить его открытый ключ, например, запросив письмо с электронной подписью.

Получение цифрового сертификата для защищенной переписки

Для того чтобы использовать для защищенной переписки пару ключей, они должны быть заверены удостоверяющим центром, которому доверяют как отправитель, так и получатель сообщения. Если использовать цифровые удостоверения, выданные серверами организации, то к ним не будет доверия у внешних пользователей, и у получателя сообщения появится предупреждение о нарушении электронной защиты. Хотя сам текст сообщения может быть и не поврежден, большинство адресатов просто не будут открывать такие письма.

Если необходимо использовать защищенную переписку между двумя организациями, то существует два варианта решения. Первый — это обменяться сертификатами удостоверяющих центров своих организаций и установить к ним доверие в каждой организации. Недостаток подобного решения — такие "обмены" придется осуществлять с каждой организацией, с сотрудниками которой необходимо осуществлять защищенную переписку.

Второй способ заключается в использовании сертификатов от публичных удостоверяющих центров, к которым по умолчанию существуют доверительные отношения в операционной системе. В большинстве случаев получение подобного сертификата является платной услугой, хотя некоторые центры предоставляют возможность получения временных бесплатных сертификатов. Обычно такие сертификаты не предполагают возможности строгого шифрования сообщения и фактически удостоверяют только сам адрес электронной почты.

После получения сертификата он должен быть добавлен в настройки программы почтового клиента.

Электронная подпись

Электронная подпись формируется следующим образом. Для текста сообщения (и вложений) вычисляется хэш, который шифруется с помощью закрытого ключа пользователя. Полученный код добавляется к электронному сообщению.

В точке приема почтовая программа, во-первых, вычисляет хэш полученного сообщения. Во-вторых, пытается дешифровать хэш, вложенный в письмо при его отправке. Если программе удается дешифровать хэш (его расшифровка производится с помощью открытого, т. е. публично доступного ключа пользователя), то это означает, что письмо действительно получено от этого автора. Если расшифрованный хэш совпадает с тем, который вычислен для принятого письма, то это подтверждает отсутствие изменений в сообщении.

Защита электронной почты с использованием PGP

Программа PGP (Pretty Good Privacy) приобрела популярность в связи с открытостью кода и, как следствие, отсутствием инженерных ключей и т. п. После того как эта технология стала коммерческим продуктом, ее популярность резко снизилась, хотя на практике можно столкнуться с сообщениями, которые подписаны электронной подписью PGP.

Эта технология также использует для защиты сообщений пару ключей, причем для хранения открытых ключей используются серверы PGP.

Почтовые клиенты с PGP также прозрачно обрабатывают сообщения, клиенты без PGP показывают в случае электронной подписи только наличие вложенного файла.

Шифрование в базах данных

Значительная часть информации организации хранится на серверах баз данных. Современные версии производственных серверов имеет возможность выборочного (по столбцам таблиц) или полного (всей базы) шифрования данных.

Примечание

Возможность шифрования в базах данных была и раньше. Но эта функциональность должна была использоваться программой, работающей с данными.

Эти функции реализуются средствами сервера баз данных, и поэтому шифрование "прозрачно" для прикладных программ. Администратору необходимо определить критичную информацию (излишнее шифрование не имеет смысла, а производительность системы будет снижаться) и включить шифрование средствами управления SQL-сервера.

Если рассматривать Microsoft SQL Server 2008, то архитектура решения представлена на рис. 9.27.

Каждая база данных шифруется собственным ключом. Для этого используется сертификат, зашифрованный мастер-ключом базы Master, который, в свою очередь, шифруется ключом службы сервера базы данных, создаваемый при установке сервера.

Обратите внимание, что прозрачное шифрование данных предотвращает доступ к информации в резервных копиях, на остановленных серверах (выключенных системах). Но если злоумышленник попытается получить доступ через работающий SQL-сервер (например, получив параметры доступа пользовательской учетной записи), то такая попытка завершится успехом. В этом случае должны срабатывать средства контроля доступа SQL-сервера.

Цифровые права документов

Существует вариант использования шифрования для ограничения распространения документов. Идея цифровых прав в общих чертах достаточно проста.

Документ шифруется уникальным ключом, причем для доступа к данным необходима связь с сервером организации. Программное обеспечение, которое осуществляет прозрачное шифрование и дешифрование документа, следит за параметрами ключа: так, можно разрешить автономное (без связи с сервером) использование документа, ограничить срок работы (документ невозможно будет открыть после заданной даты) и т. д. А на самом сервере процессы работы с ключами легко поддаются управлению групповыми политиками, можно управлять разрешениями для групп пользователей и т. д.

При этом клиентское ПО службы управления цифровыми правами документов блокирует операции копирования (в том числе, возможности пересылки по электронной почте), редактирования, печати документов.

Можно упомянуть два продукта, реализующие цифровую защиту документов. Это Oracle RMS и Microsoft RMS. Они имеют некоторые отличия с точки зрения используемых технологий, например, Microsoft RMS хранит ключи в контейнере вместе с документом, Oracle RMS — на сервере и т. п., что приводит и к отличиям при использовании (если ключи хранятся на сервере, то их можно одномоментно заблокировать и т. п.). Главное, что оба продукта имеют конечный список форматов документов, которые можно защищать этой технологией (хотя Oracle RMS и предлагает интерфейс для разработчиков, оценивая подготовку нового типа документа в 10—15 трудодней программиста). Обычно цифровыми правами защищаются документы офиса (Microsoft Office). Второе ограничение технологии — сложности предоставления прав для внешних пользователей (не аутентифицирующихся на сервере каталогов организации).

Примечание

Технология RMS встроена в Windows Server, начиная с выпуска 2003. Для ее использования должна приобретаться дополнительная лицензия.

Обратите внимание, что хотя RMS и позволяет ограничить пользователя в копировании полученного документа, данная технология не защищает информацию от распространения. Например, используя права отладчика операционной системы, можно получить копию данных. Никто не исключает и просто возможность снять картинку с монитора обычным фотоаппаратом, а потом просто распознать текст, тем более что современные средства делают эту операцию просто, безошибочно, даже сохраняя оформление исходного документа.

Конечно, можно зафиксировать перечень запускаемых на компьютере программ, но в итоге окажется проще использовать стандартный комплекс защиты конфиденциальной информации, чем настраивать подобную систему.

Иными словами, RMS имеет, прежде всего, психологическое воздействие на пользователя, показывая ему, что данный документ по правилам организации не может быть скопирован и передан другому лицу.

Стеганография

Лучший способ защиты информации — не показать злоумышленнику, что эта информация есть. Технология стеганографии предполагает маскировку данных среди ничего не значащей информации.

Самый простой способ — это добавить (склеить с изображением) в конец файла изображения еще один архив. Изображение будет нормально просматриваться в графических программах, но при открытии его в архиваторе вы сможете извлечь исходные данные.

Анализ поведения пользователей

По результатам некоторых западных исследований примерно 2/3 высокотехнологичных корпораций постоянно сталкиваются с внутренними угрозами безопасности информации.

Традиционные способы защиты — ограничение доступа к информации, контроль периметра (почты, различных мессенджеров, сменных носителей и т. д.) по ключевым словам (сигнатурам) и т. д. — становятся малоэффективными.

Во-первых, информация часто похищается теми, кто имеет доступ к соответствующему классу данных. Кроме того, используя методы социальной инженерии для злоумышленника не представляет труда получить доступ к желаемой информации. Во-вторых, пользователи становятся более опытными и подготовленными. Они могут легко узнать, какие продукты используются для защиты данных, какие сигнатуры анализируются даже поставить себе для изучения триальную версию продукта. В результате злоумышленник сможет вынести из организации достаточное число информации, имеющей коммерческую ценность.

Для исключения подобных ситуаций стали появляться продукты, анализирующие модель поведения пользователя. Простейший пример, если в текущей работе сотрудник на данном рабочем месте столько-то раз открывает документы из такой-то папки, производит поиск по таким-то ключевым словам и т. д., то его поведение может быть описано соответствующей моделью. Если сотрудник начинает готовиться к уходу из организации и собирает кажущуюся ему полезной информацию, то такие дополнительные операции будут восприняты программой как отклонения от профиля и специалисты службы безопасности получат предупреждение.

Подобные продукты являются коммерческими решениями. Здесь мы не станем описывать конкретные решения, поскольку они специфичны для различных типов информации.

DLP-технологии

Защищаемая информация может покинуть организацию различными путями через каналы связи и сменные носители, электронную почту, ICQ, Skype, флэшки и т. п. Причем это может быть сделано как умышленно, так и случайно (например, перепутав адрес получателя при создании письма).

На рынке сегодня имеется несколько продуктов, позволяющих контролировать периметр организации и блокировать возможную утечку данных. Такие решения называют DLP (Data Loss Prevention). Основная задача DLP — обнаружить и заблокировать запрещенную передачу конфиденциальных данных по любым каналам связи и устройствам.

Большинство таких продуктов работают уже "по факту", т. е. сообщают о наличии подозрительного трафика и утечке данных. Кроме того, методы анализа данных не позволяют говорить о надежности распознавания конфиденциальной информации, тем более что каждой категории данных требуется своя адаптированная технология анализа.

Для анализа документов применяется теория отпечатков. Каждому документу ставится в соответствие цифровой отпечаток, который сравнивается с хранимыми цифровыми отпечатками документов, которые эксперты отнесли к конфиденциальной информации. На основе такого анализа определяется вероятность присутствия в документе конфиденциальных данных. Кроме того, проводится морфологический и грамматический разбор текста для обнаружения искомых данных.

DLP-решения являются недешевыми продуктами. О целесообразности их внедрения с экономической точки зрения имеет смысл говорить при числе контролируемых рабочих мест порядка нескольких сотен и более. Кроме того, решение, выносимое такой системой, является вероятностным (хотя и с достаточно высокой степенью правильной идентификации).

Поэтому подобные технологии сегодня пока применяются в крупных организациях, где очень высока стоимость утечки данных (финансовый сектор и т. п.).