Согласно последним исследованиям в области информационной безопасности одной из самых серьезных компьютерных угроз является несанкционированный доступ к данным. Статистика показывает, что убытки, которые он наносит различным компаниям, занимают второе место сразу же после вирусов. Между тем одной из основных причин несанкционированного доступа к компьютерной информации является недостаточно безопасное ее хранение. Ведь получить доступ к данным можно множеством самых разнообразных способов вплоть до физического воровства компьютеров, жестких дисков или мобильных накопителей. Самым надежным способом защиты от этой угрозы является криптография. То есть владельцу необходимо зашифровать свою информацию, после чего он может быть спокойным за ее сохранность. В этом случае злоумышленники, даже если они заполучат данные, все равно не смогут их декодировать.
К выбору программы, обеспечивающей криптографическую защиту информации, следует подходить очень серьезно. Во-первых, в ней должен быть реализован действительно надежный алгоритм шифрования. Лучше всего, если это будет общепризнанная и хорошо изученная криптографическая технология, а не собственная, внутренняя разработка какой-нибудь компании. Только в этом случае можно быть более-менее уверенным в том, что в алгоритме отсутствуют невыявленные уязвимости и черные ходы.
Вторым очень важным моментом является аутентификация пользователя. Очень часто в криптографических программах для ее реализации используется парольная защита. То есть для того, чтобы получить доступ к информации, достаточно просто ввести правильное ключевое слово. Откровенно говоря, такое решение практически полностью сводит на нет все преимущества шифрования. Здесь можно провести аналог с очень надежным сейфом, который заперт на обычный амбарный замок. С одной стороны, сейф обеспечивает прекрасную защиту практически от всех опасностей. А с другой - его замок можно вскрыть буквально за пять минут. Так и с криптографией. С одной стороны, информация надежно зашифрована. А с другой - злоумышленнику достаточно просто подобрать пароль, к которому, надо честно признаться, большинство пользователей относятся более чем легкомысленно.
Два рассмотренных момента являются ключевыми при выборе системы криптографической защиты. Помимо них необходимо обращать внимание на дополнительные функции рассматриваемого программного обеспечения. Так, например, некоторым пользователям необходимо, чтобы у них была возможность работы с зашифрованными данными по сети. Другим людям понравится функция "красной кнопки", режим входа под принуждением и т. д. Ну а в качестве примера продукта, удовлетворяющего всем перечисленным требованиям, может выступать утилита Zdisk, разработанная достаточно известной в области информационной безопасности компанией SecurIT.
|
Главное окно программы Zdisk |
Программа Zdisk работает по принципу прозрачного шифрования. Это значит, что защищенная информация всегда находится на жестком диске только в закодированном виде. Но авторизованный пользователь этого не замечает, потому что процессы шифрования и расшифровывания осуществляются автоматически прямо в оперативной памяти по мере обращения к данным. Реализуется эта концепция с помощью виртуальных съемных дисков. То есть сначала человек создает так называемый файл-контейнер. Он представляет собой файл особого формата, в котором данные хранятся в зашифрованном виде. Основной изюминкой данной технологии является то, что с помощью специального драйвера такой объект может превратиться в виртуальный съемный диск, который будет иметь собственное символьное обозначение в операционной системе. При этом любые приложения смогут работать с ним точно так же, как и с обычными логическими разделами жесткого диска.
Такой подход имеет три очень серьезных преимущества. Первое из них - универсальность. Дело в том, что на виртуальный диск можно записать абсолютно любую информацию. Можно даже установить на него какую-то программу, которая после этого будет доступна только авторизованным пользователям. Второй плюс файлов-контейнеров заключается в исключительной надежности и удобстве их использования. Это очень важно. Ведь если пользователю пришлось бы самому вручную каждый раз расшифровывать и зашифровывать данные, то он мог бы однажды просто-напросто забыть об этом. Или не успеть их скрыть в случае технических неполадок или возникновения экстренной ситуации. Ну и, наконец, третье важное преимущество рассмотренной технологии заключается в мобильности. Ведь файл-контейнер можно без проблем скопировать на любой носитель или на портативный ПК и при этом быть уверенным в его безопасности. Таким образом, пользователь сможет всегда носить с собой самые важные данные и при этом не волноваться за возможность их утери.
А сейчас давайте все-таки вернемся к программе Zdisk. Как мы уже выяснили, она работает по принципу прозрачного шифрования. Но действительно ли данный продукт надежен? Начать рассмотрение этого вопроса необходимо, как мы уже говорили, с реализованного в программе алгоритма шифрования. И здесь Zdisk оказывается на высоте. Дело в том, что в ней реализовано сразу же несколько криптографических технологий, например AES. Все они относятся к очень известным и активно используемым алгоритмам.
|
Процесс создания ключа шифрования в программе Zdisk |
Другим важным моментом в использовании криптографии является процесс создания ключа шифрования. Обычно он осуществляется с помощью встроенного в программу генератора случайных чисел. Однако стоит отметить, что известны случаи, когда недостатки в реализации именно этого модуля приводили к взлому защиты хакерами. Поэтому разработчики Zdisk применили другой прием. Ключ шифрования в этой программе генерируется на основе действий пользователя (беспорядочные нажатия на кнопки клавиатуры и хаотичное движение мышью). Такой подход позволяет получить действительно случайные значения, восстановить которые злоумышленникам никак не удастся.
Теперь давайте перейдем к разбору аутентификации пользователя при подключении виртуального диска. Как мы уже говорили, продукты с парольной защитой потенциально уязвимы. К счастью, Zdisk к ним не относится. Дело в том, что этот продукт является своеобразным программно-аппаратным комплексом и поставляется вместе с одним из поддерживаемых USB-токенов. То есть сам процесс аутентификации выглядит следующим образом. Сначала пользователь подключает свой USB-токен к компьютеру и вводит персональный PIN-код, который необходим для доступа к памяти устройства. Если первый этап прошел успешно, то программа просит ввести пароль для доступа к данному файлу-контейнеру. Затем введенное ключевое слово комбинируется с личным ключом пользователя, хранящимся в памяти токена. Получившийся результат используется для декодирования ключа шифрования, который хранится вместе с файлом-контейнером. То есть если он декодируется правильно (а это возможно только в случае правильных значений личного ключа и пароля к файлу-контейнеру), то верно осуществляется расшифровка и основной информации. Такая аутентификация очень надежна. Она не дает сбоев ни в случае использования пользователем слабого пароля, ни в случае утери им своего токена.
Ну а теперь пришла пора поговорить о дополнительных функциях программы Zdisk. Сразу стоит отметить, что их немало. Первая возможность, увеличивающая безопасность системы, - автоматическая блокировка консоли при длительном простое компьютера или при извлечении токена. Другая важная особенность программы Zdisk - так называемая "красная кнопка". Под этой функцией понимается специальная комбинация клавиш, которую пользователь может использовать в экстренных ситуациях. При этом программа моментально отключит все активированные в данный момент файлы-контейнеры и сотрет личный ключ пользователя из памяти USB-токена. "Красная кнопка" может оказаться полезной, например, тогда, когда кто-то силой ворвался в офис с целью завладения важной информацией. Ведь после ее использования данные станут абсолютно недоступными. Правда, использование "красной кнопки" связано с одной опасностью. Дело в том, что если доступ к файлу-контейнеру был возможен только с помощью одного токена, стирание ключа из него приведет к полной утере информации, даже законный владелец не сможет ее расшифровать. Во избежание подобной проблемы необходимо в начале работы с системой создать специальную аварийную дискету и оставить ее на хранение в недоступном месте, например в сейфе компании или в банковской ячейке.
|
Свойства виртуального съемного диска |
Впрочем, сегодня налеты на офисы компаний очень редки. У злоумышленников есть и более простые способы воровства интересующих их данных. Например, можно найти человека, который имеет к ним доступ, и запугать его физической расправой. Кроме того, для получения персонального токена может использоваться и шантаж. Для предотвращения этой опасности в программе Zdisk реализована интересная возможность. Суть ее заключается в следующем. Человек, которому угрожают или которого шантажируют, может спокойно отдать свой токен и сказать пароль, необходимый для доступа к файлу-контейнеру. Но не настоящий пароль, а специальный, заданный заранее. Когда злоумышленник использует его, система поймет, что кто-то чужой пытается получить доступ к информации. В этом случае она подключит диск, но при любой попытке обращения к данным сымитирует сбой в операционной системе и сотрет личный ключ из памяти токена. Таким образом, все будет выглядеть так, как будто человек предоставил злоумышленнику все настоящие реквизиты, а проблема заключается в работе компьютера.
Ну и напоследок давайте хотя бы просто упомянем еще несколько функций, которые не влияют напрямую на надежность хранения информации, но делают использование системы защиты более удобным. Первая из них - это ведение системного журнала, в котором фиксируются все основные события (подключение и отключение дисков, вход под принуждением, добавление пользователя и т. п.). Второй дополнительной возможностью является многопользовательский режим. Это значит, что к одному и тому же файлу-контейнеру могут иметь доступ несколько человек, каждый со своим USB-токеном. Ну и, наконец, последняя функция программы Zdisk - это работа по сети. То есть владелец информации может сделать виртуальный диск доступным для работы по локальной сети. Таким образом, можно сказать, что рассмотренный сегодня продукт является действительно надежной криптографической системой, обладающей неплохим набором функциональных возможностей.