Защита портативного ПК: предотвращение краж и утечек данных
ИТ-издание для профессионалов BYTEmag.ru
Мобильность современных портативных компьютеров во много раз увеличивает вероятность их потери и/или кражи, что влечет за собой безвозвратную утрату не только самого устройства, но и хранящихся на нем данных. Если верить информации, опубликованной Ponemon Institute, в США только в 2009 г. было утрачено около 600 тыс. лэптопов. В 2008 г. министр обороны Великобритании сообщил, что в его ведомстве за четыре предшествующих года пропало 747 ноутбуков, включая устройства со сверхсекретными сведениями, при этом спецслужбам удалось найти и вернуть всего лишь 32 из них.
На миллионах портативных компьютеров сегодня хранится конфиденциальная информация, часто составляющая государственную, служебную или коммерческую тайну. Многие частные предприниматели и корпоративные пользователи хранят на жестких дисках лэптопов, причем в незашифрованном виде, разнообразные пароли, номера кредитных карт, банковские электронные ключи и другие важные сведения. Так что потеря или кража мобильного ПК может стать чувствительным ударом и по частной жизни, и по бизнесу. В разной степени препятствовать краже и утечке конфиденциальных данных с портативного ПК могут административные и организационно-технические меры, хотя понятно, что наибольший эффект достигается только их комбинацией.
Механическая защита
Распространенным средством физической защиты стали так называемые блокираторы — замки безопасности («локеры»). При помощи металлического тросика компьютер крепится к стационарному предмету (столу, тумбе и т.д.). Открыть замок можно только специальным ключом. На разновидностях подобных устройств применяются кодовые замки, не требующие ключа. Нарицательным именем всех подобных изделий стало «замок Кенсингтона», по имени наиболее известной, но на самом деле уже не единственной компании, таковые выпускающей. Подавляющее число моделей ноутбуков давно предусматривает наличие специального отверстия (обычно на тыловом борту корпуса), так и называющегося – Kensington Lock.
Есть и варианты для защиты отдельных портов подключения ноутбука, например, USB-локер от Kensington. Замок безопасности Defcon VCPL от компании Targus включает устройство для защиты видеопортов.
Механические и электронные фильтры
Простейшее средство предотвращения утечек информации носит название Privacy Screen. С помощью защитной пленки, прикрепленной на экран ноутбука, удается сильно ограничить горизонтальные углы обзора дисплея, благодаря чему изображение остается видимым только для человека, находящегося прямо перед экраном, и не позволяет стоящим рядом видеть изображение на мониторе. Наиболее известные производители подобных защитных экранов – компании 3М и Fellowes.
Известные производители ноутбуков пошли дальше в своих разработках, предложив аппаратную версию защитного фильтра для экрана дисплея. Так, в ноутбуке Dell Latitude E6400 эта функция активируется одним нажатием сочетания клавиш и практически мгновенно сокращает угол обзора экрана, защищая информацию на нем от посторонних глаз. При этом электронный фильтр не оказывает существенного влияния на яркость изображения для пользователя. Технология Toshiba, контролирующая угол просмотра, носит название VACF (Viewing Angle Control Filter). Благодаря специальному слою, нанесенному на экран, данная функция при активизации размывает и затемняет изображение при боковом обзоре экрана посторонними наблюдателями.
Сигнализация
В качестве примера сигнального устройства можно привести PA400U DEFCON 1 Ultra Laptop Computer Security System компании Targus, в котором сочетаются кодовый замок и отпугивающая сигнализация. Сигнализация срабатывает, когда злоумышленник отсоединяет кабель или срабатывает датчик движения. Так, если движение продолжается в течение 4 с, сирена мощностью 95 дБ звучит в течение 40 с. Одноименное многофункциональное ПО компании LAlarm включает сирену в зависимости от установок, например, при отключении ноутбука от сети питания или отключении специального USB-накопителя, который крепится прочным тросиком к неподвижному предмету.
Парольная защита
Идентификацию и аутентификацию по праву считают основой программно-технических средств безопасности. Напомним, что при идентификации субъект (пользователь, процесс, действующий от имени определенного пользователя) должен назвать себя (логин). А вот посредством аутентификации (проверки подлинности) можно убедиться, что субъект действительно тот, за кого он себя выдает. Главное достоинство парольной аутентификации состоит в простоте и привычности. Пароли давно встроены в ОС и иные сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих уровень безопасности.
Таким образом, в большинстве случаев пользователю достаточно грамотно использовать обычные методы авторизации, чтобы надежно защитить свою информацию. Пароли на уровне BIOS и ОС – это стандартный минимум для того, чтобы посторонний человек не смог воспользоваться вашим ноутбуком.
Но чем ценнее информация, хранящаяся на ноутбуке, тем больше необходимость ее защиты от несанкционированного доступа. При защите корпоративной информации гарантии безопасности должны быть более надежными. Есть варианты, когда программу можно настроить на надежное уничтожение (санирование) выбранных файлов при неоднократных попытках подбора пароля для входа в систему. Перед санированием выбранный заранее архив конфиденциальных данных может быть отправлен по электронной почте – подобный функционал, например, реализуется в ПО упомянутой выше LAlarm.
Смарт-карты и ключи
В корпоративной среде используются и более сложные и надежные программно-аппаратные системы идентификации (а, следовательно, более дорогие), например, смарт-карты или USB-ключи. Однако эти предметы должен быть в наличии всякий раз, когда вы пользуетесь ноутбуком. Следовательно, при таких методах защиты возникает проблема хранения и потери ключа, кроме того, необходимо иметь и где-то хранить дубликат.
Биометрическая защита
Модели ноутбуков с биометрическими средствами защиты стали уже привычными. Так, компьютеры с биометрическим модулем (сканером) при запуске ОС вместо пароля запрашивают отпечаток пальца владельца. Если сенсорное устройство сломалось и им нельзя воспользоваться, эта процедура будет пропущена, и пользователю предлагается ввести свой логин и пароль. К специальным биометрическим средствам защиты данных относятся и функция распознавания лица, которая автоматически адаптируется к внешности владельца, сокращая время авторизации и предотвращая несанкционированный доступ к информации. Для реализации этой функции ноутбук должен быть оснащен Web-камерой. Одной из первых подобное решение под названием VeriFace реализовала компания Lenovo в своих ноутбуках серии IdeaPad. Стоит также отметить аналогичные решения Asus SmartLogon и Toshiba Face Recognition.
В общем виде работа с биометрическими данными организована следующим образом. Сначала создается и поддерживается база данных характеристик потенциальных пользователей. Для этого биометрические характеристики пользователя снимаются, обрабатываются, и результат обработки (называемый биометрическим шаблоном) заносится в базу данных (исходные данные, например, результат сканирования пальца, обычно не хранятся).
Шифрование
Одним из методов обеспечения безопасности данных является их шифрование. Если ноутбук со строго конфиденциальной информацией все-таки украден, то шифрование не позволит злоумышленнику воспользоваться хранимыми на нем данными. Например, с 2009 г. в компании Intel на всех корпоративных ноутбуках используется полное шифрование жесткого диска.
Так, пакет McAfee Endpoint Encryption состоит из нескольких взаимосвязанных модулей, которые реализуют несколько уровней защиты от утечек данных. Решение обеспечивает надежную криптозащиту настольных и портативных компьютеров, общих папок, мобильных устройств, съемных носителей и переносных устройств хранения. Для защиты данных применяются ведущие отраслевые технологии шифрования, включая AES-256 и RC5-1024. Поддержка однократной регистрации, аутентификация с использованием портативных устройств и возможность пользователя самостоятельно восстановить пароль при работе offline гарантируют максимальную безопасность данных без ущерба для удобства работы. Схожие по функционалу продукты предлагают, например, компании PGP (PGP Whole Disk Encryption) и GuardianEdge Technologies (GuardianEdge Data Protection Platform). Стоит отметить, что в общем случае шифрование файлов или всех данных на жестком диске может отнимать много времени, замедлять работу системы и увеличивать вероятность потери доступа к данным.
TPM-решения
В последнее время получили широкое распространение так называемые TPM-модули (Trusted Platform Module). Разработкой этой концепции занимается некоммерческая международная организация Trusted Computing Group, объединяющая компании AMD, Fujitsu, IBM, Infineon, HP, Lenovo, Microsoft, Oracle и др. Первоначально основная идея использования TPM-модуля состояла в аппаратной криптографической защите цифрового контента и проверке прав пользователя. Сейчас основной упор в применении TPM-модуля перенесен на обеспечение безопасности данных. Отметим, что ТPM-модуль представляет собой микросхему, установленную на системную плату ноутбука (или настольного ПК). В TPM-модуле могут храниться пароли, цифровые сертификаты и ключи, с его помощью можно шифровать отдельные папки и файлы, а также создать логический зашифрованный диск. Один из основных производителей подобных чипов – компания Infineon.
Средства мониторинга и слежения
Предлагаемые разработчиками решения позволяют законным владельцам украденных либо утерянных мобильных ПК дистанционно полностью заблокировать компьютеры, тем самым сделав их бесполезными. Так, в ряде моделей ноутбуков ThinkPad компания Lenovo реализовала технологию Constant Secure Remote Disable (CSRD), которая позволяет заблокировать доступ к ноутбуку в случае пропажи путем посылки на определенный номер обычного SMS-сообщения. Правда, одним из системных требований в этом случае является наличие сети Ericsson WWAN. А вот в пакет мер безопасности Toshiba EasyGuard входит функция, позволяющая настроить пароль BIOS с активацией по таймеру для предотвращения доступа к компьютеру. В случае кражи эта функция делает ноутбук недоступным по истечении заданного периода времени, защищая таким образом данные от несанкционированного доступа.
Технология Intel Anti-Theft Protection
Технология Intel Anti-Theft на аппаратном уровне (впрочем, как и все в технологии Intel vPro) способна защитить данные на корпоративных ПК в случае потери или кражи. Такая защита работает при поврежденной ОС, при ее отсутствии, а также при попытке замены жесткого диска. А самое главное – удаленно. Короче говоря, технология Intel Anti-Theft дает возможность блокировать компьютер автоматически или по требованию специалиста ИТ-отдела. Для обеспечения доступа к ПК требуется авторизация, которая выполняется следом за прохождением процедуры самотестирования после включения компьютера POST (Power On Self Test), но перед обращением к главной загрузочной записи на диске MBR (Master Boot Record). Для этого используется модуль Pre-Boot authentication (PBA), который находится в чипсете и управляется на уровне BIOS. Именно в PBA реализован механизм, который определяет (получает) команду, что ПК утерян или украден.
В конце 2008 г. компании Absolute Software и Phoenix Technologies анонсировали поддержку данного сервиса. А в апреле 2010 г. Absolute Software приобрела у Phoenix Technologies ключевые продукты FailSafe и Phoenix Freeze. Первый из них предназначен для предотвращения и защиты от кражи мобильных ПК, а второй позволяет блокировать похищенный компьютер и разблокировать его при возврате.
Технология Intel Anti-Theft PC Protection эффективно работает в совокупности с сервисом Computrace от компании Absolute Software, и большинство производителей корпоративных моделей ноутбуков именно это решение инсталлируют по умолчанию на уровне прошивки специального агента в BIOS. Хотя для активации услуги нужно оформить подписку на сам сервис Computrace. Данная система может автоматически заблокировать доступ к ноутбуку при превышении заданного числа попыток ввода пароля или в том случае, если пользователь в течение определенного промежутка времени не идентифицировался. Также ноутбук берется на контроль, если он через заданный временной интервал не пройдет очередную, назначаемую с заданной периодичностью, проверку на контрольном сервере в центре мониторинга Absolute. Ну и наконец, владелец сам может обратиться в службу с сообщением о похищении устройства.
Авторизованный администратор с помощью сервиса может удаленно стереть выделенные данные с накопителя утраченного ноутбука. Возможна и полная блокировка устройства. Поскольку технология встроена в ноутбук на аппаратном уровне, она обеспечивает локальную устойчивую защиту, которая работает, даже если ОС была переустановлена, был заменен жесткий диск или ноутбук был отключен от сети. В случае возможного возвращения компьютера владельцу его можно разблокировать. Шансы на такое возвращение увеличиваются, так как провайдер сервиса имеет собственную службу, способную отследить ноутбук в зависимости от того, где он пытался подключиться к сети после кражи. Специалисты центра работают в плотном взаимодействии с полицейскими управлениями различных стран, правда, сложно сказать, распространяется ли это на структуры российского МВД.
Если ноутбук оснащен модулем GPS, его также можно привязать к системе ATP. Computrace позволяет отслеживать все его перемещения в географическом пространстве, что облегчает поиск злоумышленников или самого аппарата. Собственно, отслеживание возможно также путем мониторинга подключения устройства к хот-спотам wi-fi. Сервис Absolute может реагировать и на такие пространственно-временные события, как превышение заданного времени пребывания устройства вне пределов очерченного географического района.
Вернуться на главную страницу обзора «Корпоративные ноутбуки»