Защита мобильных устройств Безмалый В.Ф. MVP Consumer Security Microsoft Security Trusted Advisor vladb@windowslive.com http://vladbez.spaces.live.com - Неужели все так плохо и хуже быть не может? - Может-может Мнение оптимиста Угрозы и утечки • Из штаб-квартиры компании Educational Credit Management Corp (ECMC), осуществляющей выплату федеральных студенческих кредитов, были украдены данные 3,3 миллиона человек. • В числе утекших данных были имена, адреса, номера социального страхования и даты рождения заемщиков. Информация хранилась на портативном устройстве • Номер соцстрахования (с именем и датой рождения) продаётся на чёрном рынке за 16-18 долларов. С учётом оптовых скидок, похититель может выручить 20-30 миллионов долларов. Недурной куш! Пожалуй, перед подобным соблазном устоит мало кто из работников. (по данным InfoWatch) Британская страховая компания потеряла 8 ноутбуков с персональными данными контрагентов • Данные содержащиеся на ноутбуках не были зашифрованы, но компьютеры были защищены паролем. • В докладе сказано, что менеджеры общества не отдавали себе отчет в том, что хранение персональных данных на компьютерах предполагает необходимость дополнительной защиты информации, чего и не было сделано. • После инцидента директор компании Майкл Ярдли подписал официальное постановление, гласящее, что все портативные устройства, включая мобильные телефоны и ноутбуки, должны быть зашифрованы. Украден ноутбук • Украден ноутбук, в котором хранилась база данных с информацией на 800 000 докторов. Это практически все доктора Соединенных Штатов. • Подозреваемым в этом деле проходил якобы сотрудник чикагского офиса Blue Cross and Blue Shield Association, который скачал базу на свой домашний персональный компьютер Отчет Ponemon Institute • Около 10 278 ноутбуков теряются еженедельно в 36 больших американских аэропортах, и 65 % из них не возвращаются владельцам. В аэропортах среднего размера регистрируется потеря около 2 000 ноутбуков, и 69 % не из них не возвращены. • Приблизительно 77 % опрошенных рассказали, что у них нет никакой надежды на возвращение потерянного ноутбука,, 16 % говорят, что они ничего не делали бы, если бы потеряли свой ноутбук. • Приблизительно 53 % сказали, что ноутбуки содержат конфиденциальную информацию компании, а 65 %, не сделали ничего для защиты информации. ШИФРОВАНИЕ НОУТБУКОВ В ОРГАНИЗАЦИИ. КАКИМ ОБРАЗОМ? ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ Чем шифровать? • • • • • BitLocker Secret Disk Kaspersky KryptoStorage Check Point EndPoint Protection Другие технологии КРАТКИЙ ОБЗОР ТЕХНОЛОГИИ BITLOCKER Развертывание технологии шифрования диска BitLocker • • • • Оценить готовность ваших аппаратных средств к BitLocker Определить возможность разворачивания Выбрать конфигурацию BitLocker Создать план восстановления данных в случае чрезвычайной ситуации Оцените готовность аппаратных средств к применению BitLocker • Операционная система Windows 7 Enterprise или Windows 7 Ultimate; • Если вы хотите использовать BitLocker вместе с модулем TPM, материнские платы ваших компьютеров должны быть TPM‐совместимы, т.е. оборудованы чипами TPM соответствующими спецификации Trusted Computing Group TPM v.1.2 или выше; • Жесткий диск должен содержать два раздела с файловой системой NTFS. Раздел, на который BitLocker будет записывать загрузочные компоненты должен быть первым и содержать не менее 100 Mb чистого пространства. Кроме того, это должен быть активный раздел. Trusted Platform Module • Понимание сущности этого аппаратного обеспечения является важнейшей частью конфигурирования BitLocker в вашей организации. Для того, чтобы понять больше о технологии TPM и Trusted Computing Group следует прочесть статью Trusted Platform Module (TPM) Specifications https://www.trustedcomputinggroup.org/specs/TPM. Определите возможность развертывания BitLocker • Какие компьютеры в вашей организации нуждаются в защите? • Нужно ли защищать все ваши мобильные и настольные компьютеры? • Какие данные в вашей организации нуждаются в криптографической защите? Какие компьютеры нуждаются в защите? • Компьютеры, используемые топ‐менеджерами, работающими с наиболее важной конфиденциальной информацией; • Компьютеры, используемые служащими, которые могут иметь доступ к личным или финансовым данным клиентов, служащих или деловых партнеров; • Компьютеры, на которых обрабатывается персональная информация клиентов или служащих; Какие компьютеры нуждаются в защите? • Компьютеры, используемые в тех областях, где они уязвимы к физическому воздействию (воровство); • Портативные компьютеры, используемые служащими вне пределов офиса; • Домашние компьютеры служащих, используемые для удаленной работы в сети компании. Какие данные нуждаются в защите с помощью шифрования? • Конфиденциальная информация, защищаемая законом, включая финансовую, банковскую, кредитную информацию а также стратегические планы предприятия; • Личные данные служащих, уволенных служащих или клиентов (информация, отнесенная к категории персональных данных); • Исходные тексты программного обеспечения, базы данных и другая интеллектуальная собственность; • Лицензионные материалы, принадлежащие вашим деловым партнерам или клиентам. Выбор конфигурации BitLocker Компьютер Конфигурация BitLocker Стационарная рабочая станция Стационарная рабочая станция может использовать шифрование BitLocker с использованием ТРМ или с хранением ключа на USB устройстве, в зависимости от аппаратной конфигурации Стандартный ноутбук Все новые компьютеры, оборудованные ТРМ должны использовать конфигурацию BitLocker с TPM и PIN‐кодом. Остальные ‐ BitLocker без ТРМ (с USB устройством). Ноутбуки, на которых хранится информация, отнесенная к категории «СТРОГО КОНФИДЕНЦИАЛЬНО» Все должны использовать конфигурацию BitLocker с TPM и PIN‐кодом. Ноутбуки, на которых не поддерживается подобная технология, должны быть заменены. BitLocker с режимом TPM (без PIN-кода). • В случае если вы не нуждаетесь в мультифакторной аутентификации • Если данные, хранимые на вашем компьютере не требуют усиленной аутентификации Внедрение BitLocker с TPM • Создание перечня компьютеров, находящихся в вашей организации и оборудованных ТРМ модулями; • Описание цикла обновления (замены) аппаратных средств; • Существуют ли в вашей организации компьютеры, требующие автоматического запуска, ведь BitLocker с TPM, в отличие от BitLocker с TPM и PIN‐кодом, BitLocker с ТРМ и USB устройством, BitLocker без ТРМ (с USB устройством), позволяет автоматический запуск, остальные режимы требуют физического наличия пользователя. • Описание процедур замены жесткого диска, ремонта и списания для ТРМ-защищенных систем, при условии что зашифрованный с помощью BitLocker диск не может быть непосредственно использован в качестве срочной замены. Внедрение BitLocker с TPM и PIN-кодом • В случае внедрения этого способа шифрования, необходимо обратить внимание на создание инструкции для пользователей, которая будет предназначена для: • обучения пользователей процедуре выбора устойчивого к взлому PIN‐кода, удовлетворяющего требованиям политики безопасности организации; • рассмотрения процедуры доступа к компьютеру и восстановления данных в случае если пользователь забыл свой PIN‐код; • рассмотрения процедуры сброса PIN‐кода. Внедрение BitLocker с USBустройством • Проверьте компьютеры, на которых вы собираетесь использовать BitLocker с USB‐ключом, чтобы убедиться в том, что они могут распознать USB‐ключ во время загрузки; • Создайте план перемещения данных и приложений с этих компьютеров на компьютеры с поддержкой ТРМ, в случае обновления аппаратного парка. Восстановление данных • Существуют следующие методики хранения пароля восстановления: • • • • Печать пароля в распечатанном на бумаге виде; Хранение пароля на сменных носителях; Хранение пароля на сетевом носителе; Хранение пароля в Active Directory. Active Directory • Процесс хранения автоматизирован и не требует вовлечения пользователя; • Информация, необходимая для восстановления не может быть утеряна или изменена пользователем; • AD обеспечивает централизованное управление и хранение информации восстановления; • Информация восстановления защищена вместе с другими данными AD. Новые требования • Организация должна иметь устойчивую, хорошо управляемую инфраструктуру AD; • AD на базе Windows Server 2003 должна быть расширена для включения атрибутов BitLocker. Подробнее об этом можно прочесть в статье Extending Your Active Directory Schema in Windows Server 2003 R2 http://technet2.microsoft.com/WindowsServer/en/library/50 9ada1a-9fdc-45c1-8739-20085b20797b1033.mspx?mfr=true. • Необходимо иметь политику безопасности для обеспечения безопасного хранения паролей восстановления в AD. Печать пароля восстановления (сохранение его в текстовом файле) • Преимущества: • Процесс легко осуществим; • Требуется небольшая инфраструктура; • Легко осуществим для нетехнических пользователей. • Недостатки: • Процесс создания и хранения пароля восстановления зависит от пользователя; • Хранение пароля данным способом не обеспечивает централизованного управления; • Не существует гарантированной защиты от компрометации (хищения, несанкционированного ознакомления, утраты или повреждения). Сохранение пароля восстановления на USB устройстве • Преимущества: • Вы можете хранить большое количество паролей восстановления на одном USB‐ устройстве, так как все они хранятся в виде текстовых файлов; • Легче обеспечить физическую защиту устройства, его безопасное хранение. • Недостатки: • Далеко не все компьютеры на сегодня поддерживают обращение к USB‐устройству в процессе загрузки; • Сбор паролей восстановления для последующего хранения – ручной процесс, который не может быть автоматизирован; • USB‐устройство может быть утрачено (потеряно или повреждено) и в таком случае все пароли восстановления будут утрачены. Политика восстановления • Для безопасного восстановления данных чрезвычайно важно определить кто именно будет заниматься их восстановлением. • Восстановление данных, шифрованных с помощью BitLocker будет требовать наличия физического доступа к восстанавливаемому компьютеру для ввода пароля восстановления. ШИФРОВАНИЕ ДИСКА С ПОМОЩЬЮ BITLOCKER (ДЕМО) SECRET DISK Возможности • Шифрование системного раздела, разделов на жестких дисках, томов на динамических дисках, виртуальных дисков и съемных носителей; • Аутентификация пользователя по USB-ключу eToken или смарт-карте для загрузки операционной системы и для доступа к зашифрованным данным; • Запрет доступа по сети к зашифрованным данным для всех пользователей, включая системного администратора; Возможности • Восстановление доступа к данным в случае утери USBключа; • Защита данных от сбоев во время операций шифрования, включая перебои электропитания; • Режим энергосбережения для ноутбуков; • Динамическое распределение скорости шифрования. Безопасность • Защита сеанса загрузки операционной системы: для загрузки операционной системы с зашифрованного системного раздела пользователь должен подключить USB-ключ eToken или смарт-карту и ввести PIN-код; • Двухфакторная аутентификация: для доступа к зашифрованной информации пользователь должен подключить ключевой носитель и ввести его PIN-код; • Блокирование доступа по сети к зашифрованным данным даже для системного администратора; Безопасность • Поддержка «спящего» режима с сохранением образа оперативной памяти в зашифрованном виде, также в зашифрованном виде сохраняется образ памяти, записываемый на жесткий диск операционной системой в случае фатальных ошибок; • Блокирование компьютера в перерывах между работой и автоматическое отключение зашифрованных дисков при отсоединении eToken; • Возможность использования российских сертифицированных криптоалгоритмов (ГОСТ 2814789). Надежность • Защита от сбоев во время выполнения операций шифрования, включая перебои электропитания; • Защита от случайного / умышленного уничтожения или повреждения защищенных данных; • Аварийное восстановление главной загрузочной записи (Master Boot Record) с использованием специального загрузочного Rescue CD; • Резервное копирование / восстановление ключей шифрования. Удобство • Фоновое шифрование: операции зашифрования, расшифрования и перешифрования дисков проводятся в фоновом режиме, с возможностью приостановки и дальнейшего продолжения выполнения этих операций, что позволяет быстро ввести систему в эксплуатацию; • Оптимизация скорости работы системы при операциях первичного зашифрования (инициализации) и перешифрования/расшифрования защищенных дисков. Это достигается за счет применения алгоритма, определяющего количество системных ресурсов, требуемое Secret Disk, по остаточному принципу, что дает возможность проводить указанные операции без значительного изменения общей производительности системы; • Многопользовательская работа: несколько пользователей (каждый со своим USB-ключом) могут загружать ОС с зашифрованного системного раздела и получать доступ к зашифрованным дискам; • Режим сохранения заряда батарей для ноутбуков; • Полная интеграция в Microsoft Windows 2000, XP, Vista, Windows 7 ТИПОВЫЕ СЦЕНАРИИ ИСПОЛЬЗОВАНИЯ Мобильный компьютер Описание Secret Disk 4 установлен на мобильном компьютере, защищен системный раздел, зашифрованы остальные разделы жесткого диска Особенности Рекомендуется для защиты персональных мобильных компьютеров (ноутбуков), для которых риск утери или кражи очень высок. Шифрование всех разделов жесткого диска, а также защита системного раздела, позволит избежать попадания конфиденциальной и личной информации в посторонние руки. Преимущества вся информация хранятся на жестком диске в защищенном системном разделе и не доступна для несанкционированного просмотра; • неавторизованный пользователь не сможет использовать мобильный компьютер Недостатки нет возможности скрыть факт использования Secret Disk 4 для защиты системного раздела. Персональный компьютер в локальной сети Особенности пользователь является администратором Secret Disk 4, он устанавливает Secret Disk 4 на персональный компьютер и выполняет операции шифрования несистемных разделов жесткого диска, а также устанавливает защиту системного раздела; доступ других пользователей к загрузке операционной системы и к данным, хранящимся на защищенных дисках, полностью запрещен; доступ к зашифрованным дискам по сети запрещен для всех пользователей, включая системного администратора. Персональный компьютер в локальной сети Преимущест защита от несанкционированного доступа к ва конфиденциальной информации, хранящейся на персональном компьютере; обеспечение работы с персональным компьютером одного пользователя, являющегося администратором Secret Disk 4; незарегистрированный пользователь не сможет даже загрузить операционную систему; защита конфиденциальной информации, хранящейся на защищенных дисках, от утечки по локальной сети Многопользовательский персональный компьютер в локальной сети (особенности) • для работы нескольких пользователей необходимо наличие лицензий на Secret Disk 4, записанных в защищѐнной памяти электронного ключа eToken PRO каждого пользователя; • для обеспечения возможности загрузки операционной системы с защищенного системного раздела, администратор Secret Disk 4 должен зарегистрировать пользователей. Для этого необходим доступ к сертификату X.509 регистрируемого пользователя; Многопользовательский персональный компьютер в локальной сети (особенности) • доступ к зашифрованным дискам по сети запрещен для всех пользователей, включая системного администратора; • пользователи Secret Disk 4 могут создавать свои зашифрованные диски на жестком диске персонального компьютера и съемных внешних носителях и давать доступ к этим дискам другим пользователям Secret Disk 4. Многопользовательский персональный компьютер в локальной сети (преимущества) • защита конфиденциальных данных и разграничение доступа к ним на персональных компьютерах, на которых работает несколько пользователей; • обеспечение работы с персональным компьютером только для пользователей Secret Disk 4, незарегистрированный пользователь не сможет даже загрузить операционную систему; • защита конфиденциальной информации, хранящейся на защищенных дисках, от утечки по локальной сети. SECRET DISK ДЕМО KASPERSKY KRYPTOSTORAGE Аппаратные требования • процессор Intel Celeron 1 ГГц и выше • 256 Мб свободной оперативной памяти • 15 Мб свободного дискового пространства для установки приложения Программные требования • • • • • • Microsoft Windows 7 Microsoft Windows Vista Service Pack 1 Microsoft Windows XP Service Pack 2 Microsoft Windows 2000 Professional Service Pack 4 Windows 2003 Server Microsoft Windows 2000 Server Service Pack 4 Ограничения на установку защиты • Установка защиты на логические разделы жесткого диска и съемных носителей возможна, если размер сектора на соответствующем устройстве 512 байт. • Установка на динамические разделы невозможна. • На одном физическом диске не может быть одновременно запущена установка \ удаление \ переустановка защиты для нескольких логических разделов. С логическими разделами разных дисков можно работать одновременно. • В Windows 7 при физическом подключении защищенных съемных носителей операционная система сообщает, что носитель не форматирован, и доступа к нему не предоставляет до тех пор, пока носитель не будет подключен средствами Kaspersky KryptoStorage Защищенная папка • Все файлы и папки, находящиеся внутри защищенной папки, зашифрованы и являются защищенными. • Выполнение любых действий (чтение, запись, переименование, архивирование, удаление и т. п.) над защищенной папкой возможно только после подключения этой папки. • Доступ к защищенным папкам по сети запрещен • Система не позволяет выполнять непосредственно с защищенными папками и их содержимым следующие действия: удаление в корзину, перемещение в рамках одного тома файлов и папок, содержащих файлы. Защищенный криптоконтейнер • Следует учесть, что, с точки зрения ОС, защищенный криптоконтейнер ничем не отличается от обычного файла, а, следовательно, может быть удален. Если вы хотите этого избежать, следует разместить криптоконтейнер внутри зашифрованной папки. Заключение • Данная технология представляет весьма широкие возможности по шифрованию. Однако, на мой взгляд, имеет существенный недостаток, который, уверен, будет со временем исправлен. Это отсутствие возможности централизованного хранения ключей шифрования. • Кроме того, хотелось бы, чтобы в процессе шифрования логических дисков и т.д. система предлагала сохранить предварительно пароль в файле (распечатать пароль), так как большинство пользователей, я просто уверен в этом, не задумаются о необходимости сохранения резервной копии пароля. KASPERSKY KRYPTOSTORAGE ДЕМО Угрозы, связанные с применением мобильных телефонов Перечень угроз • Утеря, хищение • Выход из строя (потеря информации) • Вредоносное ПО Утеря, хищение • Защита от последствий хищения: • Удаленное стирание • Удаленное блокирование • Шифрование Недостаток удаленного стирания (блокировки) • Коммуникатор может быть сразу же перепрограммирован (сброшен в заводские установки) • Коммуникатор может не иметь доступ в интернет KASPERSKY MOBILE SECURITY ДЕМО Вопросы? Безмалый В.Ф. MVP Consumer Security Microsoft Security Trusted Advisor vladb@windowslive.com http://vladbez.spaces.live.com