Противодействие угрозам
Все ли читатели хранят дома деньги в сейфе? Было бы неразумно покупать сейф для того, чтобы хранить суммы не существенно превышающие среднестатистическую зарплату. Поэтому когда у меня дома был несгораемый шкаф, то в нем прятались лишь лекарства и патроны, и не от грабителей, а от детей. Далее, зачем грабителям тратить большие деньги, чтобы проникнуть в такой сейф? Таким образом, мы подошли к мысли о соответствии размера ущерба от вероятного взлома величине потерь от реализации мер защиты. Конечно, на защиту нет смысла тратить больше, чем стоят данные. Каков же реальный объем потерь от несанкционированного доступа? Это в первую очередь зависит от специфики данных и самой организации хранителя. Отмечено также, что профессиональные программисты гораздо выше оценивают возможный ущерб от несанкционированного доступа к данным, чем люди далекие от ЭВМ. Это хорошо согласуется с теорией приписывания в психологии, по которой люди оценивают мотивацию и поведение других людей, приписывая им свои знания и возможности. Следовательно, хороший программист может натворить много бед, а от плохого большого вреда не увидишь. В оценке возможного ущерба профессиональные программисты оказываются более точными, чем даже финансисты. А вот возможность доступа к данным могут оценить лишь специалисты другого рода, те, кому приходилось проходить сквозь стены и вскрывать шифры. Теперь, наконец, рассмотрим меры по защите данных, оценивая их по эффективности для разных видов угроз.
Сначала обратимся к законодательству. Оно необходимо, скорее всего лишь для того, чтобы руководители при реализации своих мер компьютерной безопасности не превратились в гангстеров. Однако законы очень дорого стоят обществу. Если съезд народных посланников дня два пообсуждает, как правильно назвать закон об охране информации, а потом еще раз пять возвращается к его чтениям, дополнениям и изменениям, то с носа каждого жителя России, включая младенцев и престарелых, балерин и бомжей, отвалится не меньше чем один доллар. Американцы, любящие все подсчитывать, установили, что только принятие закона 1974 года им обошлось единовременно 30 миллионов долларов, но еще более крупная сумма должна ежегодно тратиться на его поддержание. А ведь таких правовых актов было несколько! Поэтому неизбежные вложения в законодательство дороги, а отдача от них будет небольшая еще в течение долгого времени. Рассмотрим теперь административный барьер. Охранник - необходимый элемент защиты организаций, но он может защитить лишь саму ЭВМ, а не данные, находящиеся в ней, даже если охранника посадить за компьютер. Несмотря на то, что охранники могут сильно отфильтровать поток нежелательных посетителей, но полностью остановить смогут, лишь не пропуская вообще никою, например, ночью. Проведенный в шестидесятых годах эксперимент по проникновению людей на территории закрытых объектов города Москва показал, что пройти удалось всюду. Интересно, что проникшие просили не наказывать охрану, так как проходили, взывая к самым благородным человеческим чувствам. Однако без охранников в России никак нельзя - обойдется дороже. Дверь на замке - эффективное средство защиты от любопытных, но не более того. Конечно, лучше всего кодовый замок - не нужно носить с собой ключа и больше шансов, что дверь будут захлопывать, а не держать открытой. Стены служат лишь для защиты от любопытных, так как железобетонная стена проламывается профессионалом не более чем за 10 минут (Любопытные заметили, что в закрытых для посетителей помещениях фирмы IBM стены имеют необычно большую 114 США толщину в 33 сантиметра.). Сигнализация - эффективное средство против кражи самой ЭВМ, но, увы, нет сигнализации против хищения данных. Кража данных осуществляется обычно у всех на виду.
Полицейские, охранники и их собаки представляют собой активную защиту, а устройства обнаружения и сигнализации пассивны и профилактические. Самые старые технические средства состояли из замков на дверях и решетках на окнах. Начиная с 60-х, увеличение краж и международный компьютерный разбой стимулировали изобретение многочисленных, гораздо более сложных устройств безопасности. Системы предупреждения стали все более автоматизированными, особенно в отношении датчиков и связи. Миниатюризация в электронике привела к разработке охранного оборудования меньшего по размерам, более надежного, легче устанавливаемого и поддерживаемого. Большие комплексы зданий используют телевизионный контроль залов, стоек и лифтов. В последнее время телевизионный контроль вытесняется оптоволоконным. Оптический кабель передает изображение надежнее телевизионных систем и более качественно.
Больше всего постороннего, проникшего к компьютеру, будут беспокоить системы, вызывающие тревогу, когда они обнаружат его присутствие. Тревога бывает слышимая: звонок, гудок, сирена или видимая, типа мигалок. Некоторые системы не обнаруживают себя, но тайно передают сигнал к полицейской станции или хозяину по пейджеру. Система защиты может обнаружить злоумышленников несколькими способами. Сигнализация объемной защиты обнаруживает движение в пределах охраняемой области, используя фотоэлектрические, инфракрасные, ультразвуковые, микроволновые и другие устройства. Фотоэлектрические системы посылают невидимый луч света с передатчика на приемник. Если луч прерван злоумышленником, то вызывается тревога. Обычно такие лучи хорошо видны, если осмотреть помещение, куда хочешь войти, не глазами, а через прибор ночного видения или такой же прицел. Иногда фотоэлектрические устройства по их характерному виду легко заметить в узких проходах для людей, турникетах, как в метро. Однако они могут быть хорошо замаскированы, так как многие пластмассы пропускают невидимый инфракрасный свет. Инфракрасные датчики, основаны на том, что все стены объектов и мебель, а также человеческие существа испускают определенное количество инфракрасной тепловой энергии. Ее величина остается относительно постоянной, изменяясь очень медленно во времени. Инфракрасная система обнаруживает лишь внезапные резкие изменения теплового фона. Если злоумышленник войдет в защищенную область, то маленькое, но внезапное, изменение теплового фона поднимет тревогу. Такого рода устройства ничем себя не обнаруживают, л внешним видом они бывают уж очень разными, Однако они ненадежны - срабатывают от включившегося калорифера или порыва воздуха из от- крытой форточки и так далее. Из-за инерционности таких систем иногда грабителям удается их отключить. Ультразвуковые датчики обнаруживают изменения в частоте волн, излучаемых ими же. Эти сигнальные системы производят ультразвуковые волны с частотами выше слышимых человеческим ухом. Частота этих волн изменяется слегка от эффекта Доплера, когда они отражаются от перемещающегося объекта. Ультразвуковая сигнализация вызывает тревогу, если обнаруживает такие изменения частоты.
Практически этим системам охранники не очень верят, так как они срабатывают от легкого движения занавески, а люди часто забывают, уходя, закрыть форточки. Известен случай, когда такая система срабатывала, а вместо грабителей охрана ловила мышей. Работу этих датчиков можно подавить акустической сиреной, конечно, кроме сирены грабителю понадобится, естественно, еще и защита ушей от нее. Подобный тип систем, микроволновых, работают тем же самым путем, но излучают электромагнитные волны вместо ультразвуковых. Вызвав ложную тревогу с дюжину раз, грабитель легко может добиться того, что охранники сами отключат систему к дьяволу. Системы ненадежны, но люди еще ненадежнее.
Предприниматели, боящиеся промышленного шпионажа, и правительственные учреждения, где хотят обеспечить национальную безопасность, используют порой персональные идентификаторы сотрудников, чтобы ограничивать доступ лиц. Имеются системы контроля доступа, которые распознают форму ладони руки (игравшие в компьютерные игры знают, что отрубив руку у охранника и засунув ее в датчик, такую систему можно пройти). В России подобные системы пока не ставились. Имеются также устройства наблюдения, чтобы просматривать помещения. Зарубежные отели, например, начали ставить оптоволоконные системы просматривания в каждом помещении. Но конечно же одна из самых хороших охран - собаки. Это очень бестолковые создания, с которыми грабителям невозможно договориться. (Собаководы знают, что кобелька несложно выманить куда угодно подстилкой из-под сучки во время течки или парализовать собаку ультразвуковой сиреной.)
Ряд средств защиты данных специфичны для ЭВМ. Удаленность помещения с ЭВМ может, например, предупредить подсматривание изображения на дисплее специальными техническими средствами. Так, с 10 метров подсматривать трудно, а дальше 50 метров современными средствами невозможно. Кроме того, удаленность помещения затрудняет проникновение в него посторонних. Если работает одновременно три и больше дисплеев одного типа, то прямое подсматривание очень сложно из-за взаимных помех. Сходный эффект могут, видимо, дать простые генераторы шума или случайных импульсов, имитирующие видеосигнал дисплея. Экранирование помещения делает невозможным подсматривание изображения на терми- нале электронными средствами. Однако это дорогая и хлопотливая мера защиты.
Воровство сообщений гораздо дешевле взлома шифров, поэтому очень широко применяется. Подслушивающие устройства, на жаргоне называемые жучками, дешевы и могут быть установлены за несколько секунд. Начиная с $20, они имеют неплохое качество. Продают их не на штуки а упаковками по 5-10 сразу. Можно держать пари, что этот расход ничто по сравнению с вознаграждением от выяснения планов работ, стратегий маркетинга и технологии изделия. По данным служб безопасности, сейчас идет настоящая эпидемия подслушивания. Телефон, параллельный модему, конечно, является самым удобным местом, чтобы установить подслушивающее устройство. Но это не означает что подслушивание будет ограничено лишь беседами по телефону. Многие современные телефоны имеют микрофоны, которые всегда работают, даже когда трубка повешена. Это дает возможность нарушителям вести постоянное прослушивание всех бесед в той комнате, где телефон, и перехватывать все данные, передаваемые по модему. Жучок может стоять внутри компьютера и даже в подставке под клавиатурой. Вообще число мест, где можно найти жучки, ограничено только воображением атакующей стороны.
Службы безопасности используют специальные приемники поиска, чтобы найти жучки. Если в помещении имеется излучение радиочастоты, приемник показывает ее на маленьком мониторе. Тогда, прослеживая максимум излучения, находят его источник, жучок. Для жучков, вделанных в стены. также используют нелинейный датчик перехода, который может обнаружить электронные изделия под слоем штукатурки или бетона. Этот датчик, как радиолокатор, посылает в стены, пол или мебель импульс, который вызывает колебания в электронных изделиях. По этим колебаниям жучки и будут обнаружены. Заметим, что КГБ не ставил тысячи жучков в новом здании американского посольства - ни одного не было найдено. Просто в строительный раствор попала крупная партия бра- кованных радиодеталей. Посольство поэтому стало жесткой кроватью для спецслужб США. Всякий раз, когда их люди с датчиками принимались искать жучки, то они, расковыряв стену, находили там негодную электронную штучку. Обнаружение жучков от этого стало много труднее, чем поиск иглы в стоге сена. Для обнаружения жучка, работающего в телефонной линии вне офиса, службы безопасности используют телефонный анализатор. Он выполняет множество измерений параметров телефонной линии между собой и офисом. Сопротивление, напряжение и баланс лишь немногие из них. Если жучок находится в линии, то он обычно отражает посланный анализатором импульс как у радара, и можно точно указать, где в линии жучок был поставлен. Перехват в телефонной линии не только незаконен, но чрезвычайно труден, так как потребляет значительное время. От этого, лишь факсы и телефоны ключевых исполнителей обычно единственно подходят для такого подслушивания. Если же это прослушивание идет на самой АТС или за ней, то обнаружить его практически невозможно, хотя и подслушивать стало тоже много труднее.
Раньше, все что нужно было сделать, это взять пару зажимов и наушники, поместить их на правильные контакты и слушать беседу абонентов. Сейчас цифровая передача сигнала делает эту задачу очень трудной - беседы преобразуются в несвязный поток цифр и складываются вместе снова в звуки в другом конце линии (Широко распространенное в прежние годы и справедливое тогда мнение, что многие телефонные разговоры прослушиваются. сейчас неверно. Теперь это сложно и дорого сделать. Щелчки в трубке, подключения посторонних абонентов и другие помехи обычно вызываются просто сбоями аппаратуры АТС.) Стоимость поиска жучков настолько велика, что приводить ее нет смысла. Руководитель крупной компании, хорошо известный читателям по прессе и рекламе, узнав сумму гонорара за очистку своего офиса от жучков даже перекрестился и... отказался.
И все же обнаружение жучка легче, чем того урода, что ожучковал офис. Предложите службе безопасности, чтобы радиосигналы были прослежены до того места, где находится регистратор сигналов жучка. После того, как найдено записывающее устройство, пусть непрерывно следят за ним, пока хакер не прибудет, чтобы сменить записанную пленку на новую. Сильный ход - вывести жучок из строя и ждать, когда негодяй возвратится, чтобы заменить его. Очень просто выполнить и следующий трюк. Обнаружив жучок, рядом с ним ставят генератор радиопомех. Однако не включают его сразу на всю мощность, а повышают ее ежедневно чуть не с нуля. Порой у шпионов от этого складывается впечатление, что садятся батареи или происходит что-то неладное в самом жучке.
Теперь рассмотрим аппаратные средства защиты. Они весьма дороги и в России мало распространены. Возможно применение съемных жестких дисков или дисков Бернулли, так как затраты на их покупку могут быть хоть отчасти оправданы облегчением ряда операций по хранению и перемещению данных. Аппаратура, использующая ключи в виде магнитных и электронных карточек, недавно начала широко распространяться в России. Магнитные карты появились довольно давно. Они представляют из себя пластиковую карточку стандартного размера, спереди на которой напечатан типографским способом текст, а сзади приклеены от одной до трех магнитных полосок. На каждой из этих полос может храниться до строки текста. Сейчас они активно вытесняются электронными карточками, такими же по виду, но хранящими информацию на встроенной микросхеме или микропроцессоре. Емкость их памяти гораздо больше. Различные типы карт производятся многими фирмами: Bull, Motorola, Philips, Shiumbeiger и др. Электронные карточки имеют массу применений:
=> в виде денег, когда карточка используется как
дебетная или кредитная;
=> как удостоверение личности при расчетах по
банковскому счету для хранения данных клиен-
та и установления процедур аутентификации;
=> как ключ шифрования или криптографический
процессор; как электронный документ - про-
пуск на предприятие, водительское удостовере-
ние, медицинская карта, накладная для грузов;
=> как электронный ключ для систем охранной
сигнализации доступа в помещения и к обору-
дованию.
Информация в памяти карточек хранится в зашифрованном виде для чего обычно используется DES алгоритм, но встречается и RSA, дающий больше возможностей. Базой для вычисления пароля берется уникальный серийный номер карточки. Повторные попытки несанкционированного доступа к информации на карте обычно приводят к стиранию ее кода. Примером наиболее распространенной карточки для идентификации доступа к компьютеру является IBM Personal Security Card с устройством считывания и идентификации подписи IBM-4754. Кроме того, что это устройство считывает карты, оно еще требует подписи ее владельца, регистрируя не только очертание подписи, но и особенности нажима пера. Это делает процедуру идентификации настолько надежной, что она была принята швейцарскими банками. Несмотря на все свои достоинства, обычные ключи, карточки и пароли для загрузки системы чрезвычайно мало эффективны. Они часто передаются другим людям и их очень просто обойти. Более того, они создают иллюзию недоступности данных, что совершенно недопустимо. В принципе, можно сделать надежную аппаратуру с паролем на входе, но для этого нужно перепрограммировать микросхему BIOS или применить специальную плату SecureBoard, которая хоть и дает безопасность при загрузке, но, к сожалению, конфликтует со многими программными приложениями и играми.
Криптографическая защита представляется наиболее дешевой и эффективной из всех рассматриваемых. Секретный диск, создаваемый средствами криптографии, представляется весьма надежным от проникновения в него устройством. Хотя перед вводом пароля следует убедиться, что имеешь дело с оригинальной программой, а не шутихой из предыдущего абзаца. К сожалению, все известные криптографические программные средства предусматривают только задание пароля, а не обмен паролями между пользователем и системой - так называемое "рукопожатие". Военные давно уже выработали правило рукопожатия и в ответ на пароль требовали отзыв, чтобы убедиться, что часовой настоящий, а не диверсант, пытающийся лишь выведать пароль. Криптографическое преобразование файлов является единственным средством, гарантирующим абсолютную защиту от вскрытия его содержимого при условиях, которые будут описаны ниже. Кроме криптографических программ часто используются специальные программы для смывания с дисков и файлов информации, которая должна быть уничтожена. Смывание диска и файлов означает прописывание их содержимого какой-то несекретной информацией, например, нулями, для того, чтобы содержащиеся в них данные исчезли физически. Ведь обычное удаление файлов убирает данные только логически, и, если на их место не была записана другая информация, то данные можно восстановить. Сходный результат дает запись в файл другого файла, большего по размеру, а затем стирание его, хотя эта операция менее надежна и данные иногда все-таки могут быть восстановлены специальными программами. Особенно удобно смывание незанятых областей диска по окончании работы над данными, которые были закодированы. Однако эта операция может занять несколько минут, что иногда раздражает медлительностью.
Из всего сказанного можно понять центральное место криптографии в защите данных на ЭВМ, которая, не требуя больших затрат, обеспечивает абсолютную их защиту. Вместе с тем нужно учитывать, что лишь административные меры могут защитить саму криптографию, ее ключи и людей от возможного обмана или угроз применения физической силы. Конечно, есть опасность перестараться в реализации мер защиты. Но трудность защиты состоит в том, что не только источники потенциальной угрозы плохо известны, но и подавляющее большинство компьютерных преступлений остается неизвестным для потерпевших. К сожалению, безопасность данных нельзя ни доказать, ни, тем более, принять на веру.
