Несколько гипотез возможных утечек конфиденциальных данных и методы защиты от них
Базы данных, случается, «утекают». Иногда из коммерческих компаний, таких как МТС, иногда из государственных организаций, таких как Банк России. В нашей стране к этому относятся снисходительно, поскольку понимают, что идеальной защиты нет. Тем не менее к конкретной службе безопасности конкретной организации, где утечка произошла, снисходительности не бывает, карьера сотрудников службы, их судьба могут резко измениться. Во избежание этого стоит все-таки позаботиться о контроле возможных каналов утечки.
Что же следует контролировать? В попытке разобраться с этим можно проанализировать несколько версий происшествия, которое произошло с нашим национальным банком. Как сообщали различные СМИ, из него злоумышленники «утащили» 60 Гбайт данных о финансовых проводках и распространяли их на черном рынке по 800 долл. за копию.
Почему был выбран именно этот случай? Во-первых, потому что утечку зафиксировали, и, во-вторых, по причине непростительно большого объема украденных данных. Итак, несколько гипотез возможных утечек. Правда, стоит оговориться сразу, что, вполне возможно, список будет неполным, и злоумышленники найдут еще один способ и унесут-таки конфиденциальные данные.
Хакеры
Первое, что приходит на ум в качестве гипотезы любой утечки, — внешнее нападение. Его идея проста: хакеры взломали через Internet корпоративную сеть и «выудили» все данные. Эта гипотеза настолько въелась в сознание журналистов, что газетные заголовки статей об утечке из российского национального банка пестрили штампами вроде «Злобные хакеры попрали невинную честь банковской тайны».
По мнению большинства обывателей, хакеры — это такие «плохие парни» — вроде террористов.
Их никто не видел, но все их боятся. Они пишут вирусы и взламывают сети банков. На них можно списать все.
Однако люди, разбирающиеся в корпоративных ИТ, понимают, что незаметно «выкачать» из сети банка 60 Гбайт информации невозможно. Ключевым словом в этом утверждении является «незаметно». Дело в том, что даже у Банка России каналы имеют определенную емкость. Нагрузка на них контролируется. Передача вовне такого огромного объема информации через все уровни защиты весьма заметно «притормозит» любой обмен информацией и, скорее всего, вызовет массу неприятных эмоций у администраторов, которые следят за состоянием внешних каналов.
Разумеется, у национального банка наверняка есть и различные защитные механизмы, у такой солидной организации просто не может не быть установлено хотя бы одно из следующих средств защиты:
- сетевой экран;
- детектор вторжений;
- средство контроля содержимого.
Все перечисленные инструменты контроля есть на российском рынке. Поскольку банк национальный, то и рассматривать будем в основном российские продукты или в крайнем случае свободно распространяемые (поскольку деньги за их внедрение все равно остаются в России).
Итак, корпоративные межсетевые экраны устанавливаются по периметру корпоративной сети. Они управляют потоками информации, как постовой — потоками машин, пропуская их в разрешенных направлениях и блокируя в потенциально опасных. Этот тип корпоративной защиты наиболее распространен, поэтому предложений более чем достаточно. Есть даже несколько российских разработок, таких как Z-2 компании «Инфосистемы Джет», Kaspersky Anti-Hacker «Лаборатории Касперского», ViPNet, предлагаемая Infotecs. Впрочем, в любом дистрибутиве Linux есть минимальный сетевой экран, который вполне успешно можно использовать для квотирования полосы пропускания, отведенной одному пользователю. Сетевые экраны традиционно настраивают так, чтобы максимально усложнить хакерам взлом корпоративной сети и максимально упростить обнаружение подобных попыток службой безопасности.
Детектор атак, или система обнаружения вторжений (Intrusion Detection System, IDS), выявляет признаки нападений в действиях пользователей, которые находят свое выражение в пакетах передаваемой информации. Когда эти признаки выстраиваются в подозрительную логическую цепь событий, то система поднимает тревогу. В качестве такого детектора можно использовать свободно распространяемый пакет Snort. Прежде всего, эти утилиты применяются для выявления атаки хакеров, но в них можно также определить правило, по которому передача 60 Гбайт данных в подозрительное место за пределами корпоративной сети должна восприниматься как атака. Впрочем, передача данных вовне блокируется и с помощью такого инструмента, как PortsLock от SmartLine.
Для защиты от утечки информации через границу корпоративной сети есть и специализированные информационные фильтры. Они понимают форматы передачи данных по сети (в первую очередь протоколы электронной почты и Web) и, если обнаружат в передаваемой информации признаки ее конфиденциальности, то прерывают сеанс. В качестве примеров таких инструментов можно упомянуть продукт InfoWatch одноименной компании и два фильтра — «Дозор» и «Дозор-Джет» компании «Инфосистемы Джет». Эти фильтры требуют определить, какая именно информация является конфиденциальной, но зато потом сделают все возможное, чтобы не допустить утечки информации даже в расчлененном виде.
Мусор
Инцидент, подобный происшествию в Банке России, когда происходит утечка важной конфиденциальной информации, мог произойти по вине неисправного оборудования.
К примеру, можно провести такой мысленный эксперимент: аналитик банка занимается анализом данных о его проводках, для чего накапливает эти данные на диске собственной рабочей станции, чтобы не залезать каждый раз в центральное хранилище. При этом он может и не знать, что данные скопились в кэшируемом пространстве программ на его компьютере. В этот момент с его жестким диском совершенно случайно происходит какая-нибудь неприятность, в результате чего он перестает работать. Аналитик, согласно инструкции, вызывает техника, который меняет ему жесткий диск, а дефектный просто выбрасывает. После этого кто-то находит диск, ремонтирует, читает данные с него и обнаруживает на нем 60 Гбайт интересной информации, которую, по его оценкам, можно продавать по 800 долл. Даже если диск не выбрасывается, а передается в фирму-производитель для ремонта, ситуация может пойти по тому же сценарию с той лишь разницей, что злоумышленник — не случайный прохожий, а сотрудник компании, которая обеспечивает техническое обслуживание банка.
Насколько реальна подобная ситуация? Вполне. В частности, недавно в России был осужден служащий, который рылся в мусорной корзине конторы, печатающей пластиковые карты для мобильных операторов. Там он находил куски предоплаченных карт, собирал их вместе как головоломку и считывал секретные коды. Их он продавал через Internet. Оказалось, что фирма, которая печатала предоплаченные карты, недостаточно хорошо уничтожала бракованную продукцию и тем самым допустила утечку конфиденциальной информации. Ситуация с поломанным диском ненамного отличается от разрезанных на не слишком мелкие кусочки предоплаченных карт.
Для защиты от такой утечки информации можно предложить следующие правила:
- минимизировать количество информации, передаваемой на рабочие станции;
- применять аппаратные RAID-массивы;
- шифровать конфиденциальную информацию;
- полностью уничтожать вышедшее из строя оборудование (например, с помощью взрыва или иного «экстремально» сильного воздействия).
Для минимизации количества информации на рабочих местах сотрудников, которая в дальнейшем может попасть в мусор и затем оказаться за пределами компании, стоит использовать технологию тонкого клиента. Она позволяет вести обработку данных на сервере, при этом рабочие места отдельных сотрудников вообще могут не иметь собственной энергонезависимой памяти, кроме, например, микросхем ПЗУ. В частности, такие тонкие клиенты можно делать из обычных персональных компьютеров, вынув из них жесткий диск и установив на них Linux, который будет загружаться из флэш-памяти или по сети. При выходе такого устройства из строя конфиденциальная информация на нем не сохранится. Для ремонта серверов проще организовать такой процесс, при котором информация не будет утекать за пределы компании.
Однако без жестких дисков не обойтись на серверах, где они аккумулируют достаточно большие объемы информации. Для их защиты следует использовать аппаратные RAID-массивы, где данные хранятся поблочно, но с определенной избыточностью. При этом информация о точном расположении блоков хранится в оперативной памяти RAID-контроллера. Если диск будет отсоединен от контролера, то разобраться, где и какая информация сохранена на диске, будет непросто.
Кроме того, на серверах стоит установить программное обеспечение, которое занимается шифрованием хранимой в файловой системе информации. С точки зрения легального пользователя, информация диска остается прозрачной, однако, если к ней попытается получить доступ посторонний, то он просто не сможет ее расшифровать. В качестве примера таких продуктов можно привести Secret Disk компании Aladdin, Safe Disk, разработчик Infotecs или Indis, производимый «ЛАНКрипто» (эта же компания предлагает модуль для Linux, который можно использовать для шифрования данных на диске по алгоритму NUSH, этот модуль распространяется в одном из дистрибутивов ALT Linux). Способ физического уничтожения дисков для сохранения секретов интуитивно понятен, поэтому обсуждение его здесь можно опустить.
Продвинутые пользователи
Все версии, не бросающие тень на служащих банка, уже рассмотрены. Теперь следует разобрать и те, где главными подозреваемыми являются штатные сотрудники организации, или, как их сейчас модно называть, инсайдеры. Одна из таких категорий — продвинутые пользователи, которые не имеют полномочий системного администратора, но по долгу службы работают с конфиденциальными данным. По каким-либо причинам они могут попытаться вынести их за пределы компании. Можно предположить две технологические возможности: скрытое незаконное соединение с внешним миром или вынос базы на каком-нибудь носителе.
Как же можно осуществить незаконное соединение с внешним миром? Путей несколько: телефонный модем, мобильный телефон (GSM/GPRS или SkyLink), Wi-Fi-соединение, установленное с помощью антенны, выставленной в окно. В большинстве случаев организовать такой скрытый канал можно при помощи подключения соответствующего устройства к USB-разъему.
Правда, чтобы передать вовне 60 Гбайт данных по модемному соединению, потребовалось бы столько времени, сколько не «держит» ни одно телефонное соединение. GPRS и SkyLink можно отбросить по экономическим показателям, а вот Wi-Fi на скорости 54 Мбит/c через улицу — вполне реальная возможность. Понятно, что принимать данные можно с припаркованного поблизости автомобиля, на это потребуется всего около получаса.
Более вероятна утечка данных с использованием съемного носителя информации. В частности, в банках есть системы со съемными жесткими дисками — такие диски устанавливают на серверах, чтобы, когда возникает необходимость, заменить диск, не останавливая системы. (Кстати, поэтому стоит строго контролировать все ремонтные работы на серверах и фиксировать любое изъятие съемных дисков.)
Впрочем, даже если съемного накопителя нет — не беда. Можно использовать собственный, благо сейчас есть очень мобильные и компактные накопители, которые к тому же легко подключить практически к любому компьютеру через USB-интерфейс. В частности, сейчас продаются устройства для подключения стандартных жестких дисков IDE к USB-порту компьютера. Выпускаются и специализированные устройства, такие как iPod, которые также содержат жесткие диски и подключаются к компьютеру по USB, не требуя никакого драйвера или установки дополнительных программ: все они встроены в Windows «по умолчанию». Это более удобный канал для организации утечки большого объема конфиденциальной информации.
Однако служба безопасности национального банка, скорее всего, не допустит утечки с помощью USB-диска. Для этого нужно блокировать накопление большого количества конфиденциальной информации на отдельном компьютере и, кроме того, запретить использование USB-интерфейсов на рабочих местах простых пользователей. С этой целью достаточно использовать следующие технологии:
- средство контроля передачи конфиденциальной информации;
- полностью коммутируемые сети;
- системы управления доступом к USB-интерфейсам.
Средство контроля передачи конфиденциальной информации позволяет с помощью специальных меток выделить определенные данные как конфиденциальные, контролировать их перемещение по организации и попытки их распечатать или сохранить на мобильные накопители через USB. В качестве примера такой системы можно привести продукт InfoWatch одноименной компании, который представляет собой систему управления передачей конфиденциальной информации внутри компании и может применяться как средство фильтрации информации.
Во избежание подключения посторонних линий связи к корпоративной сети, нужно использовать полностью коммутируемую сеть, к которой незаметно подсоединить дополнительное беспроводное устройство нельзя. Коммутатор должен замечать чужое устройство и немедленно его блокировать (это невозможно, если сеть построена на неуправляемых концентраторах). В любом случае систему управления сетью следует настроить так, чтобы она подозрительно относилась ко всем «чужакам», кроме (возможно) собственных мобильных компьютеров.
Однако права пользователей мобильных компьютеров также стоит выделять дозированно, поскольку сотрудники могут с помощью встроенных средств установить беспроводное соединение вовне (современные мобильные компьютеры часто имеют интерфейс доступа в беспроводные сети). Передачу конфиденциальных данных на мобильные компьютеры, имеющие беспроводной интерфейс, также нужно строго контролировать. Сложность заключается в том, что такие компьютеры, как правило, принадлежат руководству, которое не любит ограничений.
Доступ простых пользователей к USB-интерфейсу можно ограничить и с помощью продукта DeviceLock компании SmartLine. Этот продукт контролирует подключение устройства к USB-порту и по определенным правилам разрешает или запрещает доступ к ним. Таким образом, простой пользователь уже не сможет подключить внешний USB-диск или USB-адаптер для Wi-Fi-подключения. Впрочем, можно просто залить USB-интерфейсы клеем, однако в дополнение к этому нужно сделать так, чтобы пользователи не смогли вскрыть корпус компьютера (по крайней мере, незаметно для системного администратора).
ИТ-отдел
Потенциально более опасными инсайдерами являются сотрудники ИТ-отдела, которые занимаются администрированием баз данных, техническим сопровождением всего оборудования, резервным копированием всей информации и другими текущими делами. В процессе выполнения своих обязанностей они иногда получают возможность реализовать практически любую из перечисленных ранее версий нападения: в их власти — упростить атаку внешних хакеров, «списать» на свалку вполне работоспособный диск с конфиденциальной информацией, установить скрытое Wi-Fi-соединение. Поэтому в числе первых подозреваемых в случае любой утечки — это сотрудники ИТ-отдела.
Кроме того, они имеют другие возможности для организации утечки, отследить которые очень сложно. Одна из них — система резервного копирования, которая накапливает в себе практически все данные организации. У такой организации, как национальный банк, резервная копия должна быть не одна, а несколько, и храниться они должны в разных местах, чтобы их невозможно было уничтожить одновременно. В то же время размер ленты для резервного копирования сейчас не очень большой: есть устройства, которые позволяют сохранять до 800 Гбайт информации на кассету размером с небольшую книгу. При этом такие кассеты могут использоваться несколько раз — новые данные часто записываются прямо поверх старых. Очевидно, что если кто-то принесет свою кассету, маркирует ее как новую, а старую просто вынесет, то заметить такую утечку будет крайне сложно.
Обеспечить защиту от утечки конфиденциальной информации через администраторов представляется нелегким делом, тем не менее возможным — для этого нужно создать службу информационной безопасности, которая не подчиняется ИТ-отделу и занимается только тем, что наблюдает за всеми действиями ИТ-службы. Вся информация, которая принадлежит отделу информационной безопасности, должна шифроваться, чтобы не стать известной администраторам. Конфиденциальная информация, к которой обязательно нужно отнести и записи во всевозможных системных журналах, также должна шифроваться. Необходимо, чтобы ключи для ее дешифрации хранились «за семью замками» в службе информационной безопасности.
Системы, которые обрабатывают конфиденциальную информацию, должны предусматривать роль сотрудника информационной безопасности, который контролирует действия администратора. В качестве примера можно привести защищенный дистрибутив ALT Linux под названием Castle, в котором роль системного администратора отделена от роли сотрудника безопасности (эта возможность реализована с помощью исправления к ядру под названием RSBAC). Аналогичные меры безопасности начинают появляться и в других дистрибутивах Linux. Впрочем, подобные меры предосторожности нужны только в крупных организациях, нарушение конфиденциальности в которых может привести к серьезным последствиям. Например, в таких, как национальный банк. Всем остальным следует просто не списывать со счетов различные пути утечки информации и минимизировать риск их использования.
Служба безопасности
Конечно, можно пойти дальше и спросить: а может ли утечка произойти через службу информационной безопасности? Ответ будет положительным. Едва ли можно предложить какие-либо технологические решения, которые могли бы реализовать защиту информации от утечки через этот канал, — его защита должна работать не на технологическом, а на организационном уровне.
Валерий Коржов — обозреватель еженедельника Computerworld Россия, oskar@osp.ru