Корпоративные данные в безопасности
До недавнего времени и без того загруженным сетевым администраторам не приходилось заботиться о каких-либо мобильных компьютерах, кроме ноутбуков руководителей и менеджеров по продажам. Но сегодня мобильные устройства становятся все более многочисленными и разнообразными по мере конвергенции компьютеров, сотовых телефонов, MP3-проигрывателей, PDA и других подобных устройств. Большинство современных мобильных устройств располагают возможностями, которыми обычно обладают компьютеры, в частности браузерами, хранилищами для файлов и средствами работы с электронной почтой. Только рынок беспроводных PDA вырос в 2004 г. на 34%, а в 2005 г. ожидаются еще более высокие темпы роста. Вычислительная мощность Reseach in Motion (RIM) Blackberry, Palm Treo, HP iPAQ и других аналогичных устройств начинает приближаться к уровню ноутбуков. Учитывая малые размеры устройств и широкие возможности обработки и хранения больших объемов информации, перед ИТ-администраторами встает трудная задача не допустить утечки корпоративных данных за пределы компании.
Особенное беспокойство вызывают имеющиеся почти во всех карманных устройствах функции беспроводного доступа в Internet по протоколам 802.11, Bluetooth или сотовым сетям. Некоторым сотовым телефонам при подключении к Internet даже назначается временный IP-адрес (угрожающая перспектива!). Владелец такого сотового телефона может загрузить данные из сети предприятия (через Bluetooth), а затем покинуть пределы компании вместе с данными, записанными в сотовом телефоне. Даже внутри здания карманные устройства более опасны, чем настольные компьютеры. Эти устройства столь миниатюрны, что злоумышленнику очень легко взять PDA со стола сотрудника или незаметно вынуть его из док-станции и спрятать в кармане. А чем меньше устройство, тем выше вероятность его потерять. Данные в карманные устройства можно записывать с использованием беспроводной (Bluetooth) или инфракрасной технологии. Ни одну из этих технологий нельзя считать безопасной (более подробно об информационной защите Bluetooth рассказано во врезке «Проблемы Bluetooth»). Наконец, пользователи могут хранить в своих устройствах большие объемы информации, и фрагменты корпоративных данных могут покидать организацию в PDA сотрудников. В настоящее время цена карты емкостью в 1 Гбайт на Synchronous DRAM (SDRAM) составляет 79 долл. Все эти обстоятельства усложняют задачу сетевого администратора, который должен обеспечить безопасность корпоративных данных.
Что же делать? Недопустимо игнорировать опасность в надежде, что PDA чудесным образом исчезнут. С появлением Wi-Fi (беспроводной стандарт 802.11b), доступа в Internet и других новых технологий джинн был выпущен из бутылки, и мобильная связь останется с нами навсегда. Поэтому необходим продуманный подход к защите данных.
Защита мобильных вычислительных устройств
Сотовые телефоны и PDA функционируют подобно настольным компьютерам, поэтому их безопасность следует обеспечивать теми же методами, которые применяются в настольных компьютерах и ноутбуках. Прежде всего нужно учитывать различия между типами хранимых данных (например, списки деловых контактов, пароли, файлы данных и электронная почта) и способами доступа и работы с данными пользователей. Хранимым данным каждого типа свойственны собственные угрозы и возможные контрмеры. Варианты защиты для разных устройств различны.
Списки деловых контактов. Руководители и менеджеры по продажам с сотовыми телефонами и PDA обычно хранят в таких устройствах номера телефонов и контактную информацию, которая представляет ценность для предприятия (скажем, список телефонных номеров в телефоне руководителя киностудии). В новейшей версии Palm OS можно отмечать записи о контактах как личные и скрывать (делать невидимыми на экране) или маскировать (отмечать серым заполнителем места или пиктограммой замка) отдельные личные записи. Личную запись нельзя увидеть или выбрать, не указав верного пароля. Личные записи обеспечивают определенный уровень защиты в случае потери устройства. Существует несколько решений независимых поставщиков для защиты списков контактов в устройствах Pocket PC на базе Windows Mobile и операционных системах Windows Mobile, например CodeWallet Pro компании DeveloperOne. Администратору необходимо решить, нуждаются ли списки контактов пользователей в дополнительной защите.
Электронная почта. В сообщениях электронной почты могут содержаться детали конфиденциальных бесед или корпоративных переговоров. Кроме того, пользователь может присоединить к почтовому сообщению сведения о крупном потенциальном контракте, прайс-лист или какие-нибудь данные о сотрудниках. Возможный метод защиты — запретить сотрудникам посылать почтовые сообщения с конфиденциальными деловыми данными с мобильных устройств. Однако такая мера может вызвать недовольство, так как пересылка электронной почты — одно из самых распространенных применений мобильных устройств. Резервной мерой может быть запрет на загрузку вложенных файлов в мобильные устройства. Такое ограничение можно установить в большинстве устройств, и обычно оно не вызывает возражений, так как вложенные файлы загружаются медленно.
Голосовая почта. Злоумышленнику, укравшему PDA или сотовый телефон, легко получить доступ к входному ящику голосовой почты и прослушать сохраненные сообщения. У многих провайдеров сотовой связи голосовые входные ящики защищены слабо или вовсе не защищены и даже предусмотрен удобный доступ к ним одним нажатием на клавишу. Пользователям следует защитить входные ящики паролем и не сохранять пароль в процедуре быстрого доступа по одной кнопке.
Изображения. Большинство изображений, которые пользователи хранят в мобильных устройствах, — личные, но иногда в них можно найти фотографии досок объявлений, прототипов продуктов и других ресурсов компании. В некоторых компаниях и странах запрещено использовать телефоны со встроенными камерами, но обеспечить выполнение этого запрета будет трудно, так как камера становится стандартным компонентом сотовых телефонов. А пока полезно ограничить использование телефонных камер на работе.
Пароли и номера учетных записей. Многим пользователям сегодня приходится запоминать все больше секретных кодов (пароли, номера кредитных карт, коды предупреждений и комбинации цифр для сейфов). Если сохранить пароли в настольном компьютере, они окажутся недоступными в других помещениях офиса или когда их владелец будет находиться в командировке; кроме того, нельзя забывать о возможности электронной кражи. Записать пароли на бумаге (и не спрятать их под замок) и вовсе неудачное решение.
Keyring for Palm OS — бесплатная утилита, с помощью которой конфиденциальные данные можно сохранить в PDA и носить с собой, не подвергая их опасности. Эта программа обеспечивает шифрование по методу triple-DES со 112-разрядным ключом, генерируемым из пароля. Те, кому трудно придумать новый уникальный пароль, могут воспользоваться удобным генератором паролей Keyring, который соответствует требованиям стандарта Federal Information Processing Standard (FIPS) 181 для автоматических генераторов паролей. В генераторе паролей даже предусмотрена функция подготовки случайных удобно произносимых паролей. Их проще запомнить, даже если это не словарное слово. Загрузить Keyring for Palm OS и получить более подробные сведения об утилите можно по адресу http://gnukeyring.sourceforge.net.
Пользователи PDA на базе Windows могут загрузить бесплатную программу KeePass для хранения в устройствах важных паролей и кодов. В функциональность программы, в основном такую же, как у Keyring for Palm OS, внесено несколько удачных дополнений. KeePass работает и на настольных системах, поэтому обращаться к кодам можно как с персонального компьютера, так и через PDA. Списки паролей можно экспортировать в файлы различных форматов для удобства чтения и импортировать данные из файлов с разделением запятыми (CSV) и других форматов, например CodeWallet Pro. Для защиты сохраненных данных в KeePass используются алгоритмы шифрования Advanced Encryption Standard (AES) и Twofish. Загрузить KeePass можно по адресу http://keepass.net/index.php?news.
Файлы данных. PDA и портативные устройства памяти часто используются в качестве сменных жестких дисков. ThumbDrive (удачное название, так как размером это устройство с большой палец руки) фирмы Trek — семейство широко распространенных устройств памяти, в которых легко переносить данные из одного места в другое. ThumbDrive — не компьютер, но представляет особую опасность из-за очень малых размеров и возможности подключить его к USB-порту любого компьютера. В некоторых государственных учреждениях с высокими требованиями к безопасности такие устройства безусловно запрещены, и посетителей обыскивают у входа, чтобы никто не пронес их на территорию объекта. Совсем не обязательно прибегать к столь крайним мерам, но администратор может ограничить свободу действий владельцев миниатюрных периферийных и других устройств, настроив параметры Group Policy в системах с Windows Server 2003 Service Pack 1 (SP1) и более поздними версиями. Можно подготовить политику компании с указанием типов данных, которые пользователи могут хранить в миниатюрных устройствах. Если в компании действует политика информационной безопасности с различными категориями защиты для документов разных типов, то эти категории могут послужить основой для политики. Например, в политике информационной безопасности можно разрешить хранение общедоступных данных в карманном устройстве, но запретить запись в них конфиденциальной информации или сведений о сотрудниках. Следует поощрять сотрудников применять надежные методы передачи файлов, в частности обращаться к локальной сети предприятия через VPN.
Системный администратор, которому необходима безопасность при обращении к удаленным серверам без ноутбука, может конфиденциально сделать это с помощью программы TuSSH (для Palm OS 4.0 и более поздних версий) со своего PDA. TuSSH — клиент для программы Secure Shell (SSH), которая обеспечивает подключение к серверам через зашифрованный туннель (если серверы работают с SSH). Более подробную информацию о TuSSH for Palm OS можно получить по адресу http://www.tussh.com.
Оптимальные подходы
Ниже перечислено пять оптимальных подходов для безопасного использования мобильных устройств в корпорациях.
Подготовка политики для мобильных устройств. Следует создать четкую политику безопасности для карманных устройств и довести ее до всех сотрудников. В политику должны войти следующие элементы.
- Разъяснение о правомерности использования карманных устройств для доступа и хранения данных компании. В соответствии с принятой политикой сотрудники должны зарегистрировать в ИТ-подразделении любые карманные устройства, которые могут быть использованы для хранения данных компании или синхронизированы с компьютером компании, чтобы ИТ-специалисты могли контролировать их применение.
- Составить список категорий сотрудников, которым разрешено применение карманных устройств для доступа и хранения корпоративных данных. Например, менеджеры по продажам могут работать с PDA, но бухгалтеры - нет.
- Описать типы данных, разрешенных для хранения в карманных устройствах пользователей. Например, пользователи могут хранить деловые контакты, но не файлы с данными приложений.
- Определить минимальный уровень безопасности, на который должны быть настроены пользовательские карманные устройства. В идеальном случае каждое устройство должно быть предоставлено отделом ИТ.
Запуск антивирусной программы в каждом устройстве. Карманные устройства могут быть синхронизированы с компьютером, поэтому вирусы могут распространяться через них точно так же, как через обычную систему. До настоящего времени очень немногие вирусы поражали PDA, но с ростом вычислительных возможностей этих устройств опасность, несомненно, возрастает. Поэтому в мобильные устройства следует загрузить антивирусные программы. Компании McAfee и Symantec выпускают антивирусные программы для Palm OS, Windows Mobile, Pocket PC на базе Windows Mobile. McAfee VirusScan PDA Enterprise 2.0 обеспечивает управление в масштабах предприятия, в отличие от продуктов других поставщиков, в которых функции PDA рассматриваются как дополнительные.
Защита устройств с помощью пароля. Если в PDA сотрудников хранятся не только списки контактов или сообщения электронной почты, то функции PDA должны быть защищены паролем. В операционных системах большинства устройств можно блокировать функции PDA после включения питания и потребовать пароль для доступа к любым функциям. Пользователи могут осуждать такие меры, но блокирование функций PDA — лучший способ предотвратить доступ к данным посторонних лиц при потере PDA. Однако, даже если функции блокированы, несанкционированный пользователь может получить доступ с помощью инструментов взлома, имеющихся в открытом доступе.
Шифрование важных файлов. Если в устройствах хранятся рабочие файлы сотрудников и вложенные файлы электронной почты, то следует предпринять дополнительные меры для защиты данных. Пользователи Palm OS могут хранить важные файлы в защищенной папке, где их можно просмотреть только после ввода пароля. Но у этого подхода есть недостатки. Для тех, кто действительно дорожит безопасностью (несомненно, к этой категории относятся все системные администраторы), существуют программы полного шифрования данных. Более подробная информация о защите данных в мобильном устройстве приведена во врезке «Защита файлов в Palm OS и Windows Mobile».
Отключение необязательных функций беспроводной связи. Если в не используемом в данный момент PDA не отключены или не блокированы службы Bluetooth и инфракрасный порт, то доступ к устройству открыт для всех. С помощью PDA с беспроводным адаптером можно обнаружить и отключить несанкционированные беспроводные сети внутри компании. Небольшая бесплатная программа MiniStumbler предназначена для аудита беспроводных сетей 802.11 вокруг текущего местонахождения администратора с PDA. Для работы с этой программой PDA должен быть совместим с Wi-Fi-платой Secure Digital (SD) и располагать новыми гнездами SD I/O (SDIO) (они имеются не во всех PDA). MiniStumbler интегрируется с такими программами, как Microsoft MapPoint, для построения карт беспроводной связи (более подробную информацию можно найти в статье «Карта уязвимых мест беспроводной сети», опубликованной в Windows IT Pro/RE № 4 за 2005 год). Благодаря этой программе провести беспроводной аудит очень просто. Существуют версии MiniStumbler для устройств Palm и Pocket PC. Получить дополнительные сведения и загрузить MiniStumbler можно по адресу http://www.stumbler.net/readme/ readme_Mini_0_4_0.html.
Защита почтового сервера
Если вместо центрального почтового сервера компании используется собственный RIM-сервер (для устройств Blackberry), то необходимо предпринять дополнительные технические меры безопасности. Взломщики со специальными удаленными программами для RIM-серверов могут получить доступ к устройствам Blackberry и хранящимся на них данным. Необходимо использовать новейшее программное обеспечение для RIM-серверов со всеми исправлениями. Кроме того, следует настроить устройство Blackberry на прием и передачу зашифрованных данных.
До тех пор пока изготовители не добьются безупречной интеграции технологий безопасности в карманные устройства, лучшей защитой от потерь и злоупотреблений этих устройств будут грамотная политика безопасности и обучение пользователей. Как всегда, человек — самое слабое звено в системе безопасности.
Тони Хаулетт - Президент сетевой консалтинговой фирмы Network Security Services. Имеет сертификаты CISSP и GSNA. thowlett@netsecuritysvcs.com
Проблемы Bluetooth
С появлением беспроводного протокола Bluetooth стало проще переносить данные из настольного компьютера в PDA, даже не снимая портативное устройство с пояса. Однако из-за особенности практической реализации набора протоколов Bluetooth возникла угроза похищения адресных книг (bluesnarfing) и личной информации (bluejacking) из Bluetooth-совместимых PDA. Распространено мнение, что опасность снижается благодаря сравнительно малому радиусу действия Bluetooth, но недавние исследования показали, что при удачной комбинации направленной антенны и программного обеспечения доступ к устройствам Bluetooth можно получить на расстоянии более полутора километров. Другой метод, Bluebug, позволяет посторонним лицам устанавливать связь с Bluetooth-совместимыми телефонами и незаметно прослушивать разговоры пользователей.
В большинстве Bluetooth-совместимых телефонов по умолчанию активизирован режим удобного обнаружения (называется в различных телефонах по-разному) для простого подключения к другим сотовым телефонам. Однако в этом режиме злоумышленникам легко получить доступ к чужому телефону. В целях безопасности владельцам Bluetooth-совместимых телефонов следует отключить режим обнаружения (процедура описана в руководстве для конкретной модели).
Защита файлов в Palm OS и Windows Mobile
В Palm OS имеется встроенная функция защиты файлов. Для просмотра параметров безопасности следует перейти в папку System и выбрать Security. Хотя число параметров безопасности невелико, пользователь может защитить файлы, пометив их как личные, чтобы открыть их можно было только с помощью пароля. К сожалению, метод шифрования Palm ненадежен, и взломщик может получить доступ к хранящимся в устройстве данным, воспользовавшись бесплатными инструментами из Internet. Однако защита с помощью пароля будет препятствием для технически неграмотных злоумышленников. Одна из простейших мер безопасности — блокировать и отключить устройство, когда оно не используется (а при возобновлении работы потребуется ввести пароль). Если вы намерены защитить файлы в PDA, но не хотите блокировать устройство каждый раз, когда не пользуетесь им, то можно применить к самым важным файлам более надежные алгоритмы шифрования, реализованные в программах независимых поставщиков. Среди таких программ безопасности для Palm — JAWZ DataGator (http://www.jawzinc.com), PDA SafeID компании Handmark (http://www.handmark.com) и Gator eWallet фирмы Gain (http://www.gator.com).
Средства безопасности устройств Windows Mobile минимальны. При включении питания можно ввести пароль, состоящий из четырех букв, или более надежный символьно-числовой пароль. Но большинство пользователей PDA не применяют пароль при включении питания, так как считают это лишним неудобством. Для защиты данных на уровне файлов необходимо применить инструменты независимых поставщиков: CodeWallet Pro (http://www.developerone.com) фирмы DeveloperOne, eWallet (только для паролей), nProtect KeyCrypt компании INCA Internet (http://www.engo.nprotect.co.kr/nprotect_keycrypt.htm) или Motricity PocketLock (http://www.pocketgear.com).
В настоящее время ни Palm OS, ни Windows Mobile не располагают надежным корпоративным решением, с помощью которого администраторы могли бы подготовить единую политику или ограничить использование портативных устройств в домене Windows с помощью существующей групповой политики. Можно лишь надеяться, что в скором времени изготовители PDA разработают дополнительные средства безопасности для своих продуктов.