Борьба с утечкой информации через USB/Ethernet-порты

ВОЗДВИГАЯ НОВЫЕ СИСТЕМЫ ЗАЩИТЫ, МНОГИЕ АДМИНИСТРАТОРЫ НЕ ПОДОЗРЕВАЮТ, ЧТО УГРОЗЫ НАХОДЯТСЯ НЕ ТОЛЬКО СНАРУЖИ, НО ЕЩЕ И ВНУТРИ КОРПОРАТИВНОЙ СЕТИ.

Рассмотрим типичный офисный компьютер с демонтированным floppy-дисководом, лишенный записывающих CD/DVD-приводов, не имеющий никаких интегрированных беспроводных устройств (BlueTooth, WLAN) и подключенный к локальный сети, с выходом в интернет через proxy-сервер или NAT. Из портов имеется только USB и еще, возможно, COM/LPT.

За компьютером сидит продвинутый пользователь, который намеревается скопировать конфиденциальную информацию на свой домашний компьютер (исключительно для удобства и без всякого злого умысла) или же передать ее третьим лицам (за определенное вознаграждение). И в том, и в другом случае мы сталкивается с утечкой данных, которую администратор обязан предотвратить.

Возможные каналы утечки информации

Основные источники угрозы: USB/Ethernet-порты и средство голосового общения Skype, столь популярное в последнее время на работе. COM/LPT-порты используются значительно реже, но представляют не меньший интерес для злоумышленников. Цифровые выходы звуковой карты и монитора — уже из области экзотики, которой занимаются только хакеры-электронщики. Остальные способы требуют либо вскрытия компьютера, либо чрезвычайно высокой квалификации злоумышленника, поэтому их в расчет не берем.

USB

USB-порты, перекочевавшие на лицевые панели ПК и корпуса USB-клавиатур, значительно упростили обмен файлами между компьютерами. Но как защититься от кражи информации? Самое простое (и самое радикальное) решение проблемы — отключить USB-разъемы или воткнуть в них заглушки, обильно смазанные «суперклеем». К таким мерам администраторы, кстати, прибегают достаточно часто. Офисный компьютер может работать и без USB. Ему не нужны никакие периферийные устройства, и к нему не нужно подключать принтер (для этого есть локальная сеть). Но в некоторых случаях без USB не обойтись.

Можно установить на компьютер систему защиты типа ZLock или любую другую. Принцип один. Специальный драйвер перехватывает запросы на запись к USB и в зависимости от политики доступа (контролируемой администратором) либо разрешает запись, либо выдает сообщение об ошибке. На практике защитные средства типа ZLock ограничиваются блокировкой записи определенных файлов. На первый взгляд все замечательно: пользователи обмениваются безобидными файлами и не могут стащить ничего ценного, однако, в защите обнаруживается огромная дыра.

Допустим, имеется документ MS Word (или электронная таблица). Что помешает пользователю сохранить ее под другим именем или скопировать в буфер обмена и вставить в файл, который не внесен в «охраняемый» список? Даже если защита анализирует типы файлов, основываясь на их содержимом, пользователь может сжать файл малоизвестным архиватором или замаскировать его каким-нибудь другим способом.

Ethernet

Кабели локальной сети — это артерии и вены любой организации, имеющей более одного компьютера и основной источник утечек, который, в отличие от USB, уже нельзя закрыть заглушкой. Злоумышленнику достаточно подключить свое устройство к свободному Ethernet-порту, и он уже в локальной сети.

Прежде всего, необходимо настроить маршрутизаторы, привязав локальные IP-адреса к MAC-адресам, и закрыть на брандмауэре все незанятые Ethernet-порты. Это намного проще и надежнее, чем помещать хабы в железный сейф, стоимость которого (помноженная на количество хабов в сети) весьма значительна. Естественно, прописывание MAC-адресов в настройках брандмауэра/маршрутизатора - занятие довольно утомительное, к тому же, не существует никакой возможности отличить настоящий MAC-адрес от поддельного (не говоря уже о том, что в большинстве сетевых устройств MAC-адрес хранится во FLASH-памяти и может быть изменен).

Skype

Среди прочих средств голосовой связи Skype выделятся тем, что шифрует свой трафик и виртуозно обходит NAT'ы вместе с брандмауэрами, используя протоколы STUN и TURN. А если они не срабатывают, гонит трафик через HTTP-proxy, автоматически определяя настройки браузера. Другими словами, Skype представляет собой идеальное средство для передачи файлов из локальной сети в «дикий» интернет. Причем, определить, кому был передан файл, невозможно, поскольку Skype использует распределенную сеть, каждый из узлов которой может обслуживать всех остальных абонентов. Максимум, администратор «вычислит» Skype-имя пользователя, которое мало что даст.

К сожалению, программ для детектирования и блокирования Skype-трафика не существует, и единственное, что может предпринять администратор — периодически сканировать клиентские компьютеры на предмет наличия Skype и удалять как зловредную программу.

Помимо Skype, конфиденциальная информация может быть передана через электронную почту или любой файлообменный сервер типа www.rapidshare.com, но они, в отличие от Skype, по крайней мере, оставляют следы в логах proxy-серверов и брандмауэров, позволяя вывести нечестного сотрудника компании на чистую воду.

COM/LPT

Многие современные компьютеры вообще не имеют COM-/LPT-портов, и это хорошо, поскольку, используя ноутбук, злоумышленник может установить «прямое кабельное соединение» и скачать все необходимые файлы. Правда, через COM большой файл за пару минут не скачаешь, да и у LPT пропускная способность находится на низком (по современным меркам) уровне. Но угроза утечки есть, и эти порты лучше сразу закрыть заглушками, а на заглушки повесить «замок».

Методы защиты, основанные на NTFS-потоках

Файловая система NTFS выгодно отличается от FAT16/32 тем, что поддерживает несколько потоков (streams) в рамках одного файла, также называемых атрибутами (attributes). Только не стоит путать их с атрибутами «только на чтение» или атрибутами времени создания/доступа/последней модификации — это совершенно разные вещи.

Каждый файл от рождения имеет один безымянный поток, и именно с этим потоком мы работаем при открытии/закрытии файла, и именно его размер берется за основу при подсчете размера файла. Однако мы можем создавать и другие потоки, отделяя их названия от имени файла символом «:». Например, X:\my_file:my_stream1 или X:\my_file:my_stream2. Естественно, полный путь указывать не обязательно, и X:\my_file:my_stream1 работает также хорошо, как и my_file:my_stream1 (если, конечно, my_file:my_stream1 находится в текущем каталоге).

Безымянный поток

Проведем простой эксперимент. Возьмем FAR, создадим новый файл (комбинация <Shift-F4>), назвав его «kpnc:nezumi», после чего в открывшемся окне редактора наберем что-нибудь наподобие «hello, world». Сохраняем. FAR и проводник показывают нулевой размер файла. При редактировании файл действительно пуст. Но если нажать комбинацию <Shift-F4> + «kpnc:nezumi», приветствие «hello, world» вновь появится на экране.

Если нет FAR'а, тот же самый фокус можно проделать и со штатным «блокнотом». Только он требует, чтобы имя файла и имя потока оканчивалось обязательным расширением «.txt», иначе ничего не получится. Пишем в командной строке «notepad kpnc.txt:nezumi.txt», вводим что-нибудь, сохраняемся. Теперь, если попытаться открыть файл, мы ничего не увидим (безымянный поток остается пустым) и «проводник» отрапортует о нулевом размере файла. Но стоит набрать «notepad kpnc.txt:nezumi.txt», и содержимое потока nezumi.txt появляется на экране. «Чудеса»!

Теперь поговорим, как эти «чудеса» можно использовать на практике. При копировании в файловую систему, отличную от NTFS (например, на лазерный диск или флешку, размеченную под FAT), копируется только безымянный поток, а все остальные игнорируются. При передаче по локальной сети все потоки сохраняются (и это хорошо), однако ни FAR, ни «проводник» не позволяют выбирать, какие именно потоки копировать, а какие нет. Утилита командной строки «copy» с этим также не справляется, обвиняя в неправильном синтаксисе. Некоторые утилиты (например, RAR) поддерживают сохранение всех потоков файла, чтобы полученный архив было можно записать на не NTFS-носитель, а при последующей распаковке на NTFS-разделе получить все потоки обратно.

Потоки — идеальное средство для защиты от несанкционированного копирования файлов. Создаем файл с тремя потоками. Первый — безымянный и может содержать все, что угодно (или не содержать ничего). Второй — именованный. Именно он хранит тело документа/электронной таблицы/базы данных, с которым необходимо работать. Третий (именованный) поток играет роль своеобразного балласта и несет на своем борту несколько гигабайт мусора, сгенерированного произвольным образом и, желательно, очень трудно сжимаемого архиваторами.

Допустим, злоумышленник захотел скопировать этот файл на флешку, размеченную под FAT. Тогда он получит только первый (безымянный) поток, не содержащий ничего или содержащий грозное предупреждение с указанием немедленно явиться к начальнику с повинной. Если же это флешка отформатирована под NTFS, то «проводник» попытается скопировать все три потока, но третий поток туда не влезет физически. Аналогичным образом обстоят дела и с передачей файла по сети. Незаметно передать несколько гигабайт злоумышленнику не удастся, особенно если на исходящий трафик установлен жесткий лимит.

Но есть и определенные минусы:

• Открыв файл в Word/Excel и скопировав его в буфер обмена, злоумышленник сможет записать его через USB, если USB-порт открыт на запись, а также передать по сети через тот же Skype.
• Квалифицированный программист сможет написать программу для выборочного копирования отдельных потоков.
• Потоки-балласты занимают достаточно много места, уменьшая полезную емкость жесткого диска.

Методы защиты, основанные на запуске программ от имени спецпользователя

Допустим, мы имеем «оператора архива», который должен резервировать все файлы, но при этом не должен иметь к ним доступ, чтобы не утащить налево. Возможно ли это? Здравый смыл подсказывает, что нет, в то время как операционные системы семейства NT (UNIX в том числе) утверждают, что возможно. Все достаточно просто. Пользователь запускает программу от имени другого пользователя, обладающего правами доступа ко всем файлам, которая выполняет архивацию и записывает результат в указанный оператором архива файл, но доступа к этому файлу оператор не имеет. Чтобы злоумышленник не подсунул программе резервирования сменный носитель, который потом будет подключен к другой машине, например, к своему домашнему компьютеру, где он обладает правами администратора, следует использовать атрибут шифрования файла. Тогда для его открытия одних лишь прав администратора окажется недостаточно и потребуется заполучить ключ, хранящийся в учетной записи того пользователя, от имени которого запускается программа архивации. Подобная практика защиты очень широко распространена и соответствующие профили даже встроены в Windows NT, однако, ничто не мешает нам использовать ее не только для архивации, но и для повседневной работы с важными файлами.

Например, MS Word, запускаемый от имени специального пользователя с настроенными правами доступа к секретным файлам. Как следствие, обычный пользователь сможет открывать/сохранять файлы только через MS Word, но не сможет скопировать их через «сохранить как». Точнее, скопировать-то он их сможет, но вот открыть сохраненный файл — нет, даже если он записан на флешку, KПК или другое устройство. К сожалению, по умолчанию буфер обмена одного пользователя доступен всем остальным, что позволяет «перетягивать» секретные файлы через copy/paste, но, изменив настройки политики безопасности, можно (и нужно) сделать буфер обмена спецпользователя невидимым для всех остальных.

Но... разработчики Windows NT забыли доделать запуск программ от имени других пользователей с автоматическим вводом пароля. А это значит, что секретный пароль придется сообщать всем простым пользователям, иначе они не смогут запустить ни Word, ни другое защищаемое нами приложение. Здесь возможны два выхода из ситуации. Первый — Word запускает администратор и оставляет его открытым, не позволяя пользователям его закрывать. Забавно, конечно, зато бесплатно. Второй — пишем свой собственный загрузчик, запускающий программы от имени других пользователей и автоматически передающий им пароль, жестко прошитый в нем. А чтобы пароль не бросался в глаза при просмотре файла в hex-редакторе, загрузчик шифруется любым exe-упаковщиком. Поскольку проблема необходимости явного ввода пароля (кстати, отсутствующая в UNIX-подобных операционных системах) возникла не вчера, в Сети можно найти множество готовых загрузчиков, в том числе и бесплатных.

Крис Касперски Специалист по компьютерной безопасности и сжатию цифрового аудио/видео, системный программист, участвующий во многих проектах (большей частью под NDA) по анализу вредоносного программного обеспечения, поиску “закладок”, разработке систем защиты информации от несанкционированного досту- па/копирования информации как в качестве рядового сотрудника, так и руководителя отдела. В настоящее время работает в компании Endeavor Security, Inc, а так же занимается преподавательской деятельностью.

Обсуждение статьи

Логин: Пароль: Регистрации на сервере не требуется. Если у вас есть форумный логин, вы можете использовать его. Если нету, то вы можете зарегистрироваться на forum.itspecial.ru Обсуждение этой статьи на forum.itspecial.ru Для отправки сообщения введите код, указанный на картинке Заголовок Сообщение Guest guest@gameland.ru Отправлено: 05.01.2009 11:05:14 RE: Борьба с утечкой информации через USB/Ethernet-порты 1. "К сожалению, программ для детектирования и блокирования Skype-трафика не существует". Не автор ли писал как-то статью в ][ про обнаружение Skype-трафика и кривость используемого в нём шифрования? Впрочем, мало ли что разработчики придумают в новой версии... 2. "Точнее, скопировать-то он их сможет, но вот открыть сохраненный файл — нет, даже если он записан на флешку, KПК или другое устройство" - А что, шифрование добралось и до FAT? Метод хорош, но дополнительно следует не дать спец. пользователю создавать незашифрованные файлы. Guest guest@gameland.ru Отправлено: 13.01.2009 19:30:24 RE: Борьба с утечкой информации через USB/Ethernet-порты статья - хуйня... бред сумасшедшего.. Guest guest@gameland.ru Отправлено: 16.01.2009 4:24:38 Крису респект. Великий чел. Guest guest@gameland.ru Отправлено: 22.01.2009 0:58:42 RE: Борьба с утечкой информации через USB/Ethernet-порты Хорошая статья, хоть это всё и известно давно, но лишний раз по полочкам разложить стоит! Guest guest@gameland.ru Отправлено: 30.01.2009 18:42:36 RE: Борьба с утечкой информации через USB/Ethernet-порты с потоками это красиво конечно но ведь наверное все быстро узнают и этот способ потеряет актуальность Guest guest@gameland.ru Отправлено: 31.08.2009 16:01:35 RE: Борьба с утечкой информации через USB/Ethernet-порты Немного неполно. Хотелось бы видеть готовые решения. Мы, например, используем систему защиты от утечек SearchInform, она даёт возможность и USB контролировать, и Skype, и печать, и почту... Про такие решения ведь здесь не было ни слова! Guest guest@gameland.ru Отправлено: 13.05.2010 4:47:01 RE: Борьба с утечкой информации через USB/Ethernet-порты Very nice site! Very nice site! replica watches as gifts for their men. patek philippe Even though pocket Guest guest@gameland.ru Отправлено: 11.10.2010 5:11:07 RE: Борьба с утечкой информации через USB/Ethernet-порты cheap ghds Cheap ghd straighteners Benefit ghd ghd Mini Styler Rare GHD cheap ghds ghd Cheap ghd straighteners Benefit ghd ghd Mini Styler Pink GHD Pure Black GHD Pure White GHD ghd cheap ghds Cheap ghd straighteners ghd Mini Styler Kiss GHD Pure Black GHD cheap ghds Страницы: << 1 >>

Теги: защита, тема номера, утечка информации

Keywords: zPOSTz zMAIN_THEMEz z10054z
Для Авторов: edit delete