Контакты
Подписка
МЕНЮ
Контакты
Подписка

ДБО – как сделать это безопасным

ДБО – как сделать это безопасным

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

ДБО – как сделать это безопасным

Абсолютно очевидно, что токены не делают ДБО безопаснее, однако некоторые в эти абсурдные рекомендации поверили. Началась вакханалия бессмысленных решений...
Валерий Конявский
научный руководитель ВНИИПВТИ,
научный консультант ОКБ САПР

...Виртуальные клавиатуры (якобы хакер, способный внедрить клавиатурного шпиона для физической клавиатуры, не сможет внедрить его для виртуальной!), списки одноразовых паролей, SMS-информирование и т.д., и т.п. Но ведь работать с документами можно только в доверенной среде. Волеизъявление человека гарантированно защищено от изменений только в доверенной среде. Доверенная среда обеспечивает достаточные условия для функционирования криптографии.

Знания эти давно не являются сакральными, они доступны всем желающим, и для того чтобы не знать этого, нужно сильно постараться или притвориться. Большинство добросовестных вендоров это знают и понимают. Эксперты оценивают, что "банки выдали клиентам почти миллион защищенных носителей ключей ЭП (USB-токенов), соответственно поле для деятельности хакеров крайне велико". Когда человек доверяет плохому или некомплексному продукту, у него возникает ощущение безопасности, что при реальной незащищенности обычно приводит к печальным последствиям. $3 млрд потерь в 2010 г., и $7 млрд – в 2011-м. Вот и результат.

Дешево, быстро, опасно – вот как расшифровывают сегодня ДБО.

На счетах банков вкладчики разместили около 11 трлн рублей, и значительная часть их может быть утрачена в результате хакерских атак.

Что же нам надо? Рассмотрим гипотетическую компанию, которой нужно управлять счетом дистанционно.

Описание компании

Итак, компания – малое предприятие с небольшим количеством работающих (примерно 10–15 человек). Вид деятельности – торгово-закупочная. Персонал обладает квалификацией в области мелкооптовой торговли, типичный уровень образования – среднее специальное. В основном персонал работает в офисе, используя для работы Интернет. Все компьютеры объединены в локальную сеть, используемая ОС – Windows, сеть администрируется внешним администратором в режиме фриланса, все сотрудники размещаются в одном офисе. От бухгалтерии сотрудники ожидают немедленного осуществления платежей и информирования о поступивших платежах, владелец компании ожидает эффективного и беспроблемного финансового менеджмента.

Первые попытки создать ДБО были зафиксированы 20 лет назад. В то время требования к защите были довольно определенными – доверенная среда, и только она. Потом требования размылись, частично – из-за отсутствия атак, частично – из-за отсутствия серьезного интереса у регуляторов. Так или иначе, о требованиях забыли. Конкуренция между компаниями, работающими в сфере ДБО, переместилась из сферы безопасности в сферу стоимости. Конечно, о безопасности пришлось забыть. Не вспоминали об этом и регуляторы.
В результате проблемы стали появляться. На редкие призывы задуматься об ИБ никто внимания не обращал.
Настоящие проблемы в ДБО начались с появления трояна, который похищал ключи, размещенные на дискете. Этой проблемой стоило заняться профессионально. Однако решение пришло, казалось бы, само собой – раз с дискеты воруют, положим ключи в другое место. И положили. На токен.

Отсюда и возникает основное требование к решениям по ДБО – ничего не требовать, но обеспечивать основной процесс. Конфиденциальность платежей не является сколько-нибудь важной, важна безопасность и оперативность. Значит, нужно использовать электронную подпись (ЭП) и, следовательно, необходимо обеспечить выполнение требований по неизменности среды применения ЭП.

Рассмотрим теперь, кто и как может помешать деятельности компании.

Нарушитель внешний
Внешний нарушитель – организованная группа хакеров-профессионалов, имеющая в своем распоряжении все известные средства вторжений и перехвата. Дополнительную угрозу представляет администратор.

Нарушитель внутренний
Внутренний нарушитель – не может делать ничего, кроме как подсмотреть пароль и несанкционированно воспользоваться системой ДБО. Максимум – установить на компьютер троян.

Итак, по известной классификации – внешний нарушитель Н5, внутренний – Н2. Наиболее опасные угрозы – перехват портов и перехват управления.

Как обеспечить безопасность ДБО?

Компьютер сделать изолированным невозможно, он был, есть и будет в составе ЛВС. Атаки на ДБО возможны со стороны Интернета, других компьютеров из ЛВС, возможны и закладки в компьютере для ДБО. Сеть не защищена. Основные угрозы – из Интернета. Таким образом, быть уверенным в том, что среда исполнения задач на компьютере является доверенной – совершенно невозможно.

Решения для ДБО

Традиционными для ДБО являются многие решения, но нет решений, при которых выполняются все требования регуляторов и ожидания пользователей. Рассмотрим некоторые из них.

Использование токенов в качестве хранилища ключей

Не противостоит и не может противостоять ни одной из современных атак – ни перехвату ключей, ни перехвату управления. Мероприятие, на наш взгляд, абсолютно бессмысленное с точки зрения безопасности.

Использование токенов с обеспечением неизвлекаемости ключей

Защищает ключи от перехвата, но не защищает от их несанкционированного использования в результате перехвата управления. Применение в ДБО ничем не обосновано, так как не защищает ни от внутреннего, ни от внешнего нарушителя.

Защита компьютера от НСД с помощью электронного замка
В качестве примера надежного СЗИ НСД можно назвать аппаратный модуль доверенной загрузки (АМДЗ) "Аккорд-АМДЗ". В достаточной степени защищает от внутреннего нарушителя при использовании изолированного компьютера, но такой защиты недостаточно для компьютера из незащищенной ЛВС и тем более недостаточно для защиты от внешнего нарушителя.

Фиксированная среда исполнения задачи

Фиксация среды обеспечивается загрузкой ОС и исполняемой задачи с носителя, на котором неизменность записанных программ обеспечивается технологически (CD-диски, специальные загрузочные флешки, работающие в режиме ReadOnly (только чтение)). Это отчасти надежное и дешевое решение, но совершенно неудобное и некомплексное. Для каждого компьютера такой носитель нужно изготавливать отдельно, ведь его невозможно настроить, во всяком случае, невозможно сохранить настройки. Отдельно нужно хранить ключи подписи и другую важную информацию.

Организация изолированной программной среды (ИПС)

ИПС организуется сертифицированными средствами разграничения доступа. Наиболее развитыми средствами создания ИПС является, например, специализированное ПО "Аккорд-Win32". Используется совместно с АМДЗ "Аккорд". Решение надежное, но дорогое, и требует профессиональных знаний по настройке СЗИ НСД.

Незащищенный компьютер с доверенным средством визуализации

Этот подход довольно давно предложен компанией IBM (еще в 2008 г.). USB-устройство (Zone Trusted Information Channel – ZTIC) за счет собственных ресурсов устанавливает SSL-соединение с банковским сервером, по созданному защищенному каналу передает информацию банку, на встроенном дисплее отображает информацию о платеже, распоряжение о котором получил банк, и пользователь может отменить распоряжение, если на дисплее не то, что должно быть.

Остроумное решение ограничено тем, что дисплей – это всего две текстовые строки, а на устройстве всего две кнопки – для подтверждения платежа или отказа от него.

К этому времени в ОКБ САПР было разработано собственное устройство примерно этого типа, с условным названием "Шипка с экраном". Оно отображало платежки на цветном графическом экране 3,5", подписывало и шифровало.

В серию это устройство не пошло, так как мы увидели принципиальное ограничение этого подхода, а именно: или в устройстве крайне ограничены возможности и его очень неудобно применять, или оно само требует полноценной защиты от атак по перехвату управления, так как становится практически полноценным компьютером. Проверенным, а значит, доверенным, может быть только простое устройство.

Тем не менее идея не потеряла актуальности, и подобные устройства сегодня анонсирует ряд компаний, в том числе "Актив", Банк Москвы и другие.

Чем устройство, имеющее экран, процессор, ОС, СКЗИ, прикладное ПО, средства удаленного обновления отличается от компьютера? Для него снова нужно обеспечивать доверенную загрузку, создавать ИПС и т.д. Дешево ли это? Увеличивает ли это безопасность?

Вывод – или неудобно, или проблемы не решаются.

Доверенный сеанс связи (ДСС)

Концепция ДСС развивается ОКБ САПР уже довольно давно. Суть концепции заключается в том, что компьютер практически всегда используется в незащищенных сетях, и только иногда – в защищенных. Значит, нужно добиваться не тотальной защиты, что дорого и неудобно, а защиты, при которой опасные ресурсы разделяются и не могут использоваться совместно.

Если собрать вместе все недостатки традиционных и новых решений, то можно сформулировать требования и к функциональности, и к защитным свойствам средств обеспечения безопасности ДБО.

Требования по функциональности:

  1. достаточность функций для любой архитектуры системы;
  2. мультиплатформенность решения;
  3. поддержка любой периферии;
  4. независимость от провайдеров сети;
  5. оne-click-решение;
  6. возможность работы пользователя в системе как в защищенном, так и в незащищенном режиме;
  7. низкая стоимость.

Требования по безопасности:

  1. защита от перехвата паролей;
  2. защита от перехвата портов;
  3. неизвлекаемость ключей;
  4. защита от перехвата управления;
  5. безопасное обновление.

Необходимый уровень защищенности ПК обеспечивается только на те периоды времени, когда высокая защищенность действительно необходима.

При этом пользователи могут выбирать режим работы на своем ПК: обычный режим (без доступа к сервисам доверенной ИС) и режим доверенного сеанса связи, в рамках которого обеспечивается защищенная работа с сервисами ИС.

Доверенный сеанс связи – период работы компьютера, в рамках которого обеспечивается доверенная загрузка ОС, организуется защищенное соединение, а также поддерживаются достаточные условия работы с ЭП.

Интересный вариант создания ДСС используется с 2008 г. в одной из государственных структур. Задача – использовать одни и те же ПК в различных режимах в разные временные интервалы. При этом в защищенном режиме отключена сеть и недоверенные

источники информационных ресурсов, а в незащищенном режиме недоступен защищенный диск. Такой режим обеспечивается совместным применением многих СЗИ НСД, в том числе Аккорд-АМДЗ и Аккорд-Win32, а переключение дисков "на лету" осуществляется с помощью специального аппаратного дополнения к СЗИ НСД "Аккорд", которое называется "Коммутатор SATA-устройств". Решение очень интересное и надежное, однако для ДБО небольшой компании несколько дороговато. Широко применяемые решения должны быть дешевле.

Дешевле – средство обеспечения доверенного сеанса "МАРШ!", изготавливаемое в виде специализированного USB-устройства.

При начале доверенного сеанса связи пользователь загружается с "МАРШа" (из защищенной от записи памяти), обеспечивая тем самым доверенную среду, жесткий диск компьютера не используется. Далее стартует браузер и все сопутствующее ПО, необходимое для работы. В браузере в доверенном сеансе обеспечивается защищенный обмен информацией с соблюдением всех требований 63-ФЗ.

После загрузки ОС на компьютер клиента и старта браузера устанавливается доверенный сеанс связи с сервером (VPN-шлюзом) центральной ИС (в данном случае банка). Сервер ИС выполняет авторизацию пользователя на доступ к сервисам ИС и соединение с требуемым сервисом ИС.

Такой вариант организации ДБО представляется наиболее соответствующим современным требованиям. Однако и он не лишен недостатков. Так, при использовании такого устройства пользователь должен будет провести настройку на параметры сети, которые определяются провайдером и зависят от него. Иногда это не слишком просто, бухгалтер с такой настройкой может и не справиться. Необходимо обеспечить one-click-технологию и добиться независимости от провайдера.

Разработка устройства, которое отвечает всем требованиям, уже завершена. О нем мы расскажем в следующем выпуске журнала.

ОКБ САПР, ЗАО
115114 Москва,
2-й Кожевнический пер., 8
Тел.: (499) 235-6265, 235-2814
Факс: (495) 234-0310
E-mail: okbsapr@okbsapr.ru
www.okbsapr.ru

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2012
Посещений: 7881

Приобрести этот номер или подписаться
  Автор

Валерий Конявский

Валерий Конявский

Директор ВНИИПВТИ, доктор технических наук

Всего статей:  16

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций