Приблуды безопасности.
Хардварные средства ограничения доступа к ПК

Вот, каламбурчик оригинальный внезапно придумал - сегодняшние злодеи озабочены проблемами безопасности от служб безопасности…
Бог с ними, злодеями. С ними все понятно - они дураки, их посадят. Мы с вами не злодеи (вон, у меня даже крылышки проклевываются, только почему-то в обширном районе пупка). Однако и для нас с вами проблемы безопасности - зачастую весьма актуальные проблемы. Думаю, даже у самого либерального пользователя РС имеется пара-тройка секретов, нежелательных для широкого обнародования. Так уж мы устроены… В смысле - люди…

А уж если люди имеют очень БОЛЬШИЕ секреты…
Для людей с большими секретами (и, что немаловажно, с большими амбициями), промышленность придумала кучу всяких штучек, хранящих эти самые секреты, что называется, пуще глаза (и подпитывающих эти самые амбиции). В качестве дисклаймера предупрежу сразу: устройства, рассмотренные в этой статье, мало пригодны для домашнего использования. Их предназначение - хранение "больших корпоративных тайн" и кошельков. Хотя, если по приколу, можно и к домашней тачанке прикрутить… Называются сии устройства очень по умному - аппаратные системы ограничения доступа. Или, если попроще, - приблуды безопасности.

Железный ключик

Пожалуй, самая древняя система ограничения доступа - ключик, "запирающий" клавиатуру, KeyLock. Раньше, когда "компьютеры были большими", такие устройства встречались практически повсеместно. На светлой памяти IBM XT, осторожно проторивших тропинку через железный занавес, опоясывающий Страну Советов (эх, были времена! - прим. ред.), устройства, "запирающие" клавиатуру также были скорее правилом, чем исключением. Потому как машины были дорогие, все из себя брендовые и с большими претензиями. Потом, с распространением и удешевлением компьютеров, запирающих систем становилось все меньше, и теперь, если они и встречаются в природе, то это, скорее, нонсенс и атавизм.

Да вы, вероятно, видели эти забавные замочные скважинки на системных блоках. В положении "открыто" - компьютер полностью функционален. В положении "закрыто" - клавиатура намертво блокируется. Дави - не дави батоны, ничего не получится. При попытке загрузить компьютер с заблокированной клавиатурой возникала смешная такая надпись: "Клавиатура на найдена, для продолжения загрузки нажмите <F1>". И все… Пендык… Впрочем, некоторые версии BIOS материнских плат позволяли эту фишку объехать (у автора был такой забавный черно/белый лэптоп), и тогда приходилось дополнительно устанавливать пароль на загрузку, который обойти было значительно сложнее, ибо клавиатура-то не работала…

Крайне забавно было заблокировать клавиатуру при включенном и работающем компьютере. Оригинальные решения - повесить пароль на заставку, вкупе с блокировкой клавиатуры - были достаточно эффективными. Но и недостатков у системы - хоть отбавляй. Самый главный - кроме клавиатуры ничего в компьютере не блокировалось. Бери отвертку, выдирай HDD, переставляй его на другую машину, пользуй. Еще проще - бери отвертку, замыкай провода, идущие от замочной скважины, опять же пользуй. Но пока к компьютерам относились как к святыне и диковинке, система блокировки клавиатуры себя вполне оправдывала.

Много было всякого приятного баловства, ибо ключики, в основном, были все из себя одинаковые. Приходит, скажем, человек с обеденного перерыва, запускает мышом текстовый редактор, запрокидывает голову, как пианист, выпестовывает гениальную мысль, руки ложатся на клавиши… А клавиатура не работает. Вот это класс! Машина шумит, "ворд" запущен, мыша по экрану скользит, светодиодики мигают… Недоумение… Суета… Телодвижения где-то под столом… Ступор… Паника... Поломалось!… Двадцать зарплат!!!… Ну да ладно. Очень гадко шутили. Признаю…

Заглушки

Заглушки - это специальные ключи, подключаемые к различным портам компьютера. Иногда их еще гордо именуют электронными ключами. Некоторые компании очень не любят, если их программным обеспечением пользуются люди, за это программное обеспечение этим компаниям не заплатившие. Посему, кроме собственно инсталляционного диска (или приходящего дяденьки с инсталляционным диском), пользователю торжественно вручают заглушку. Прицепил ее к порту компьютера - программа позволяет с ней трудиться. Не подцепил - посылает далеко и надолго. Раньше заглушки было принято вешать на LPT-порт, сегодня модно на USB.

Заглушками чаще всего обеспечиваются бухгалтерские программы, правовые базы данных и прочий профессиональный софт. Основной недостаток заглушек - то, что, как правило, для одной группы продуктов они одинаковые. То есть заглушка от ПО, установленного в соседней конторе, точно такая же, как и заглушка от ПО, установленного у вас. Значит, взломать такую систему можно (при наличии терпения и умения) и достаточно просто. Достаточно разобрать собственную заглушку (а можно и соседскую…), понять, как она устроена, и сделать копию - технологии давно отработаны.

А можно и софтовыми методами обойтись, как все пираты обычно и поступают. В конце концов программа, что работает в компьютере нестандартными для компьютера методами (заглушка - это явно нестандарт!), сможет заработать и в нормальной конфигурации, если эту программу некоторым образом модернизировать. Однако пользоваться взломанным таким образом ПО я крайне не советую - придет ОМОН, заглянет за системный блок, не обнаружит заглушки и сильно огорчится. Огорченный же ОМОН в общении крайне неприятен. Прецедентов тому предостаточно. Лицензионное ПО вполне в состоянии сохранить здоровье пользования, чего от пиратской версии ожидать не приходится…

Смарткарты

Смарткарта - это тот самый кусок пластмассы, который мы привыкли запихивать в гостеприимные щели современных таксофонных аппаратов. У них, у карт, еще такая серебристая микросхемка во внутрях. Такие же устройства используются для персонифицированного доступа к некоторым компьютерам в отдельных конторах, пытающихся сохранить свои секреты от злобных посторонних шпионов и саботажников. Упоминание таксофона не случайно. Основной принцип смарткарты от того, что ее запихивают в компьютер, не меняется. Представьте, что компьютер - таксофон. Есть карта - добро пожаловать. Нет - see you later, alligator…(крылатые слова из великой компьютерной игры Worms - прим. ред.)

Единственная разница - смарткарты для компьютеров обычно сложнее устроены. Но не всегда. Потому не всегда, что видов этих самых смарткарт - великое множество.

Самый простой вариант - именно "таксофонный". В микрочип карты, кроме контроллера подключения (просто нужные контакты в нужном положении), вшито несколько блоков информации. Часть вшита намертво, в постоянную память - обычно это идентификационный номер самой карты и прочая служебная информация. Часть - во временную, энергонезависимую. Оттуда считывается/записывается/переписывается информация о пользователе, о количестве подключений, о моментах времени и о прочей чешуе, радующей службу внутренней безопасности предприятия, когда она начнет исследовать ваш компьютер.

Для чего в операционную систему компьютера зашивается специальный программный комплекс (по сути - драйверы и надстроечка), вмешиваться в существование которого не стоит, чтобы не быть покусанным бультерьерами. Не совпала информация на карте с информацией в программном комплексе - компьютер работать не будет, а то и подаст специальный сигнальчик по сети. Вызывающий тех самых брутальных бультерьеров.

Собственно, такая "таксофонная" система - тот же "железный ключик", только с претензиями на HiTech. Соответственно, недостатки у нее (системы) те же, и даже не "с боку". Вся информация, изъятая из такой "безопасной" машины, запросто считывается путем присоединения винчестера к другой машине, злодейской. Не стартует ОС? А вы его слейвом, слейвом…

Посему такие системы, не имеющие права называться системами безопасности, используются крайне редко. Несмотря на их дешевизну. Ну, там, если развернутые в горизонталь пальцы завхоза предприятия занимают площадь больше площади сечения его же, завхозовой головы… Все остальные, если и пользуются смарткартами, то оными с удаленными ключами (хранителями сертификатов) и/или криптозащитой.
Вот, к примеру, системы SmartLogon, выпускаемые компанией с жутким названием Schlumberger и программно совместимые с Windows 2000 / ХР. В карты встроены самые настоящие криптопроцессоры.

Не вдаваясь в технические подробности, работу карты можно описать следующим образом: вставили ее в картовод, ввели пин-код, система заработала. Дальше все зависит от настроек: как говорится, по желанию заказчика. Хочешь - хоть всю ОС пропускай через криптопроцессор карты (ну, преувеличил для эффекту…), хочешь - отдельные программы… И пока она работает, вся информация проходит через криптопроцессор и шифруется. Есть и более дешевые варианты - шифрование/дешифрование происходит в компьютере, а в карте просто хранятся необходимые ключи.

Сейчас в крупных корпорациях очень модно использовать смарткарты-хранилища сертификатов. Сертификат подтверждает право пользователя к доступу или использованию самых разных программ. Так, к примеру, на сервере компании лежит полезная база данных. С удаленного компьютера на нее можно пробраться только при помощи сертификата, зашитого в смарткарту. Вы посылаете запрос, сервер посылает ответный запрос, считывает сертификат, одобряет, позволяет. На сервере остается информация, что с такой-то машины, благодаря такому-то сертификату, произошел такой-то запрос и т. п. Есть подобные решения и для локальных машин. Чтобы через Astalavista.com программы не взламывали… Собственно, в данном случае смарткарты используются в качестве заглушек, рассмотренных в предыдущей части статьи.

Только навороченных. Еще есть узкоспециализированные смарткарты - типа электронных кошельков. Очень удобно… Самые известные компании, занимающиеся продвижением решений, основанных на применении смарткарт, - Schlumberger и Siemens.

Недостатков у смарткарт предостаточно. Самый гадкий - их очень легко потерять. Это не фатально. Даже если смарткарту у вас спер иностранный шпион, он все равно не получит доступа к важной корпоративной информации. Ибо смарткарта при установке в картовод все равно запросит пароль или пин-код, а при неправильном его введении вызовет бультерьеров. Но вот неприятности со стороны бультерьеров будут обязательно. Очень не любят службы безопасности, когда теряются корпоративные смарткарты. У них на такие вещи идиосинкразия. Второй недостаток - дороговизна. Потому как кроме карты необходимо еще закупиться специальным картоводом, а то и не одним. А картовод стоит больше кусочка пластика, есть у него такое мерзкое свойство.

Теоретически имеется возможность перехвата кодов и информации при считывании (считывается обычно бесконтактным способом). Это, как и у обычных кредиток, не лечится. Так что не подпускайте человека с парашютом за спиной и со странным устройством на длинной палке близко к компьютеру, когда производите процесс аутентификации. Бейте его клавиатурой по голове (человека, не компьютер!), родина вас не забудет.

Зато сама карта - самое дешевое устройство из аналогичных (дешевле только палец, о котором читайте в "биометрии"). Посему карты широко используются в тех случаях, когда картовод один, а пользователей у него много. Как бонус - продвинутые смарткарты можно использовать не только для работы с компьютерами, но и для проникновения на территорию, где эти самые компьютеры установлены. Во многих западных компаниях подобными устройствами пользуются сравнительно успешно. Возможно, в этом "виновато" внешнее строение смарткарты - уж больно она походит на кредитку, но основная область применения сегодняшних смарткарт - рассчетно-банковская сфера. Для более приземленных применений имеются другие решения. О них - ниже.

Цифровые кнопочки

Следующая система ограничения доступа пришла к нам из мира … домофонов. Или взаимообразно, не суть. Знаете такие домофонные системы - тычешь в нее брелочком, напоминающим подросшую батарейку для часов, замок пищит и открывается? Вот этот брелок и есть "цифровая кнопочка" (iButton). Для компьютеров такие "кнопочки" выпускает именитая компания Dallas Semiconductor.

Собственно, эта штука не зря похожа на батарейку. Батарейка в ней действительно имеется, но только очень маленькая.

Основное пространство внутри металлического корпуса занимает специальная микросхема, к этой батарейке подключенная. В простейшем случае микросхема имеет только постоянную память, в которую записана большая куча всякой информации. Как то - уникальный идентификационный номер, 64- разрядный код и контрольная сумма. В случаях более запущенных (или наоборот, более продвинутых) имеется еще и память оперативная. Далее - так же, как и в случае со смарткартами - по желанию заказчика, ибо моделей iButton очень много. В некоторых можно найти часы, будильник (!), криптопроцессор, страницы памяти с защитой доступа, блокнотная память для внесения новых ключей/сертификатов, а также прочие радости жизни.

Батарейка в iButton нужна только для поддержания ее функциональности. Когда тычешь цифровой кнопочкой в приемное устройство (Touch Probe), на нее подается не только запрос об идентификации (или куча запросов), но и напряжение, необходимое для ответа (или кучи ответов).

Основная радость от применения цифровых кнопочек - их надежность и долговечность. Батарейка обеспечивает устройство десятилетней жизнеспособностью, стальной корпус защищает начинку не только от ударов и падений, но и от нагрева, переохлаждения, роняния в воду, электромагнитных и прочих полей. Последнее особенно актуально - "цифровые кнопки" могут выживать даже после атомного взрыва, когда все остальное электронное оборудование безжалостно и в большинстве случаев бесповоротно выгорает. Конечно, при условии, что "брелок" при этом не будет находиться в эпицентре ядерного взрыва или в его ближайших окрестностях. Посему компьютерные системы, снаряженные защитой iButton, можно чаще обнаружить на военных базах (не в Бобруйске, естественно), чем в офисах коммерческих компаний.
Недостатки - такие же, как у смарткарт. Но теряются намного реже, обычно вместе с ключами от квартиры. При выпадении из кармана - звенят ключами, а потому практически никогда не дают о себе забыть...

Токены для USB-порта

Токены (eToken, если по-иностранному) - новое веяние в системах контролируемого ограничения доступа. Собственно, токены - здоровая альтернатива смарткартам и "цифровым кнопкам". Потому как для применения этих устройств не нужно никаких ридеров. Ридеры - штуки дорогие. Токены - вещь в себе. Воткнул их в USB-порт, и все дела. Дешево и сердито.
Внешне токены напоминают USB флэш-диски. Та же фишка интерфейса на боку, та же форма, та же крышечка (иногда, впрочем, крышечка отсутствует). Чаще всего имеется полезная дырочка, куда просовывается колечко для ключей. Так что, при выпадении из кармана, USB-токены также звенят ключами. А можно в ту же дырочку продеть золотую цепку потолще и повесить токен на волосистую (опция) часть груди.

Как и остальные продвинутые чипованные устройства, токены изготавливаются в полном соответствии со стандартом PC/SC (ISO 7816/3,4). Новейшие токены еще и полностью соответствуют общеевропейскому стандарту безопасности ITSEC (Information Technology Security Evaluation Criteria), а значит, с такой штукой на цепке вас в Европу пустят. А вот как у нас, в России, с этим делом - непонятно. Вроде бы как не сертифицированное крипто запрещено законом, разрешено ли крипто общеевропейское - никаких данных автор не нашел, а интересоваться напрямую постеснялся.

Самые навороченные токены умеют хранить в себе несколько сертификатов и ключей PGP (Pretty Good Privacy), такая информация имеется. PGP закон, насколько мне известно, не одобряет… Да, скифы мы… Впрочем, пусть о законности применения ITSEC-устройств голова болит у тех, кто их использует…
Как и в смарткартах (давайте я не буду каждый раз повторять "и в цифровых кнопках", и так же всем понятно), одних кодов, вшитых "в тело" токена, системе для аутентификации пользователя совершенно не достаточно. Чтобы подтвердить компьютеру то, что вы имеете право пользоваться кодами токена, вы должны будете еще и пин-код соответствующий набрать. Это - так называемая система "двухфакторной аутентификации пользователя". Звучит громко и интригующе. Работает надежно. Все рады. При неправильном неоднократном введении пин-кода - бультерьеры прилагаются, кто бы сомневался.

Забегая вперед, скажу, что теперь существуют токены с "трехфакторной аутентификацией". Специально для параноиков. В качестве третьего доказующего личность пользователя фактора используется встроенный сканер для считывания отпечатка пальца. Мало воткнуть, мало пин-код ввести, еще и пальчик надо приложить. Если порт USB находится на тыльной стороне компьютера - очень смешная картинка предстает моему внутреннему взору. Шоу Чаплина…

Как и в смарткартах, токены имеют различные предназначения. В зависимости от возложенных на них задач, они могут служить как заглушкой для какой-нибудь программы, так и полнофункциональным шифрующим устройством, криптографируя данные напрямую, либо внося в установленные в систему криптографические средства некоторые части кода. Естественно, все промежуточные возможности в токенах также случаются - токены для Сети (держат в себе электронные подписи и сертификаты), токены для общения с корпоративными базами данных (куча информации для бультерьеров), токены для администрирования локальных машин, токены для программных комплексов, как удаленных, так и локальных, требующих сертификации пользователя (тут, естественно, сертификаты).

Ну и, конечно, есть устройства all-in-1, благо возможности токенов это позволяют (памяти сюда можно побольше, чем в смарткарту запихнуть, соответственно, и блоков в памяти может быть побольше). А главное - в отличие от смарткарт, коды и другие информационные блоки хранятся не в постоянных ячейках памяти токена, а в специальной внутренней операционной системе, что сильно снижает риск перехвата и использования перехваченной информации во благо врагу, во вред отчизне.

Основные производители токенов - компании Alladin и Rainbow eSecurity, дочернее подразделение Rainbow Technologies. Много их, токенов, и количество их растет. Выбрать что-нибудь по душе - довольно сложно. Задача эта комплексная, и решить ее может только специалист. Их есть. Если вы озаботитесь оснастить вашу растущую корпорацию системами токен-аутентификации, свяжитесь с одной из фирм, поставляющих на российский рынок большой выбор соответствующее оборудование. В интернете искать их совсем несложно. И чтоб обязательно потом обслуживали, они это умеют. И ответственность пусть несут…

Биометрия

Самая модная фишка из всех существующих систем ограничения доступа - биометрическая аутентификация. Вот, в кинофильмах с хайтековскими штучками, используются такие веселые сканеры для считывания рисунка сетчатки глаза. Такие системы действительно уже есть и используются, но крайне редко, и, к сожалению, прикрутить такую примочку к персональной машине вряд ли получится. Не продаются они в супермаркете, я проверял. К тому же, как оказалось, уникальный рисунок сетчатки глаза подвержен гадким изменениям в результате употребления спиртных напитков и прочих ударов по глазам - как физических, так и медикаментозных. Зато в продаже имеются не менее биометрические устройства считывания отпечатков пальцев, которые запросто можно к компьютеру прикрутить.

Устройств таких существует два вида. Первое попроще - приложенный палец замыкает сенсорный контакт, система включает оптический сканер, сканер сканирует, выделяет более светлые линии (выпуклости) рисунка и более темные (впуклости, хе-хе). Затем картинка преобразуется в цифровой сигнал, который сравнивается с эталонным, внесенным в память компьютера (либо с несколькими эталонами, если авторизованных пользователей несколько). Подошло - прекрасно, система зажужжала.

Плохо то, что сканирующая система - оптическая. Ее можно довольно просто обмануть. Есть хитрые препараты, проявляющие уже существующий на сканере отпечаток пальца (отпечатки высыхают дня за четыре, если мне не изменяет моя криминалистическая память). Потом остается только пальчиком в тонкой перчаточке сверху надавить, чтобы сенсор сработал…
Есть и другие, еще более гадкие методы обмана оптического сканера. Можно человека оглушить, опоить, пальчик затем и прижать…

Или, как сказал незабвенный работник милиции из к-ф "Брильянтовая рука": "На конец с трупа"… На крайняк - можно отрезать пальчик и ходить с ним, пока не протухнет (Фу! Какая гадость - ваша заливная рыба! - прим. ред.)…

Часть проблем решает второй, существенно более дорогой и технологически сложный вид сканирующих систем. Здесь - никаких оптических сканеров. Здесь сложный полупроводниковый прибор, замеряющий электрический потенциал нормального живого человека и целую кучу точечных разностей потенциалов, образующихся между выпуклостями и впуклостями папиллярных линий. Общая картина, складывающаяся из многочисленных точечных замеров, преобразуется "в цифру". Таким образом, "палец мертвого человека" не сработает. Палец человека оглушенного или опоенного тоже может не сработать - ибо электрический потенциал будет с помехами и труднопереносимым для умной техники амбре…

Вот только стоят сканеры первого, более дешевого типа, порядка $400…

Главная приблуда

Возвращаясь к теме, упомянутой в главе про токены, - лучше, когда системой безопасности занимается специалист, а вы ею только пользуетесь. В любом случае, проблема серьезной безопасности слишком опасна, чтобы доверять ее дилетантам. В еще более любом случае - ни одна из существующих систем безопасности не может служить абсолютной гарантией. Точнее, может, но только в комплексе с другими системами безопасности. Самая главная из всех - человеческий фактор. Человек - вот самая главная деталь!..

Товарищ! Будь бдителен!

Средства от вора

То, что для настольного компьютера зачастую роскошь - вполне нормально может прижиться (и приживается) в ноутбуках. Это и понятно - сперли у тебя ноутбук, так пусть супостаты подавятся неработоспособной кучей железа и прочего пластика!

Устройства считывания смарткарт в ноутбуках используются достаточно давно (PCMCA-слот как раз нужного размера). Токены для ноутбука - вещь крайне полезная. Но производители идут дальше: сейчас в некоторых не самых дешевых моделях ноутбуков Toshiba уже встроены сканеры для папиллярных линий - Toshiba PC Card Fingerprint Reader. Жалко только, что на начальной стадии преступления супостату все равно, заработает или не заработает, а вы в результате все равно останетесь без ноутбука. Так что, нацарапайте на крышке "залоченного" лэптопа ваш телефонный номер (естественно, мобильный!) и предложение о вознаграждении, коли "утерянный" вами компьютер кто-нибудь "найдет". Вот такой комплекс мер безопасности вполне может себя оправдать. Если ноутбук не разберут на запчасти…

Случаются чудеса

Из высокотехнологичных систем доступа к скрытой информации для частного пользователя наиболее интересно устройство голосовой аутентификации. Каждый пользователь такой системы получает "голосовой паспорт" - записывает через микрофон определенный набор слов или фраз. Звуки преображаются в "цифру" и служат впоследствии так же, как и отпечатки пальцев. Систему обмануть можно, но трудно - дар пародиста тут не срабатывает: голосовые особенности каждого конкретного человека слишком индивидуальны.

Можно, конечно, отловить такого человека и "попросить" его надиктовать нужное сообщение на диктофон, а потом скормить системе допуска запись, но сложные системы (читай: дорогие) подделку раскусят по ряду признаков, характерных для любой записи (а то и зафиксируют наличие неположенного электромагнитного поля, генерируемого воспроизводящим звук устройством).

Вопросы целесообразности

Если вы - не магнат и не носитель госсекретов, все эти технологические средства, рассмотренные в статье, не для вас. В смысле, они вам не нужны. Если Моссад вам не страшен, воспользуйтесь здоровой альтернативой - обычной софтовой защитой.

Методов тут - пруд пруди. Не советую пользоваться неразрешенными законом методами криптозащиты (читай: не сертифицированными). Не могу посоветовать, потому как государство сего действия не одобряет. Боится государство того, к чему не может получить доступ, и, в сущности, трудно его, государство за это винить. А ну как в укромном углу винчестера скромного подмосковного программиста хранится злодейская переписка с кровожадным доктором Лектером… Это ж надо пресекать!…

Посему категорически не советую разыскивать в Сети сайты поддержки таких зловредных программ как PGP и BestCrypt, скачивать их, взламывать шароварную защиту и пользовать в качестве практически гарантированно не вскрываемых хранилищ информации.
Да, кстати, запрещенные программы а ля PGP и BestCrypt - не панацея от человека умелого. К примеру, файл, содержавшийся на насмерть закриптованном "диске", эмулируемом этими программами, а потом потертый средствами Windows, запросто (или не очень) может быть отыскан и восстановлен с помощью обыкновенного (или не обыкновенного) Undelete в самом неожиданном месте.