Светлана Конявская, 09/10/23
...и не мешают делать то, что можно
От решений, которые позиционируются как “защищенные", ожидают двух неприятностей: либо они не могут помешать злоумышленнику, либо они очень сильно мешают работать легальному пользователю. В худшем случае оба подозрения оказываются верны. Однако с “Секретом Особого Назначения” дело обстоит иначе. Разберем главные опасения, которые может испытывать владелец системы перед внедрением защищенных флешек семейства “Секрет”.
Автор: Светлана Конявская-Счастная, АО “ОКБ САПР”
В "СОН" надо сначала под Администратором задать разрешенные компьютеры, а потом под Пользователем на них работать с флешкой. Но ведь так можно разрешить себе любые компьютеры, в чем смысл?
Коротко: в том, что Администратор и Пользователь – это разные люди.
Смысл в том, что при корпоративном применении Пользователем и Администратором "СОН" должны быть разные сотрудники. Пользователь "Секрета" не может ничего сделать "под Администратором", так как у него нет пароля от этой учетной записи.
В случае же если "Секрет Особого Назначения" используется как личная флешка и Пользователь с Администратором – одно и то же лицо, владелец устройства, то нормально, что ему решать, где флешка будет использоваться, он ограничивает круг компьютеров не от своих собственных потенциальных действий, а от действий того, кто флешку найдет или украдет.
Если у "СОН" есть Администратор, который управляет списком разрешенных компьютеров, значит, он может разрешить себе открыть "Секрет" любого пользователя на своем компьютере. Конечно, Администратор – доверенное лицо, но не всегда такое приемлемо.
Коротко: Администратор не может получить доступ к флешке даже на разрешенном компьютере, доступ может получить только Пользователь.
У Администратора нет возможности доступа к диску "СОН", если он не зарегистрирован в нем и как Пользователь тоже. Зарегистрировать себя вторым Пользователем он не может, а перерегистрация Пользователя возможна только с уничтожением всех данных на диске. У Администратора нет никакой возможности примонтировать диск "Секрета" и тем более – прочитать с него данные.
Администратор может быть зарегистрирован и как Пользователь, если это его личное устройство. Тогда он может получать доступ к флешке, и это нормально.
Кража или иное незаконное завладение "СОН" бессмысленны, потому что на компьютере злоумышленника, и вообще ни на каком компьютере, кроме разрешенных Администратором, диск не примонтируется. А что делать, если легальному Пользователю необходимо взять флешку домой или в командировку? Такое бывает!
Коротко: можно на время внести компьютер в список разрешенных, причем Администратор может это сделать удаленно.
Этот случай просто нужно согласовать с Администратором "СОН", и он внесет в список разрешенных компьютеров нужный. Для этого есть специальная программа, которая позволяет удаленно собрать данные о компьютере для его регистрации в "СОН". Это несложный процесс, однако при его проведении нужно принимать организационные меры для того, чтобы, пользуясь случаем, неблагонадежный сотрудник не организовал регистрацию в СОН" какого-то компьютера, который регистрировать не следовало бы.
Нужно помнить о том, что временно зарегистрированные компьютеры после окончания работы с ними лучше из списка зарегистрированных удалять.
Если пользователь "СОН" – крупный руководитель, то ждать от него явки к Администратору для снятия временных политик – слишком смело, а попытки его "выловить" самостоятельно могут затянуться. В этом случае в "СОН" руководителя рискует накопиться большой список разрешенных компьютеров и однажды это приведет к неприятностям.
Коротко: в "Секрете Руководителя" политики можно назначать на заранее заданное время.
Такого не случится, если использовать предназначенный для таких сотрудников "Секрет руководителя". В нем есть часы реального времени (RTC, real time clock), которые позволяют назначать временные политики, которые будут отменяться по истечении срока сами. Обойти это ограничение, изменяя системное время компьютера, не получится из-за RTC, у "СОН" время идет по-своему.
Все подключения "СОН" к компьютерам, и разрешенным, и неразрешенным, записываются в журнал "Секрета", недоступный Пользователю для чтения и изменения. Но, меняя системное время на компьютере, злоумышленник (будь он легальным Пользователем или нет) может обмануть Администратора, представив попытку доступа (или доступ) старым событием, тогда как Администратор будет следить за новыми.
Коротко: ничего не получится, события в журнале записываются подряд, без учета данных поля с системным временем.
Эта авантюра, наоборот, привлечет внимание Администратора, так как события в журнал записываются подряд и системное время на порядок записей не влияет, а только отображается в одном из полей. Запись "из прошлого" окажется последней и будет хорошо заметна.
Свойства "Секрета" кажутся очень подходящими для хранения криптографических ключей, но большинство СКЗИ работают с ключами в хранилищах PKCS#11; можно сделать "Секрет" таким хранилищем?
Коротко: да, мы уже сделали.
Свойства "Секретов" действительно полезны для решения целого ряда специальных задач, и для этого мы выпускаем специальные продукты на основе той же технологии. Для хранения ключей это "Идеальный токен", для архивирования журналов событий – "Программно-аппаратный журнал", для безопасного администрирования – "Секрет Администратора", а для однонаправленного шлюза – "Система Ниппель". Про все эти продукты можно прочитать на сайте ОКБ САПР в разделе "Служебные носители".
Рассмотренные здесь сомнения мы слышали от наших клиентов и очень им за них благодарны. Если у вас есть другие сомнения, пожалуйста, поделитесь ими с нами, мы их подробно обсудим. В случае если мы действительно что-то не предусмотрели, – доработаем "Секрет", ведь это наша разработка и мы можем (и готовы) ее улучшать бесконечно. Будем вам очень признательны!
