CC BY
45
33 (174) - 2012
УГРОЗЫ И БЕЗОПАСНОСТЬ
УДК 004.333, 004.492.4
выбор адекватных средств информационной защиты персонального компьютера в россии
А. М. ТЕРЕНТЬЕВ, кандидат технических наук, ведущий научный сотрудник E-mail: tam@cemi. rssi. ru Центральный экономико-математический институт ран
В статье рассмотрен ряд аспектов информационной безопасности применительно к единичным компьютерам, эксплуатируемых вне крупных корпоративных сред. Проанализированы современные отечественные проблемы эксплуатации персональных компьютеров с точки зрения сохранности и конфиденциальности их информации. Даны практические рекомендации по выбору адекватных носителей информации и средств их защиты.
Ключевые слова: информационная безопасность, антивирусные средства, взлом паролей, операционная система.
Информационная безопасность (ИБ) - сравнительно молодая, быстро развивающаяся в течение последних 12-15 лет область информационных технологий (ИТ), она подразделяется на ряд научных направлений, нацеленных на различные аспекты сохранности компьютерной информации. Естественной средой приложения этих продвижений стали крупные коммерческие структуры, в которых ценность информации многократно превышает стоимость мер по обеспечению ее защиты.
Но если на уровне коммерческих корпораций (например банков) и государственных структур (ГАС «Выборы») в настоящее время задействованы эффективные методы информационной защиты, то для обычных пользователей отдельных персональных компьютеров (ПК) дело обстоит крайне слабо.
Под комплексным понятием информационной защиты здесь стоит понимать все усилия, направ-
ленные как на сохранность информационного наполнения отдельных ПК, так и на конфиденциальность этого наполнения. Стоит также оговориться, что, рассматривая «отдельных пользователей», здесь имеем в виду не только домашние компьютеры, но и значительную часть ПК, установленных, например, в научных институтах, мелких фирмах -везде, где по тем или иным причинам отсутствуют серьезные корпоративные средства ИБ.
Особую остроту возникающих проблем придает национальный характер сложившегося рынка компьютерного оборудования и обеспечивающих средств, в связи с чем автор делает акцент на эти особенности.
Несмотря на то, что рынок отечественной компьютерной литературы давно насыщен руководствами, пособиями и установочными дисками UNIX-образных систем различных версий, подавляющее большинство отечественных индивидуальных пользователей эксплуатирует ПК с помощью одной из версий операционной среды Microsoft Windows. Не желая вступать в обсуждение причин этого явления, в данной статье это принято как одна из безусловных предпосылок.
Сохранность информации. Естественным средством хранения информации в ПК являются накопители на жестких магнитных дисках (Hard Disk Drive, HDD). Приобретая или получая в пользование ПК, следует прежде всего осведомиться о его компонентном составе. В Интернете присутствует немалое число утилит, которые, будучи запущен- 37
ными, дают детальную информацию об установленном процессоре, материнской плате, объеме и типе оперативной памяти. Однако там же имеются и утилиты, сообщающие информацию о HDD.
Основной интересующий нас параметр - срок годности HDD, который обычно дается в часах эксплуатации и который очень не любят приводить при продаже многие фирмы, засыпая пользователя данными об объеме, интерфейсе, скорости вращения шпинделя, допустимом мгновенном ускорении, потребной мощности и др. А между тем срок годности HDD представляется намного более важным, чем, скажем, такая модная характеристика, как наличие Green-функций. Часто данные о расчетном сроке эксплуатации можно найти только на сайтах фирм-вендоров.
Значение в 50 000 ч можно считать приемлемым для ПК, использующих офисный режим работы (включение в рабочее время), однако совершенно недостаточно для ПК, включенного круглосуточно: при таком режиме работы приведенный срок эксплуатации, адекватный 5 годам, сокращается еще примерно на треть. Конечно, регулярная замена HDD трудоемка, ибо приводит к переустановке операционной системы (ОС) и всех используемых программ, но своевременная замена может обеспечить весьма длительное хранение данных (на ПК автора статьи, например, сохраняется вся необходимая информация с 1989 г. - времени начала его программистской работы на IBM PC).
Существенным вопросом является также ограничение на число рабочих циклов HDD (пуск -останов). Предложенная значительным числом вендоров и поддержанная Microsoft как разработчиком ОС целевая ориентация компонентов ПК на так называемую Green-функцию в целях экономии потребляемой мощности приводит в том числе к многократному увеличению циклов пуска - останова HDD, что особенно настойчиво внедряется на ноутбуках. Однако, если для последних экономия мощности в определенных случаях может представлять актуальный интерес для пользователя, то бездумное задействование этой функции в настольном ПК приведет к быстрому износу HDD. Это следует иметь в виду при планировании сроков эксплуатации ПК, в нужных случаях отключая останов HDD или выбирая адекватный срок его отключения при простое ПК.
Стоит также обратить внимание на технологию S. M. A. R. T.(Self-Monitoring, Analisys and Reporting
Technology - технология самомониторинга, анализа и отчета). С помощью включения поддержки этой технологии в BIOS ПК и при использовании маленьких бесплатных утилит удобно время от времени контролировать наработку на отказ своего HDD и текущие счетчики дисковых ошибок.
Вопрос срока службы в еще более сильной степени относится к вспомогательным устройствам, таким как внешние носители информации -USB-HDD и flash-USB. У «внешних» HDD срок службы значительно меньше, чем у стационарных. Еще хуже обстоит дело с большинством flash-USB, которые лимитированы не только сроком сохранного хранения информации, но и числом включений-отключений (обычно несколько тысяч). Стоит полностью отдавать себе отчет, что внешние HDD, и тем более «флэшки», - всего лишь промежуточный, недлительный вид хранения данных.
Особо стоит вопрос об обеспечении устойчивого электропитания. В Москве, где проживает автор, в течение недели бывают 1-2 кратковременные отключения электроэнергии. В ЦЭМИ РАН, где работает автор, подобные отключения еще более часты. Такие отключения фатально действуют на HDD, разрушая файловую систему ПК. Вопрос легко может быть решен приобретением устройства бесперебойного питания (UPS), который к тому же защитит электронные схемы ПК от бросков и «провисаний» (Brown-out) питания. Известно, что «провисания» сейчас часто используются поставляющими электричество компаниями в периоды пиковых нагрузок для негосударственных потребителей, к которым относятся и научные институты, и домашние пользователи. Но на такой уход от стандарта абсолютно не рассчитаны электронные схемы материнской платы ПК, это может внезапно привести к полной неработоспособности компьютера (нормально завершив работу, он попросту не включится в очередной раз).
Устройства бесперебойного питания UPS требуют регулярной замены батарей. В западных странах этот процесс, исполняемый под авторизованным надсмотром производителей, отлажен достаточно хорошо. В России, к сожалению, при замене батарей можно столкнуться с установкой старых или восстановленных батарей под видом «новых», а еще чаще предлагаются батареи не от оригинального производителя, а от многочисленных азиатских паллиативов. Во всех этих случаях вместо 3-5 лет установленные батареи могут прослужить
1-2 года. И даже имея дело с оригинальными батареями, нужно обязательно проверять год и месяц их изготовления, поскольку вследствие невысокой культуры и погони за прибылью просроченные батареи часто не снимаются с продаж.
Казалось бы, пользователи ноутбуков освобождены от части рассмотренных проблем, поскольку электропитание ноутбуков осуществляется через адаптер с понижающим трансформатором и встроенный аккумулятор. Однако аккумуляторы ноутбука также имеют свой срок службы (2-5 лет), причем в условиях нашей страны приобрести адекватный аккумулятор к модели 5-летней давности часто представляет собой отдельную проблему.
Еще один агрегат, который со временем выходит из строя, - батарейка на материнской плате. Нескольких месяцев невключения ПК по каким-либо причинам обычно вполне достаточно, чтобы ее небольшая емкость была исчерпана, и при очередном включении ПК сбрасывается вся CMOS, хранящая дату, время, пароли и актуальные параметры тонкой настройки компьютера. В случае обычного «офисного» режима эксплуатации батарейка требует замены через 3-4 года. Опять же, приобретая замену, следует поинтересоваться датой изготовления, отгравированной на батарейке.
Пароли и конфиденциальность. Значительная часть пользователей персональных компьютеров, работая в Microsoft Windows, предполагают, что задание пароля Windows при включении компьютера серьезно защищает информацию от внешних посягательств. Ниже будет показано, что такое представление по меньшей мере наивно.
Во-первых, как было многократно показано [7], ввод пароля Windows исполняется после активизации BIOS, процедуры первичной проверки устройств POST, определения загрузочного устройства и начала загрузки с последнего операционной системы. Выполняя загрузку с CD-ROM, легко загрузиться с некоего CD- или DVD-ROM, содержащего, например, ERD Commander, который позволит выбрать одну из нескольких ОС (если есть) на локальном диске и переустановить ее входной пароль любого из пользователей на нужное значение. Конечно, после этого старый, установленный пользователем пароль будет недействителен, но нужные данные злоумышленником уже будут скопированы или затерты.
Во-вторых, современные антивирусные средства, такие как Kaspersky Rescue Disk 10 или
Dr. Web LiveCD 6.0 [5, 12], могут быть загружены как с CD, так и с flash-USB. Созданные на разных классах UNIX-образных систем, они позволяют получать полный доступ ко всем файлам всех томов локального HDD почти без оставления на нем следов проникновения. В процессе работы такого средства штатными, входящими в комплекты утилитами (Midnight Commander) возможно скопировать любые файлы на внешние USB-HDD. В число этих файлов, разумеется, входит также файл паролей Windows (для Windows'XP, например это файл SAM в папке \WINDOWS\system32\config), который впоследствии в совокупности с некоторой дополнительной информацией может быть декриптован на отдельном ПК [4].
Наконец, если ПК не содержит концентраторов или выходов-USB, достаточно, вскрыв корпус, снять его HDD и подключить вторым HDD на другой ПК. Соответствующие Rack Mount устройства продаются как для устаревших шин IDE, так и для современных SATA [1]. На ПК автора ввиду его функций (руководство Антивирусной группой института) присутствуют оба варианта с режимом «горячей загрузки» (Hot swap), которые неоднократно использовались для оперативного антивирусного лечения заблокированных вирусами ОС сторонних пользовательских ПК.
Таким образом, наличие Windows-пароля пользователя никоим образом не препятствует злоумышленнику и создает лишь иллюзию конфиденциальности.
Решением проблемы может показаться установка пароля на включение ПК, который срабатывает в BIOS до любой загрузки ОС. Рассмотрим эту возможность несколько подробнее.
На старых ПК носителем такого пароля (как супервизорского, так и пользовательского) были конкретные байты CMOS, причем действовал необратимый алгоритм наподобие вычисления контрольной суммы: проверить пароль было можно, воссоздать по сохранившейся КС - нельзя. При вытаскивании батарейки CR2032 или ее исчерпании пароль терялся, чем, собственно, и пользовались злоумышленники. Собственно, на современных стационарных ПК все так и осталось, разве что появились китайские корпуса, позволяющие запереть корпус на навесной замок. С таким паролем, действительно, с USB-устройства или CD-ROM не загрузишься. Однако, предвидя необходимость массового сервисного обслуживания, создатели BIOS
предусмотрели так называемые технологические пароли, которые действуют в обход установленных. Интернет пестрит списками подобных паролей для ведущих фирм-производителей BIOS: Award, AMI, Phoenix и др. (см., напр., [9]).
Несколько иначе обстоит дело с ноутбуками. Для бюджетных вариантов все сказанное остается в силе, однако в дорогих моделях бизнес-класса ситуация уже меняется: там носителем пароля является отдельная микросхема EEPROM, которая при отключении питания и даже исчерпании батарейки сохраняет пароль. Оказывается, в большинстве случаев можно преодолеть и эту преграду, отпаяв ножку питания данной микросхемы и произведя несложные манипуляции [2]. Более тонкий способ -ввести три раза неправильный пароль и получить на экране кодовое число, которое, по мысли разработчиков, позволит сервис-центрам по специальной программе восстановить исходный пароль. Увы, и тут сказался национальный русский характер: список программ, восстанавливающих пароли по кодовому числу, неоднократно присутствует в Интернете как на обычных справочных сайтах (напр., [10]), так и типично хакерских [13]. Вообще говоря, 642 000 ссылок поисковика «Яндекс» на слова «восстановление пароля» впечатляет...
Помимо описанных «тонких» способов, разумеется, существуют и грубые. Даже кратковременный доступ к оставленному без присмотра ПК с работающей Windows позволяет запустить как программу копирования нужной информации на flash-USB, так и короткую программку сброса пароля в CMOS [6], затирающую информацию по портам 70 и 71. После этой операции ПК нормально выключится, однако при последующем включении по несовпадению контрольной суммы CMOS пароль будет сброшен. Нетрудно понять, для каких случаев дается в Интернете такая рекомендация. Для блокирования возможного подхода злоумышленника к ПК во время кратковременного отсутствия владельца рекомендуется устанавливать хранитель экрана (screensaver) с обязательным требованием пароля при возобновлении эксплуатации ПК после простоя.
Практические выводы из всего сказанного представляются следующими. Первый вариант хранения конфиденциальной информации на ПК -использовать какую-либо систему криптошифра-ции отдельных папок, когда перед записью или модификацией каждый файл в такой папке зашиф-
ровывается специальными драйверами, действующими на уровне ядра системы, а перед чтением -расшифровывается [11]. Второй вариант заключается в том, что не стоит хранить конфиденциальную информацию на локальных HDD ПК вообще, благо цены на внешние USB-HDD стали весьма умеренными, а их объем достаточно большим даже для конфиденциальных видеофайлов. Такой внешний HDD можно хранить в сейфе. Современный интерфейс USB 3 позволяет обмениваться информацией с такими HDD с весьма высокой скоростью (свыше 600 Мб/с).
Ко всему этому следует сделать одно замечание: поскольку современные текстпроцессоры (в первую очередь Microsoft Word всех версий) при работе постоянно создают рабочие файлы с копиями создаваемых или модифицируемых текстов, в конце работы с конфиденциальными файлами с помощью Word следует очистить локальный HDD от таких временных файлов, а в конце работы с ПК можно задействовать штатную возможность физического затирания файла подкачки, в котором могут оказаться куски обработанных данных.
Антивирусные средства. Современная работа на ПК без антивирусных средств немыслима. Однако тенденции в развитии и модификации вирусов, особенно на фоне отечественной ментальности пользователей, приводят к некоторым выводам, которые большинством пользователей по разным причинам не учитываются.
Характеристические особенности большинства существовавших до определенного момента (примерно 2010 г.) вирусов были направлены на съем конфиденциальной информации с зараженного ПК (с передачей ее на известные злоумышленнику адреса через сам пораженный ПК и интернет-соединение) либо на задействование части ресурсов пораженного ПК в целях использования его вычислительной мощи в интересах вирусописателей (опять же через интернет-соединение). Примерами интересующей злоумышленников информации могут служить номера и коды различного вида банковских карт, пароли и коды многих получивших распространение платежных систем (Web-money и др.). Примерами использования вычислительной мощности являются спам-боты, рассылающие рекламу, а также, значительно реже, эксплойты, осуществляющие по сигналу извне массированную атаку по продиктованным IP-адресам. Во всех этих случаях неизменной побочной целью вирусопи-
сателей являлось сохранение основных функций операционной системы компьютера, и в частности способности ее осуществлять интернет-соединение. В этих условиях успешность борьбы против вирусов определялась, главным образом, балансом между все усложнявшейся техникой сокрытия вирусов от антивирусных средств и, в ответ, разработкой соответствующих антивирусных rootkit-технологий.
Провозвестником нового поколения компьютерных вирусов стал так называемый Trojan. Encoder, незаметно шифрующий информацию HDD и по завершении процесса предъявляющий требование оплатить тем или иным способом, обычно посылкой SMS на короткий мобильный номер, обратную расшифровку. Впоследствии бурное развитие SMS-услуг отечественными сотовыми операторами с автоматическим снятием денег со счета абонента по произвольным ценам при обращении на короткий номер спровоцировало совершенно новый класс компьютерных вирусов, названных Winlock, когда задачей вируса стало предъявление требования на отправку SMS и блокировка работы ПК до ввода специального кода. Для подобных вирусов сохранение работоспособности ПК и всех функций ОС стало для вирусописателей уже необязательным; наоборот, с их развитием предпринимались все более настойчивые попытки заблокировать большинство функций ОС. Кульминацией явилось пришедшее кому-то в голову соображение о том, что даже высылать код разблокировки и реально восстанавливать работоспособность ПК вовсе не обязательно: ведь деньги уже получены...
Анализ разнообразных текстов группы Winlock показывает, что прямые сообщения типа «Ваш компьютер заблокирован» в отечественной практике весьма часто сопровождаются фальшивой констатацией якобы сделанных пользователем нарушений. Большое распространение получили предварительные надписи типа «На Вашем компьютере установлено нелицензионное программное обеспечение», «На Вашем ПК присутствует запрещенный медиа-контент» с указанием точных пунктов и статей УК РФ, которые якобы нарушил пользователь. Подобные детали указывают на явный учет особенностей национального характера пользователей авторами вирусов. В этих условиях полагаться на иностранные антивирусные средства явно не стоит: конечно, сигнатуры подобных вирусов рано или поздно попадут и в их антивирусные базы, но быстрее всего откликнутся все же отечественные производители
антивирусных средств. Быстрота же отклика с учетом скорости распространения вирусов является главной задачей борьбы с ними.
Среди отечественных вендоров, зарекомендовавших себя на мировом уровне, присутствуют всего две компании, в жесткой конкурентной борьбе лидирующие с большим отрывом как по степени проработанности антивирусных средств, так и по времени реакции на появление новых вирусов. Это «Лаборатория Касперского» и «Доктор Веб». Ко времени написания данной работы обе компании освоили современные антивирусные технологии лечения пораженных ПК загрузкой со специально созданных антивирусных CD [5, 12], причем обе компании предлагают бесплатные утилиты для лечения упоминавшихся вирусов типа Trojan. Encoder и Winlock, обе компании - неоднократные призеры мировых антивирусных тестов. Рассмотрение различий в интерфейсе, методах сигнатурного анализа и прочих особенностей выходит за рамки данной работы; целью ее применительно к данному вопросу является подчеркивание того, что при необходимости выбрать антивирусный продукт следует избегать даже высоко зарекомендовавших себя антивирусных средств иностранных производителей (Panda, McAffee), не говоря уже о средствах типа AVAST, NOD32 и прочих с громкими рекламными ходами.
Если несколько лет назад основным источником вирусов на ПК пользователя была электронная почта [8], то в настоящее время большинство вирусов попадает на компьютер при доступе к интернет-ресурсам. Используя современный вариант антивирусных средств, анализирующий принимаемый HTTP-тра-фик (например версию Dr. Web Security Suite), легко заметить, насколько значительное число сайтов отмечено как неблагонадежные, т. е. зафиксированные когда-либо в распространении вирусов.
Таким образом, правильный выбор персонального компьютера, средств его поддержки и антивирусной защиты невозможен без учета национальной специфики, освещенной в данной работе. Более подробные сведения можно найти в [3].
Список литературы
1. Аксессуары прочие к HDD. [Электронный ресурс]. URL: http://www. nix. ru/price/price_list. html?section=hdd_accessories_others.
2. Как снять пароль на BIOS ноутбука? [Электронный ресурс]. URL: http://xeon. at. ua/publ/
spravochnye_materialy/kak_snjat_parol_na_bios_ noutbuka/6-1-0-45.
3. Литература по мониторингу и антивирусным проблемам. [Электронный ресурс]. URL: http://av. cemi. rssi. ru/av/r4lit. htm.
4. Ломаем пароль в Windows XP! [Электронный ресурс]. URL: http://genrizond. ru/?p=273.
5. Проверка на вирусы / Kaspersky Rescue Disk. [Электронный ресурс]. URL: http://www. kaspersky. ru/virusscanner.
6. Программа затирания паролей BIOS. [Электронный ресурс]. URL: http://netler. ru/pc/pwd-bios. htm.
7. Терент ьев А. М. Индивидуальная парольная защита рабочих станций // Вопросы информационной безопасности узла Интернет в научных организациях / под ред. М. Д. Ильменского. М: ЦЭМИ РАН, 2001. С. 64-68.
8. Терентьев А.М. Информационная безопасность в крупных локальных сетях // Концепции. 2002. № 1(9). С. 25-30.
9. Технологические пароли BIOS различных производителей (Thanks to Nathan Einwechter). [Электронный ресурс]. URL: http://www. jar2.com/2/ Computing/Master %20Bios %20Passwords. txt.
10. Утилиты для восстановления паролей к BIOS и жестким дискам. [Электронный ресурс]. URL: http://pcfixinfo. ru/viewforum. php?f=20.
11. Шифрация. Заметки о компьютерах. Решение некоторых проблем. [Электронный ресурс] . URL: http://www. itreality. ru/page/shifracija.
12. Dr. Web Live CD. [Электронный ресурс] . URL: http://download. geo. drweb. com/pub/drweb/ livecd/.
13. Hack Site. [Электронный ресурс] . URL: http://alx.webhost.ru/index.html.
19 сентября 2012 г. в зале «Кусковский» гостиницы
«Мариотт Гранд» (г. Москва, ул. Тверская, 26/1) компания Crossbeam RT проводит первый в России
Партнерский саммит по инновационным решениям в области информационной безопасности
Научный информационный партнер - Издательский дом «ФИНАНСЫ и КРЕДИТ».
В рамках саммита будет представлена уникальная платформа безопасности Crossbeam RT X-серии, позволяющая интегрировать на своей основе различные приложения информационной безопасности.
В конференции примут участие руководство Crossbeam Systems, Crossbeam RT, а также российские и зарубежные производители приложений информационной безопасности: McAfee, Checkpoint, StoneSoft, S-terra, Imperva, «Лаборатория Касперского» и другие.
Участие в саммите бесплатное. Регистрация на конференцию на сайте http://www.crossbeam-rt.ru/rt-partner-day/.
За дополнительной информацией, а также по вопросам участия обращаться по телефонам: +7 (495) 780-51-69 (доб. 2811), +7 (985) 255-34-11 либо E-mail: okalinina@crossbeam-rt.ru.
Ольга Калинина www.crossbeam-rt.ru
