2004 г.
Безопасность ноутбука
Крис Касперски
Статья была опубликована в журнале "Мобильные Системы"
Содержание
Ноутбуки в силу своей мобильности очень плохо приспособлены к хранению конфиденциальной информации. Работая в "полевых условиях" (скажем, в гостиничном номере, купе поезда или самолета), вы ничем не застрахованы от любопытных глаз окружающих. К тому же ноутбук неизбежно приходится оставлять без присмотра, отлучаясь в кафе или по естественным надобностям.
Словом, существует вполне осязаемая угроза несанкционированного доступа к информации, а то и кражи ноутбука со всем его содержимым! Убытки же от раскрытия и/или модификации секретной информации зачастую сравнимы, а то и превосходят стоимость самого компьютера!
Право же, не стоит надеяться на "авось" и оправдывать халатное отношение к собственной безопасности нехваткой времени или какими бы то ни было другими причинами. Помните: беда не предупреждает о своем приходе!
Воздвигать крепость защиты мы начнем с закладки фундамента. Фундамент – это надежная, отказоустойчивая, пуленепробиваемая и максимально жизнеспособная операционная система. Народная Windows 98, равно как и ее старшая сестра Windows Millennium, построена на латанном-перелатанном ядре Windows 3.0, и потому на эту роль категорически не подходит. Какими бы изощренными защитами вы ни пользовались, профессиональный взломщик без особых трудов сумеет их обойти, поскольку Windows 9x не позволяет гарантированно предотвратить модификацию кода защиты (т.е., попросту говоря, ее убиение).
Поэтому имеет смысл установить на всех своих компьютерах, включая ноутбук, одну из систем, базирующихся на ядре NT. К таковым принадлежат (в порядке роста требований к аппаратным ресурсам): Windows NT, Windows 2000, Windows XP. Защищенность всех их в той или иной степени одинакова, а функциональность увеличивается явно медленнее, чем "аппетит", который в отношении Windows XP иначе, как "обжорливостью", просто не назовешь.
Теоретически можно оснастить ноутбук какой-нибудь UNIX-подобной системой, например, LINUX. Достаточно непритязательные к мощности аппаратуры, они, тем не менее, обладают не сильно уступающей Windows функциональностью и обеспечивают очень высокий уровень защиты. (Некоторые UNIX'ы сертифицированы по мандату B, что значительно выше мандата C2, выданного в свое время NT). Единственное, что останавливает: крайне убогая – да не запинают меня юниксоиды – поддержка форматов Microsoft Office, ставших сегодня стандартом де-факто (Star Office многие документы не открывает вообще или делает это не вполне корректно) и отсутствие драйверов под многие, в том числе, и не экзотические "железки". Очень может сложиться так, что LINUX на ваш компьютер просто не "встанет".
Поэтому давайте остановимся на компромиссном варианте – Windows 2000.
При установке системы обязательно выберите тип файловой системы NTFS и без колебаний откажитесь от FAT. Мотивация такова: NTFS, в отличие от FAT, действительно надежная отказоустойчива система, разрушить которую можно только динамитом (шутка, конечно, но весьма недалекая от истины).
К тому же, в состав NTFS входит EFS – Encryption File System (Шифрованная Файловая Система), обеспечивающая "прозрачное" шифрование файлов и папок. Конечно, эту возможность никак не назовешь уникальной – подобное сегодня реализуют все кому не лень. Сеть буквально кишит шифровальными программами. Как говорится, выбирай на вкус! Но помимо проблемы выбора (у буриданова осла было всего две кучки сена, и то он окочурился с голоду, так и не решив с какой из них начать трапезничать), пользователь сталкивается с невозможностью проверки соответствия заявленных характеристик действительным.
Разработчик может уверять вас, что использует 1024-битное шифрование, а на самом деле не выполнять никакого шифрования вообще или реализовать примитивнейшую "ксорку". И даже честные разработчики ничем не застрахованы от ошибок! "Благодаря" этому стойкость шифра может оказаться значительно ниже ожидаемой или, что еще хуже, зашифрованный файл в некоторых случаях необратимо искажается и его вообще не удается расшифровать!
Особенно щепетильным следует быть при выборе утилит, создающих виртуальные шифрованные диски (т.е. делающих приблизительно то же самое, что и EFS). Один неверный бит способен превратить десятки гигабайт ценнейшей информации в бесценный хлам. Положение усугубляется тем, что "дисковых докторов" для таких утилит нет, и даже самый ничтожный сбой восстанавливать нечем. Не поможет тут и ручная работа, поскольку разработчики практически никогда не описывают форматы шифрованных дисков.
Словом, несмотря на то, что EFS обеспечивает всего лишь 56-битное шифрование (что при мощностях современных компьютеров назвать "шифрованием" даже язык не поворачивается), она – хороший выбор!
Как пользоваться шифрованием? Во-первых, поскольку в качестве ключа будет использоваться пароль, под которым вы входите в систему, со всем вниманием отнеситесь к его выбору. Пароль не должен представлять собой словарное слово, предсказуемую или слишком короткую последовательность.
Во-вторых, следует выбрать, какие папки вы будете шифровать. Не забывайте также про папку "TEMP" – очень многие приложения (тот же Word, например) не слишком-то аккуратно удаляют после себя временные файлы, а во временные файлы попадает все что угодно, – от рабочих данных до копий редактируемых файлов!
Папка с временными файлами может размещаться в различных каталогах, да к тому же она может быть и не одна. В "Командной строке" дайте команду "start %TEMP%", "start %TMP%", и указанные каталоги появятся на экране. (Обычно это что-то типа: "C:\Documents and Settings\Kris Kaspersky.KPNC\Local Settings\Temp"). Переходим на уровень вверх и, щелкнув правой клавишей мыша по папке, в контекстном меню выбираем "Свойства". Во вкладке "Общие" находим кнопочку "Дополнительно", которая открывает нам еще один диалог, содержащий помимо прочего пункт "Шифровать содержимое для защиты данных". Взводим галочку и дважды нажимаем "ОК". Система попросит уточнить: хотим ли мы шифровать вложенные папки или только эту папку? Конечно же, хотим шифровать вложенные! – "ОК". Если все сделано правильно, на экране появится "градусник", изображающий ход шифрования, и абстрактная анимационная картинка, с умным видом рисующая разноцветные крестики в нужных местах.
На первый взгляд может показаться, что ничего не произошло: работа с зашифрованными файлами происходит так же, как и раньше. Однако все изменится, если зайти в систему под другим именем. Будь вы хоть администратором, – в доступе вам будет отказано независимо от того, идентичен пароль или нет!
Теперь перейдем к "Корзине". Вообще-то, от нее лучше сразу отказаться, указав в настройках "Удалять файлы сразу после удаления, не помещая их в корзину", но если уж очень хочется иметь возможность восстановления ранее удаленных файлов, найдите в корневых каталогах каждого из дисков скрытую папку "Recycle". Открыв ее, вы увидите несколько вложенных папок, каждая из которых хранит удаленные файлы "своего" пользователя. К сожалению, вместо имен здесь используются бессмысленные на первый взгляд идентификаторы. Впрочем, найти свою "Корзину" очень просто: лишь ее одну вы сможете открыть, а в остальные вас просто не пустят (если, конечно, вы не администратор системы, но постоянно заходить в систему с привилегиями администратора могут только самоубийцы). Шифруем "Корзину" и переходим к личной почте.
Почта – настоящий кладезь информации для злоумышленника, особенно, если вы бережно храните всю полученную и отправленную корреспонденцию. Не стоит пренебрегать возможностью ее зашифровать. В "Outlook Express" это делается так: щелкаем правой клавишей мыши по папке "Входящие" и выбираем "Свойства". В появившемся диалоговом окне находим пункт "Данная папка хранится в следующем файле". Переходим по указанному адресу и шифруем всю папку целиком.
В заключение шифруем папку "Мои документы", равно, как и все папки, где вы храните секретные документы, предварительно убедившись, что ничего ценного в других папках нет. В первую очередь "к другим" относится папка "WINNT\Repair", открыто хранящая копию реестра, в том числе и базу паролей. Либо удалите ее совсем, либо зашифруйте.
Проделав все эти операции, вы можете со спокойной совестью оставлять работающий ноутбук без присмотра, естественно нажав перед уходом "Alt-Ctrl-Del" и выбрав пункт "Блокировка системы". Система окажется заблокированной вплоть до ввода пароля, и злоумышленник, пускай он даже похитит ваш ноутбук, не сможет добраться до охраняемой информации. Правда вам придется отказаться от автоматического ввода пароля при старте системы, ибо это маленькое удобство сводит защищенность компьютера практически к нулю. Итак, "Панель управления" à
"Пользователи и пароли" à
"Требовать ввод имени пользователя и пароля".
Не лишним будет установить пароль и на включение компьютера (если, конечно, ваша BIOS это позволяет). Несмотря на то, что пароль снимается элементарным замыканием специальной перемычки на материнской плате, он все-таки представляет вполне надежную защиту, ведь далеко не во всех случаях злоумышленник имеет время, достаточное для вскрытия ноутбука. Правда, некоторые BIOS поддерживают, так называемый, мастер-пароль, наиболее известный из которых – AWARD_SW – в свое время наделал много шума. Не брезгуйте пройтись по хакерским сайтам, – очень много нового о своем кремниевом друге можете вычитать!
Также обязательно запретите BIOS'у грузиться с дискеты, иначе никакая Windows 2000 вам не поможет! Прочесть-то зашифрованную информацию злоумышленник не прочтет, но вот уничтожить сможет.
Кстати, о шифровании. В работе с зашифрованной папкой через "Проводника" есть одна тонкость. Файлы, "перетащенные" в зашифрованную папку, зашифрованы не будут! Microsoft честно об этом предупреждает и настоятельно рекомендует вместо "Drag & Drop" пользоваться командами "Вырезать/Копировать" и "Вставить". Неудобно, конечно, но…
Но было бы ошибкой считать систему шифрования Windows 2000 кривой, как бумеранг. При более детальном знакомстве с ней негативное впечатление плавно перетекает, если уж не в щенячий восторг то, по крайней мере, в глубокое уважение.
Ах да, легально нам доступно лишь 56-битное шифрование, но контрафактные диски еще никто не отменял, и Windows 2000 с "крутым" шифрованием в России не редкость (невероятно, но Microsoft в файле помощи сама невольно подсказывает, как это сделать).
Для создания защиты от рядового злоумышленника нет никакой необходимости покупать дорогостоящие аппаратные комплексы, неоправданно широко рекламируемые в последнее время. В конце концов, шпионов под кроватью нет, а ноутбуки воруют в первую очередь для того, чтобы их продать.
Штатные средства операционных систем Windows 2000/XP дают вполне удовлетворительные гарантии, что зашифрованная информация не будет вскрыта ни одиночкой, ни даже группой злоумышленников за разумное время. Исключение составляют лишь государство и корпорации, однако и тем, и другим вряд ли придет в голову атаковать пароль, когда под рукой всегда есть утюг (паяльник). А от утюга никакие, даже самые современные защиты, основанные на биометрических показаниях, не спасут.
Увы, замки (какие бы то ни было) защищают лишь от честных людей, поэтому, право же, не стоит вкладывать в них излишне большие деньги.