.png "Bezpieczenstwo")
Sprawa skradzionego laptopa: minimalizowanie zagrożenia kradzieżą sprzętu .png "Udostępnij na: Facebook")
Security Management (luty 2005)
Autor: Steve Riley
Opublikowano: 3 marca 2005
Obawa przed kradzieżą laptopa trapi chyba każdą firmę i instytucję. Być może zdarzyło się to nawet Tobie (mam nadzieję, że nie!). Najlepsze rozwiązanie tego problemu jest proste: nie dać się okraść. (Tak, słyszę ten szyderczy śmiech.) Laptopa najlepiej mieć cały czas ze sobą, albo zostawiać go w pokoju hotelowym, jeśli chcemy na trochę od niego odpocząć. Prawda, każdy słyszał ostrzeżenia o okradaniu pokoi hotelowych, ale mnie się to nigdy nie zdarzyło – a spędzam w różnych hotelach ok. 200 nocy w roku. (Jeśli trafisz do kraju gdzie ogół społeczeństwa cierpi na kleptomanię, radzę zamieszkać w hotelu z sejfami w pokojach.) Jest dużo większe ryzyko, że swój laptop, urządzenie PDA, telefon inteligentny czy napęd USB stracisz, zostawiając go w taksówce albo w restauracji.
|
.jpg "Security Management") |
.gif){kind=icon}
Wstęp
Z całą pewnością znajdziesz się w miejscach, gdzie kradzież jest możliwa: stosunkowo często zdarza się to na konferencjach czy na lotniskach; zagrożone bywają nawet biura. Dlatego też w teczce oprócz laptopa zawsze mam ze sobą linkę zabezpieczającą i przypinam nią komputer do biurka, jeśli mam wystąpienie na konferencji i muszę opuścić pokój - ale tylko, jeśli sądzę że miejsce jest dość bezpieczne (tak, wiem, to subiektywna ocena). Jeśli uznam, że kradzież jest bardziej prawdopodobna, chowam komputer do teczki i noszę do z sobą. Na lotniskach trzymam laptop na kolanach albo w teczce, teczkę zaś mam w ręku lub na ziemi w zasięgu ręki. Nie radzę zasypiać na lotniskach – od tego są fotele klasy biznesowej. Jeśli koniecznie musisz się przespać, użyj alarmu reagującego na ruch, z tym że bardziej prawdopodobne, iż włączysz go sam, wiercąc się w czasie snu.
Tak czy inaczej, nie rozgłaszaj wszem i wobec, że masz ze sobą najnowszy, najnowocześniejszy sprzęt przenośny. Jesteś szczęśliwym posiadaczem laptopa, urządzenia PDA, kamery cyfrowej, cyfrowego odtwarzacza muzyki, telefonu komórkowego i przenośnej konsoli do gier? Zastanów się, gdzie trzymasz cały ten sprzęt? Staraj się być dyskretny, najlepiej ukryj go tak, by był zupełnie niewidoczny: unikaj teczek, plecaków czy toreb z logo firmy komputerowej lub producenta sprzętu elektronicznego i wszystkiego, co zdradza Twoje umiłowanie do drogich gadżetów. Mając ze sobą torby oznaczone logo ściągasz niepotrzebnie uwagę – złodzieje dobrze wiedzą, że firmy sprzedają tysiące ozdobionych logo toreb i teczek, w których podróżujący biznesmeni przewożą potem najnowszy sprzęt elektroniczny. Lepiej, jeśli masz syna albo córkę, idźcie razem na zakupy i zainwestuj w duży plecak, który wszystko pomieści. Dzięki temu znów poczujesz się młody, a przynajmniej zdobędziesz nowe doświadczenia, nie mówiąc już o tym, że wymienisz zabójczą dla ramienia teczkę na coś wygodniejszego i zdrowszego.
Laptopy jako urządzenia przenośne wymagają dodatkowej ochrony przechowywanych na nich danych, często poufnych i o krytycznej ważności. W systemach Windows 2000 i Windows XP istnieją trzy funkcje umożliwiające powstrzymanie złodzieja przed uzyskaniem dostępu do przechowywanych na laptopie informacji: hasła, szyfrowanie EFS i narzędzie SysKey. Warto zdawać sobie sprawę, że użycie tych funkcji najprawdopodobniej sprawi, iż złodziej w przypływie wściekłości zniszczy laptopa, ale na pewno lepsze to niż zobaczyć plany swojej firmy albo kod źródłowy swojej najnowszej aplikacji opublikowane online.
.gif){kind=icon}
Do początku strony
Hasła
Jeśli Twój laptop jest przyłączony do domeny, to przy każdym włączeniu (nawet jeśli fizycznie nie znajdujesz się w sieci korporacyjnej) musisz podać hasło sieciowe. Twój komputer przechowuje zestaw buforowanych danych uwierzytelniających konta na twardym dysku; przed uzyskaniem dostępu do zawartości komputera konieczna jest weryfikacja danych użytkownika. Dane uwierzytelniające są mieszane dwa razy: najpierw algorytmem MD4, następnie zaś MD5. Drugie mieszanie tworzy tzw. „password verifier” – weryfikator haseł. Zapisywany jest jedynie weryfikator, chroniony dodatkowo kluczem systemowym komputera (klucz systemowy opisany zostanie poniżej). Jest on bardzo odporny na próby łamania.
Jeśli Twój laptop nie jest częścią domeny, i tak zalecamy zabezpieczyć wszystkie konta lokalne hasłem. W samodzielnych komputerach z systemem Windows XP konto administracyjne domyślnie nie posiada hasła. Niemożliwe jest uzyskanie dostępu z sieci do lokalnych kont nie posiadających haseł – w tym celu trzeba fizycznie znajdować się przed komputerem. Konta lokalne bez haseł są zdecydowanie nieodpowiednie dla laptopów; są jak wielkie neony ogłaszające wszem i wobec, że można ukraść wszystkie informacje!
Hasło jest konieczne, jeśli chcesz skorzystać z dwu pozostałych opisywanych tu funkcji. Jeśli na kontach lokalnych nie posiadasz hasła, to nic w kwestii ochrony danych nie da się nic zrobić. Sprawdź, czy Twoje hasło działa cały czas, ponieważ niektóre laptopy nie wymagają podania hasła po wyjściu ze stanu wstrzymania czy hibernacji. Ustawienia zasilania różnią się w zależności od producenta, więc nie ma odpowiedniego obiektu Polityki Grupowej. Konieczne jest ręczne sprawdzenie, czy konfiguracja wszystkich laptopów wymaga podania hasła po wyjściu z hibernacji lub stanu wstrzymania.
Do początku strony
Szyfrowanie plików
Listy kontroli dostępu i ograniczenia uprawnień mogą chronić pliki przed dostępem z sieci, ale nie powstrzymają kogoś kto ma fizyczny dostęp do komputera. Systemy Windows 2000, Windows XP i Windows Server 2003 wyposażone są w technologię Encrypting File System – system szyfrowania plików. EFS nie zakłóca normalnego funkcjonowania komputera: otwieranie plików czy katalogów nie wymaga podawania hasła. Uruchomienie komputera, zalogowanie i otwarcie osobistego klucza głównego (informacje o kluczach: patrz niżej) powoduje otwarcie kluczy szyfrowania EFS. Kiedy dany plik zostanie otwarty, system EFS niezauważalnie odszyfrowuje go używając klucza prywatnego skojarzonego z certyfikatem EFS, po czym ładuje odszyfrowany plik do pamięci komputera. Na dysku twardym plik pozostaje zaszyfrowany.
W celu zakodowania pliku lub folderu wystarczy kliknąć go prawym przyciskiem myszy, wybrać opcję Właściwości, w sekcji Atrybuty kliknąć przycisk Zaawansowane, po czym zaznaczyć pole Szyfruj zawartość, aby zabezpieczyć dane. W komputerach nie będących częścią domeny utworzone zostaną co najmniej trzy atrybuty: certyfikat cyfrowy EFS, skojarzona z nim para publiczny/prywatny klucz EFS (klucz publiczny przechowywany jest w certyfikacie) oraz klucz szyfrowania pliku (FEK). Jeśli szyfrowany jest folder, każdy znajdujący się w nim plik otrzyma własny klucz FEK. System EFS szyfruje każdy plik używając klucza FEK, po czym szyfruje FEK przy użyciu publicznego klucza EFS. Kolejne operacje szyfrowania powodować będą tworzenie jedynie kluczy FEK, ponieważ para kluczy EFS i certyfikat zostały już utworzone. Zalecam zakodowanie całego folderu „Moje dokumenty”, dzięki czemu cała jego zawartość szyfrowana będzie automatycznie.
Odszyfrowywanie działa tak samo, tylko w drugą stronę: otworzenie zaszyfrowanego pliku powoduje pobranie przez system EFS klucza prywatnego skojarzonego z certyfikatem EFS, odszyfrowanie klucza FEK i odszyfrowanie pliku przy jego pomocy. Nie są przy tym wyświetlane żadne okna dialogowe ani monity, nie ma również problemów z kompatybilnością ponieważ plik jest odszyfrowywany przed odczytaniem zawartych w nim danych.
W komputerach będących częścią domeny szyfrowanie przebiega nieco inaczej. Jeśli wdrożona została infrastruktura klucza publicznego (PKI), system EFS zażąda certyfikatu od korporacyjnego urzędu certyfikacyjnego (CA). Komputer tworzy parę kluczy EFS i kojarzy klucz publiczny z certyfikatem. Dalej proces przebiega bardzo podobnie jak w wypadku samodzielnego komputera; jedyna różnica polega na tym, że komputer nie musi tworzyć certyfikatu EFS ani kluczy przy pierwszym szyfrowaniu, ponieważ zostały one utworzone już wcześniej. Jeśli infrastruktura PKI nie została wdrożona lub pobranie certyfikatu z urzędu certyfikacyjnego nie powiodło się, szyfrowanie przebiega dokładnie tak samo, co w przypadku komputerów samodzielnych.
Konkretne algorytmy szyfrowania zależą od systemu operacyjnego. Windows 2000 we wszystkich wersjach obsługuje jedynie standard DESX. Pierwotna wersja Windows XP używać może standardu DESX (domyślnie) lub Triple-DES (3DES). Windows XP Service Pack 1 (i późniejsze) oraz Windows Server 2003 obsługują standard Encryption Standard (AES), DESX i 3DES. Standardem domyślnym jest AES.
Do początku strony
Odzyskiwanie zaszyfrowanych plików
Jak się być może domyślasz, z używaniem systemu EFS wiążą się pewne niedogodności. Możliwa jest utrata dostępu do zaszyfrowanych plików jeśli zagubiony zostanie klucz EFS lub jeśli hasło zostanie zresetowane (zmiana hasła nie stanowi problemu, lecz jego zresetowanie powoduje unieważnienie kluczy EFS). Polityka odzyskiwania polega na wyznaczeniu co najmniej jednego konta użytkownika jako agenta odzyskiwania, co może pomóc w razie utraty dostępu do zaszyfrowanych plików. Agenty odzyskiwania mogą uzyskiwać dostęp do zaszyfrowanych plików. Windows 2000 wymaga wyznaczenia agenta odzyskiwania lokalnie lub w domenie zanim zaszyfrowanie będzie możliwe; wymagania tego nie ma w Windows XP i Windows Server 2003.
Na samodzielnych komputerach z systemem Windows 2000 lokalne konto administratora staje się domyślnie agentem odzyskiwania kiedy ktoś po raz pierwszy się na nie zaloguje. Samodzielne komputery z Windows XP nie tworzą agenta odzyskiwania (co oznacza, że ataki offline przeciwko kontu administracyjnego tracą sens). W komputerach z systemami Windows 2000 lub Windows XP będących częścią domeny posiadającej politykę EFS agentem odzyskiwania domyślnie jest konto administratora domeny.
Klucz FEK każdego szyfrowanego pliku chroniony jest również kluczem publicznym każdego agenta odzyskiwania stanowiącego część polityki odzyskiwania. Tak więc agent odzyskiwania może uzyskać dostęp do znajdujących się na komputerze plików mimo utraty klucza lub zresetowania hasła. Jest to przydatne również w razie odejścia któregoś z pracowników z firmy; agent odzyskiwania może otworzyć pliki znajdujące się na koncie byłego pracownika, a nawet w razie potrzeby usunąć szyfrowanie. Warto pamiętać, że konto agenta odzyskiwania nie ma dostępu do kluczy EFS, więc jego użytkownik nie może podszyć się pod użytkownika konta którego dane mają być odzyskiwane; agent może jedynie odszyfrować pliki.
Jeśli uznasz że system EFS jest potrzebny w Twojej firmie lub przedsiębiorstwie, zachęcam do zapoznania się z wdrożeniem infrastruktury Windows PKI przy użyciu autorejestracji. Autorejestracja redukuje do minimum udział człowieka w zarządzaniu PKI. Jeśli zaś chodzi o EFS, możliwe jest utworzenie szablonów certyfikatów, łączących rejestrację z metodami odzyskiwania kluczy i danych, na przykład automatycznie archiwizując klucz prywatny użytkownika przy rejestracji. Archiwizacja kluczy to ważny dodatek do odzyskiwania danych za pomocą agentów.
Do początku strony
Bezpieczeństwo EFS
Obejście lub złamanie zabezpieczeń EFS jest niezwykle trudne, ponieważ każdy plik zaszyfrowany jest według innego klucza, zaszyfrowanego według klucza EFS użytkownika, zaszyfrowanego według klucza głównego użytkownika, zaszyfrowanego według klucza uruchomienia systemu. Zainstalowanie równoległej kopii Windows lub innego systemu operacyjnego i złamanie bazy danych SAM nie da dostępu do kluczy, ponieważ nie są one tam przechowywane.
Jeśli korzystasz z lokalnych agentów odzyskiwania, ważne jest by wyeksportować klucz prywatny agenta do osobnej pamięci masowej, po czym usunąć go z komputera. Dobrym wyjściem wydaje się napęd USB, nie podłączony zwykle do komputera. Wyeksportowane hasło należy chronić hasłem (w trakcie wykonywania eksportu wyświetlony zostanie o to monit). Jeśli użytkownik utraci prywatny klucz EFS, będzie można odzyskać pliki używając klucza agenta przechowywanego na napędzie USB.
Istnieje możliwość, że system EFS pozostawi „resztki” pliku zapisane na twardym dysku otwartym tekstem. Szyfrowanie pojedynczego pliku powoduje najpierw utworzenie kopii zapasowej zapisanej otwartym tekstem, następnie zaszyfrowanie pliku i usunięcie kopii. Rzecz jasna, usunięcie kopii zapasowej nie powoduje wymazania bitów z powierzchni dysku, co oznacza że dane zapisane otwartym tekstem ciągle są tam obecne i można je odzyskać przy pomocy odpowiednich narzędzi edytorskich. Dlatego też lepiej niż pojedyncze pliki szyfrować całe foldery. Dzięki temu zawartość folderu będzie cały czas zaszyfrowana – bez pozostawiania niezaszyfrowanych pozostałości. Warto pamiętać o tym również w przypadku aplikacji tworzących pliki tymczasowe.
Oczywiście atakujący który dysponuje dostępem fizycznym może po prostu podmienić zaszyfrowane pliki. Byłaby to skuteczna metoda ataku typu DoS, ale prawdopodobieństwo, że ktoś ukradnie Twój komputer, podmieni pliki, po czym zwróci maszynę są dosyć niskie? Owszem, można zrobić komuś żart podmieniając stronę default.html na jakimś serwerze, ale nie ma się co obawiać, że ktoś po ukradzeniu laptopa zastąpi plany biznesowe pornografią. System EFS zapewnia poufność, nie gwarantuje jednak nienaruszalności danych. Żadne szyfrowanie nie daje nienaruszalności. Można ją jednak zapewnić z pomocą technologii podpisów cyfrowych, które zazwyczaj obliczają jednokierunkową funkcje mieszającą dla chronionych danych.
Do początku strony
Włączanie klucza uruchomienia systemu
Każde dodanie nowego konta użytkownika do komputera powoduje utworzenie przez interfejs ochrony danych Windows DPAPI klucza głównego, który używany jest do ochrony wszystkich kluczy prywatnych używanych przez aplikacje i usługi działające na tym koncie (np. klucze EFS, S/MIME itd.). Komputer posiada również własny klucz główny chroniący klucze systemowe (klucze IPsec, klucze komputerowe i klucze SSL). Te klucze główne chronione są z kolei komputerowym kluczem uruchomienia. Po uruchomieniu komputera klucz ten odszyfrowuje klucze główne. Klucz uruchomienia chroni również lokalną bazę danych SAM na każdym komputerze w domenie, tajne dane dotyczące lokalnego urzędu certyfikacji, informacje o kontach przechowywane w Active Directory kontrolerów domen, oraz hasło konta administratora używane w odzyskiwaniu systemu w trybie bezpiecznym.
Narzędzie SysKey umożliwia wybranie miejsca przechowywania klucza uruchomienia. Komputer domyślnie tworzy losowy klucz i rozrzuca go w rejestrze; dzięki zastosowaniu skomplikowanego algorytmu wzór rozrzucenia jest inny w każdej instalacji Windows. Domyślne ustawienie można zmienić na dwa sposoby: przechowując klucz utworzony automatycznie na dyskietce, lub włączając wyświetlanie w czasie uruchamiania monitu o hasło, na podstawie którego powstanie klucz główny. Możliwość przełączania się pomiędzy tymi trybami istnieje zawsze, ale w przypadku utraty dyskietki (w trybie z zapisywaniem klucza na dyskietce) lub zapomnienia hasła (w przypadku tworzenia klucza na podstawie hasła), jedyna możliwość odzyskania danych to użycie dyskietki ratunkowej lub przywrócenie rejestru do stanu sprzed włączenia trybu SysKey. Wszystkie zmiany wprowadzone od włączenia tego trybu zostaną utracone. W celu zmiany klucza startowego otwórz wiersz poleceń, wybierz opcję Uruchom z menu Start, lub naciśnij [Windows]+R, po czym wpisz „syskey” aby uruchomić narzędzie SysKey.
Zmiana trybu SysKey na hasłowy pozwala lepiej chronić dane zapisane na laptopie w wypadku kradzieży. Jest to kolejna zapora pomiędzy zawziętym złodziejem a danymi na dysku. Hasła SysKey mogą mieć długość od 1 do 128 znaków; zalecam podawanie haseł o długości co najmniej 12 znaków. Połączenie systemu EFS (ochrona danych) z hasłami SysKey (dodatkowa ochrona kluczy EFS) może stanowić zaporę nie do przebycia dla złodzieja.
Do początku strony
Nie wyróżniaj się
Ze złodziejami można walczyć ustalając odpowiednią politykę i procesy oraz wykorzystując nowoczesną technologię. Postaraj się uświadomić swoim pracownikom niebezpieczeństwo i korzystaj z posiadanych technologii by zmniejszyć ryzyko w razie kradzieży komputera.
Dodatkowe informacje o wdrażaniu systemu EFS w firmie lub instytucji znaleźć można na następujących stronach:
- System EFS w Windows XP i Windows Server 2003 (j.ang.)
- Infrastruktura PKI w Windows Server 2003 (j.ang.)
| Do początku strony |