Pendrive: kij w mrowisku zabezpieczeń

Rośnie pojemność urządzeń przenośnych oraz ich odporność na uszkodzenia. Tym samym wzrasta niebezpieczeństwo przeniesienia ich przez firmowe systemy zabezpieczeń. Paradoksalnie, to nie zastosowanie nowoczesnych urządzeń elektronicznych decyduje o skali zagrożenia. Pendrive, palmtop czy 'komórka' z wbudowanym aparatem fotograficznym stają się groźnym narzędziem dopiero w połączeniu z ludzką pomysłowością: "Urządzenia te stanowią tylko dodatek, niewielki element całego procesu kradzieży informacji. Zawsze będzie to pojedynek człowieka z człowiekiem, a o wygranej może zdecydować tylko wiedza, kreatywność i zakres dostępnych środków" - przekonuje Zbigniew Grzelak, specjalista ds. bezpieczeństwa w Altkom Akademii. Metoda kradzieży danych odchodzi więc na drugi plan w kontekście wdrażania metod skutecznego zablokowania prób nieautoryzowanego skopiowania czy dostępu do chronionych danych.

"Urządzenia takie jak palmtop, pendrive, telefon komórkowy czy dyktafon są od dawna znane jako narzędzia umożliwiające kradzież informacji. Należy jednak podkreślić, że są to urządzenia, które można wykorzystać do najprostszych, prymitywnych ataków. Oczywiście w przypadku wielu słabo zabezpieczonych systemów, urządzenia te mogą w zupełności wystarczyć do udanej kradzieży informacji" - mówi Rafał Grzech, specjalista ds. bezpieczeństwa informatycznego w firmie ComArch.

Kradzież danych: jak się chronimy?

Kwestia ochrony zasobów informacyjnych firm i instytucji powróciła po raz kolejny, tym razem w kontekście afery wywołanej wyniesieniem z Instytutu Pamięci Narodowej przez red. Wildsteina listy 240 tys. nazwisk, pojawiających się w aktach Służby Bezpieczeństwa SB. Andrzej Arseniuk, przedstawiciel Wydziału Prasowego w Sekretariacie IPN, nie potwierdził, ani nie zaprzeczył informacjom, iż lista domniemanych współpracowników UB została przez Wildsteina wyniesiona z archiwum IPN za pomocą urządzenia typu pendrive. W celu wyjaśnienia okoliczności zdarzenia powołano w Instytucie pięcioosobową komisję, która nie zakończyła jeszcze prac. W tym tygodniu po raz kolejny zbierze się kolegium komisji i, być może, zostaną ujawnione szczegóły całej sprawy.

Strategie zabezpieczeń

Zasada prostoty - należy stosować takie rozwiązania, których niezawodność najłatwiej zweryfikować.

Zasada minimalnych uprawnień ('least privilege') - osoby korzystające z systemu, pracownicy firmy, administratorzy, itp., powinni dysponować tylko takim zakresem uprawnień, który zezwoli im na wykonywanie przydzielonych zadań.

Zasada dogłębnej obrony ('defence in depth') - należy stosować więcej niż jeden mechanizm obrony przed atakiem. Większa ilość współpracujących ze sobą poziomów zabezpieczeń zmniejsza prawdopodobieństwo skutecznego ataku w przypadku awarii któregoś z nich.

Zasada zróżnicowanej obrony - należy stosować nie tylko wiele poziomów zabezpieczeń, ale i zróżnicowane środki ochronne (np. oprogramowanie różnych producentów).

Zasada wąskiego przejścia ('choke point') - napastnik zmuszony jest do skorzystania z tej drogi, którą można kontrolować.

Zasada najsłabszego ogniwa - każdy system zabezpieczeń ma słaby punkt, który napastnik będzie starał się odnaleźć i wykorzystać. Jeśli eliminacja słabych punktów obrony nie jest możliwa, należy na ich kontroli skupić szczególną uwagę.

Zasada bezpiecznej reakcji w przypadku awarii - uszkodzenie mechanizmów zabezpieczeń musi całkowicie uniemożliwiać napastnikowi dostęp do chronionych danych, zamiast w pełni go otwierać. Jednak do chwili usunięcia przyczyny awarii, dostęp zostanie odcięty także uprawnionym użytkownikom.

Zasada współpracy personelu - od pracowników firmy lub instytucji wymaga się, aby nie wykonywali czynności mogących zniweczyć działanie systemu zabezpieczeń. Współpracę osiąga się w oparciu o metody edukacyjne (szkolenia) i restrykcyjne (odgórne regulacje).

Zasada zabezpieczenia przez utajnienie ('security through obscurity') - kontrowersyjna zasada ochrony systemu przez ograniczenie informacji o sposobach jego działania.

Źródło: Elizabeth D. Zwicky, Simon Cooper, D. Brent Chapman: "Internet Firewalls - tworzenie zapór ogniowych", ReadMe 2001.

Aktualizacja: 21 kwietnia 2005 10:43

"Problemy z ochroną danych, które mogą spowodować tego urządzenia typu flash USB, są tym, na co menadżerowie IT powinni zwrócić uwagę w najbliższej przyszłości" - uważa James Turner, analityk Frost & Sullivan. "Jest to szczególnie istotne dla firm, które dużą wagę przywiązują do spraw własności intelektualnej" - dodaje.

Podobnego zdania są inni specjaliści, zwłaszcza, że pojemności przenośnych pamięci USB rosną, a ceny maleją. Dotyczy nie tylko kluczy USB ale także przenośnych dysków twardych czy odtwarzaczy muzycznych (np. iPod). Wg. Hugh Dunna, menedżera IT Strathern Insurance Brokers, "polityka ochrony danych musi zostać zaktualizowana, aby sprostać nowym zagrożeniom." W tym samym tonie wypowiada się rzecznik prasowy IBM, jednocześnie uspokajając, że problem da się rozwiązać stosując zdrowy rozsądek oraz ogólne wskazówki dot. ochrony poufnych informacji: "Przenośne media to użyteczne narzędzie, wymagające jednak od pracownika zarówno fizycznej ochrony urządzenia jak i zabezpieczenia informacji hasłem".

Aktualizacja: 09 lutego 2005 10:33

Co na to policja?

Nie znana jest skala przestępstw polegających na kradzieży danych przy pomocy urządzeń przenośnych gdyż policyjne statystyki nie obejmują narzędzi popełnienia przestępstwa.

Przedstawiciele Biura Prasowego Komendy Głównej Policji przekonują jednak, że w Policji istnieje wiele zabezpieczeń przed nieautoryzowanym dostępem i kopiowaniem danych przez nośniki magnetyczne, a policyjna sieć jest wydzieloną, nie podłączoną do żadnych innych sieci, co uniemożliwia jej penetrację z zewnątrz (np. z Internetu).

"Do zasobów sieci dopuszczone są wyłącznie komputery posiadające autoryzację hardware'ową. Stacja robocza jest identyfikowana przez unikalny czytnik, a użytkownik dzięki osobistemu identyfikatorowi lub dzięki karcie. Bez obecności aktywnego klucza lub karty w czytniku nie ma możliwości dostania się do zasobów komputera, a w szczególności do centralnych systemów informacyjnych Policji, które posiadają dodatkowe zabezpieczenia przed nieuprawnionym dostępem. Niemożliwy jest także bezpośredni, masowy zapis i odczyt danych zgromadzonych w systemach bazodanowych przez końcowego użytkownika."

Z informacji udzielonych nam przez Biuro Prasowe KGP wynika także, iż każdy użytkownik logujący się do policyjnej sieci jest objęty tzw. Trybem Kontroli i Nadzoru, dzięki czemu nie może dokonywać żadnych operacji w systemie bez pozostawienia śladu (trybem tym objęci są także administratorzy systemu). "Ponadto zasoby informacyjne Policji zlokalizowane są w obiektach i pomieszczeniach objętych specjalnym nadzorem elektronicznym i osobowym (w tzw. strefach bezpieczeństwa). Końcowy użytkownik ma dostęp do tych aplikacji, które są niezbędne do wykonywania przez niego zadań.", dodają przedstawiciele Biura.


Zobacz również