Szpieg z krainy flashowców

Miniaturowe odtwarzacze MP3, iPody, telefony komórkowe, wreszcie same nośniki pamięci wielkości palca odebrały sen specjalistom od bezpieczeństwa. Nigdy dotąd tak wielu danych nie można było tak łatwo zapisać i wynieść między pudrem a szminką.

Miniaturowe odtwarzacze MP3, iPody, telefony komórkowe, wreszcie same nośniki pamięci wielkości palca odebrały sen specjalistom od bezpieczeństwa. Nigdy dotąd tak wielu danych nie można było tak łatwo zapisać i wynieść między pudrem a szminką.

Popularność przenośnych układów pamięci rośnie gwałtownie, zwiększają się zyski producentów i jednocześnie zagrożenie bezpieczeństwa sieci lokalnych. Dawno minęły czasy, w których do transferu danych między komputerami niezbędne były dwa identyczne napędy i takie samo oprogramowanie. Tradycyjne dyskietki i pamięć taśmową zastąpiono nośnikami bardziej pojemnymi. W tej chwili następuje kolejna wymiana technologii. Coraz bardziej popularne stają się układy mobilne. Dzięki wielkiej pojemności, przenośności i prostocie używania z pamięci tego rodzaju korzysta coraz więcej osób. Wystarczy wstąpić do elektronicznych supermarketów, aby napotkać całe alejki pełne rozmaitych modeli. Coraz tańsze pamięci wykorzystuje się jak kartkę papieru. Jeden i drugi nośnik oddaje się na własność odbiorcy wraz z zapisanymi na nim informacjami, biznesowymi propozycjami czy raportami ze stanu konta.

Anatomia kradzieży

Takie pióro służy nie tylko do pisania, ale i do czytania. Czy wzbudzi zainteresowanie ochrony?

Takie pióro służy nie tylko do pisania, ale i do czytania. Czy wzbudzi zainteresowanie ochrony?

Te niewielkie i łatwe do schowania układy pamięci, które pracownicy często przynoszą ze sobą, mogą być podłączone do jednego z wielu portów USB, umożliwiając szybkie i bezproblemowe pobranie ważnych informacji z zasobów firmy. Po zapisaniu zbyt łatwo można je, nawet bez złych intencji, wynieść na zewnątrz. Odwrotną drogą do sieci firmy mogą się dostać wirusy i inne paskudztwa. Misternie stawiane mury obronne z firewalli, antywirusów, antyszpiegów, zabezpieczające korporacyjne sieci, stają się bezużyteczną bronią przeciwko flashowej drobnicy. Mimo niewinnego wyglądu poważnie zagraża ona bezpieczeństwu firm. W niektórych korporacjach wprowadzono nawet całkowity zakaz ich używania, inne lekceważą zagrożenie.

Policyjni profesjonaliści informują, że problem jest coraz większy. Anglicy z National Hi-tech Crime Unit w raporcie przedstawionym na kwietniowym kongresie podali, że wśród e-przestępstw najszybciej rośnie liczba kradzieży danych z wykorzystaniem przenośnej pamięci. FBI wspólnie z Computer Security Institute zapytała osoby zajmujące się bezpieczeństwem sieci, jakiego typu ataku obawiają się najbardziej. Ponad trzy czwarte odpowiedziało, że nadużycia dostępu do danych od wewnątrz, za pomocą przenośnych pamięci. Z raportu wynika, że większości tego rodzaju czynów dopuszczają się niezadowoleni pracownicy. Roczne straty spowodowane kradzieżą zastrzeżonych informacji oszacowano na 70 milionów dolarów. Dla niektórych firm ważniejsza od pieniędzy może być utrata reputacji. Wiadomość o wyciekaniu danych o stanie konta klientów czy zdrowia pacjentów może być zabójcza dla opinii banków czy ubezpieczalni.

Raport Gartnera z lipca ubiegłego roku także ostrzega przed niebezpieczeństwem związanym z technologią mobilnej pamięci. Na liście zagrożeń znalazły się kieszonkowe twarde dyski podłączane przez FireWire czy USB, odtwarzacze MP3 z dyskami (takie jak iPod) albo pamięcią flash, a także aparaty cyfrowe z kartami pamięci. Za najbardziej niebezpieczne uznano palce USB, łatwe do ukrycia i coraz bardziej pojemne. Większa pojemność daje nowe możliwości. W latach osiemdziesiątych lęk budziła możliwość skopiowania listy klientów czy też firmowego cennika na dyskietkę i przekazania jej następnemu pracodawcy. Szacując objętość jednej strony dokumentu w formacie edytora tekstu na 10 KB, łatwo policzyć, że nawet na mniejszych nośnikach można wynieść z firmy tysiące stron ważnych dokumentów. Na dodatek w większości sieci korporacyjnych nie sprawdza się rodzaju informacji, które użytkownicy kopiują do lokalnych komputerów czy podłączonych urządzeń. Wśród nich tylko drobny ułamek zawraca sobie głowę szyfrowaniem danych. Są dostępne dla złodzieja bez żadnego wysiłku.

Granie na nerwach

Odtwarzaczom MP3 należy się szczególne miejsce na liście potencjalnych zagrożeń z powodu niewinnej i wprowadzającej w błąd nazwy. Podczas gdy Apple uważał słuchanie muzyki za jedyny powód wymyślenia przenośnego urządzenia, większość konkurentów opracowała po prostu wielką pamięć USB na wszelkie rodzaje plików z wbudowanym muzycznym oprogramowaniem. Coraz więcej osób wykorzystuje w odtwarzaczu także funkcję przechowywania danych. Urządzenie przeznaczone do rozrywki stało się zagrożeniem dla ochrony informacji.

Zakaz przynoszenia do firmy przenośnych pamięci przez pracowników jest nie do wyegzekwowania. Ze względu na niewielkie wymiary urządzenie może się zapodziać w kieszeni, kopercie czy damskiej torebce. Na dodatek może zmieniać właściciela jak kartka papieru. Wprowadzenie odpowiedniej kontroli osobistej, podobnie jak zakazanie przynoszenia odtwarzaczy MP3 do pracy czy pozwolenie na używanie ich tylko w porze obiadowej praktycznie nie jest możliwe bez naruszenia praw obywatelskich i przepisów o prywatności. Przekonały się o tym firmy, które musiały zrezygnować z podobnego uregulowania kwestii telefonów komórkowych z funkcją aparatów fotograficznych, prawie tak samo groźnych dla poufności danych, jak przenośna pamięć.

Jednym z lepszych rozwiązań byłoby zakazanie podłączania do komputerów i peryferii firmy urządzeń, które nie są jej własnością. Złamaniem tej zasady byłoby na przykład pobranie fotografii do biurowej, kolorowej drukarki czy wymiana muzyki między osobami siedzącymi przy sąsiednich biurkach, jeśli pliki przechodziłyby przez służbowy komputer.

Taki zakaz jest prawie możliwy do skontrolowania. Dane pobierane przez użytkowników mogą być rejestrowane w dziennikach. W niektórych firmach korzysta się z możliwości zdalnego wyszukiwania w komputerach nielegalnych plików. Nocną porą można przejrzeć sprzęt i usunąć z niego pliki MP3, WMA, JPEG i podobne. Kłopot w tym, że formaty plików nie są tak sztywno rozdzielone, a niektóre z rozrywkowym rozszerzeniem mogą wchodzić w skład programów służących do pracy.

Reguła palca

Chcąc pozwolić na transfer plików przez przenośne pamięci, należy przemyśleć kwestie bezpieczeństwa. Na rynku jest wiele narzędzi ułatwiających administrację. Każde z nich ma swoje zalety. Możliwa jest na przykład zdalna blokada portów USB albo przydzielanie wybranym użytkownikom uprawnień do wymiany danych z pamięcią przenośną, aparatem cyfrowym, do podłączenia odtwarzacza MP3, telefonu komórkowego i innych niebezpiecznych drobiazgów. Można wykorzystać Windows Active Directory do centralizacji zarządzania. Bez wyróżniania któregokolwiek z producentów możemy sporządzić listę funkcji, które uważamy za niezbędne. Po pierwsze, dostęp do plików powinien być zablokowany po kilkakrotnym błędnym wprowadzeniu hasła. Liczba "pudeł" powinna być regulowana. Po drugie, dane muszą być zaszyfrowane i w tej formie dostępne z docelowego komputera, kiedy trzeba, bez instalowania dodatkowego oprogramowania. Po trzecie, administrator powinien mieć możliwość tworzenia kopii zapasowych i odzyskiwania zapomnianych haseł. Po czwarte, system musi obsługiwać możliwie wiele rodzajów przenośnych pamięci. Wreszcie być prosty w użyciu, implementacji i zarządzaniu.

Ostatniego warunku z listy zbyt często się nie uwzględnia zgodnie z fałszywym przekonaniem, że system bezpieczny musi być jednocześnie skomplikowany. Jest dokładnie odwrotnie. System przeznaczony do powszechnego użytku powinien być prosty, skuteczny i radzić sobie ze wszystkimi ewentualnościami. W przeciwnym razie użytkownicy sieci będą poszukiwać własnych rozwiązań i nie da się utrzymać pożądanego poziomu bezpieczeństwa. Bezwzględnie należy przyjąć zasadę szyfrowania wszystkiego, co zapisuje się na jakimkolwiek układzie przenośnej pamięci.

Nigdy dotąd dane korporacyjne nie były tak zagrożone. Łatwość, z jaką mogą być wyniesione z firmy, nie ma precedensu w historii. Stąd bierze się pokusa odcięcia wszystkich możliwości podłączania pamięci mobilnej. Jej realizacja przyniesie więcej szkody niż pożytku. Lepiej wybrać bardziej inteligentne rozwiązanie.


Zobacz również