Системы защиты информации (защита компьютера от НСД)

[Hephaestus]

Здравствуйте.

Вопрос пока чисто теоретический.

Итак, есть схема обмена данными Клиента с Банком.

Банк в числе прочего дает Клиенту рекомендации по безопасности:

-- использовать для целей обмена отдельный компьютер;
-- этот компьютер должен находиться в отдельном помещении с ограниченным доступом;
-- на компьютере должно быть установлено только целевое ПО (т.е. не должно быть никаких посторонних программ);
-- компьютер должен быть оснащен аппаратными средствами защиты от НСД (рекомендуются системы типа "Аккорд").

И вот по последнему пункту у меня возникают сомнения.

Смотрю я описание этого аккорда...
В общем, это такая железяка, которая вставляется в слот.
--она проверяет целостность системы (аппаратную и программную) - видите ли, Вы не можете быть уверены, что в Ваше отсутствие никто ничего не изменил в системе;
--шифрует данные (ключи и ЭЦП хранятся в прошивке этой же железяки) - ключи должны находиться вне рабочей среды, т.к. она может быть враждебной;
--обеспечивает ограничение доступа в систему - т.е. кого попало не пущает.

Естественно, эта штуковина стоит денег.

И вот смотрю на это и думаю...

Если взять linux-систему, поставить только то, что нужно, разместить данные на зашифрованном разделе, организовать доступ по ключу на флешке (это ведь можно сделать, правда?),
файрвол настроить таким образом, чтобы не пускал никуда, кроме адресов обмена с банком,
то у меня остается стойкое ощущение, что вот эта балалайка (аккорд, то есть) - совершенно лишняя сущность.

во-первых, это дополнительный аппаратный узел (может глючить, выйти из строя)
во-вторых, по их логике получается, что системе, которую я ставил и настраивал собственными руками, я доверять не могу,
а ихней железяке, в которую незнамо что зашито, доверять можно.

Т.е. надежная linux-система, с нормальным фаерволом, с шифрованием данных, с доступом по ключевой флешке - это все НЕнадежно,
а вместо этого я должен использовать винду, запихать туда эту железяку и это будет надежно.

Может, я чего-то не понимаю, но у меня несвязуха.
Я вот в этой схеме вижу только, что доверие переходит к внешнему узлу - контроллеру.
И как это добавляет надежности, мне непонятно.

А теперь, собственно. вопрос:
Я утверждаю, что правильным образом выбранная и настроенная ОС обеспечивает безопасность не хуже, чем эта железка. И дешевле.
Я прав или нет?

ПыСы: Если тему создал в неподходящем разделе, прошу перенести.

[yaleks]

Я утверждаю, что правильным образом выбранная и настроенная ОС обеспечивает безопасность не хуже, чем эта железка. И дешевле.

сертификат есть? Насчет дешевле сомневаюсь, т.к. тестовые испытания в спецлаборатории вещь недешевая.

А так да, вполне секъюрно, но не для банка, да и софта под linux у них небось нет.

[Hephaestus]

сертификат есть?

Нету. Если бы был, я бы не задавал вопрос. Утверждаю, на основании их же собственного описания.
Ибо никаких преимуществ я там не увидел.

Насчет дешевле сомневаюсь, т.к. тестовые испытания в спецлаборатории вещь недешевая.

Опять-таки, что толку мне с этих испытаний?
Ну протестировали они свою железку, ну выдали им заключение. И что?
Почему я должен им верить? И главное, почему я себе должен не верить?

Аргумент у них такой: Мы продали сотни экземпляров своих систем защиты.
Многие серьезные фирмы используют наши продукты.
Мы знаем, как защитить ваши данные.

На мой взгляд - это чистая реклама. Винда тоже продается сотнями копий, но это не значит, что она - самая надежная система.

А я вот больше доверяю своим рукам и голове.
Если я ставлю linux-систему с нуля и настраиваю, я буду знать, что ничего лишнего там не висит.
И буду знать, насколько обеспечена безопасность этой системы, потому что все ставил сам.
А вот с виндой у меня уверенности гораздо меньше. Даже если воткнуть туда три контроллера СЗИ.

А так да, вполне секъюрно, но не для банка, да и софта под linux у них небось нет.

Софта под линукс у них действительно, скорее всего нет, хотя не уточнял. Поэтому и говорю: вопрос теоретический.
А насчет банка - это ведь не я в банке-то нахожусь.
Моя задача исключить НСД к компу и оправлять в нужном направлении подписанные данные.
И в этом смысле винда, напичканная антивирусами, контроллерами и средствами защиты никак не внушает чувство безопасности.
Напоминает двуногую табуретку, подпертую несколькими костылями.
Каждый такой костыль сам по себе - потенциальный источник проблем.
И почему такое сочетание более безопасно, чем система, не требующая костылей - вот это мне непонятно.

[Portnov]

Сертификаты и прочие бумажки на подобные системы нужны прежде всего чтобы было на кого свалить ответственность в случае ЧП. Т.е. если у вас винды с рекомендованным аппаратным/программным обеспечением, и есть бумажка от кого-то важного, что это всё секьюрно, то в случае чего вы заявляете «ничо не знаю, вот ОН сказал что его система безопасна, спрашивайте с него». А в случае с собственноручно настроенным линуксом стрелки перевести некуда будет.

[sash-kan]

На мой взгляд - это чистая реклама.

к чему гадать? попросите у них типовой договор (если на сайте не выложен) и внимательно прочитайте, от ответственности за что они отказываются (скорее всего это будет достаточно пространный список), и ответственность за что (и в какой мере) берут на себя (если вдруг такой пункт найдётся, конечно)·

[taaroa]

Здравствуйте.

Вопрос пока чисто теоретический.

Если взять linux-систему, поставить только то, что нужно, разместить данные на зашифрованном разделе, организовать доступ по ключу на флешке (это ведь можно сделать, правда?),
файрвол настроить таким образом, чтобы не пускал никуда, кроме адресов обмена с банком,
то у меня остается стойкое ощущение, что вот эта балалайка (аккорд, то есть) - совершенно лишняя сущность.

атака методом холодной перезагрузки. это раз.
selinux не спасает от сами-знаете-чего. это два.
браузеры [1] — это около 80-90% поверхности и самый популярный вектор атаки. это три.

Когда теория и практика сталкиваются, побеждает практика. Всегда. © Linus Torvalds

[1] [ON] Оценка рисков, связанных с уязвимостями в Red Hat Enterprise Linux 4

[drBatty]

атака методом холодной перезагрузки. это раз.
selinux не спасает от сами-знаете-чего. это два.

да, но если выполнить эти требования:

-- использовать для целей обмена отдельный компьютер;
-- этот компьютер должен находиться в отдельном помещении с ограниченным доступом;
-- на компьютере должно быть установлено только целевое ПО (т.е. не должно быть никаких посторонних программ);

то будет, ИМХО, вполне безопасно.

Я утверждаю, что правильным образом выбранная и настроенная ОС обеспечивает безопасность не хуже, чем эта железка. И дешевле.
Я прав или нет?

Вы правы. Вот только есть одна "маленькая" проблема: Есть-ли ПО под OS Linux? Уверен - нет. А что касается эмуляторов - это решение даже более дырявое, чем простая голая венда.

браузеры [1] — это около 80-90% поверхности и самый популярный вектор атаки. это три.

а зачем его устанавливать? Правда в венде, насколько я понял, он жёстко вшит в код, и не подлежит выпиливанию (сам IE можно удалить, но это вершина айсберга - все дыры останутся).

[taaroa]

а зачем его устанавливать? Правда в венде, насколько я понял, он жёстко вшит в код, и не подлежит выпиливанию (сам IE можно удалить, но это вершина айсберга - все дыры останутся).

а если клиент-банк заточен под ослика? помните, как взломали google? ☺
в этом случае лучше иметь сертифицированное решение. imho.

[drBatty]

а если клиент-банк заточен под ослика?

тогда NoWay. Ибо в Linux осликов не бывает. (:

в этом случае лучше иметь сертифицированное решение.

ИМХО это единственный вариант в таком случае.
Впрочем, в других тоже, ибо наверняка в договоре отмечено "OS Windows". :(

[Bizdelnick]

Есть один момент: флешку легко скопировать, железку - весьма затруднительно.

[drBatty]

Есть один момент: флешку легко скопировать, железку - весьма затруднительно.

флешку невозможно скопировать злоумышленнику возле компьютера, если эту флешку администратор унёс с собой.
не думаю, что администратор будет таскать с собой все свои железки - они будут рядом с компьютером...

[drBatty]

кстати, ничего не мешает использовать упомянутый "аккорд" для Linux систем: http://www.okbsapr.ru/price.html
только цена не 10т.р, а 13.

[Bizdelnick]

Есть один момент: флешку легко скопировать, железку - весьма затруднительно.

флешку невозможно скопировать злоумышленнику возле компьютера, если эту флешку администратор унёс с собой.
не думаю, что администратор будет таскать с собой все свои железки - они будут рядом с компьютером...

Админ сам наверняка сделает бекап флешки и/или запасную флешку. Вероятность кражи сразу возрастает в разы.

[drBatty]

Bizdelnick
ничто не мешает делать шифрованый бекап. Мне во всяком случае. Я не расстраиваюсь и сплю спокойно.

[Bizdelnick]

Bizdelnick
ничто не мешает делать шифрованый бекап. Мне во всяком случае. Я не расстраиваюсь и сплю спокойно.

В данном случае никому нельзя доверять на 100%, в том числе и админу. Ну сделал он шифрованный бекап, потом его уволили, он обиделся... Да и нет никакой гарантии, что у админа хватит мозгов/чувства ответственности зашифровать бекап, так что подход банка более чем понятен.

[drBatty]

В данном случае никому нельзя доверять на 100%, в том числе и админу. Ну сделал он шифрованный бекап, потом его уволили, он обиделся...

Он может делать шифрованный бекап ключом начальника. Делать может, украсть не может. Разве железка такое позволяет?

Да и нет никакой гарантии, что у админа хватит мозгов/чувства ответственности зашифровать бекап, так что подход банка более чем понятен.

а вот от разгильдяйства никакая железка/программа/ОС не спасает.

[Yrii]

Есть один момент: флешку легко скопировать, железку - весьма затруднительно.

можно хранить флешку в сейфе)
если идет целенаправленная атака на объект, то с копированием железа вполне могут справиться...

В данном случае никому нельзя доверять на 100%, в том числе и админу. Ну сделал он шифрованный бекап, потом его уволили, он обиделся...

Он может делать шифрованный бекап ключом начальника. ...

если дойти до паранои и вернуться к "никому нельзя доверять на 100%", то начальнику тоже нельзя доверять ибо может быть сговор начальника и админа с целью хищения и т.д.)

[drBatty]

если дойти до паранои и вернуться к "никому нельзя доверять на 100%", то начальнику тоже нельзя доверять ибо может быть сговор начальника и админа с целью хищения и т.д.)

как в этой ситуации спасёт железка? ИМХО - никак.

[shotdownsystem]

В данном случае никому нельзя доверять на 100%, в том числе и админу

Сидит мужик, штаны мылит: Никому нельзя верить, никому нельзя верить, никому нельзя верить,
Ну никому нельзя доверять, а ведь только пукнуть хотел...

по теме:
положено - ставьте, случись чего - проблем не оберешься. А так хоть можно руками развести - сделали что могли.

"Аккорд" - нормальная железяка, только тормознутая, была лет 6 назад. Сейчас может и пофиксили.
Если не доверяете ему, то есть платы PCI-ПЛИС. В Спартан или проАсик все влезет.
А для ключей есть TPM. Его в последнее время много куда клепают.

[Hephaestus]

Вы правы. Вот только есть одна "маленькая" проблема: Есть-ли ПО под OS Linux? Уверен - нет.

С этим согласен. Потому и написал: вопрос пока чисто теоретический. Ну, предположим, что клиент под Линукс у них есть.

На всякий случай повторю.
Вопрос возник из-за того, что на их сайте все описание сводится к одному: Себе Вы доверять не можете, а нам можете.
Это меня возмутило.

Ведь вся защита в конечном счете сводится к тому, что не возможно получить доступ к данным, даже украв компьютер.
А это, насколько я понимаю, вполне реализуемо и без дополнительных железяк.

по теме:
положено - ставьте, случись чего - проблем не оберешься. А так хоть можно руками развести - сделали что могли.

И рад бы, да не получится. Деньгами не распоряжаемся.
Если попытаться выполнить все рекомендации, данные банком, то проще вообще с ними не связываться.
Но к сожалению, решения принимаю не я. А вот ответственность...

[drBatty]

Себе Вы доверять не можете, а нам можете.
Это меня возмутило.

95% людей - идиоты.
Радуйтесь, что вы не входите в их число.
Вы думаете от хорошей жизни производители микроволновок запрещают сушить в них кошек?

Ведь вся защита в конечном счете сводится к тому, что не возможно получить доступ к данным, даже украв компьютер.
А это, насколько я понимаю, вполне реализуемо и без дополнительных железяк.

в принципе - да.
вот вам на примере slackware: http://mirror.yandex.ru/slackware/slackwar...EADME_CRYPT.TXT

[taaroa]

…и вдогонку http://www.opennet.ru/tips/2617_tresor_aes...p_dmcrypt.shtml

[drBatty]

…и вдогонку http://www.opennet.ru/tips/2617_tresor_aes...p_dmcrypt.shtml

проще отключить QuickBoot в BIOS.
ну и конечно повырубать всякие ждущие/спящие режимы.

[shotdownsystem]

проще отключить QuickBoot в BIOS.
ну и конечно повырубать всякие ждущие/спящие режимы.

а ежели тать анализатор заморский к шине подцепит, да и записывать все будет. или диск в свой комп перевоткнет...

[drBatty]

а ежели тать анализатор заморский к шине подцепит, да и записывать все будет.

это уже вопрос физической безопасности системы. технически не решается.

или диск в свой комп перевоткнет...

а это не страшно - зачем хранить расшифрованную инфу на диске?

[Hephaestus]

drBatty , раз уж Вы присутствуете в этой теме,
хочу спросить Вас.

Где-то на форуме Вы уже писали однажды, что у Вас есть зашифрованный раздел, что доступ возможен только по флешке и что даже если компутер изымут на экспертизу, то для доступа к данным придется пригласить Вас с флешкой. И как только Вы получите доступ к своему компу, Вы все там уничтожите.
Поясните, насколько такая схема надежна с точки зрения доступа к данным на изъятом компе без ключа. Кроме "погружения в жидкий азот" варианты есть?
Если я что-то перепутал, и это писали не Вы, тогда прошу пардону и на вопрос можно не отвечать

[drBatty]

Где-то на форуме Вы уже писали однажды, что у Вас есть зашифрованный раздел, что доступ возможен только по флешке

не. у меня есть зашифрованные файлы, доступ к которым возможен только с ключом. Разделы я не вижу смысла шифровать (конечно, это только в моих условиях - требования могут быть иными). В т.ч. зашифрованные файлы есть и на удалённых серверах (например бекапы) - если злоумышленник взломает сервер, и если даже получит права суперпользователя, то он всё равно не сможет расшифровать данные файлы, потому, что на сервере секретного ключа нет, и никогда не было.

и что даже если компутер изымут на экспертизу, то для доступа к данным придется пригласить Вас с флешкой. И как только Вы получите доступ к своему компу, Вы все там уничтожите.

я могу уничтожить и без этой флешки. man shred.

Поясните, насколько такая схема надежна с точки зрения доступа к данным на изъятом компе без ключа. Кроме "погружения в жидкий азот" варианты есть?

"погружение в жидкий азот" работает немного не так - злоумышленнику необходимо незаметно подкрасться ко мне и проломить мне голову, в тот момент, когда я работаю с зашифрованными файлами, тогда он сможет погрузить память в жидкий азот, и прочитать эти файлы. А если комп просто изымут, то память необратимо сотрётся - она хранится несколько минут при рабочей температуре ("несколько минут" - это время, за которое будет потеряно 99% информации, и ключи будет невозможно восстановить. Рабочая температура памяти примерно 35C, что довольно жарко).

Варианты как всегда есть - мне видится самой простой схемой установка в компьютер жучка, который будет перехватывать ключи. Потому, физическая защита компьютера, стойкие пароли пользователя и рута, использование утилит контроля типа http://www.chkrootkit.org/, а также отсутствие "запоминалок пароля" вроде gpa и такой запоминалки в sudo будут нелишними. Ещё полезен скринсейвер, с паролем.

И как только Вы получите доступ к своему компу, Вы все там уничтожите.

это порочная практика - злоумышленник просто не даст мне это сделать. На диске должна быть только зашифрованная информация.

[sash-kan]

отсутствие "запоминалок пароля" вроде gpa и такой запоминалки в sudo

sudo не запоминает паролей·

[drBatty]

sudo не запоминает паролей·

да, но если юзер(уполномоченный на некоторые действия, а особенно на все как в бубунте и т.д.) отошёл покурить и не залочил комп (или ему просто дали по башке), то злоумышленник может совершить опасные действия в течении 5и минут (например запустить sudo visudo и получить полные права для себя):

Once a user has been authenticated, a time stamp is updated and the user may then use sudo without a password for a short period of
time (5 minutes unless overridden in sudoers).

[sash-kan]

drBatty
какие ужасы вы рассказываете·
будьте проще — любому человеку можно сделать предложение ввести пароль, достать из кармана нужную флэшку и т.п.
и без предлагаемого вами криминала·
главное, чтобы человек не мог отказаться от этого предложения·

p.s. timestamp_timeout можно установить равным -1, можно воспользоваться ключом -K·
но всё это ничего не стоит в сравнении с предложением, от которого нельзя отказаться·