Практикум 11. Аппаратно/программные средства защиты информации от несанкционированного использования МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
advertisement
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Практикум 11. Аппаратно/программные средства защиты информации от несанкционированного использования Оглавление 11.1. Устройства флэш-памяти с программируемой установкой пароля на логический диск и блокировкой доступа к компьютеру .................................................................................................1 11.2. Защищенные виртуальные логические диски .........................................................................8 11.1. Устройства флэш-памяти с программируемой установкой пароля на логический диск и блокировкой доступа к компьютеру Типичным представителем подобных устройств служат изделия JetFlash компании Transcend. Эти миниатюрные устройства созданы для облегчения переноса огромных объемов данных между настольным и портативным компьютерами, оснащенными разъемом USB. Благодаря возросшей емкости и значительно большей скорости обмена данными, чем у других привычных носителей информации, устройства JetFlash служат отличной заменой дискетам и жестким дискам. Особенности изделий данного типа: Полная совместимость с USB 2.0. Простота установки – по принципу Plug-and-Play. С помощью функции «электронный замок PC-Lock» устройство JetFlash превращается в ключ, запирающий компьютер. Имитация загрузочной дискеты – устройство JetFlash может быть использовано в качестве загрузочного диска. Возможность создания логических дисков и ограничения доступа: можно создать персональный раздел, защищенный паролем. Восстановление JetFlash: возможно восстановление носителя с воссозданием фабричных установок. Для современных версий ОС Windows драйверы не требуются (драйвер нужен только для ОС Windows® 98SE). Светодиод отображает состояние устройства. Технические требования: настольный или портативный компьютер с портом USB. Операционная система: Windows® 98SE, Windows® ME, Windows® 2000, Windows® XP, Mac™ OS 9.0 (или более поздняя версия), Linux Kernel 2.4 (или более поздняя версия). МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Задание 1. Создать один раздел. Для этого: необходимо запустить программу mFormat Utility на JetFlash для того, чтобы влючить эту функцию. Эта процедура переформатирует устойство JetFlash и удалит всю информацию, записанную в памяти JetFlash; для того чтобы не потерять данные, надо сделать резервную копию файлов перед запуском данной программы; вставьте устройство JetFlash и запустите программу mFormat Utility; нажмите на кнопку Format; выберите тип форматирования Type of format (Быстрое (Quick), Полное (Full) или Выборочное (Configure device only)) и поставьте галочку в Enable password protection; МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE появится окно Set default password для ввода пароля. Введите пароль Password, а также, по желанию, подсказку для пароля Password hint и нажмите кнопку OK. вернитесь в окно Format Utility. продолжения работы; Нажмите кнопку Start для убедитесь в том, что вы сделали резервную копию всех данных с устройства JetFlash; нажмите кнопку OK для продолжения работы или кнопку Cancel для выхода; МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE после форматирования, нажмите кнопку OK – функции безопасности активированы. Задание 2. Создать два логических раздела. Для этого: 1. Выберите тип форматирования Type of format (Быстрое (Quick), Полное (Full) или Выборочное (Configure device only)) и перемещайте шкалу регулирования размером диска для установки необходимого размера для Диска 1. Размер Диска 2 изменится автоматически и займет остальной объем, не занятый Диском 1. Затем поставьте галочку в Enable password protection на Disk2. 2. Появится окно Set default password для ввода пароля. Введите пароль Password, а также, по желанию, подсказку для пароля Password hint и нажмите кнопку OK. 3. Вернитесь в окно Format Utility. Нажмите на Start для продолжения. 4. После завершения форматирования необходимо вынуть и снова вставить устройство JetFlash для того, чтобы установки вступили в силу. Теперь первый диск на JetFlash будет открытым, а для получения доступа ко второму диску надо: выбрать этот диск из списка Selected Partition (см. окно ниже); ввести секретный пароль, вызвав соответствующее окно ввода кнопкой Login. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Задание 3. Использовать устройство JetFlash для включения функции безопасности. Для этого: 1. Вставьте JetFlash и запустите с нее программу mFormat Utility. Нажмите на кнопку Login. 2. В появившемся окне введите правильный пароль для того, чтобы получить доступ к данным на защищенном этим паролем диске. 3. По завершении работы с устройством JetFlash его необходимо безопасно извлечь из USB-порта для того, чтобы защитить от повреждения хранящиеся на нем данные (процедура извлечения устройства JetFlash описана ниже). 4. Щелкните мышью на иконке в системном трее . 5. Появится всплывающее окно Stop USB Mass Storage Device. Нажмите на него для продолжения. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE 6. Следуйте инструкциям на экране для завершения процедуры. 7. Появится сообщение Safe To Remove Hardware. Теперь JetFlash готово к безопасному извлечению. Задание 4. Сменить пароль пользователя. Для этого: 1. Вставьте устройство JetFlash и запустите программу mFormat Utility, нажмите на кнопку Login. Появится окно Login. 2. Нажмите кнопку Change >> для продолжения. 3. Заполните поля: Password (в это поле надо ввести старый пароль), New password (в это поле надо ввести новый пароль), Re-Enter new password (в этом поле надо подтвердить кодовую комбинацию нового пароля), поле Hint (это поле можно не заполнять). 4. Нажмите кнопку OK для завершения процесса изменения пароля. При правильном вводе паролей появится окно с сообщением Password changed. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Если вы забыли пароль, то можно использовать подсказку для напоминания пароля. Если вы не можете вспомнить пароль, используя подсказку для напоминания пароля, то все, что вы сможете сделать – это запустить программу Format Utility, переформатировать устройство JetFlash, установить пароль заново. Если перед этим вы размечали дисковое пространство JetFlash, то перед форматированием устройства JetFlash можно сделать резервную копию открытого логического диска (не закрытого паролем). Внимание! Во время этой процедуры все данные, записанные на устройство JetFlash, будут утрачены. Включив функцию PC-Lock, вы получаете возможность использовать устройство JetFlash как ключ к компьютеру (блокировать к нему доступ), защищая его от использования неавторизованными лицами. ПРИМЕЧАНИЕ. Функция PC-Lock не поддерживается в Операционных системах Mac и Linux. Для того чтобы использовать функцию PC-Lock, следует войти в ОС Windows с правами Администратора. Задание 5. Использовать устройство JetFlash с функцией PC-Lock. Для этого: 1. Вставьте Установочный CD в привод CD-ROM (Поддерживается Автозапуск). Вставьте устройство JetFlash в доступный USB-порт компьютера и выберите кнопку утилиты mFormat Utility. 2. Появится окно mFormat Utility. Нажмите на кнопку PC-Lock. 3. Появится окно PC-Lock Setting. Выберите период блокировки (Lock Period). МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE 4. Выберите режим отображения на экране (Lock Screen Mode): Text mode or Picture mode для защиты компьютера от его использования другими пользователями. 5. Затем нажмите на кнопку Enable для включения функции PC-Lock. 11.2. Защищенные виртуальные логические диски Для того чтобы самостоятельно сохранить важные сведения и уберечь их от чужих глаз, можно воспользоваться одной из многочисленных программ, которые специализируются на шифровании данных. Эти МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE утилиты выполняют роль «несгораемого сейфа с семью замками», в который может проникнуть только посвященный. Одна из программ такого рода – это утилита Best Crypt, которая известна многим пользователям по всему миру и успела завоевать у них немалую популярность. Программа Best Crypt позволяет создать дополнительный логический диск, информация на котором хранится в зашифрованном виде, а доступ к этому диску закрывается паролем. С виртуальным логическим диском можно работать как с обычным – выполнять операции копирования, перемещения, удаления файлов и т. д. Шифрование информации при работе с зашифрованным виртуальным логическим диском происходит «на лету», поэтому его наличие на быстродействии компьютера не сказывается, даже если объем информации очень велик. После запуска программа Best Crypt превращается в иконку в системном трее, при помощи которой осуществляется доступ ко всем основным опциям этой программы. Для создания нового диска необходимо запустить окно Best Crypt Control Panel. Его внешний вид напоминает обычный Проводник ОС Windows, что очень удобно для пользователя. Для создания нового логического диска, именуемого в программе контейнером, необходимо выполнить команду Container > New Container. Для создания нового диска в появившемся диалоговом окне необходимо задать некоторые настройки. Так, нужно указать размер виртуального диска в килобайтах, мегабайтах или гигабайтах. Естественно, что место под него будет выделено из доступного дискового пространства жесткого диска компьютера. Поэтому надо проследить за тем, чтобы не занять под него весь свободный объем. Для справки в правом нижнем углу окна указывается доступное дисковое пространство. Информация о виртуальном диске будет храниться в одном зашифрованном файле, поэтому обязательно уделите внимание тому, МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE как он будет называться, и тому, где он будет расположен. Для того чтобы он не бросался в глаза посторонним, лучше спрятать его гденибудь на жестком диске. При создании нового логического диска можно также ввести описание для него. Если предполагается использовать несколько таких дисков, то описание поможет в дальнейшем ориентироваться в поиске информации на них. Затем надо выбрать алгоритм шифрования для диска. Программа Best Crypt позволяет выбрать один из четырех доступных алгоритмов - Twofish, Blowfish, GOST и Rijndael. Все эти алгоритмы являются достаточно надежными и проверенными решениями. Так, алгоритм Rijndael был выбран в США в качестве нового стандарта шифрования (Advanced Encryption Standard), а алгоритм Twofish в свое время был кандидатом на эту «должность». Алгоритм GOST, как известно, использовался в СССР, а сейчас является стандартом шифрования информации в России. Наконец, алгоритм Blowfish был разработан специально для шифрования данных на 32битных процессорах. Благодаря этому на современных компьютерах он работает значительно быстрее, чем алгоритм шифрования ГОСТ. После установления всех настроек, можно приступать к созданию виртуального диска. Задание 1. Создать виртуальный диск. Для этого надо: указать пароль доступа к нему. На случай, если вы боитесь забыть пароль, в программе Best Crypt предусмотрена возможность создания нескольких «пассвордов» на доступ к одному диску. Реализовано это с помощью модуля под названием SHA-1 Key Generator. Использование второго пароля может быть удобно в том случае, если необходимо на время предоставить доступ к одному из своих логических дисков другому пользователю, но при этом вы не хотите открывать свой основной пароль (например, потому что используете его для доступа к другим дискам или по каким-либо другим причинам); для добавления нового пароля необходимо закрыть доступ к диску (Dismount) и, кликнув по нему правой кнопкой мыши в окне Best Crypt Control Panel, выбрать строку Properties. Окно свойств диска предоставляет возможность создать второй пароль для диска и удалить его, изменить алгоритм шифрования, а также переименовать диск и поменять его расположение. Обратите МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE внимание на то, что доступ к окну свойств возможен только тогда, когда диск отключен; после ввода пароля необходимо будет ввести случайное значение выборки для генерирования ключа, который будет использован алгоритмом для шифрования виртуального диска. После того как новый контейнер будет создан, его необходимо будет отформатировать (как обычный диск). В будущем с виртуальным диском можно будет работать как с реальным – запускать программу Scandisk, форматировать и ставить любую таблицу размещения файлов (FAT, FAT32 или NTFS), назначать метку и т. д. Задание 2. Работа с созданным диском. После создания диска с ним можно начать работу: контейнер появится в «Проводнике» (или любом другом файловом менеджере) как дополнительный диск; скрыть его можно в любой момент при помощи иконки в трее, окна Best Crypt Control Panel (или же щелкнув по диску правой кнопкой мыши и выбрав команду Dismount); если требуется быстро отключить все диски, то можно заранее установить комбинацию клавиш, при выполнении которой все контейнеры станут невидимыми. Для этого в окне Best Crypt Control Panel выполните команду Options > Hot Key и выберите одну из предлагаемых комбинаций. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Конечно, даже если все ваши диски скрыты, то злоумышленник может обнаружить файл с данными и попытаться подобрать пароль. Если вы используете достаточно длинный и сложный пароль, то у него ничего не получится. Однако для того чтобы он не смог даже обнаружить местонахождение контейнера, вы можете его переименовать, например в графический или в видеофайл. Для этого придется отключить специальную утилиту Container Guard Utility, которая следит за тем, чтобы файлы, содержащие информацию о дисках, нельзя было изменить или удалить. Для отключения этой утилиты в окне Best Crypt Control Panel выполните команду Options > Disable Container Guard Utility. К сожалению, при некоторых обстоятельствах в руки посторонних все же может попасть пароль на доступ к виртуальному диску. Однако программа Best Crypt позволяет подстраховаться и на этот случай. Программа позволяет создать внутри контейнера еще один скрытый диск. Обнаружить его наличие будет невозможно. Скрытый диск занимает определенную часть виртуального диска. Это означает, что для него не используется отдельный файл. При этом на основную часть диска записываются второстепенные данные, а действительно важные данные хранятся «под вторым замком». Задание 3. Создать скрытый диск. Для создания скрытого диска внутри контейнера надо: вызвать окно с его настройками и выбрать опцию Create Hidden Part; в появившемся диалоговом окне пользователю надо указать, какую часть основного виртуального диска будет занимать скрытый диск, и ввести для него пароль; МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Теперь если нужно получить доступ к скрытому диску, то при доступе к основному контейнеру следует ввести пароль доступа к скрытому диску. Программа сообщит пользователю о том, что он находится на скрытом логическом диске. Отметим, что при работе с такими дисками «с двойным дном» нужно соблюдать большую осторожность. Во-первых, ни в коем случае нельзя изменять параметры основного диска (алгоритм шифрования и другие установки). Во-вторых, после создания скрытого диска на основной контейнер нельзя ничего записывать. Если не соблюдать эти правила, то информация на скрытом диске будет утрачена. Кроме основной функции (создания и работы с виртуальным дисками) программа Best Crypt предоставляет также несколько дополнительных функций, которые помогают обеспечить секретность данных, с которыми работает пользователь. Первая из встроенных в программу дополнительных утилит носит название Swap File Encryption Utility. Она позволяет зашифровать файл подкачки (swap file), в котором могут храниться части документов, с которыми работает пользователь. Даже если исходный документ зашифрован, ОС Windows может поместить весь файл или его часть в файл подкачки в открытом виде. Там же могут находиться пароли, ключи шифрования, другая секретная информация. Утилита Swap File Encryption Utility шифрует файл подкачки одним из доступных в программе Best Crypt алгоритмов. Активировать эту утилиту можно в меню Options панели управления программы Best Crypt. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Еще одна возможность, которую предоставляет Best Crypt, - удаление файлов без возможности восстановления. Известно, что если удалить файл стандартным способом, ОС Windows не удалит сам файл, а только уничтожит ссылку на него. Если с диском активно не работать, то система может не перезаписывать удаленные ранее файлы долгое время. Именно поэтому конфиденциальные файлы, которые удалены пользователем, могут быть легко восстановлены при помощи специальных утилит. При помощи инструментов программы Best Crypt можно безвозвратно удалить любой файл или же очистить свободное место на диске. Последняя опция нужна в том случае, если вы ранее удаляли файлы обычным способом. После того как поработает Best Crypt, никаких следов от них не останется. Опции удаления и полной очистки диска доступны в контекстном меню файлов и дисков. Программа Best Crypt имеет и недостатки, в частности файл, в котором хранится информация о контейнере, можно легко удалить. Как говорилось выше, это не удастся сделать (когда программа Best Crypt запущена) благодаря утилите Container Guard Utility. Однако файл с данными легко удалить из-под другой операционной системы (или даже в той же операционной системе, если программа Best Crypt не работает). Вторым существенным недостатком программы является то, что, запустив программу, ее уже невозможно выгрузить без вмешательства Task Manager. Таким образом, внизу экрана постоянно находится иконка, МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE которая сообщает о том, что вам есть, что скрывать от окружающих (но знать им об этом совсем необязательно). Несмотря на эти недостатки, программа может стать отличным помощником в сохранении секретной и просто важной информации.
