Pull to refresh

Comments 28

Можно поиграть в хакера и солонку.

Пусть моя задача вынести флешку за пределы контролируемой зоны. Ок, я от АРМ отсоединил флешку, а на склад сдал массогабаритный макет. Если есть RFID, то хоть переклеил, хоть принес сканер и сделал копию. Вообще шоплифтеры, вероятно, многое могут расскзать как обходить RFID подручными методами.

Пусть моя задача принести флешку в контролируемую зону. Если флешка плюс/минус обычная, то, что-то мне подсказывает, любой ардуинщик с опытом хотя бы в несколько месяцев сделает вам "копию" флешки, с нужными vid, pid, объемом, серийником и прочим идентификационным барахлом.

Да и вообще, зачем выносить флешку. Если нет досмотра, то берем одноплатник с батарейкой и usb и, пока несем между рабочими местами, прямо у нас в кармане копируется содержимое.

Да, подмена флешки - самая проблемная часть идеи.

Поэтому и предлагаю в более функциональной системе использовать специальные носители со взаимной аутентификацией с компьютером. И не подделаешь, и скопировать содержимое "на ходу" не получится.

Иначе действительно без досмотра не обойтись, а хотелось бы избежать.

Я работал с "специальными носителями" (справедливости ради около 7 лет назад) и оба продукта обходились довольно тривиальным usb mitm. Причем использовались даже не коробочки по цене в крыло от самолета, а довольно тупой софтовый пакетный перехват.

Ну тогда я бы предложил preshared-ключи + симметричное шифрование. Ключи генерить и заливать на АРМ Администратора при регистрации флешек перед раздачей пользователям. Этого будет достаточно для предотвращения MITM.

Таскать зашифрованные блобы интересно ровно до тех пор, пока не начнешь продумывать как такая система будет использоваться/разворачиваться. Как будут подключаться новые компьютеры, как переносится ключи между АРМами (чтобы защищенно перенести ключ в первый раз нужно уже иметь возможность защищенно переносить файлы).

Я согласен, что это не просто. Распределение симметричных ключей - это всегда отдельная проблема.

А как насчет альтернативного варианта - корпоративная PKI?

Та же радость, вид сбоку. Не надо таскать ключи, зато надо держать актуальный CRL и заботится о закрытом мастер-ключе.

Возможно и будет проще, если все изолированные контуры объединены защищенной сетью, не имеющей гальванической связи с интернетом. А если нет, то опять проблема с переносом мастер-ключа.

В теории тут может помочь корпоративный VPN для изоляции сети, но все зависит от того, насколько серьезная нужна защита. Ведь через интернет можно и сервер VPN взломать, не говоря уже о рабочих станциях.

Переосмысливаем задачу

Если у нас имеется система контроля флешек, которая подразумевает сетевое объединение компъютеров, - зачем там флешки?

Вот два реальных примера:

  • для загрузки технологических параметров в оборудование, работающее в изолированных сегментах (например, металлургия, подпадает под приказы № 31 и 239);

  • для загрузки обновлений ПО в изолированные сегменты (там же).

Правда, придется как-то контролировать, что флешка не исчезла, а в изолированном контуре, например:

  • с помощью RFID-меток;

  • с помощью АРМ на входе в изолированный контур, где оператор будет ставить галочку, что флешка здесь, и снимать ее при завершении работы в контуре.

Не работал на таких секретных объектах.
Но вижу как-то так.
для загрузки обновлений ПО в изолированные сегменты - тут есть где разгуляться злоумышленнику. Придется ставить специального человека который принесет носитель, проверит место куда вставляет носитель, вставит носитель, сделает контрольный звонок, проверит контрольную сумму и потом разрешит специалисту делать свое дело.

Я бы добавил еще тщательную проверку самого обновления перед его применением.

Интересная статья и задачка.

Мне кажется пока вы не уйдете от понятия флешки (как универсального plug and play устройства принцип действия которого известно насквозь), это всегда будет битва снаряда и брони.

Можно подумать о том чтобы заменить в задачах предприятия флешку чем нибудь менее популярным. Например zip drive, ну или чем нибудь подобным, что требует специального оборудования для работы с ним. И на рабочих местах это само оборудование. Для станков и т.п. какие нибудь эмуляторы флешки.

Да, это снова получается специальный носитель.

Не просто специальный носитель, а уникальный специальный носитель. В частности, к которому неприменим вектор атаки mitm.

Можно, например, вообще запретить использовать флешки и внешние носители, опечатать разъемы USB на рабочих станциях. Периодически контролировать целостность пломб.

А как переносить данные между изолированными контурами?

Лучше всего по выделенной защищенной оптической линии.

Или спец. курьер, в обоих контурах ответственный дежурный за рабочей станцией с доступным USB, где все протоколируется, записывается на видео и в журнал. Предполагается, что модель нарушителя допускает это.

А потом вспоминаем, что у нас с большой вероятностью usb-клавиатура и мышь. Режем провод и нужные 4 провода для подключения готовы. Чтобы обойти запрет носителей, то смотрим что там есть специфичного - можно представиться usb-шнурком для эзернета и залить на шару файлы, отправить на печать на "виртуальный принтер". Я уж молчу, что можно просто сделать простое устройство на базе hid'а, который ну прям вряд ли можно заблокировать.

Тут опять же см. модель нарушителя. Опечатываются все подключения к системному блоку, рабочая комната оборудуется видеонаблюдением с записью. Предполагается, что сеть изолирована от интернета.

Разумеется, охрана не должна разрешать проносить на рабочие места любые радиоэлектронные устройства и смартфоны в том числе.

Как жаль, что нарушители очень редко читают модель нарушителя. Сарказм.

Тут главное не кто читает эту модель, а кто ее составляет и кто реализует защитные мероприятия, в том числе занимается кадрами.

Есть лицензированные организации. В серьезных случаях едва ли стоит заниматься самодеятельностью.

А как насчёт расшаривания носителя по сети? Без физического его перемещения?

Если изолированные контуры объединены защищенной сетью, гальванически не связанной с интернетом, то почему бы и нет. Только тогда уж не носитель, а сетевой каталог на сервере, в который скопирован этот ключ специально выделенным для этого сотрудником.

У вас же как раз на всех схемах компьютеры в сети, естественно предположить, изолированной. Так что в самом деле - если шарить чисто информацию, то через сетевую шару того или иного вида. Или шарить носитель через USB/IP, например

В некторых DLP-системах или более узкоспециализированных системах контролей внешних носителей реализуется другой подход: вся на инфа, которая на флешку пишется прозрачно криптуется. На другом компьютере в сети, на котором развернут этот же система при чтении данные прозрачно декриптуются. Т.е. для пользователя этот процесс прозрачен и незаметен. Но если флешку вынести, и подсоединить к обычному компу - добро пождаловать в мир декрипта.

Тоже хороший вариант, но опять же встает проблема управления ключами (в предыдущих комментариях обсуждалась).

Да и я хотел обратить внимание, что здесь не только флешки (и другие носители) можно так контролировать, а вообще любые перемещаемые внутри периметра предметы, которые могут представлять какую-либо ценность.

в таких решениях все интегрировано внутрь и никто отдельно админить внутурений ЦСК не заставляет. В ситуации, когда криптозащита работает только в рамках одной системы, то вся сложность прячется под капот, а админу систему надо просто активировать этот режим.

Only those users with full accounts are able to leave comments. Log in, please.