Мой комп - моя крепость - 10 Сентября 2010 - WIKI сайт про всё, что можно подумать
E-mail:
Пароль:

Wiki сайт: Всё про всё

Меню сайта
Главная » 2010 » Сентябрь » 10 » Мой комп - моя крепость
11:56 Am
Мой комп - моя крепость

                                                          

Даже в нашей отсталой стране персональные компьютеры занимают все более прочное место в домах, офисах и в самых неожиданных местах. Конечно, немалая часть их используется как игрушки или просто как предмет обстановки (особенно в кабинетах многих директоров), но к счастью, определенный процент украинских компьютеров таки выполняет те функции, которые были изначально возложены на персональный компьютер - функции электронного секретаря, помощника, электронной канцелярии... Стоило нам прийти к такому выводу, как тут же напрашивается и другой: для того, чтобы полноценно выполнять эти свои функции, компьютер должен не только обрабатывать информацию, но и хранить ее.

На первый взгляд, что ж тут такого? Ведь есть же на них жесткие диски, дисководы, другие хранилища информации. Но давайте посмотрим на обстановку среднестатистического офиса. Все ли документы хранятся в незапертых ящиках стола? А сейф, конечно, используется для хранения кофе и ст аканов? Вот тут-то мы и приходим к выводу, что часто доверяем компьютеру те документы и материалы, которые никогда бы не оставили просто так лежать на столе, а возможно, и в запертом деревянном ящике стола. Почему же тогда мы доверяем их компьютеру? Неужели он сохранит эту конфиденциальную информацию лучше, чем старый добрый сейф? Конечно, никто не ставит под сомнение тот факт, что суперсекретные документы спецслужб и крупных корпораций часто охотнее доверяют на хранение именно компьютерам, но стоит ли сравнивать их компьютеры с теми, что стоят у вас дома или в офисе? Оказывается, можно, но вот сравнение совсем не в пользу последних. Специалисты в компьютерной безопасности считают: типичный персональный компьютер с только что установленной операционной системой Microsoft Windows 95/98 не только не подходит для хранения конфиденциальной информации - сама идея такого хранения попросту не должна приходить в голову человеку, беспокоящемуся о конфиденциальности. В то же время практически все мелкие украинские компании ведут массу достаточно "личных" документов, таких как финансовая информация, внутренняя документация и просто переписка с зарубежными партнерами, именно при помощи подобных компьютеров. Как оказывается, они не одиноки - подобная проблема существует во всем мире. Именно поэтому различные компании выпустили большое количество всевозможных программ для хранения и обработки конфиденциальной информации и обеспечения компьютерной безопасности в среде Microsoft Windows. Грамотное использование этих программ позволяет повысить безопасность вашей информации на несколько порядков. В действительности, благодаря современным алгоритмам шифрования, любой школьник может защитить хранящуюся на своем компьютере информацию так, что ее не сможет прочитать ни одна спецслужба мира. Для этого необходима лишь четко выработанная политика безопасности и соответствующее программное обеспечение. Именно его мы и рассмотрим в этой статье. Для обзора были выбраны программы, работающие в среде самой популярной операционной системы Microsoft Windows, включая как бесплатные, так и условно-бесплатные. Таким образом, вы можете сами немедленно проверить заинтересовавший вас продукт, загрузив его по адресу указанному в обзоре.
Итак, начнем.

Microsoft Windows NT/2000
Да, вы не ошиблись, начать обзор я решил именно с операционных систем. Так уж повелось, что привыкшие к сравнительно примитивным операционным системам класса Windows 9x пользователи воспринимают отсутствие достаточно надежной защиты внутри системы как что-то общепринятое. В то же время, это не так. К мощным системам семейств NT или Unix всегда ставились особенные требования к безопасности и сохранности данных. Потому многие функции, которые в Windows 9x приходится реализовывать при помощи утилит сторонних производителей, присутствуют в этих системах изначально. Более того, еще ни один продукт, созданный для разграничения доступа или безопасности под Windows 9x, даже не приблизился по своим возможностям с базовыми возможностями операционных систем семейства NT. Еще год назад это и не заинтересовало бы рядовых пользователей, так как само семейство NT в нашей стране используется ими очень редко, и даже в тех отраслях, в которых ее бытование характерно, скажем, для тех же США (в первую очередь бизнес), у нас предпочитают иметь дешевый компьютер на базе Windows 95/98. Все это привело не только к незнанию реальных возможностей операционных систем класса Windows (нельзя же судить обо всем классе легковых автомобилей по "Запорожцу"), но и негативно повлияло на безопасность и сохранность данных многих украинских компаний. Но сейчас, когда новая ОС Windows 2000 начинает обретать популярность в нашей стране (к сожалению, львиная доля этой популярности, похоже, вызвана тем, что большинство пользователей, видя на пиратских лотках диски с свежекраденой Windows 2000, ошибочно принимают ее за очередной апгрейд к Windows 95/98, не отдавая себе отчета в том, что это абсолютно другая ОС), ситуация изменилась. Поэтому давайте рассмотрим основные возможности локальной системы безопасности Microsoft Windows NT/2000.
Во-первых, в отличие от систем Windows 9x, системы семейства NT требуют обязательного введения имени пользователя и пароля при входе в систему (как известно, пароль Windows 9x в большинстве случаев спокойно обходится нажатием клавиши Escape, контролируя лишь доступ к пользовательским настройкам, а не к системе и файлам), после чего загружается соответствующий профиль пользователя и устанавливаются его права на доступ к системе. Система позволяет определить таковые практически к любым объектам, включая файлы, папки, диски и принтеры. Пользователь с правами администратора системы может установить всем остальным пользователям специфические права на доступ к какому-то ресурсу (например, файлу), причем у каждого пользователя эти права будут разными. Например, Олег будет иметь лишь право чтения этого файла, Анна же сможет и изменить его при необходимости. Можно также объединить нескольких пользователей в группы и назначить права доступа уже группам. Такой подход позволяет дать пользователю минимальные права на доступ к системе и оставлять его наедине с машиной, не опасаясь, что он увидит что-то не предназначенное для его глаз или же просто уничтожит систему. Кстати, фактически ни один продукт для Windows 9x не позволяет защитить системные файлы от удаления, эта возможность имеется только в системах семейства NT. Система также позволяет вести подробнейшие журналы аудита действий пользователей - например, главный бухгалтер может отслеживать, кто и когда просматривал файлы квартальной отчетности. У этой системы безопасности в то же время есть два существенных недостатка: во первых, она базируется на основе специальной файловой системы NTFS, которая поддерживается только операционными системами семейства NT. Установив же какую-либо из них на диск с файловой системой FAT (стандарт для Windows 9x), вы не сможете воспользоваться большинством возможностей системы безопасности (впрочем, вы всегда сможете конвертировать диск в NTFS при помощи команды convert.exe /fs:ntfs); во вторых, достаточно снять жесткий диск с компьютера владельца и установить на любой другой компьютер с ОС Windows NT/2000, где вы имеете права администратора, и вы сможете получить доступ к любым файлам на диске. Для решения этой проблемы в Windows 2000 встроена система шифрования, которая позволяет шифровать файлы "на лету", абсолютно прозрачно для пользователя и приложений. Для того, чтобы зашифровать файл, достаточно установить ему атрибут "зашифрованный" - наподобие того, как выставляются атрибуты "только для чтения" или "архивный" в системах Windows 9x. Файлы каждого пользователя шифруются уникальным ключом и не могут быть расшифрованы другими пользователями.
Хочу заметить, что система доступа к файлам ОС Windows NT/2000 признана самой гибкой и совершенной не только в мире Windows, но и среди других операционных систем, в то время как сложность системы и довольно большие системные требования значительно сужают сферу ее возможного применения в нашей стране. Особенно в силу того, что большинство мелких компаний привыкло использовать в качестве системного администратора собственного бухгалтера или сына начальника, уровень профессионализма которых явно недостаточен для решения серьезных задач по настройке сложных ОС, в особенности же - вопросов безопасности этих систем.

PGP Freeware International v6.5.3
Интерфейс: английский, система Windows 95/98/NT/2000, freeware (бесплатно) только для некоммерческого использования. Адрес в Интернете http://www.pgpi.org/products/nai/pgp/versions/freeware/, размер 7.8 мегабайт
Эта программа является мировым стандартом для высоконадежного шифрования и имеет наибольший уровень надежности из всех свободно распространяемых программ на сегодняшний день. PGP может шифровать как файлы так и е-mail корреспонденцию на основе двух ключей: публичного и секретного. При установке программы оба эти ключа генерируются, после чего Вы можете разослать публичный ключ всем вашим знакомым, а также разместить на сервере PGP в Интернете. Далее любой, кто захочет послать вам зашифрованный файл, просто зашифрует его вашим публичным ключом. Интересная особенность такого метода выражается в том, что пользователь, зашифровавший с помощью вашего ключа файл, уже не сможет самостоятельно дешифровать его. Это можно сделать только вашим секретным ключом, который хранится у вас в надежном месте и защищен паролем. Вы можете шифровать файлы на собственном жестком диске собственным публичным ключом, так что позже их сможете прочитать только вы сами.
А теперь давайте рассмотрим процесс установки PGP International v6.5.3. Если вы хотите использовать его совместно с вашим клиентом электронной почты, обязательно при установке выберите соответствующий плагин. На данный момент самой программой поддерживаются различные версии Outlook и Eudora, а почтовый клиент TheBat! и некоторые другие имеют собственные модули для работы с PGP или даже собственные PGP-совместимые версии. Если вы предпочитаете работать с PGP посредством командной строки или скриптов (пакетных файлов), ее использующих, можете установить соответствующие утилиты. В конце установки программа предложит вам создать уникальную пару ключей или же указать путь к уже существующей. Для начала нужно ввести свое имя и адрес электронной почты, причем эти данные должны быть реальными, так как именно они будут подтверждать, что именно вы, а не кто-нибудь другой, являетесь автором зашифрованного или подписанного цифровой подписью файла. Далее выберите тип ключа: PGP рекомендует стандарт DSS, но можно выбрать и более старый стандарт RSA, например, для общения с пользователями очень старых версий PGP. 

Следующее окно предложит выбрать величину ключа в битах - чем больше ключ, тем сложнее его раскрыть. В большинстве случаев рекомендуемой по умолчанию длины в 2048 бит будет более чем достаточно практически для любых применений. Наконец, вам будет предложено указать срок годности ключа (ключ может быть помечен как действительный только до определенной даты, но для обычных пользователей рекомендуется создавать бессрочные ключи), и ввести пароль ключа (рекомендуется использовать длинную фразу или предложение, известное только вам). Теперь программа сгенерирует вашу пару ключей и предложит послать ваш публичный ключ на корневой сервер системы PGP. Если вы хотите обмениваться с другими пользователями PGP зашифрованной почтой, рекомендуется сделать это (как вы уже знаете, публичный ключ совершенно безопасно и даже желательно раздавать всем желающим). Когда мастер создания ключей завершит свою работу, рекомендуется первым делом отправиться в каталог, где вы установили PGP International (по умолчанию C:\Program Files\Network Associates\PGP или C:\Program Files\Network Associates\PGPNT) и скопировать файлы из подкаталога PGP Keyrings в безопасное место (лучше всего сделать несколько копий). Файл pubring.pkr - это ваш публичный ключ, а файл secring.pkr - секретный ключ, который следует хранить с особой тщательностью.

Сразу замечу: для того, чтобы вы смогли конспиративно обмениваться с кем-либо файлами по электронной почте, можно использовать два подхода: стандартное шифрование на основе ключа и шифрование на основе пароля. Мы опишем второй способ позже, так как он совершенно идентичен как для шифрования файлов на локальном диске, так и для отправки сообщений по электронной почте.
Основное преимущество метода шифрования на основе ключа состоит в том, что не нужно заранее передавать получателю информации никаких паролей или кодовых фраз. Получатель просто должен переслать вам свой публичный ключ. Это совершенно безопасно: даже если злоумышленник каким-либо образом узнает этот ключ, он все равно не сможет взломать шифр. Конечно, уверенность в том, что ключ прибыл именно от того человека, которому вы хотите передать секретную информацию, здесь не помешает.
Как только вы получите публичный ключ, необходимо импортировать его в базу ключей. Это можно сделать при помощи приложения PGP Keys через меню Keys > Import. После этого нужно запустить почтовый клиент, поддерживаемый PGP (например, Outlook Express) и, создав письмо, нажать иконку Encrypt (PGP) в панели задач создаваемого сообщения. После подтверждения отправки письма PGP спросит у вас, для кого вы хотите зашифровать письмо. Достаточно перетащить имя получателя из списка ключей в нижнее окно Recipients (в принципе, сообщение может быть зашифровано и для нескольких получателей - тогда любой из них сможет расшифровать письмо).
При получении вашего письма получатель должен будет просто нажать на кнопку Decrypt PGP Message в окне Outlook Express и ввести пароль своего секретного ключа. В случае же, если ваш почтовый клиент не поддерживается PGP, не спешите от него отрекаться. Достаточно, набрав сообщение в окне почтовой программы, выбрать пункт Current Windows > Encrypt в меню программы PGP Tray, висящей в системном трее (около часов на панели задач). Аналогично вы можете зашифровать/дешифровать и любой другой текст в окне активного приложения, а также текст в Буфере Обмена.
Ещё одна полезнейшая способность PGP - это электронная подпись писем. Ведь часто не столь важно сохранить содержимое письма в тайне, сколько твёрдо знать, что письмо не фальшивое, и что его действительно отправил человек, чьё имя значится в заголовке. К сожалению, современные почтовые системы Internet никак не защищены от мистификаций, и во многих случаях точно определить, кто отправил вам то или иное письмо, практически невозможно (особенно если фальшивое письмо было отправлено из той же сети/провайдера, где находится реальный отправитель).
Для решения этой проблемы и существуют электронные подписи. Делается это просто: на основе текста письма и секретного ключа создают уникальную комбинацию символов, которую включают в текст письма. Выглядит же она примерно так:

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2
iQEVAwUBOTRgoI0ZSRQxA/UrAQFrkAf+IRpqKIEmdjs4qucyy0t1BoRReaz89nE6d7M3 ScjGW0Cem3zm2GDE39rR/o5czoK0z/D3F75RNzle9DMnAUg7Gmq65ehNdKzEDCobN CQhLtqXikhWbkcI32ZE90hBKbsX+BK7RartgGB2U5t4MgBtsUwdrj Ouo9GGQ4Fxm+jos4YdwMhmI7daY1sANSomCF83PS/hyA44vecB4BiGrk2dhZA4kdD41DlWsF KeC+cUA===nf25
-----END PGP SIGNATURE-----

Теперь, стоит получателю активизировать функцию проверки (к сожалению, в Outlook Express эта функция не поддерживается, поэтому нужно, активизировав окно с сообщением, воспользоваться опцией Current Windows Decrypt & Verify из меню PGP Tray), система тут же выдаст ему примерно такой отчёт (разумеется, для проверки подлинности письма вы должны иметь у себя публичный ключ отправителя):
*** PGP Signature Status: good
*** Signer: Microsoft Security Response Center <secure@microsoft.com>
*** Signed: 31.05.2000 5:45:19
*** Verified: 01.06.2000 16:08:44
*** BEGIN PGP VERIFIED MESSAGE ***
Как видим, это письмо подписано корпорацией Microsoft. И это не шутка, ведь именно система PGP применяется в Microsoft для подписи своих Бюллетеней Безопасности (http://www.microsoft.com/security), рассылаемых по почте клиентам корпорации. Благодаря строке "*** PGP Signature Status: good" вы можете быть уверены в подлинности письма. Заметьте, проверяется только текст письма, стоящий между строками "BEGIN PGP SIGNED MESSAGE" и "END PGP SIGNATURE", текст же за пределами этих границ не удостоверяется электронной подписью и, соответственно, может быть фальшивым.
Если какой-то умник перехватит ваше письмо и изменит его текст внутри вышеуказанных границ, не изменяя текст электронной подписи, при проверке такое письмо будет признано фальшивым, так как подпись генерируется на основании текста оригинального письма, и с ним же при проверке и сверяется. Малейшее изменение в тексте письма или подписи приведёт к нарушению целостности, вследствие чего письмо будет признано фальшивым.
Итак, когда мы рассмотрели тонкости использования PGP International в системе электронной почты, попробуем применить подобный подход и для шифрования файлов на локальном компьютере. Для этого достаточно кликнуть правой кнопкой файл или папку и в контекстном меню этого объекта выбрать PGP. Вы сможете выполнить над файлом или папкой те же действия, что и над почтовым сообщением: шифровка/дешифровка, создание/проверка электронной подписи (естественно, пользуйтесь собственным ключом, иначе вы не сможете ничего расшифровать). Любопытная подробность: если эту операцию применить к целой директории, то все находящиеся в ней файлы будут зашифрованы по отдельности. Дело в том, что папки не хранят в себе никакой информации, кроме записей о размещенных в них файлах (фактически это всего лишь картотеки), потому зашифровать структуру каталога не выйдет - в отличие от диска.
Можно применять и шифрование без ключа: для этого при запросе получателя пометьте пункт Conventional Encryption -тогда система предложит вам ввести уникальный пароль для шифрования конкретного файла. Выбрав подпункт Self Decrypting Archive, вы тем самым избавите получателя от необходимости бежать на рынок за PGP, так как зашифрованный файл будет создан в виде исполняемого фала с встроенным модулем дешифровки.
Кроме всего прочего PGP International имеет и две полезные программы для очистки диска. Наверняка многие слышали о софтинах, позволяющих восстанавливать удалённые файлы на компьютерах с ОС Windows 95/98. Ведь при удалении файла реально удаляется только соответствующая ему запись в таблице размещения файлов (FAT), сам файл остаётся на диске, но место, занятое им, помечается как "свободное". Как только система захочет записать на это место новую информацию, остатки старого "затрутся" - как на магнитофонной ленте.
Пока этого не случится, восстановить файл проще простого, и множество утилит позволяют это сделать. Очевидно, что чем меньше времени прошло с момента удаления файла, тем больше вероятность его успешного восстановления. Разумеется, эта перспектива обрадует пользователя, случайно удалившего важный документ, но агент ЦРУ, уничтожающий следы своей деятельности за пять минут до визита своих отнюдь не дружественных коллег из КГБ, явно будет не в восторге J. Многие пользователи испытают те же чувства, но по другим причинам.
Формулировка проблемы подсказывает её решение - достаточно просто несколько раз перезаписать место хранения файла на диске любой другой информацией, и ваши враги останутся с носом. PGP International предлагает для этого функцию Wipe в меню PGP. На случай, если файл уже удалён небезопасным способом (или же вы просто хотите перестраховаться), используйте утилиту Freespace Wipe, доступную из апплета PGP Tools. Эта программа уничтожит следы абсолютно всех файлов, которые были удалены на вашем жёстком диске, тем самым не оставив злопыхателям ни единого шанса.
Вывод из всего сказанного банален и прост: этой программе можно доверять - она обладает отличной надёжностью и может быть рекомендована для хранения информации любого уровня секретности (включая и коды запуска ядерных ракет :-)). 

 

 

Категория: Советы Безопасности при Использовании компьютера | Просмотров: 9 | Добавил: torayevtm | Рейтинг: 0.0/0
Всего комментариев: 0
Имя *:
Email:
Код *: