МАКСИМ КОСТЫШИН
В чем слабость твоя?
Несмотря на все усилия при построении защиты, в компьютерном деле наиболее уязвимым и наименее предсказуемым остается человек. К сожалению, при работе на компьютере человек способен только понизить уровень защищенности, если он не выполняет определенных требований безопасности. Последние примеры схем распространения вирусов по электронной почте (MуDoom, Bagle и т. д.) показали, что любопытство пользователей активно используется вирусописателями наряду с эксплуатацией известных уязвимостей программных продуктов, и что это может повлечь серьезные проблемы для всего сообщества Интернет. Так как проблема человеческого фактора в вопросах безопасности достаточно объемная, то в данной статье мы остановимся только на вопросах, связанных с парольной защитой, и даже в рамках этой темы только ее частью – способом хранения конфиденциальной информации для аутентификации.
Немного истории
В первой главе своей книги известный компьютерный взломщик Кевин Митник так описывает подробности проникновения в компьютерную систему корпорации DEC. «…Представившись как Антон Чернофф, который был одним из ведущих разработчиков проекта, я сделал простой звонок системному администратору. Я притворился, что не могу зайти через одну из «моих» учетных записей, и был достаточно убедительным, чтобы приказать парню дать мне доступ и позволить выбрать такой пароль, какой я выберу сам. Во время входа по удаленному телефонному доступу пользователь должен дать также и пароль, что было дополнительным уровнем защиты. Системный администратор сказал мне пароль. Это слово было «buffoon» (дословно: шут, фигляр), по-моему, это то, кем он должен был себя почувствовать, когда понял все, что произошло. Я получил доступ к RSTS/E – системе разработки DEC. И я вошел не как рядовой пользователь, а со всеми привилегиями разработчика системы...».
Несмотря на то, что эта история, описанная выше, случилась в прошлом тысячелетии, XXI век вполне может соревноваться по анекдотичности ситуаций, при которых беспечность пользователей в отношении своих паролей просто поразительна.
На проходившей в апреле 2003 года в Лондоне выставке InfoSecurity Europe 2003 (www.infosec.co.uk) ее организаторы провели ставшее уже традиционным исследование сознательности офисных работников в вопросах безопасности. На столичной станции Waterloo под видом социального опроса предлагалось в обмен на дешевую ручку ответить на ряд вопросов, в том числе назвать свой пароль, а также определить те критерии, по которым он формируется. 90% сразу назвали пароль (для сравнения, 65% – в 2002 году). Заметим справедливости ради, что правдивость ответов никто никогда выяснить не сможет.
Один из опрошенных вначале отказался назвать свой пароль, сославшись на требования безопасности, однако вскоре выяснилось, что в качестве пароля он использует имя дочери, а немного позже мнимые социологи смогли выяснить и как ее зовут. Согласно полученной в ходе исследования статистике часто паролем являлось слово «password» (12%), а другими популярными категориями были собственное имя (16%), название любимой футбольной команды (11%) и дата рождения (8%). Два третьих опрошенных дали свой пароль коллеге (показатель аналогичен 2002 году), а три четверти знали пароли их сослуживцев. Дополнительно к использованию пароля для доступа к их информации в компании, две трети использовали тот же пароль везде, включая их персональные банковские счета, централизованный доступ Web и т.п.
Настораживает то, что некоторые методы взлома, использованные Митником в 90-х годах в процессе своей криминальной деятельности, вполне работают и сегодня. В марте этого года в прессе была опубликована информация о задержании москвича-мошенника, который торговал секретными PIN-кодами карточек экспресс-оплаты доступа в сети Интернет, при этом часть этих карточек даже не поступала еще в продажу. Как показало расследование, «все карточки экспресс-оплаты изготавливались в коммерческой типографии. В процессе изготовления некоторые карточки получались бракованными и уничтожались ненадлежащим способом, после чего просто выбрасывались на территории типографии», – отметили в пресс-службе. Молодой человек работал в одном из офисов, расположенном на территории типографии, где и подбирал остатки карточек, среди которых и были карточки указанной компании, а также многих других интернет-провайдеров, операторов IP-телефонии и сотовой связи. Собрав и сложив обрезки, он получил секретные PIN-коды.
Что же делать?
Факты человеческой беспечности будут присутствовать в нашей жизни всегда. Однако вернемся все же к теме статьи. Попытаемся ответить на вопрос, что реально можно предпринять для решения проблем безопасности при использовании паролей.
Одно из направлений работы может быть связано с ужесточением требований административного характера. Стандартной мерой является введение ограничения смены пароля через каждые три месяца, полгода, год, а также установка ограничения на сложность пароля в политиках безопасности операционной системы или на уровне домена (для Windows см. «Пароли должны отвечать требованиям сложности» или «Passwords must meet complexity requirements»). При этом помимо иных требований будет проверяться, не содержат ли пароли части имени пользователя или не используется ли последнее в их качестве.
Также обязательным станет наличие заглавных букв, прописных букв и неалфавитных символов. Кроме того, будет проводиться проверка соблюдения минимальной длины пароля – 6 символов.
Можно не сомневаться, что итогом такой профилактической работы по повышению уровня защиты паролей станет практика сохранения паролей на листочке (возможно, даже для лучшей защиты бумага с паролем дополнительно будет помещаться в сейф). Кроме того, администраторы получат дополнительную головную боль от обращений пользователей, забывших свои пароли (не секрет, что некоторые пользователи не помнят даже своего имени для входа в сеть).
Однако давайте задумаемся о том, в чем же заключается суть проблемы при работе пользователей с паролем. Для этого сформируем основные свойства пароля, которые влекут за собой предпосылки к утечке конфиденциальных данных:
- Адаптированное для восприятия человеком представление. Пароль – это определенная комбинация, которую человек в состоянии запомнить и соответственно может забыть или раскрыть кому-либо.
- Возможность копирования. Пароль в его современном виде может быть продублирован различными способами, контроль за этими процессами невозможно наладить.
Следовательно, повышение надежности защиты пользователей может обеспечить отсутствие указанных свойств в ситуациях, когда необходима идентификация и аутентификация пользователей. Если человек не в состоянии запомнить информацию для доступа в сеть, значит, он не сможет ее никому раскрыть, даже по принуждению. Если информацию для доступа в сеть невозможно продублировать, значит, владелец и администратор могут ее гарантированно контролировать. Меньше проблем при этом возникает для ситуаций увольнений, когда сотрудник перед своим уходом передает данные аутентификации администратору корпоративной сети и гарантированно теряет возможность доступа к корпоративным информационным ресурсам. Далее в статье приводится попытка систематизировать информацию о существующих в настоящее время подходах, которые могут прийти на смену общепринятым паролям.
USB-ключи
Наиболее перспективной альтернативой паролям остается использование для аутентификации пользователя USB-ключей, которые напрямую подключаются к компьютеру через порт USB (Universal Serial Bus). Размер таких устройств позволяет носить их в связке с обычными домашними ключами. Они не требуют дополнительных считывателей, имеют встроенную память 8/16/32/64 Кб для хранения персональной информации и удостоверений личности, а также независимый процессор для аутентификации и защиты данных при работе в сети. Все известные USB-ключи имеют уникальный серийный номер (32/64 бита). Данные на USB-ключе дополнительно защищаются с использованием так называемого PIN-кода. Кроме того, в функциональность USB-ключей включен генератор случайных чисел. С использованием таких устройств можно обеспечить работу с инфраструктурой открытых ключей – PKI. При этом весь процесс генерации вашего личного криптографического ключа, формирование электронной цифровой подписи никогда не выйдет за пределы USB-брелка (в случае аппаратной реализации криптоалгоритмов). В среднем стоимость USB-устройств составляет 30-50$, в зависимости от размещенного объема памяти и реализованных функций.
Рисунок 1. Идентификатор eToken R2
К наиболее часто встречаемым на рынке СНГ USB-ключам относятся следующие продукты:
Заметим, что недавно в прессе появилась информация о выпуске Rainbow Technologies нового гибридного устройства под названием RfiKey, совмещающего в себе USB-идентификатор iKey и технологии контроля доступа в здания с использованием бесконтактных (т.н. proximity) карт на частоте 125 кГц от HID Corporation в единое устройство для безопасного доступа в здания и доступа к защищенным данным.
Несмотря на все свои преимущества USB-ключи обладают и недостатками. Основными проблемами, с которыми можно столкнуться при использовании USB-ключей, являются:
- поддержка в USB-ключах государственных криптографических алгоритмов электронно-цифровой подписи и шифрования (обычно в USB-ключах и программном обеспечении поддерживается работа только RSA и DES-алгоритмов);
- наличие аппаратной реализации криптографических операций (стойкость системы, построенной на основе ключей с программной реализацией, на порядок ниже, т.к. критические операции будут выполняться на вашем компьютере и потребуют извлечения из ключей в память компьютера секретных данных).
Биометрические устройства
К биометрическим технологиям относятся распознавание индивидуальных особенностей пальца, рисунка радужной оболочки глаза, голоса, лица, фигуры человека. Согласно статистике, приведенной ниже, наиболее распространенным объектом биометрической идентификации пока остается палец.
Рисунок 2. Данные Biometric market report 2000-2004
Биометрия – серьезный конкурент USB-ключам, и большие успехи в этой области ожидались уже в 2003 году. Однако ряд негативных моментов не позволил прогнозам сбыться. Одним из основных препятствий развитию рынка биометрических технологий специалисты считают отсутствие стандартов в этой отрасли. Серьезным минусом до последнего времени являлась очень высокая стоимость изделий (около $150). Недавно в прессе появилась информация о том, что компания APC выпустила компактное устройство персонального биометрического контроля доступа к компьютеру, которое должно появиться в продаже в марте 2004 года по цене $50.
Рисунок 3. USB-устройство персонального биометрического контроля доступа к компьютеру компании APC
Не секрет, что в последнее время биометрией серьезно заинтересовались правительства различных государств, что может свидетельствовать о хороших перспективах развития этой отрасли. Вот только краткая информация за 2004 год.
Евросоюз
20 февраля Еврокомиссия приняла предложения о включении биометрических данных в паспорта граждан Евросоюза. Согласно этим предложениям, все граждане стран ЕС, а также иностранцы, пребывающие в ЕС, должны будут пройти идентификацию 1800 характеристик лица, отпечатков пальцев для записи их в Шенгенскую Информационную Систему (SIS II). Аналогичные данные будут записаны в микрочип на паспортах.
Россия
МВД России приступило к разработке новых загранпаспортов, содержащих биометрические данные. Основное их отличие от ныне действующих заключается в том, что документы нового поколения будут содержать в электронной форме сведения о биометрических данных их владельцев. На сегодняшний день в качестве биометрических данных, подлежащих обязательному внесению в заграничные документы, странами «восьмерки» предварительно определены закодированное изображение лица и отпечатков пальцев их владельцев.
США
Программа VISIT, представленная Департаментом внутренней безопасности США, требует от всех претендентов на въездную визу иметь биометрическую информацию в паспортах к октябрю 2004 года.
Британия
Предполагается, что будет создана централизованная база данных обо всех жителях Соединенного Королевства и введены обязательные биометрические идентификационные карты, которые должны будут включать рисунок радужной оболочки глаза, отпечатки пальцев или ладони. На первом этапе планируется включить биометрическую информацию в паспорта и водительские удостоверения граждан Британии. Кроме того, предполагается выдача идентификационных карточек гражданам ЕС и другим иностранным гражданам, проживающим в Великобритании. Идентификационные карты будут также предлагаться в качестве дополнительного документа гражданам, не имеющим паспорта или водительского удостоверения.
Китай
Новые паспорта граждан должны включать информацию о рисунках отпечатков пальцев и сетчатки глаза. Помимо этого предполагается, что удостоверение личности будет содержать 18-битный код с генетической информацией о владельце. Для перехода на новые паспорта Китаю, по оценкам официальных лиц, понадобится пять-шесть лет.
К недостаткам технологии биометрической аутентификации можно отнести пока еще высокую стоимость таких изделий, а также необходимость дополнительного устройства считывания биометрических данных, что является определенным неудобством при использовании.
Другие типы устройств, которые могут использоваться для авторизации пользователей
Смарт-карты (микропроцессорные карты). Технология использования смарт-карт по своим внутренним функциям аналогична технологии USB-ключей, описанной выше. Отличие заключается только в том, что получение данных из смарт-карт предполагает наличие еще и считывателя, который может быть встроен в клавиатуру, подключен к COM, LPT или USB-порту. Соответственно наличие считывателя влечет за собой как удорожание проектов (стоимость считывателя составляет около $50, микропроцессорной карты – $5-20), так и вносит неудобства в процесс непосредственного применения.
Рисунок 4. Микропроцессорная карта CryptoFlex и устройство чтения/записи смарт-карт в виде FDD ACF30
iButton – разработка компании Dallas Semiconductor. Модельный ряд идентификаторов iButton довольно широк и разнообразен. iButton представляет собой микросхему, вмонтированную в герметичный стальной корпус. Корпус отдаленно напоминает батарейку для наручных часов и имеет диаметр 17,35 мм. Для передачи информации в компьютер используется считыватель, который может подключаться на COM, LPT или USB-порт компьютера. В конце 1990-х устройство достаточно широко использовалось для хранения конфиденциальных данных при разработке различных криптографических аппаратно-программных средств.
Рисунок 5. Стандартный вид iButton
Несмотря на серьезные характеристики по надежности и малую стоимость устройства iButton не нашли широкого применения для аутентификации пользователей из-за небольшой емкости памяти (Кб информации), необходимости считывателя, зависимости его срабатывания от точности ручного соприкосновения идентификатора и считывателя, осуществляемого вручную.
RFID-устройства (Radio Frequency Identification – радиочастотная идентификация) – устройства, аналогичные которым часто используют в системах контроля доступа и больше известны как proximity-карты. До настоящего времени RFID-технология не нашла применения при аутентификации пользователей компьютеров, однако активный интерес со стороны потребителей, а также развитие технологий в этой сфере может привести к тому, что широкое распространение таких устройств в нашей жизни позволит найти применение в сфере компьютерных технологий.
RFID-устройства представляют собой крохотную микросхему (разработка японской компании FEC Inc. – RFID-чип Manathir занимает площадь в половину квадратного миллиметра, стоимость около 10 центов), которая обычно не имеет собственного источника питания, но наделена памятью и антенной. В памяти обычно записан некий уникальный номер («идентификатор»), либо набор информации, хранящий полезные сведения о том предмете, на который помещен данный чип, а антенна служит для улавливания сигнала внешнего, расположенного от десятков сантиметров до нескольких метров, считывающего устройства – радиосканера и передачи ответа с использованием энергии принятых электромагнитных волн. RFID-технология разрабатывалась в качестве замены устаревшему штрих-кодированию.
Применение RFID-устройств позволяет маркировать товары в магазинах розничной торговли, использовать при изготовлении банкнот и документов, имплантация в человеческие органы или использование других методов помещения подобных устройств на человека для контроля его перемещения.
Рисунок 6. Чип, имплантируемый под кожу человека, шприц для его ввода и сканер VeriChip производства американской корпорации
Applied Digital Solutionsи (ADSX)
К недостаткам RFID-систем относят слабую электромагнитную защищенность (недавно компания RSA Security, продемонстрировала опытный образец системы Anti-RFID, позволяющей эффективно «глушить» радиосканеры RFID) и высокую стоимость (на отечественном рынке идентификаторы в зависимости от типа стоят от 1,3 до 5$., цена считывателей может превышать $150).
О внедрении стандартов TCPA
В архитектуру персональных компьютеров, которая была разработана в 1980-х, не закладывались серьезные требования к вопросам безопасности (предполагалось, что компьютеры будут работать под управлением однопользовательской операционной системы, а подключение к Интернету даже не обсуждалось). Проблемы безопасности в основе компьютерных решений требовали принципиально новых решений, и в 1999 году был создан промышленный консорциум, объединивший свыше 100 технологических компаний, известный как Trusted Computing Platform Alliance – TCPA (http://www.trustedcomputing.org), определивший аппаратные дополнения к архитектуре персональных компьютеров, которые должны исправить некоторые недостатки безопасности. В мае 2003 года компания была реорганизована в новую отраслевую группу Trusted Computing Group (TCG), функции которой расширились на все виды программного и аппаратного обеспечения, от компьютеров до PDA и сотовых телефонов. Результатом деятельности TCPA стали первая в мире BIOS, поддерживающая спецификацию TCPA 1.0 компании American Megatrends Inc. (AMI); процессор Prescott от Intel, в котором заявлена встроенная система защиты информации La Grande. У Microsoft есть свой Palladium, у VIA – Padlock. Несомненно, что определенный промежуток времени понадобится производителям программного обеспечения для того, чтобы поддержать аппаратные реализации спецификации TCPA на уровне операционной системы. Возможно, что в течение ближайших лет персональные компьютеры, удовлетворяющие требованиям TCPA, появятся в продаже. Тенденции решения вопросов безопасности на аппаратном уровне, несомненно, окажут влияние на весь спектр решений по компьютерной защите и скажутся на дальнейшем развитии технологий аутентификации пользователей.
Некоторые итоги
Активно используемая парольная защита пользователей не удовлетворяет возросшим требованиям компьютерной безопасности. Пароль становится слабым звеном системы защиты и требует замены. В настоящее время, когда необходимо обеспечить достаточный уровень безопасности при аутентификации пользователей, альтернатив USB-ключам нет. Указанные устройства предлагают максимально возможный уровень комфорта для работы пользователей, а также гарантированный уровень безопасности при использовании схемы хранения и обработки личных секретных данных вне компьютера. Однако успехи в биометрической области, снижение себестоимости биометрических устройств аутентификации, а также развитие других технологий могут позволить через 2-3 года определить других лидеров для решений в области альтернатив парольной аутентификации пользователей.
Источники информации:
- «Первая (отсутствующая) глава книги Кевина Митника», Компьютерная газета №1 (12 января 2004 г.) (http://msk.nestor.minsk.by/kg/2004/01/kg40123.html);
- «Office workers give away passwords for a cheap pen», J.Leyden (http://212.100.234.54/content/55/30324.html);
- «Как лучше потерять пароль», В.Демидов, Газета «Компьютерные Вести», №28, 2001 г. (http://www.kv.by/index2001282201.htm);
- «Новое лицо идентификационных устройств», Э.Кларк, Журнал «LAN», №09, 2000 г. (http://www.osp.ru/lan/2000/09/059.htm);
- «Аппаратно-программные средства контроля доступа», В. Шрамко, «PCWeek/RE», N9, 2003 г.
- «A Security Analysis of the Secure Electronic Registration and Voting Experiment (SERVE)», January 20, 2004 г. (http://www.servesecurityreport.org);
- «Защита подождет?», В.Соболев, Журнал «Мир ПК», №02, 2004 г. (http://www.osp.ru/pcworld/2004/02/028.htm).