пятница, 16 января 2009 г.

Защита информации.Засекреть себя сам!


Как говорится, кто владеет информацией, тот владеет миром. А кто умеет обеспечить надежную защиту информации, тот, по меньшей мере, не дает возможность другим завладеть его кусочком мира. Для того, чтобы защитить информацию, используют множество способов: блокируют доступ, устанавливают антивирусные программы и т.д. И все эти способы и системы постоянно усовершенствуются. Такая защита информации в большинстве случаев срабатывает и очень надежно. До той поры, пока не подключается человеческий фактор. Подтверждает этот факт гениальный способ заражения офисных компьютеров вирусами, придуманный компанией Secure Network Technologies (SNT).

Некая финансовая организация наняла ее специалистов для проверки безопасности своей внутренней сети. И системные администраторы, и сотрудники организации знали о предстоящей атаке и по всему были к ней готовы. Но в SNT решили пойти другим путем и обмануть не технику, а людей. Агенты SNT просто разбросали возле главного входа испытуемого офиса 20 флэшек, под завязку забитых специально написанными троянами. Картина маслом: Утро. Ожидающие с минуты на минуты хакерской атаки сотрудники идут себе на работу, и вдруг – оба-на! Кто-то флэшку посеял! Отличная примета: то ли к зарплате, то ли к повышению. В общем, флэшки подняли, донесли до своих рабочих мест, воткнули в компьютеры и просмотрели содержимое 15 (!!) человек. Трояны успешно проделали свою работу: собрали пароли, персональные данные сотрудников офиса и другую полезную информацию и отослали все это в SNT, а та, в свою очередь, уведомила о случившемся своих нанимателей. "Мы даже не вспотели, - сказал после удачно проведенной операции глава SNT Стив Стасюконис. - То, что должно было случиться, случилось, и все прошло как по маслу".

Вот так, сколько не совершенствуй систему защиты информации, а человек остается животным крайне любопытным.

Информация с появлением Интернета стала экстерриториальной, она есть везде, но становится нужна, как всегда, неожиданно, в определенном месте. Так что же можно, а иногда и нужно, прятать?

Всё, что угодно! Пароли к сайтам и программам, личные записи, материалы для книги, личные фотографии, открытку, нарисованную дорогому человеку и сохраняемую до определенной даты. Существует много личной информации, которая не должна попадать в чужие руки. Компьютер могут украсть, он может сломаться, и вы сами отнесете его в сервис в чужие руки. Или в систему попадет вирус.

Всё в жизни случается, и навыки методов скрытия информации будут нелишними в вашем багаже знаний.

Что в имени тебе моём

Начать стоит с самого элементарного – с имён. Как вы думаете, что привлечет больше внимания: «Как сажать морковку» или «Я в бане с тремя пацанами!!!»? Особенно учитывая, что вы – замужняя женщина. Понятные имена удобны, практичны, но сразу выдают вас с головой. Попробуйте выработать свою систему именования файлов, понятную только вам. Например, первая цифра в названии папки или файла пусть будет уровнем удаления: 1 – я, 2 – семья, 3 – подруги и так далее. Вторая буква укажет на тип информации. Можно много вариантов придумать. И тогда невзрачное название «1f4prn» будет легко расшифровываться как «мои фотографии для печати». Но только теми, кто знает систему!

Но если эти файлы лежат прямо на рабочем столе в папке «мАи сИкреты», то всё бессмысленно. Зарывайтесь глубже. Пять-десять вложений где-нибудь в стандартной папке Windows, например, и никому в голову не придёт там искать.

Нет информации – нет проблем

С другой стороны, заинтересованный человек может начать «глобальный чёс», т.е. просматривать всё подряд, и имена уже не помогут. Тут на помощь нам придут внешние носители. Информация всегда под рукой, доступ контролируется вами и на компьютере всё чисто и красиво.

О CD и DVD в качестве таких носителей говорить, наверное, не стоит. Большие, относительно, габариты, невозможность прямого редактирования, вероятность потери информации из-за механического повреждения – всё это наводит на мысль, что эти диски годятся только для редко изменяемого и не очень ценного содержимого или для архива.

Другое дело USB Flash (флэшки). Небольшие габариты при значительном объеме, сравнительно невысокая цена, возможность подключения практически к любому современному компьютеру или другому устройству, у которого есть USB (медиа-плеер, DVD-плеер и т.д.). Одна проблема: если информации много, например, домашнее видео, то никаких флэшек не хватит.

И здесь есть решение: внешний USB диск. Небольшая «коробочка» с обычным жестким диском от ноутбука внутри. Объем и дизайн зависят только от представленного на текущий момент модельного ряда и ваших финансовых возможностей. Подключение осуществляется USB-кабелем, и ваш компьютер работает с этим носителем, как с обычным диском.

Есть и другие виды внешних носителей, но они ещё мало распространены и достаточно дороги.

Подальше положишь, поближе возьмёшь

Если не хочется связываться со всеми этими коробочками и брелочками, то идеальным вариантом будет хранение файлов в Интернете. Можно завести почтовый ящик и пересылать файлы самому себе. А можно воспользоваться любым из огромной массы специализированных серверов для хранения файлов (например, rapidshare). Есть ограничения по объему, и скорость закачки зависит от вашего канала, но это того стоит.

Неведома зверушка

Файлы бывают разных типов: видео, документы, картинки, но по большому счёту – это всего лишь набор байтов. Так как же система определяет, что делать с вашим файлом и с помощью какой программы его открыть? По расширению. Это чаще всего три символа после последней точки. Если они вам не видны, то в меню проводника выберите «Сервис» – «Свойства папки». На закладке «Вид» надо убрать галочку с пункта «Скрывать расширения …»

С расширениями всё просто. Видео – avi, mpg, mkv, mov и другие. Картинки – jpg, bmp, gif и еще много всяких. В реестре каждому расширению прописано соответствие с определенной программой. А что будет, если поменять расширение? Правильно, программа не сможет открыть файл. Если заменить «avi» на «txt», то «блокнот», назначенный этому типу файлов, будет долго и упорно открывать файл с фильмом как простой текстовый.

Но тут есть один нюанс. Не все программы доверяют расширению и лезут внутрь файла, считывая первые символы, которые называются сигнатура, и уже по ней определяют, какого файл типа. Но и это для нас не преграда. Мы поменяем сигнатуру! В любом редакторе, который не вносит отсебятины (т.е. стандартный «блокнот» не подходит; могу порекомендовать встроенный редактор файлового менеджера «FAR»), а послушно сохраняет только то, что надо, достаточно поменять местами два первых символа в файле, и ни одна программа не определит, что это такое.

При использовании этого метода главное не забыть, что вы поменяли!

Большой-большой секрет

У каждого на компьютере есть архиваторы. Только мало кто знает, что эти замечательные программы могут значительно больше, чем просто упаковать и распаковать файлы. В одной из следующих статей я обязательно расскажу про их огромные возможности, а пока затрону только некоторые аспекты на примере архиватора WinRar.

Упаковывать мультимедиа-данные (видео, картинки, музыку) ради экономии места бесполезно. Эти файлы уже сжаты и достаточно хорошо. Но можно упаковывать ради безопасности. Поэтому смело ставьте метод упаковки «Без сжатия», укажите пароль для доступа и обязательно «шифрование имен файлов». И тогда у вас получится архив, получить доступ к файлам в котором можно, только зная пароль. Только не используйте простые пароли. Буквы в верхнем и нижнем регистре, цифры и символы значительно усложнят подбор пароля специальными программами, а то и сделают его нереальным за разумное время.

А уже с этим архивом можно поступить любым из вышеперечисленных методов.

А был ли мальчик?

Сигнатуры, архиваторы – это всё здорово, когда файлов мало. А если у вас скопились тысячи файлов с секретными рецептами приготовления кулебяки? Что делать в этом случае? А давайте спрячем целый диск!

Дело в том, что если у диска нет назначенной буквы, то он не отображается. Этим и воспользуемся. Если лишнего логического диска нет, то его сначала надо создать. Существует множество программ, позволяющих «откусить» кусочек от существующего диска и создать новый. Это требует определенных навыков, и если вы смутно представляете, о чем вообще речь, то смело пригласите знакомого специалиста и попросите его «разбить диск на две части». Он поймет и сделает, а если не поймёт, то он не специалист.

Итак, у вас есть два диска. Теперь у одного надо отобрать букву. Это можно сделать с помощью «Управления дисками». Запустите файл diskmgmt.msc или нажмите правую кнопку мыши на иконке «Мой компьютер», выберите «Управление» и там всё найдёте. «Изменить букву …» – «Удалить» – «Ок». Всё, диск при просмотре в проводнике не отображается. Теперь с ним можно поступать по-разному. Или каждый раз при необходимости назначать букву в «Управлении дисками» или монтировать командой mountvol к любой букве или пустому каталогу. Последний вариант можно автоматизировать, написав небольшие командные файлы для подключения-отключения и присвоив им «горячие клавиши».

Сложно? На самом деле не очень. Любой грамотный компьютерщик сделает это за пару минут. Не получится у вас – попросите кого-нибудь помочь, главное, чтобы помощник не сдал ваши секреты тому, от кого вы собираетесь всё это прятать.

А напоследок я скажу

Вы думаете это всё? Нет! Есть и более изощренные и сложные методы: использование инженерных дорожек дисков, файловых потоков, шифрование и многие другие. Но они требуют специальных знаний и интересны скорее профессионалам.
Кто тут в цари крайний?

Ни для кого, надеюсь, не секрет, что не все пользователи равны между собой. Есть администратор, который может практически всё, пользователи с разным уровнем доступа и бесправные гости. Постоянно использовать администраторские права заманчиво, большинство так и делает, но с точки зрения безопасности это не совсем правильно. Любая программа стартует с правами того, кто ее запустил, и что она сделает, имея слишком много прав, можно только предполагать. Да и вирусы не дремлют.

В идеале работать надо обычным пользователем, а администраторскими правами пользоваться только для настройки и конфигурации системы. Тем более что разработчики операционных систем изначально так и планировали и даже предусмотрели возможность из-под одного пользователя запускать программы от имени другого. Нажмите правой кнопкой мыши на иконке любой программы, и вы увидите кроме простого «Открыть» ещё и «Запуск от имени». А для консоли и командных файлов есть команда runas. Очень просто и удобно. Работаете пользователем, а если возникла необходимость что-то изменить в системе, то запускаете нужную программу от имени администратора.

Ты сюда не ходи, ты туда ходи!

Так что нам даёт такое разделение на пользователей? Возможность ограничить доступ к папкам и файлам! Нажмите на любой папке правую кнопку мыши и из выпавшего меню выберите пункт «Свойства». На закладке «Безопасность» (если её нет – читайте далее) видно, кто какими правами обладает и что может делать.

Сама операционная система (пользователь SYSTEM) и группа администраторов (а их может быть и не один) имеют полный доступ и все возможные права. Это логично. А вот простые смертные уже имеют ограничения. Можно добавить пользователя, которого нет в списке, или убрать существующего. Например, если лишить права «Список содержимого папки», то пользователь ничего в ней не увидит. Для него папка будет пустой. А если оставить только это право и убрать остальные, то увидит всё, но сделать ничего не сможет. Под кнопкой «Дополнительно» скрываются более подробные настройки. Можно определить владельца, настроить аудит (т.е. слежение за действиями пользователей в этой папке), определить наследуемость прав.

Если у вас нет закладки «Безопасность», то тут возможны две причины. Для пользователей Windows XP Pro всё довольно просто. Надо открыть любую папку и в меню выбрать «Сервис» — «Свойства папки» — «Вид». В открывшемся списке убрать галочку напротив пункта «Использовать простой общий доступ к файлам» и потом нажать «Ok». Для пользователей Windows XP Home всё гораздо печальнее. В ней нет такого пункта и закладка «Безопасность» не появится. Но есть возможность воспользоваться утилитой командной строки cacls. Метод более сложный и требующий некоторых навыков, но что уж есть.

Таможня даёт добро

Вроде всё красиво и элегантно. Захотел – дал права, не захотел – отнял. Но, как обычно, есть одно большое «НО». Все эти права действуют, только если загружена ваша операционная система. Достаточно загрузиться с CD, флэшки или получить доступ к жесткому диску, подключив его к другому компьютеру, и будет доступно всё. От загрузки с внешних носителей вас спасёт пароль на BIOS, но при большом желании и наличии достаточного времени для вскрытия компьютера даже это препятствие можно обойти.

Методов и способов много, но полной гарантии сохранности данных от несанкционированного доступа не даст ни один из них. Зато мы можем увеличить время, которое понадобится злоумышленнику для поиска и получения доступа к нашим данным, и не исключено, что ему просто надоест. Комбинируйте, пробуйте. Используйте разные методы в зависимости от ценности информации и не забывайте, что соотношение «цена/качество» действует и здесь. Слишком сложные методики доступа к информации могут вам скоро надоесть, и вы бросите это дело.

Подготовил Maximka.

Помогали О.Михалец.

Комментариев нет: