На главную страницу ЗАО Софткей
 Главная   Новости   Статьи   Пресс-релизы   Рассылки 
 
MS O365 test

Roxio Secure Burn (After Reading)

07.07.2011 / Аналитика / Максим Тигулев

Roxio Secure Burn

Мобильные носители, такие как компакт-диски, весьма удобны для переноса данных, их хранения и архивации, однако доступ посторонних лиц к ним может привести к неприятным последствиям для компании и ее сотрудников. Так, в фильме Братьев Коэнов "После прочтения сжечь" (Burn After Reading) потерянный диск с рабочими материалами аналитика одного из специальных отделов ЦРУ привел к цепочке забавных и трагических событий. Для предотвращения подобных ситуаций в каждой компании должна быть продумана политика по управлению устройствами записи данных (CD- и DVD-рекордеры), а также доступом к USB-портам.

Одними из приемлемых вариантов могут стать шифрование записываемых на носитель данных и защита криптограммы паролем. В этом случае прочитать данные с диска сможет только сотрудник, знающий пароль доступа.

Подобный сервис, а также гибкое управление правами предлагают программы из набора Roxio Secure Solution от компании Roxio. Проанализируем реализованные в них идеи на основании материалов со страницы разработчика http://www.roxio.com/secure/ и сделаем соответствующие выводы. Комментарии к излагаемым фактам выделены по тексту курсивом.

Три аккорда Roxio Secure

Программы из набора Roxio Secure поставляются в трех версиях: Roxio Secure Burn, Roxio Secure Burn Plus, Roxio Secure Managed. Все они позволяют прожигать CD, DVD и Blue-ray болванки, шифровать записываемые на них данные и устанавливать пароль для последующего доступа к защищенным файлам. Собственного модуля шифрования программы не имеют, поэтому используют встроенный в Windows криптопровайдер Microsoft RSAENH, сертифицированный по стандарту FIPS 140-2, алгоритм AES c длиной ключа шифрования - 128 бит.

#1 Roxio Secure Burn

Базовая версия реализована максимально просто и не требует от пользователей специальных знаний. Для того чтобы записать файлы на диск, достаточно перенести их на значок программы (drag-and-drop). Если записываемый файл слишком большой, то при записи программа может разделить его на несколько дисков. Если вставленный в привод диск не пустой, то программа может сделать его копию.

Значки на рабочем столе

Для начальной версии - Roxio Secure Burn - шифрование данных при записи не является обязательным и может быть отключено в настройках. Однако, как заявляют разработчики, по заказу клиента они могут подготовить специальную версию, в которой шифрование отключить нельзя.

Вообще, подобные фразы авторы повторяют при описании каждого из рассматриваемых продуктов. Это наталкивает на мысль, что, во-первых, сам вопрос не так прост, как кажется, а во-вторых - продукт не совсем "коробочный" (то есть полностью готовый к эксплуатации) и при его внедрении может потребоваться как специальная настройка, так и работы по интеграции с информационными системами заказчика.

Если защита включена, то после нажатия на кнопку "Запись" программа попросит задать пароль для последующего доступа. Чтобы защищенный диск можно было потом прочитать, на него вместе с данными записывается специальная программа-ридер, запускаемая автоматически при установке диска в привод (autorun).

Разумеется, об этом нигде не написано, но мы-то с вами понимаем, что коль скоро алгоритм AES является симметричным, то где-то на этом же диске хранится и ключ шифрования, что уже существенно снижает надежность защиты данных.

Поскольку для шифрования использован встроенный криптопровайдер Microsoft, то прочитать данные можно только под Windows.

#2 Roxio Secure Burn Plus

Вторая версия программы с постфиксом Plus в названии помимо базовых функций дает возможность администратору установить программу на компьютер и указать его принадлежность к группе пользователей "по интересам" (например, "Отдел маркетинга"). Все диски, записанные на всех компьютерах этой группы, будут читаться без пароля, а на других - читаться вообще не будут. Но если у пользователей есть потребность "взять работу на дом" или передать диск в другое подразделение, то можно при записи добавить на диск еще один дополнительный пароль, с помощью которого данные можно прочитать на другом компьютере.

Группируем подразделения "по интересам"

Если пароль остается в секрете, а не записан на диске маркером, то злоумышленник, перехвативший диск по дороге, прочитать диск, по идее, не должен.

Шифрование для второй версии Roxio является обязательным и отключено быть не может. Возможность ввода второго пароля не отключается, если только не заказывать специальную версию у разработчика. Количество пользовательских групп ограничено 5 штуками, откуда можно сделать вывод, что программа подходит скорее для небольших компаний.

Управление разрешениями делается администратором на каждом компьютере вручную, с помощью перекладывания ini-файлов, либо с помощью отдельной программы, которая устанавливается вместе с пакетом Roxio.

Чтобы пользователи по своей инициативе не установили себе нужные права, эту программу надо запретить к запуску с помощью политик операционной системы либо вовсе удалить с компьютера.

#3 Roxio Secure Managed

Третье воплощение Roxio ко всему сказанному добавляет централизованный сервер управления разрешениями, на котором администратор настраивает группы и права доступа. При обращении пользователя к диску программа посылает запрос к серверу и получает разрешение на доступ. Локальное управление в этом случае не требуется, а администратор может удаленно и быстро переключать пользователей. Для этого ему дается веб-интерфейс.

Веб-интерфейс администратора

Также система ведет протокол действий пользователей, в котором администратор может посмотреть, кто какой диск записал или прочитал, в какое время, увидеть имена записанных файлов.

Наличие протоколирования действий пользователей и администратора является обязательным условием серьезной системы информационной безопасности, однако видеть только имена файлов - недостаточно. Много ли информации даст название записанного бухгалтером файла "отвязные_фотки_с_корпоратива.rar"? Офицер безопасности компании должен видеть его содержимое.

Что делать, если пользователь находится вне корпоративной сети и не имеет доступа к сети Интернет? Для такого случая администратор может либо совсем закрыть доступ к дискам, либо разрешить его на ограниченный период командировки, например неделю, по завершении которой пользователь должен снова подключиться к серверу для обновления прав доступа.

Что помешает пользователю скопировать данные, пока диск открыт, разработчики не сообщают.

В описании программы также сказано о поддержке USB-устройств, по факту разработчики используют сторонний сервис LDDFlash, предоставляющий "облачное" решение типа SaaS (программа как услуга), которое позволяет не только управлять доступом к флеш-дискам и шифровать их содержимое, но и удаленно уничтожить файлы в случае утери носителя.

Между защитой и политкорректностью

Подведем итоги.

  • Во-первых, стандарт шифрования FIPS 140-2, на который ссылаются разработчики, устанавливает требования к устройствам шифрования, работающим с чувствительными, но не секретными данными (sensitive but unclassified information), то есть сразу становится понятно, что секретные данные защищать с помощью программы нельзя.
  • Во-вторых, ключ шифрования длиной 128 бит в современных условиях уже давно не считается стойким.
  • В-третьих, алгоритм AES является симметричным, что означает обязательное хранение ключа на диске с данными, что еще более облегчает работу злоумышленнику.
  • В-четвертых, для облегчения администрирования паролей забывчивых пользователей и, несомненно, для компетентных органов предусмотрены множественные "закладки" вроде пароля "для дома" или администраторского пароля, позволяющие прочитать зашифрованный диск.
  • В-пятых, установленная на компьютер программа не исключает возможности записи дисков другим способом, не блокирует дисковод и USB-порты. Сами разработчики рекомендуют взывать к сознательности пользователей, мы же рекомендуем настраивать системные политики Windows.

Выводы и рекомендации

Идея шифрования данных, сохраняемых на мобильный диск, вполне разумна и может быть воплощена в жизнь. Тем не менее одной простой программой в этом случае не обойтись - политику информационной безопасности организации необходимо планировать с учетом возможных рисков, не давая пользователям права выбора и устанавливая компенсационные меры безопасности. Так, программы от Roxio фактически управляют данными и возможностью их прочитать, скрывая информацию от внешнего мира. Но для более эффективного управления и контроля, в особенности в части предотвращения утечки информации, необходимо закрыть еще один уровень - системный слой устройств, ограничив права пользователей по доступу к дискам, USB-портам, мобильным телефонам и даже принтерам (вынос ценной информации на бумаге также возможен).

Например, администраторы могут дополнительно установить на рабочие компьютеры сотрудников программу Zlock, которая помимо удаленного управлениям доступом ко всем внешним устройствам позволяет осуществлять теневое копирование сохраняемых на носитель данных. Об этой программе мы уже писали ранее. Ссылки на другие подобные программы приведены в конце статьи.


Программы в каталоге Softkey.ru:

Ссылки по теме:

Автор статьи: Максим Тигулев


Рубрики статей
Все статьи
Аналитика
Программы
Игры
Интернет
Авторские права
Интервью
События в мире ПО
Рассылки
Новости мира ПО
Статьи: Мир ПО
Статьи: Программы
Статьи: Игры
Архив выпусков
  «   Ноябрь 2017   »  
Пн Вт Ср Чт Пт Сб Вс
  12345
6789101112
13141516171819
20212223242526
27282930   
Поиск в архиве

Логин / пароль:
запомнить




Наши партнеры:

 САПР и графика



Написать редактору  | RSSЭкспорт новостей и обзоров


Rambler's
Top100 Rambler's Top100

Разработка компании «Битрикс»
Разработано
«Битрикс»


Copyright © 2001-2017 ЗАО «Софткей»