может быть заблокировано после некоторого количества неверных вводов PIN-кода подряд, что делает затруднительным подбор PIN-кода. Смарт-карты обладают хорошей совместимостью, так как используют стандартный протокол, но для их использования требуется картридер. Одна из основных проблем смарт-карт – их возможный отказ, так как тонкий пластиковый корпус чипа не может обеспечить надежную защиту при физических воздействиях.

Если злоумышленник завладел и смарт-картой, и ее PIN-кодом, он сможет получить доступ к данным. Владелец смарт-карты технически может (хотя и не должен бы) использовать ее вне доверенной среды, при этом PIN-код может быть перехвачен с устройства ввода, ключи могут быть списаны из оперативной памяти или из памяти смарт-карты после разблокировки хозяином.

Разумеется, хранение ключей – это не единственная функция смарт-карты, но одна из основных.

Токены

Токены могут иметь более широкие возможности по сравнению со смарт-картами. Например, устройство может содержать свою собственную клавиатуру для ввода PIN-кода, что значительно усложняет перехват. Обычно для работы с токеном необходима установка драйверов.

Если злоумышленник завладел и токеном, и необходимым кодом доступа, он сможет получить доступ к данным. Владелец токена технически может (хотя и не должен) использовать его вне доверенной среды, при этом ключи могут быть списаны из оперативной памяти или прямо из устройства после его разблокировки хозяином.

Хранение ключей – это не единственная и не основная функция токенов, их основное назначение – двухфакторная аутентификация.

Флешки

Обычные флеш-накопители не обладают никакой защитой. Они могут быть украдены или утеряны, в этом случае любой человек сможет получить доступ к данным. Зато флеш-накопители обладают значительным объемом памяти и совместимы практически со всеми устройствами, имеющими USB-порты. Флеш-накопитель может быть использован на любом АРМ в любых условиях.

Рассматривать вопрос о том, является ли хранение ключей специальной функцией флеш-накопителей, было бы нелепо.

ТМ-идентификаторы

В основном эти хранилища, так же как и флешки, не обладают никакими защитными механизмами, кроме необходимости наличия специального считывающего устройства – впрочем, свободно продаваемого.

Содержимое ТМ-идентификаторов можно копировать, поэтому данные, хранящиеся в устройстве в открытом виде (в т. ч. ключи), могут быть легко скомпрометированы.

Основное предназначение ТМ-идентификаторов, как и токенов, – двухфакторная аутентификация. Если аутентифицирующей информацией являются не непосредственно хранящиеся в ТМ-идентификаторе данные, а результат преобразования, которое производится резидентным компонентом безопасности с данными, полученными по разным каналам, то копируемость памяти ТМ-идентификатора не является критичным фактором, в отличие от считывания хранящихся в «таблетке» в открытом виде ключей.

Подытожим наш обзор в табл. 3.

Таблица 3

Выполнение устройствами, используемыми в качестве хранилища ключей, целевых функций

* «+» или «-» в строке «Контроль легальности пользователя» оценивает наличие в ключевом носителе собственных механизмов, независимых от механизмов СКЗИ. То же справедливо и для остальных параметров, однако именно в отношении указанного возможна неоднозначная интерпретация.

Другие служебные носители

По принципу, впервые реализованному в служебных носителях «Секрет», кроме «Идеального токена» построены и другие служебные носители для более узких целей. Например, это программно-аппаратный неперезаписываемый журнал (ПАЖ), где свойства «Секрета» дополнены тем, что память, в которой сохраняются журналы событий различных устройств и приложений, обладает свойствами add only – то есть в нее можно только добавлять, а что-либо удалять или изменять в ней нельзя. Также ПАЖ характеризуют некоторые особенности реализации ролей пользователей, связанные с работой именно с журналами, но они не касаются архитектуры и являются в общем-то частными деталями.

Еще один пример – мобильный генератор лицензий: устройство, позволяющее распространять лицензии на программное обеспечение, избегнув основных типов проблем, с которыми сталкиваются при этом вендоры ПО.

Осознание того, что даже самая простая флешка по сути является компьютером с собственным процессором и собственной памятью, привело к тому, что перепрограммированные USB-накопители стали считаться важными и весьма вероятными каналами утечки. Известен целый класс атак, называемый BadUSB, в основе которого лежит модификация firmware USB-устройств для выполнения несанкционированных действий процессором этих самых USB-устройств. Кроме того, существуют варианты реализации штатных протоколов взаимодействия USB-устройств с нештатными расширениями, которые могут быть использованы и как скрытые каналы управления, и как нелегальные хранилища конфиденциальной информации [118]. Эта уязвимость блокируется применением носителей, firmware которых защищено от перезаписи, таких как описанные специальные служебные носители семейства «Секрет».

Однако у служебных носителей «Секрет» есть собственная функциональность, и если она в системе не требуется, то их применение избыточно. USB-накопитель «Транзит» не имеет никакой дополнительной функциональности, это именно флешка – но флешка, которую нельзя перепрограммировать, то есть такая, которая точно не сможет быть использована как-то иначе, кроме как по прямому назначению.

В данном случае от перезаписи защищено только внутреннее ПО USB-накопителя, во всем остальном архитектура устройства не нуждается в изменении – и не изменяется. Важно, что изменять можно разные параметры, нужные для той или иной конкретной цели.

Более того, решений такого рода может быть очень много, потому что базовый принцип – изменение архитектуры как способ решения проблем с нею – является научным, а значит, экспериментально подтверждаемым и воспроизводимым.

Однако в ряде случаев для эксплуатирующей организации по тем или иным причинам представляется целесообразным использовать СВТ традиционных уязвимых архитектур. В этом случае уязвимость необходимо компенсировать применением специальных средств защиты. О них пойдет речь в следующем разделе.

10.1.2. Средства защиты, изменяющие архитектуру устройств (наложенные средства защиты информации)

Даже бузина в огороде через миллиарды опосредствующих звеньев связана с дядькой в Киеве.

Эвальд Ильенков.Диалектика абстрактного и конкретного

Пытаясь защититься от вредоносных хакерских программ, человечество уже более 60 лет разрабатывает программы, традиционно относимые к области защиты информации: средства идентификации, аутентификации, авторизации, контроля целостности, антивирусные программы, криптографические средства и т. д. Использование этих средств дает положительный эффект, но очень и очень небольшой.

Если мы делаем забор все выше и выше, а клубнику по-прежнему воруют – значит, в заборе есть дыра и надо не наращивать высоту, а найти и забить дыру. Эта аналогия касается всех мер защиты информации, принимаемых бессистемно, в нарушение положения диалектического материализма о всеобщности связи предметов и явлений (каждые предмет и явление имеют взаимную связь с каждым из всех остальных предметов и явлений).

Если мы все же используем компьютеры с принципиально уязвимой архитектурой, то у нас должно быть средство управления этой архитектурой: только контроль над архитектурой и возможность ее изменения в соответствии с выполняемой задачей могут дать обоснованную уверенность в том, что данный конкретный компьютер – ваш инструмент, а не чей-нибудь еще.

На практике это означает, что на время загрузки и проведения контрольных процедур компьютер должен утрачивать свойства машины Тьюринга (универсального исполнителя), а затем, после успешного завершения контрольных процедур, – снова приобретать эти свойства.

Контрольные процедуры требуется проводить для того, чтобы убедиться в неизменности аппаратной и программной среды компьютера. Однако очевидно, что если контрольные процедуры производятся компонентом, который был (или мог быть, что в данном случае равнозначно) в