Криптография в массы (2/2) / Інформатика та побутова електроніка

Криптография в массы. Продолжение.

Продолжаем нашу сагу о TrueCrypt.
На первый взгляд, применение криптования носителей не всем нужно и поле для применения — узкое. Да и на рынке есть множество разных решений для разных задач: одно для VPN, второе — для криптования и подписи почты и т. д. Что называется, бери — не хочу. На практике не всё так радужно. Например, оpensource решения для openPGP и S/MIME чудовищно глючат на Win-платформах (не знаю как на линухе) и ставятся с таким скрипом, что проклянешь всё на свете; PGP Desktop, который недавно перекупила Symantec, очень дорог. Что касается безопасной почты, то SSL-соединение с почтовым сервером лишь частично решает проблему.
Но самое главное, с чем столкнулся автор и что считает наибольшей проблемой в обеспечении безопасности — так это низкая квалификация и, самое главное, нежелание пользователей имплементировать политики безопасности. Проще говоря, всем лень вводить пассворды, а любое лишнее окошко вызывает панический крик «что это??!?!». Предзагрузочная аутентификация у многих вызывает состояние, близкое к инфаркту. Пользователи пишут пароли на бумажках и ставят их возле монитора, и прочие радости жизни.

1. Безопасная почта для полных чайников, реализованная тупо, но надежно.
Давайте будем рассматривать ситуации из реальной жизни.
Перед таким себе мини-админчиком Васей (у которого нет профильного образования), который работает на небольшом предприятии, стояла задача: сделать безопасную почту. Точнее, обеспечить безопасную пересылку некоторых важных вложений, документов и сообщений. Всё остальное могло идти as is. «Окей», — сказал Вася и начал продумывать модель безопасности; если сказать проще: «Как это сделать?».
Сначала Вася решил использовать специализированные решения. Обратил внимание на http://www.gpg4win.org/ ввиду его бесплатности и, в целом, толковости: модель публичных и приватных ключей типа openPGP проверена временем и позволяла сделать именно то, что надо: с помощью сгенеренных публичных и приватных ключиков для юзеров сделать собственную Web of Trust, заставить юзеров запомнить свои не такие уж сложные пароли, научить их тыкать в нужные кнопки — и вот она, нирвана.
Но, приступив к работе, Вася понял, что нирвана неблизка. Во-первых, пакет GPG4Win проявил завидную строптивость при установке на подопытного кролика, то бишь ноут Васи с Windows XP. Потом клиент Claws никак не хотел подхватывать ключики, которыми нужно генерить подписанные и криптованные сообщения. Потом Kleopatra (инструмент для менеджмента ключей) вылетал, падал, ключил и вообще вел себя пошло и нетактично. Но после всех софтовых трудностей (вроде бы успешно преодоленных) Вася понял, что это еще не конец. Юзеры падали в ступор при виде нескольких лишних ярлычков на рабочем стоде. В конце концов, начальство наложило вето на такое решение:
— Ты мне через интернет это сделай! — орал босс. — А это что?!
«Сделай через интернет» означало, что босс привык заходить в почту через веб-интерфейс. Он часто ездил в командировки, часто забывая свой личный ноут и заходя в корпоративную почту откуда попало. Писки Васи о том, что так оно не очень хорошо, пресекались фразами типа «царь знает, что делает». В конце концов, после долгих дебатов босс согласился больше ноут не забывать, таскать его всюду с собой и даже загребать почту себе на комп с помощью Outlook. Вася возрадовался, ибо в пакете GPG4Win есть плагин для Аутлука. Но снова рано возрадовался. Босс привык использовать Outlook Express и ни на что больше не соглашался.
Вася понял, что GPG4Win не проканает. И вообще все, что требует больше трех-четырех кликов мышью, тоже не проканает.
Немного подумав, он решил всё сделать топорно, дубово, но… это должно сработать.
Все машины на предприятии были закриптованы TrueCrypt’ом с предзагрузочной аутентификацией. Каждый пользователь имел свой, довольно несложный пароль. Наверное, Васе никогда бы не удалось убедить юзеров терпеть муки ввода пароля на старте, если бы он не убедил хитростью босса, утверждая, что шифрование значительно усилит шансы информации быть нескомпрометированной при краже или какой-либо там проверке прокуратуры, налоговой, проверке легальности ПО или еще чего. После того начальственный крик заставил юзеров перестать жаловаться на трудную жизнь. Некоторые, со временем, даже нашли в этом плюс, ибо никто теперь не включит компьютер без их ведома.
Вася создал 1 (один) ключевой файл с помощью генератора ключевых файлов в TrueCrypt (Tools – Keyfile Generator). Его он закинул в системную папку ноута босса, своего ноута, главного компьютера предприятия, компьютера главбуха и компьютера жены босса. Все компьютеры были закриптованы, потому ключевой файл был в относительной безопаности. Потом проставил в настройках TrueCrypt каждой из машин (Settings – Default Keyfiles) путь к файлу ключей. Потом создал каждому юзеру три файловых криптоконтейнера без пароля, но с помощью ранее созданного ключевого файла, размером 1 Мб, 10 и 30 Мб с расширением *.tc . Поставил их в папке «Мои документы». Всё. При клике на контейнер он автоматически монтировался как диск. В этот контейнер помещались документы и сообщение. Контейнер отправлялся адресату как обычный файл. Адресат монтировал этот контейнер тем же образом: просто кликал на него и он автоматически монтировался. На чужой машине контейнер не подмонтируется — нету ключевого файла.
Нужно переслать маленькое сообщение и маленькое фото? Используй контейнер 1 Мб. Несколько PDF’ок? Выбери 10 Мб. Большую пачку фото? Выбери контейнер в 30 Мб. Трафик? Ничего, канал толстый. Для удобства каждый так и назывался: маленький, средний, большой. Ыг.
Васе, конечно, пришлось терпеливо объяснить всем некоторые нюансы. Например, что не следует помещать файлы в контейнер и отправлять голые файлы прям из контейнера — они от этого не зашифруются. Нужно слать САМ контейнер. Помогла аналогия с архивами. Что важное сообщение нужно писать не в письме, а в контейнере. И т. п.
После этого у Васи стало на один факап меньше. Пользователи слали всякие корпоративные мегасекреты по почте и проблем не возгникало. Некоторые юзеры даже начали проявлять смекалку и сами создавали контейнеры нужного им размера.

2. Злобные юзеры vs база 1С.
То же самое предприятие (склад), тот же самый админ Вася. На главном компьютере, который работает круглосуточно, покоится база старой доброй 1С 7.7 и некоторые общие файлы. Версия 1С обычная сетевая, не SQL (о чем админ Вася не единожды пожалел, но всё начиналось с малого, и уж есть как есть, а передвигать базу страшно и лень). В системе шесть аккаунтов: один админ (Вася), один босс с правами админа (почти не используется), один бух и четыре продавца, один из которых с правами принимать товар на склад. Главный компьютер вместе со всеми своими дисками закриптован (база 1С покоится на отдельном диске, но всё равно при одновременном обращении всех пользователей тормозит, ну да фиг с ним). Нужные права пользователям розданы, всё чинно.
Началось всё с такого. Читая логи, Вася заметил, один из пользоваталей настойчиво пытался провести перемещение денег из кассы в кассу, потом выписать невразумительный РКО, а потом тщетно пытался всё свое творчество удалить; из-за одной упущенной галочки в настройках документ перемещения денег из кассы в кассу он создавать мог, но проводить — нет. Также ему нельзя было удалять документы. При беседе с юзером тот рассказал, что ошибся кнопками, изучал меню от скуки и вообще, Вася, мы с тобой друзья. Вася не очень поверил, но, зная что всё под контролем, делать бурю в стакане не стал.
Прошло некоторое время. В этот день он по счастливой случайности читал логи действий пользователей, а не реестр документов (что быстрее и проще). Тут он обнаружил, что:
– такого то числа сякого месяца он, то бишь администратор, проводил очень-очень задним числом оприходование ТМЦ;
– редактировал права пользователей Пети и Феди;
– почему-то сформировал книгу продаж, которую тут же удалил.
Вася схватился за голову. Он понял, что сел голой попой в дерьмо и оказался чудовищным простаком. Он бросился читать системные логи, но понял, что входили не из главного компьютера; он просмотрел, какие именно права он дал Пете и Феде. Они получили ни много ни мало право удалять документы, проводить их задним числом и прочее.
Ясно, что его админский пароль скомпрометирован. Ясно, что всё это случилось в нерабочее время. И тут его осенила простая догадка.
К несчастью, пароль к главному компьютеру когда-то давно придумывал сам Вася. Этот же пароль он использовал в качестве админского к базе 1С. И тот и другой знал лишь он, но вполне возможно, что некто его подсмотрел. Поставил аппаратный кейлоггер. Или даже записал камерой сверху. Кто его знает.
Сначала Вася хотел устроить разнос Пете и Феде, нажаловаться на них боссу, но потом остыл. Ведь не секрет, что пользователи знали пароли друг друга. И ничто не стоило, скажем, Ивану войти под Петей и совершать под ним всякие гадости.
Проблема решилась кардинально. Система безопасности стала более строгой.
Ранее диск, на котором покоилась база 1С, монтировался системным паролем. Вася изменил пароль, точнее, вообще его убрал; он закриптовал базу двумя новосозданными ключевыми файлами: файл1 и файл2. Файл1 и файл2 находились у него, Васи; копии обоих файлов — у босса; копия файл1 также находилась на флешках у продавцов; копия файл2 находилась у буха.
Вася изменил системный пароль главного компьютера и свой админский пароль к 1С. Главный компьютер дальше работал круглосуточно. В 9:00 Вася монтировал базу 1С, в 18:00 — размонтировывал (по требованию буха мог оставить подольше). Если Вася заболел, то это могли сделать босс (своими двумя файлами), или совместно бух с любым продавцом (ведь у каждого по одному файлу). Бух не дружила с продавцами, потому передавать свой файл2 ей не было смысла. А продавцы могли сколько угодно размножать копии своих файлов: их в любом случае не хватало для монтирования. Подглядеть пароль уже было невозможно по причине отсутствия такового.
Так Вася уберег базу от злобных посягательств в нерабочее время.
А виновные так и не были найдены, но всем была прочитана лекция о недопустимости шалостей.