Использование usb-flash накопителей в качестве электронного ключа



This article addresses the issue of protection of information with electronic keys (dongles) and topicality of use this technology. Examples of create dongles from USB-flash devices on operating systems Windows and Linux.

Keywords: protection of information, electronic key, flash-device, Rohos logon Key, PAM usb.

Как известно, в 21 веке, веке информационных технологий и математического прогресса, защита информации стала для людей одной из важнейших задач. Для осуществления решения данного вопроса было придумано (и придумывается) множество технологий, использующих последние достижения технического прогресса в своей работе. Так, например, для обеспечения конфиденциальности информации, была придумана криптография, а уже с помощью нее и новейших технологических устройств, были созданы электронные ключи, или донглы. Донглы призваны сохранить в тайне личную информацию, информацию о каких-либо разработках. Помимо этого, внутри компаний ключи способны взять на себя функцию распознавания личности на рабочем месте. Что примечательно, этот девайс не мешает работе уже построенной информационной системы на предприятии, внедрение происходит быстро и не останавливает его деятельность, и в короткие сроки позволяет компании обеспечить защиту важных данных. Но не только компании могут позволить себе обеспечение подобной защиты, домашние пользователи также имеют возможность защитить свои данные от посторонних, ведь сегодня качество жизни общества во многом начинает определяться безопасностью и эффективностью действующих в нем систем управления людьми и процессами: [1]

‒ Решение любой проблемы может быть принято только на основании достоверной и своевременно полученной информации;

‒ Планировать расходы может только тот, кто точно знает куда, зачем и сколько он тратит на самом деле;

‒ Получить ожидаемую прибыль от нового продукта, идеи, программы можно только тогда, когда удастся сохранить в тайне технологию ее создания;

Следовательно, если информация стала таким важным компонентом человеческих систем, ей необходима защита. Для защиты данных внутри компаний и организаций создаются специальные отделы информационной безопасности (чаще всего обязанности обеспечения информационной защиты возлагаются на информационно-технологические отделы, или IT-отделы). Основные задачи информационной безопасности:

‒ Предотвращение угроз экономической, политической, технологической и иной безопасности объекта защиты;

‒ Предотвращение несанкционированных действий по уничтожению, модификации, блокированию информации;

‒ Предотвращение несанкционированного доступа к конфиденциальной (закрытой) информации; [1]

На сегодняшний день многие заводы, большие и малые компании внедряют (а скорее всего уже внедрили) у себя компьютерную технику и занимаются созданием информационной инфраструктуры. На обучение персонала и на процесс перехода от бумажного документооборота к электронному тратятся большие средства, а контроль доступа к информационным ресурсам становится сложной задачей. Часто случается так, что работники записывают свои пароли на бумагах, которые лежат на рабочем месте. Это повышает вероятность кражи конфиденциальной информации или создает условия для нарушения доступа к важным данным. [4] Компании пытаются решить эту проблему с помощью электронных ключей — USB-брелков (донглов, токенов), смарт-карт и других аутентификаторов. Такое решение безопасности оправдывает себя только когда:

‒ Процесс перехода на двухфакторную аутентификацию четко спланирован;

‒ В компании есть квалифицированный персонал для обслуживания подобной системы;

‒ Со стороны производителя оказывается всесторонняя поддержка;

Авторизация с помощью токенов и смарт-карт больше всего подходит для малых и средних офисов, а также для частных предприятий. Для защиты информации на домашнем компьютере пользователь может использовать обычный USB-накопитель, который он может без особых знаний и усилий переделать в электронный ключ посредством таких программ как: RohosLogonKey (о ней подробнее), Predator, WinLocker.

RohoslogonKey — программное обеспечение доступа к информационным ресурсам, с поддержкой различных аппаратных средств и способов аутентификации. Данное ПО разработано компанией Tesline-Service, использующей открытые стандарты шифрования и публикующей исходный код своих проектов. [2] Программа RohosLogonKey позволяет создать двухфакторную аутентификацию пользователя с помощью флешки, тем самым повышая защиту информации, хранящейся на защищаемом компьютере. Для преобразования flash-накопителя в электронный ключ при помощи данной программы, не требуется каких-либо специальных знаний. Программа имеет простой и понятный интерфейс, от пользователя требуется лишь указать USB-устройство, которое будет служить ключом (в рассматриваемом случае это устройство — flash-накопитель) и указать пароль, который он использует для доступа к своей учетной записи. Таким образом, программа автоматически устанавливает два фактора аутентификации пользователя: становится необходимым наличие нужного ключа (флешки), который определяется, например, по серийному номеру, и пользовательского пароля (вводится один раз при создании ключа).

Использование подобного софта существенно повысит защиту важных данных внутри предприятия. Кроме того, переход на двухфакторную аутентификацию не требует от сотрудников прохождения специальных курсов по изучению работы электронных ключей, технология проста в усвоении и не требует каких-либо специальных знаний, что выгодно самой компании. Еще один выгодный для предприятия аспект — это то, что можно использоваться совершенно любой USB-накопитель, а это значит, что сотрудники могут использовать личные устройства для авторизации на рабочих местах. В таком случае компании не придется тратиться на покупку устройств, из которых будут сделаны токены.

Все программы, позволяющие сделать из USB-флеки USB-ключ, написаны под операционную систему Windows, которую используют большинство пользователей компьютеров. Но что если использовать накопитель в качестве USB-ключа захочет пользователь операционной системы Linux? В основном данную ОС используют системные администраторы внутри компаний для общения с сервером, так как она имеет открытый исходный код, свободно распространяется и не ставит пользователя в рамки, как это делает OSWindows. Значит, пользователи операционной системы Linux так же могут создать электронный ключ из usb-накопителя, хотя и не имеют возможности использования программ на подобие RohosLogonKey, ибо они ориентированы на пользователей ОС Windows/MACOS. Для создания донгла на ОС Linux потребуется больше знаний в компьютерных науках.

Чтобы сделать электронный ключ из USB-флешки на OSLinux, необходимо использовать PAM-модуль “pam_usb” (его можно скачать на сайте pamusb.org). Этот модуль будет проверять каждую вставленную в компьютер флешку на предмет ее соответствия указанным требованиям и, в зависимости от результата, давать доступ или блокировать учетную запись пользователя. При этом не требуется никакой модификации таблицы разделов и информации, хранимой на флешке. Для идентификации будет использоваться серийный номер, модель, производитель, а также набор случайных данных, которые записываются в резервную область и изменяются при каждой удачной идентификации (на случай, если кто-либо захочет скопировать эту флешку, но если успеть войти в систему первым, то эти данные будут перезаписаны, и копия уже не будет работать). Использовать pam_usb довольно просто. Полная настройка системы состоит из пяти шагов:

1. Скачать и установить библиотеку libpam_usb.so, а также утилиты управления модулем с помощью команды в терминале ОС Linux:
2. $ sudo apt-get install libpam-usb pamusb-tools
3. Вставить флешку, которая будет использоваться в качестве ключа, в USB-порт и выполнить команду:
4. $ sudopamusb-conf –add-devise “имя_ключа”
5. здесь “имя_ключа” — произвольное название используемого устройства, поэтому важно, чтобы другие внешние накопители в момент выполнения этой команды были отключены.
6. Теперь необходимо дать модулю pam_usb понять, что используемая флешка ассоциирована с нужной учетной записью:
7. $ sudopamusb-conf –add-user “имя_учетной_записи”,
8. где “имя_учетной_записи” — название пользовательской учетной записи, которую необходимо защитить.
9. Следующим шагом будет проверка правильности выполненных ранее шагов. Для этого используется команда:
10. $ sudopamusb-check “имя_учетной_записи”
11. На последнем шаге нужно внести pam_usb в список модулей, необходимых для проведения успешной аутентификации. Это делается с помощью модификации файла “/etc/pam.d/common-auth”. В нем необходимо найти стоку примерно следующего вида (она может отличаться): “authrequiredpam_unix.so”. И прямо перед ней добавить стоку: “authsufficientpam_usb.so”. Таким образом, перед логином любого пользователя система будет отдавать управление модулю pam_usb, который будет проверять наличие флешки [6].

После того, как все шаги будут выполнены, необходимо перезагрузить компьютер. Теперь для входа в систему необходим USB-ключ, который был создан из USB-накопителя. Таким образом, можно защитить данные от несанкционированного использования внутри компании или какой-либо компьютерной системы. Среди положительных аспектов можно так же выделить то, что донгл можно использовать на любом компьютере, зарегистрированном в системе, и то, что такой ключ не требует наличия CD-дисковода на рабочих станциях.

Средний и малый бизнес вслед за крупными компаниями проявляют все больший интерес к токенам как средствам сохранения конфиденциальности коммерческой информации [7]. А значит, технология создания ключей из usb-накопителей является востребованной на сегодняшний день, и создание программ по типу RohosLogonKey приветствуется, так как они упрощают сложную задачу — запрограммировать usb-устройство для использования его в качестве электронного ключа. Но не только компании могут использовать эту технологию. Интерес со стороны домашних пользователей так же имеет место быть. Популярность средств антивирусной защиты сегодня уже никого не удивляет, но электронные ключи позволяют защитить личную информацию от угроз, перед которыми антивирусы просто бесполезны, а именно от написанных взломщиками вредоносных программ. Ведь чтобы взломать такой ключ, необходимо иметь ряд специальных инструментов и иметь знания в области компьютерных технологий, как строится и как работает электронный ключ.

Литература:

1. ООО «М-Стандарт холдинг» // «Услуги в области защиты информации ограниченного доступа» [Электронный ресурс]. — http://www.mstandard.ru/security/. — [дата обращения: 13.01.2016]
2. Компания «Rohos» // «О компании» [Электронный ресурс]. — http://www.rohos.ru/company/. — [дата обращения: 13.01.2016]
3. Белов В. Н., Ковалев А. И. // Некоторые аспекты использования электронных ключей в подходах защиты информации // Математический вестник педвузов и университетов Волго-Вятского региона.– 2015.- № 17.- с. 318–325;
4. Компания «Rohos» // «USB-накопитель или смарт-карта?» [Электронный ресурс]. — http://www.rohos.com/help/smart-cards_usbflash.htm. — [дата обращения: 1401.2016];
5. Трухманов В. Б. // Математические модели в экономике и их анализ с помощью компьютерных средств // В сборнике:Педагогические технологии математического творчествасборник статей участников международной научно-практической конференции. Редакционная коллегия: под общей редакцией М. И. Зайкина, С. В. Арюткина (ответственный редактор), С. В. Напалков, Т. В. Романова. 2011. С. 338–342.
6. Компания «Журнал Хакер» // «Посторонним вход воспрещен» [Электронный ресурс]. — http://habrahabr.ru/company/xakep/blog/127384/.- [дата обращения: 14.01.2016]
7. Ковалев А. И. Защита информации с помощью электронных ключей // Информационные технологии и прикладная математика.- Межвузовский сборник аспирантских и студенческих работ № 5, Арзамас 2015 г., с. 62.