Ukradli vám už (zaměstnanci) notebook? 5. díl: Skutečná bezpečnost souborů ve Windows

V posledním dílu naší série o trampotách s ochranou souborového systému na platformě Windows jsme se dostali až k nasazení struktur PKI. Ačkoli by se mohlo zdát, že jsme dosáhli hranic běžně dostupných možností, nic není pravdě vzdálenější.



Prozatím nás svazoval úhel pohledu - potenciální útočník pocházel zvenčí a bránili jsme se proti někomu, kdo k našim souborům běžně neměl přístup. Nastal však okamžik čelit neúprosné realitě: zhruba dvě třetiny případů zcizení dat mají na svědomí ti, kdo s nimi oprávněně pracují!
V předchozích dílech jsme vycházeli z principu, že oprávněný uživatel je spolehlivý - pracuje se soubory, jež mu přísluší, při dodržení správných postupů "svá" data před vetřelci ochrání. Jinými slovy, pokud takový uživatel jednou získá důvěru, může se soubory dělat téměř cokoliv. Příslušné technologie jsou navrženy v souladu s touto premisou: provede-li uživatel (zaměstnanec atd.) korektní přihlášení a je ověřen autentizačním mechanismem, transparentní šifrovací postupy data "zviditelní" a vše je přístupné.
Realita je však často zcela odlišná. Oprávnění uživatelé představují obrovské riziko pro jakákoliv data, s nimž pracují, pokud není jejich pravomoc nějak omezena či upravena. Současné cesty "kybernetického" zločinu vedou běžně přes kompromitované a zkorumpované zaměstnance (podílníky, partnery, brigádníky...), kteří pak bez omezení vynášejí cenné materiály na přenosných médiích či odesílají pomocí síťových služeb. Předejít tomuto riziku znamená nejen data účinně šifrovat, ale také omezit těmto uživatelům jejich práva k souborům tak, aby byli schopni provádět pouze operace, příslušející jejich pověření.

Scénář čtvrtý:
zavádíme Rights Management
Pod společným a poněkud široce pojatým označením Rights Management budeme pro naše potřeby chápat technologie, jež umožňují zjemnit škálu dosud příliš hrubých uživatelských oprávnění. Mezi dvě extrémní polohy - přihlášen/mohu vše a nepřihlášen/nemohu nic - je potřeba vložit další úrovně oprávnění, jež dovolí uživateli s dokumenty běžně pracovat např. v souladu s pracovními úkoly, ale zároveň mu zabrání v jejich zcizení či nekontrolovaném kopírování.
Na první pohled by se mohlo zdát, že v operačních systémech již existují prostředky, jež to dokáží uspokojivě zajistit - k dispozici máme systém přístupových oprávnění (Permissions) na bázi samotného souborového systému, jenž nabízí určité úrovně ochrany. Při podrobnějším průzkumu však brzy zjistíme, že tomu tak v zásadě není. Pokud má být uživatel oprávněn k běžné práci se soubory a k jejich ochraně pomocí šifrování, musí být většinou alespoň držitelem práv ke čtení a zápisu. To však zároveň v podstatě znamená, že je schopen data bez omezení kopírovat a přenášet.
Pokročilý Rights Management je založen na myšlence, že informaci o jemné struktuře oprávněných akcí s sebou nesou oba "účastníci": samotné soubory jsou vybaveny dodatečnými (popisnými, pomocnými) metadaty, jež striktně vymezují možnosti jednotlivých uživatelů (či jejich skupin), uživatelé samotní provádějí autentizaci, jejímž výsledkem není prosté zpřístupnění souborů, ale povolení k provedení výslovně definovaných akcí či postupů. Výsledkem je pak robustní mechanismus, jenž např. důsledně rozlišuje editaci souborů pomocí oprávněných aplikací, brání tisku či vytváření kopií a důsledně audituje jakýkoliv zásah do souborů či pokusy o akce všeho druhu.

Co nám Rights Management může dát?
Skromnější varianta Rights Managementu nemusí být implementována nijak složitým způsobem a nemusí vždy představovat citelný zásah do operačního systému či způsobu práce uživatele. Jednou z používaných možností je vazba na určité skupiny (typy) souborů a jím příslušející aplikace. Pokud uživatel sáhne po takových souborech, asociovaná aplikace provede záznamy ve formě metadat, jež později poslouží k dohledání změn či prověření původu. Velmi důležitým požadavkem je nasazení silné kryptografie, jež zajistí jednak jednoznačnou identifikaci uživatelů, jednak ochranu pořízeného auditu před podloudnou změnou. Běžně se pro tyto účely využívá digitální podpis. Dobrým příkladem může být ochrana dokumentů ve formátu PDF.
Silnější variantou koncepce Rights Managementu je zavedení mechanismu důsledné kontroly nakládání s dokumenty, a to bez ohledu na souborový formát či aplikaci, s jejíž pomocí bude upravován. Řešení tohoto typu pak jednoznačně vymezují možnosti uživatele: bez prokázání příslušných práv a autentizace jsou data nepřístupná buď úplně, nebo jen pro jasně vymezenou kolekci operací. Výsledkem takto důsledné implementace je zamezení úniku dokumentů jakoukoliv cestou, neboť v těsné spolupráci s operačním systémem je každý soubor opatřen dodatečnou specifikací, jež určuje povolené či zakázané operace. Uživatel není schopen kupříkladu data neoprávněně vytisknout, kopírovat či odeslat po sítí. I v tomto případě je základem celého řešení silná kryptografie - slouží jak k ověření identity uživatele, tak k "neprůstřelnému" uložení metadat a jejich nezaměnitelné interpretaci.

Varianta 1:
Adobe Acrobat a ochrana dokumentů PDF
Poměrně zajímavým způsobem vstoupila do oblasti Rights Managementu společnost Adobe Systems, a to prostřednictvím implementace ve svém systému pro tvorbu a distribuci dokumentů Acrobat. Postupný vývoj, jenž započal základním zavedením digitálního podpisu dokumentů, byl postupně rozpracován do podoby komplexního systému s ochranou na několika úrovních.
Paralelně s vývojem souborového formátu PDF postupovaly inovace v klíčové součásti
takového řešení: klientské aplikaci. Jak editor Adobe Acrobat, tak prohlížeč Adobe Acrobat Reader byly postupně modifikovány a připraveny na práci s digitální ochranou souborů. Další fází je rozšíření ochrany o centralizované řešení, jenž poskytuje silný nástroj pro důkladnou správu na úrovni celé firmy či organizace - produkt Adobe LiveCycle Document Security představuje robustní nástroj pro plošné zavedení a vynucení složitějších zásad práce s dokumenty. Ačkoliv firma Adobe nezůstává jen u formátu PDF a postupně rozšiřuje působnost těchto nástrojů i na další souborové formáty (MS Office System, CAD), jedná se stále o mechanismus výrazně orientovaný na typ aplikace či souboru.
Výsledkem je velmi robustní systém, spolupracující se strukturami PKI, jenž při odpovídajícím nastavení dokáže přesně vymezit práva každého uživatele. S úspěchem lze zamezit neoprávněnému tisku, kopírování obsahu či neautorizovaným změnám. Cenou za silnou ochranu je jistá ztráta kompatibility - bez aplikací Adobe je systém prakticky na hranici po-
užitelnosti, a jak jsme již zmínili, je výrazně "souborově" orientován na strukturu PDF.

Varianta 2:
Microsoft Windows Rights Management Service
Jedním z pokusů o zavedení plošného a co nejuniverzálnějšího řešení pro řízení práv uživatelů je technologie společnosti Microsoft, jež nabízí univerzální platformu pro zprovoznění Rights Managementu v prostředí operačních systémů Windows.
Koncepce této technologie sleduje snahu poskytnout všestranný nástroj: výrobce vyvinul serverovou aplikaci, jež ve spolupráci s adresářovou službou Active Directory zajišťuje autentizaci a autorizaci uživatelů, dále klientskou část pro interpretaci přiřazených oprávnění na straně uživatelova operačního systému, v neposlední řadě pak sadu rozhraní a vývojářských komponent (Windows RMS SDK), díky nimž mohou ostatní výrobci implementovat požadovanou funkcionalitu do svých aplikací. Ačkoliv v současné době je systém k dispozici především pro dokumenty skupiny MS Office System, nejedná se o vysloveně souborově orientované řešení - v závislosti na aktivitě dalších výrobců může univerzální klientská aplikace v budoucnu posloužit k vynucení práv pro širší škálu dokumentů či softwaru.
Rights Management v této podobě dokáže zajistit fungování základního požadovaného scénáře - uživatelé mají přístup jen k určitým dokumentům a jejich práce je omezena na typy operací, jež jsou striktně vymezeny. Zabrání se tak účinně tisku, kopírování či nežádoucím změnám, není problém identifikovat autorství či potvrdit pravost dokumentů. Ačkoliv je tento systém poměrně robustní a do jisté míry univerzální, prozatím je jeho nevýhodou vazba na specifické aplikační formáty.

Varianta 3:
SODATSW-Desktop Management and Security System
Částečně odlišnou variantou řešení problému úniku citlivých dat je integrovaný systém společnosti SODATSW. Základní myšlenkou scénáře, jenž má zabránit odcizení dat, s nimiž jinak uživatel potřebuje běžně pracovat, je vynucení co nejsilnějších restrikcí na úrovni operačního systému. Vedle znemožnění přesunu dat touto cestou je možné samozřejmě provádět pokročilé auditování a ochranu samotného obsahu pomocí šifrování.
Restriktivní přístup je realizován na straně uživatele prostřednictvím aplikace OptimAccess Standard, jež co nejvíce eliminuje únikové cesty z operačního systému. Významným prvkem je zde fyzická bezpečnost: uživateli může být definitivně odepřeno použití výměnných paměťových médií a disků či vypalování na CD či DVD, dále mohou být deaktivována rozhraní pro připojení mobilních zařízení či bezdrátovou komunikaci "ad hoc" (USB, IrDA, FireWire, PCMCIA), přičemž USB porty lze standardně využívat pro připojení "nepaměťových" zařízení jako myš, modem atd. V neposlední řadě pak lze omezit spouštění nežádoucích aplikací a procesů. Výhodou takto navrženého řešení je nezávislost na souborových formátech, verzích operačních systémů či jiné variabilitě na straně klientských počítačů. Účinná fyzická omezení navíc snižují pravděpodobnost, že na některou z důležitých aplikací zapomeneme.
Druhou součástí integrovaného systému je důsledný audit činnosti uživatele, jenž je zajišťován klientskou aplikací OptimAccess Work-
Spy. Jedná se o monitorovací systém, jenž sleduje aktivitu na komunikačních rozhraních, zaznamenává aktivitu při práci s výměnnými médii a podle definice může kontrolovat práci se soubory určeného typu či s aplikacemi podle potřeby. Záznamy jsou využívány jak pro "pasivní" dohled a následné vyhodnocení podezřelých aktivit, tak pro aktivní obranu v podobě zasílání varování či odepření následných požadavků na klientském počítači po zachycení podezřelých postupů. Systém je spravován centrálně prostřednictvím odpovídajících politik.
Třetím pilířem komplexní ochrany je šifrování souborových zdrojů jako takových - zde je využíván na straně klientů již dříve popsaný systém AreaGuard Notes s robustní, centralizovanou správou šifrovacích klíčů a propracovanými mechanismy obnovy či řešení havarijních stavů. Jeho implementaci je možné provést buď poměrně nezávisle na technologiích operačního systému, nebo ve spolupráci s infrastrukturou PKI a adresářovou službou Active Directory na serverech Windows.
Mezi hlavní přednosti přístupu, jež zvolil výrobce tohoto softwaru, patří relativní nezávislost na používaných aplikacích, dosavadním způsobu ochrany či souborových formátech. Díky poměrně velké samostatnosti serverové i klientské části softwaru není nezbytné používat pokročilá řešení, jako robustní PKI či Active Directory, a rovněž variabilita klientských Windows není překážkou. V neposlední řadě je možné se spolehnout na silnou autentizaci klienta.

Jednou ze základních přístupových cest,
jež může být zneužita pro zcizení dat, je nekontrolované internetové připojení.

Nekontrolovaný přístup k externím médiím, jejichž instalace je více než snadná, představuje ideální způsob zcizení interních firemních dat.

Poměrně propracovaný systém pro řízení přístupu k dokumentům nabízí společnost Adobe. Její pokročilé řešení dokáže zajistit silnou bezpečnost souborů PDF.

Odkazy
• Rights Management v produktu Adobe Acrobat
www.adobe.com/security/main.html
• Windows Rights Management Service
www.microsoft.com/rms
• Stránka řešení SODATSW-Desktop Management System
www.sodatsw.cz/text.asp?id=129

A co dále?
Podle původního plánu, s nímž jsme zahájili v loňském roce sérii článků o zabezpečení souborů, jsme se vlastně propracovali na samý konec. Od nejjednodušších řešení jsme postoupili až k náročným implementacím, jež řeší o něco více než jen "prosté" šifrování. Pokud jste byli našimi věrnými čtenáři, možná jste se na mnoha místech seriálu pozastavili s pocitem, že by určité téma zasloužilo podrobnější rozbor či pojednání. Právě z tohoto důvodu naše redakce pracuje na rozšíření kolekce dosud představených scénářů a řešení o další zajímavé postupy či možnosti. Pravděpodobně se tedy již příště setkáme znovu, abychom si ukázali další zajímavosti nejen z oblasti souborových zabezpečení v prostředí operačních systémů Windows.










Komentáře