Ochrana dat na koncových stanicích

1. 6. 2005

Sdílet

Většina firem dnes spoléhá na počítačové sítě, a tak jim z hlediska bezpečnosti většinou věnují dostatek potřebné pozornosti. Méně firem si ovšem uvědomuje, že je třeba věnovat patřičnou pozornost i zabezpečení uložených dat, především na koncových stanicích.

Standardní zabezpečení na stolních počítačích a noteboocích je dnes snadno
překonatelné. Na prolomení hesla do Windows dnes stačí několik minut a není k
tomu potřeba nic víc než internet. Zabezpečit počítač či vlastní data před
zneužitím lze mnoha způsoby. Hlavní a nejvíce používané technologie zabezpečení
je možné rozdělit do pěti hlavních oblastí, v každé pak lze nalézt několik
směrů, jimiž se firmy zabývající se těmito systémy ubírají.

Fyzické zabezpečení
Podobně jako auto nelze ani počítač zabezpečit stoprocentně. Většina notebooků a
značkových počítačů je připravena na různé zámečky (nejznámější např.
Kensington), které slouží k připevnění zařízení například ke stolu, což je
vhodné v hotelích či openspace kancelářích.

Hesla na spuštění počítače
Takzvané power-on heslo a heslo pro pevný disk slouží k autorizaci uživatele již
při spuštění počítače. Těmito hesly jsou vybaveny téměř všechny počítače. I toto
heslo se dá prolomit, nicméně již ne tak jednoduše. Na prolomení obou hesel je
třeba odborníka, který provede zásah přímo na jednotlivých komponentách
počítače. Ideální z hlediska uživatele je možnost nahradit tato hesla
biometrickou autentizací uživatele (viz rámeček).

Autentizace dalšími zařízeními
Jako možné prvky autentizace uživatele do počítače se využívají nejvíce čtečky
čipových karet, tokeny (podobné USB klíčům) a snímače otisků prstů. Každá
možnost má své výhody i nevýhody.
Například snímače otisků prstů jsou dnes dostupné ve dvou variantách – buď je
snímán otisk jako reliéf prstu, podobně jako například v policejní kartotéce
(kupř. snímače a klávesnice od společností APC či Microsoft), nebo snímač snímá
obraz povrchového napětí prstu (IBM/Lenovo notebooky a HP handheldy). V tomto
případě nefungují útoky určené pro první druh snímače, tj. podstrčení „mrtvého“
prstu (kopie), neboť prst po oddělení od ruky ztrácí přibližně po deseti
minutách svojí standardní povrchovou vodivost a snímač tedy nemůže autentizaci
provést. Velká část snímačů běžně dostupných na trhu umožňuje pouze zjednodušení
přihlašování do systému, nezvyšují však bezpečnost systémů. Ideální je, pokud je
snímač přímo podporován šifrovacím softwarem k autentizaci uživatele (například
vhodná spolupráce s bezpečnostním čipem – viz dále).

Šifrování dat
Bez ohledu na autentizaci uživatele je bezesporu nutnou ochranou dat jejich
šifrování. Lze využít jak zabezpečení čistě softwarové, tak i kombinované s
hardwarem. Větší část počítačů předních výrobců nabízí možnost vybavit počítač
přímo z výroby bezpečnostním čipem (tzv. TPM) podle standardu TCG. Tento čip
plní více funkcí, záleží ale na výrobci PC, jakým softwarem a tedy jakou finální
funkcionalitou hardwarový čip podpoří. Důležité je, aby byl pro šifrování využit
vhodný šifrovací algoritmus, systém managementu bezpečnostní politiky a vůči
celému systému bylo možné nasadit vícefaktorovou autentizaci uživatelů (např.
heslo, otisk prstu a čipová karta společně nebo v jakékoliv kombinaci).

Bezpečnostní politika a chování uživatelů
Jedním z pilířů bezpečnosti je správně nastavená bezpečnostní politika firmy a s
tím spojené chování uživatelů. Návrh a implementace technického řešení
bezpečnosti je v praxi záležitostí několika dnů. Ovšem správně nastavit
bezpečností politiku je věc, která zabere mnoho týdnů, do tohoto procesu musí
být zapojena všechna oddělení firmy a především nejvyšší management.

Řešení na noteboocích ThinkPad
Notebooky ThinkPad (s výjimkou modelu R50e) jsou vybaveny bezpečnostním čipem.
Tento čip společnost Lenovo doplnila o výkonný systém pro zabezpečení dat a
autentizaci uživatelů. Tento software, který je zdarma ke stažení na webových
stránkách výrobce, umožňuje šifrovat vybraná data na pevném disku, spravovat
hesla jednotlivých uživatelů a zabezpečit data i mezi uživateli navzájem.
Podporován je i centrální management a další aplikace (Entrust, Adobe, Cisco,
Lotus, Utimaco atd.).
Vybrané notebooky jsou navíc vybaveny i snímačem otisku prstů, který
spolupracuje nejen s BIOSem, takže může sloužit jako náhrada power-on hesla a
hesla pro pevný disk, ale zároveň plně spolupracuje i s bezpečnostním čipem.
Celý systém je možné doplnit o čtečku čipových karet a dostat tak celou
bezpečnost na velmi vysokou úroveň.

Cena dat
Každá firma si musí uvědomit cenu dat uložených na noteboocích a desktopech a
cenu, kterou v případě krádeže dat zaplatí. Protože cenou se nerozumí jen obnova
dat, ale i to, že se mohou dostat do rukou konkurence nebo být dokonce
zveřejněna. Vynaložené prostředky na bezpečnostní řešení jsou pak pouhým zlomkem
ceny ve srovnání s možnými následky úniku dat z méně zabezpečených systémů při
krádeži či neoprávněném použití.
Jan Solař pracuje ve společnosti Lenovo Czech Republic.


Fingerprint:
notebooky ThinkPad byly první
dostupné na trhu s integrovaným snímačem otisku prstů. Biometrické zabezpečení
umožňuje nahrazení veškerých hesel a šifrování souborů.

Kensington: jednou z forem mechanického zabezpečení notebooku či stolního
počítače je použití zámku s lankem.

Bezpečnostní čip, který je umístěn přímo na matici základní desky, umožňuje
šifrování na principu PKI.

Snímače otisku prstů
Snímače otisků prstů, které jsou integrovány na produktech Lenovo (Think-
Pad a ThinkCentre, USB a klávesnice), fungují na principu snímání povrchového
napětí na prstu. Snímač je průtahový, což znamená, že k přihlášení do sys-
tému je nutno prstem přes snímač přejet. Toto řešení má dvě výhody – snímá se
větší plocha prstu a je bezpečnější.
Jiná varianta snímačů, která je na trhu dostupná, je postavena na optickém
snímání, které je možné nalézt například u produktů společností Microsoft a APC.
Snímače první kategorie, průtahové, mají výhodu v bezpečnosti, protože jsou
přesnější a je výrazně obtížnější je podvést (nefungují otisky na rukavici
apod.). Zároveň mají díky svým rozměrům a použité technologii velice nízkou
spotřebu, což je rozhodující především pro oblíbená mobilní zařízení.
Notebook R52 nově se snímačem otisku prstů
Po ukončení akvizice divize osobních počítačů IBM společností Lenovo představuje
nově vzniklá společnost notebook ThinkPad R52 s integrovaným snímačem otisku
prstů (u vybraných modelů). Do této doby byl integrovaný snímač otisku prstů
dostupný pouze na vyšších řadách notebooků ThinkPad řady T a X. Uvedením
notebooku Think-
Pad R52 s tímto bezpečnostním řešením se rozšiřuje možnost použití těchto
vyspělých biometrických metod i na noteboocích v nižší cenové kategorii.

Autor článku