Срочная компьютерная помощь
  ua   ru
Ремонт компьютеровРемонт ноутбуковВосстановление информацииКомпьютерная помощьКонтактная информация
Ремонт принтеровРемонт сканеровРемонт мониторовРемонт техникиСети Wi-Fi


  Поиск по сайту:
Главное меню

Бесплатная консультация




Акции




Вызов специалиста онлайн



Статьи и обзоры

7.1. Политика безопасности как фундамент комплексной защиты.Понятие риска

    Зачем нужна информационная безопасность (ИБ), какими средствами ее можно достичьи как с этим связана политика безопасности?

    Информация– это актив, ее можно купить и продать. Любая информационная системапредполагает некий обмен. Здесь и появляются риски.Информацию можно украсть, подменить, сделать недоступной тому, кому онапредназначается. Все эти действия и составляют нарушение информационной безопасности(нарушение трех главных концепций ИБ: конфиденциальности, целостности и доступности).Ключевым понятием в контексте обеспечения информационной безопасности является политика безопасности. Политика безопасности как набор правил и указаний находит своеотражение в документе политики безопасности. Кратко рассмотрим некоторые аспектыприменения политики безопасности в контексте управления предприятием.

    Итак, мы остановились на документе политики безопасности. Прежде всегонеобходимо обратить внимание на следующее (более подробно об управленииинформационной безопасностью можно узнать на страницах международного стандарта ISO17799:2005):

♦ документ политики безопасности (далее – ПБ) должен соответствовать конкретнойсистеме и максимально адекватно отражать правила, указания и нормы, благодаря которымвозможно поддержание ИБ;

♦ документ политики информационной безопасности должен быть утвержденруководством, опубликован и доведен до сведения всех сотрудников и, при необходимости,внешних сторон;

♦ руководству следует назначить роли безопасности, а также координировать иконтролировать внедрение мер безопасности в рамках организации;

♦ руководству следует активно поддерживать безопасность внутри организациипосредством четких указаний, наглядного примера исполнения, точных заданий иутверждения обязанностей по обеспечению информационной безопасности;

♦ политику информационной безопасности следует пересматривать с определенныминтервалом для поддержания ее в адекватном и эффективном состоянии;

♦ система управления информационной безопасностью и ее реализация должныподвергаться независимому аудиту со стороны.Требования к безопасности устанавливаются путем методического определения рисковбезопасности.Как только установлены требования к безопасности и риски, а также приняты решенияпо обработке рисков, следует выбрать и внедрить допустимые средства управления дляснижения рисков до приемлемого уровня.

Управление рисками.Известно, что риск – это вероятность реализации угрозыинформационной безопасности. Анализ риска заключается в моделировании картинынаступления неблагоприятных условий посредством учета всех возможных факторов,определяющих риск.

    ПРИМЕЧАНИЕ

    Более подробно про управление рисками можно узнать на страницахспециального руководства NIST "Risk Management Guide for InformationTechnology Systems".

    С математической точки зрения, при анализе рисков такие факторы можно считатьвходными параметрами. Перечислю эти параметры.

♦ Активы – ключевые компоненты инфраструктуры системы, вовлеченные вбизнес-процесс и имеющие определенную ценность.

♦ Угроза, реализация которой возможна посредством эксплуатации уязвимости.

♦ Уязвимости – слабость в средствах защиты, вызванная ошибками илинесовершенством в процедурах, проекте, реализации, которая может быть использована дляпроникновения в систему.

♦ Ущерб, который оценивается с учетом затрат на восстановление системы возможного инцидента ИБ. Оценка ущерба включает в себя не только калькуляцию прямых убытковвследствие реализации угроз. Удобнее говорить о степени нанесенного ущерба в диапазонеот незначительного до высокого.

    Итак, первым этапом при проведении многофакторного анализа рисков являютсяидентификация и классификация анализируемых входных параметров.Далее необходимо провести градацию каждого параметра по уровням значимости(например, высокий, средний, низкий).

    На заключительном этапе моделирования вероятного риска (предшествующемполучению численных данных уровня риска) происходит привязка выявленных угроз иуязвимостей к конкретным компонентам ИТ-инфраструктуры (такая привязка можетподразумевать, к примеру, анализ риска с учетом и без учета наличия средств защитысистемы, вероятности того, что система будет скомпрометирована ввиду неучтенныхфакторов, и т. д.).

    Рассмотрим процесс моделирования рисков пошагово. Для этого прежде всего обратимсвое внимание на активы компании.

    Активы.Прежде всего необходимо определить, что является ценным активомкомпании с точки зрения информационной безопасности. Стандарт ISO 17799, подробноописывающий процедуры системы управления ИБ, выделяет следующие виды активов:

♦ информационные ресурсы (базы и файлы данных, контракты и соглашения,системная документация, научно-исследовательская информация, документация, обучающиематериалы и пр.);

♦ программное обеспечение;

♦ материальные активы (компьютерное оборудование, средства телекоммуникаций ипр.);

♦ сервисы (сервисы телекоммуникаций, системы обеспечения жизнедеятельности идр.);

♦ сотрудники компании, их квалификация и опыт;

♦ нематериальные ресурсы (репутация и имидж компании).

    Следует определить, нарушение информационной безопасности каких активов можетнанести ущерб компании и в какой мере.Угрозы.Согласно авторитетной классификации NIST, включенной в «Risk ManagementGuide for Information Technology Systems», категорированию и оценке угроз предшествуетнепосредственная идентификация их источников. Так, согласно вышеупомянутойклассификации, можно выделить следующие основные типы угроз:

♦ природного происхождения (землетрясения, наводнения и т. п.);

♦ исходящие от человека (неавторизованный доступ, сетевые атаки, ошибкипользователей и т. п.);

♦ техногенного происхождения (аварии различного рода, отключениеэлектроснабжения, химическое загрязнение и т. п.).Вышеописанная классификация может быть далее категорирована более подробно. Так,к самостоятельным категориям источников угроз, происходящим от человека, согласноупомянутой классификации NIST, относятся:

♦ хакеры;

♦ криминальные структуры;

♦ террористы;

♦ компании, занимающиеся промышленным шпионажем;

♦ инсайдеры.

    Каждый из перечисленных видов угроз, в свою очередь, должен быть детализирован иоценен по шкале значимости (например, низкий, средний, высокий).

Уязвимости.Очевидно, что анализ угроз должен рассматриваться в тесной связи суязвимостями исследуемой нами системы. Задачей данного этапа управления рискамиявляется составление перечня возможных уязвимостей системы и категорирование этихуязвимостей с учетом их «силы».

    Так, согласно общемировой практике, градацию уязвимостей можно разбить поуровням:

♦ критический;

♦ высокий;

♦ средний;

♦ низкий.

    Источниками составления такого перечня/списка уязвимостей могут стать:

♦ общедоступные, регулярно публикуемые списки уязвимостей ;

♦ список уязвимостей, публикуемых производителями ПО;

♦ результаты тестов на проникновение (проводится администратором безопасностивнутри компании);

♦ анализ отчетов сканеров уязвимостей (проводится администратором безопасностивнутри компании).

    В общем случае уязвимости можно классифицировать следующим образом:

♦ уязвимости операционной системы и программного обеспечения (ошибки кода),обнаруженные производителем или независимыми экспертами;

♦ уязвимости системы, связанные с ошибками в администрировании (например,незакрытые межсетевым экраном порты с уязвимыми сервисами, общедоступныенезаблокированные сетевые ресурсы C$, D$и т. д.);

♦ уязвимости, источниками которых могут стать инциденты, непредусмотренныеполитикой безопасности, а также события стихийного характера.

    В качестве яркого примера распространенной уязвимости операционных систем ипрограммного обеспечения можно привести переполнение буфера (buffer overflow). К словубудет сказано, абсолютное большинство из ныне существующих вредоносных программреализуют класс уязвимостей на переполнение буфера.

    Простейшая оценка информационных рисков заключается в расчете рисков, которыйвыполняется с учетом сведений о критичности активов, а также вероятностей реализацииуязвимостей.

    Классическая формула оценки рисков:

R = D • P(V),

где R – информационный риск;

D – критичность актива (ущерб);

P(V) – вероятность реализации уязвимости.

    7.2. Изменяем настройки по умолчанию. Делаем Windows болеебезопасной

    Не секрет, что одним из «факторов слабости» системы Windows являются ее настройкипо умолчанию. Открытые по умолчанию диски, множество непонятно зачем работающихслужб и сервисов.

    Итак, приступим. Основные правила безопасности следующие.

♦ Работаем не от имени администратора (надеюсь, что вы не забыли о том, что"вредоносный код может все то, что могут пользователь и служба").

♦ Отключаем ненужные службы через Пуск ► Панель управления ►Администрирование ► Службы(рис. 7.1 и 7.2).

Рис. 7.1.Службы Windows

Рис. 7.1.Службы Windows

Рис. 7.2.Управление запуском – все интуитивно просто

Рис. 7.2.Управление запуском – все интуитивно просто

    Зачем? Все очень просто. Больше работающих служб (имеется в виду связанных ссетью) – больше открытых портов – выше вероятность, что через очередной из этихоткрытых портов "вломится" червь или вирус.♦ Удаляем "непрошеных гостей" (HelpAssistant и другие "левые" учетные записи) изсписка пользователей (рис 7.3).

Рис. 7.3.Всех «левых» пользователей вон!

Рис. 7.3.Всех «левых» пользователей вон!

    ♦ В пакете SP2 имеется замечательный инструмент DEP (рис. 7.4). Предотвращениевыполнения данных (DEP) используется для предотвращения проникновения на компьютервирусов и других угроз безопасности, выполняющих вредоносный код из областей памяти,которые должны использоваться только операционной системой Windows и другимипрограммами. В отличие от брандмауэра или антивирусной программы, средство DEP непрепятствует установке потенциально опасных программ на компьютер. Однако данноеобстоятельство никоим образом не уменьшает значимость данной службы. Если какая-либопрограмма пытается запустить код (любой код) из защищенной области, DEP закрываетпрограмму и отображает  уведомление. 

Рис. 7.4.Включаем DEP

Рис. 7.4.Включаем DEP

        ПРИМЕЧАНИЕ

    Как было уже сказано выше, говорить о защищенной системе уместно тольков контексте многоуровневой защиты, и это факт. К примеру, тот же DEP легкообходится некоторыми продвинутыми техниками, и даже в том случае, если речьидет об аппаратном DEP!

♦ Последний штрих – включаем отображение скрытых файлов и папок, а такжесистемных файлов, снимаем флажок в параметре Скрывать расширения длязарегистрированных типов файлов(рис. 7.5). «Зачем?» – спросят некоторые из читателей.Ответ на этот вопрос приходит сам собой: достаточно вспомнить, к примеру, вирус KESHA,распространяющийся через флэшки в виде скрытого системного файла в скрытой папкеRecycled.

Рис. 7.5.Эти три нехитрые настройки могут оказаться весьма и весьма полезными

Рис. 7.5.Эти три нехитрые настройки могут оказаться весьма и весьма полезными

    ВНИМАНИЕ

    Некоторые вирусы, распространяющиеся описанным выше способом(KESHA.EXE), дезактивируют настройку отображения скрытых файлов и папок.Выход – удаление вируса из-под чистой среды (например, загрузочный LiveCD).

    Вышеперечисленные правила – отнюдь не исчерпывающее руководство пооптимизации безопасности системы, однако в большинстве случаев их оказывается вполнедостаточно.

    7.3. Как работает система безопасности Windows? Ломаем пароль навход за 28 секунд!

    «Комплексная безопасность. а при чем здесь взлом Windows?» – спросят многие изчитателей. Взлом пароля Windows – это как раз и есть яркий пример успешной атаки, приусловии что:

♦ пользователь работает с правами администратора;

♦ не включена служба DEP (в большинстве из случаев программы взлома, подобныеописанной ниже, инициируют DEP на принудительный останов службы LSASS);

♦ операционная система не имеет свежих обновлений (от этого, между прочим, в рядеслучаев зависит, сработает ли DEP).

    Итак, технология.

    Для хранения и обработки таких атрибутов пользователя, как пароли в операционнойсистеме Windows NT и ей подобных, используется SAM (Security Accounts Manager –администратор учетных записей в системе защиты). SAM размещает всю информацию водноименной базе данных, которая находится по адресу%SystemRoot%system32config.Забегая вперед, необходимо сказать, что именно SAM-файлявляется наиболее ценным трофеем, пропустив который через соответствующую програму,можно получить пароли от текущих учетных записей. Но в данном случае нас в большейстепени интересует не взлом как таковой, а уязвимость, посредством которой «брут» имеетместо быть.

    В операционных системах Windows NT для защиты паролей используются двеоднонаправленные хэш-функции (хэш-функция– алгоритм, используемый для генерациихэш-кодов цифровых объектов, в нашем случае паролей). В Windows-системе присутствуютLM-хэш (Lan Manager-хэш) и NT-хэш (WindowsNT). Наличие двух аналогичных функцийнеобходимо для совместимости со старыми операционными системами. LM-хэш-алгоритмизначально был разработан Microsoft для операционной системы OS/2, он интегрирован вWindows 95/98, Windows for Workgroups и частично в Windows 3.1. Хэш WindowsNT былразработан специально для операционной системы Microsoft Windows NT. На стражеLM-хэша стоит известный алгоритм шифрования DES, NT-хэш держится на алгоритмешифрования MD4.

    А теперь внимание (рис. 7.6)!

Рис. 7.6.Локальный взлом SAM. Понадобилось всего 28 секунд, чтобы взломать пароль из восьми знаков

Рис. 7.6.Локальный взлом SAM. Понадобилось всего 28 секунд, чтобы взломать парольиз восьми знаков

7.4. Побочные электромагнитные излучения

    Говоря о многоуровневой защите, нельзя не упомянуть о таком явлении, как утечкаинформации посредством паразитного электромагнитного излучения.

    Представьте себе такую ситуацию: ваша компания оперирует с информацией закрытогохарактера. На обеспечение надежной защиты информации брошены все силы и вложенызначительные финансовые средства. Однако криптография, разделение доступа и политикабезопасности – все это в одно мгновение может стать совершенно бесполезным. Почему?

    Все началось в 1985 году в Каннах на Международном конгрессе по вопросамбезопасности ЭВМ. Именно тогда сотрудник голландской телекоммуникационной компанииРТТ Вим ван Экк (Wim van Eck), продемонстрировав, с какой легкостью можновосстановить картинку с монитора компьютера, шокировал присутствующих специалистов:используя довольно простое в своем роде устройство, размещенное в автомобиле, он сумелснять данные, источник которых находился на восьмом этаже здания, располагающегося нарасстоянии около ста метров от места перехвата.

    Проблема утечки информации через ПЭМИ (побочные электромагнитные излучения)существовала еще в начале ХХ века, однако серьезно изучением этого феномена начализаниматься в конце 1940-х – начале 1950-х годов. Исследования подобного рода носилизакрытый характер, что неудивительно, ведь все технические ноу-хау всегда прямым иликосвенным образом затрагивали сферу интересов оборонных ведомств. Однако все тайноерано или поздно становится явным, и уже в 1980-х годах количество публикаций на этущекотливую тему начало неуклонно возрастать. ПЭМИ, возникающие при работекаких-либо электронных устройств, обусловлены протеканием тока в их электрических цепях.

    Простейшим примером ПЭМИ на бытовом уровне (очень упрощенно) можно считатьвозникновение индукционных токов в телефонных проводах. Устройством перехвата вданном случае может служить индукционный датчик (например, датчик Холла). Чтобыубедиться в том, что "умная" электроника активно фонит, вовсе не обязательно держать вквартире дорогостоящую аппаратуру, размещаемую в трех огромных чемоданах. Достаточновключить обычный калькулятор и поднести это "чудо техники" к радиоприемнику, настроивпоследний на прием коротких волн.

   Специфика ПЭМИ

    Спектр частот ПЭМИ ПК представлен колебаниями в достаточно широком диапазоне:от единиц мегагерц до нескольких гигагерц. Диаграмма направленности побочногоэлектромагнитного излучения ПК не имеет ярко выраженного максимума, чтонеудивительно: взаиморасположение составных частей ПК (монитор, системный блок,проводники, соединяющие отдельные модули) отличается большим количеством вариантов.Поляризация излучений ПК, как правило, линейная и определяется так же, как и диаграмманаправленности, – взаиморасположением соединительных проводов и отдельных блоков.Следует отметить, что именно соединительные провода, а точнее их плохая или совсемотсутствующая экранировка, являются главным фактором возникновения ПЭМИ. С точкизрения реальной утечки информации, не все составляющие спектра ПЭМИ являютсяпотенциально опасными. Среди всей «каши» ПЭМИ большинство ее составляющих –бесполезные шумы. Именно поэтому для разграничения качества ПЭМИ применяютследующее определение: совокупность составляющих спектра ПЭМИ, порождаемыхпрохождением токов в цепях, по которым передается информация, относящаяся к категорииконфиденциальной (секретная, служебная, коммерческая и т. д.), называютпотенциально-информативными излучениями (потенциально-информативными ПЭМИ).

    Наиболее опасными с точки зрения их последующего перехвата являютсяпотенциально-информативные излучения, генерируемые цепями, по которым могутпередаваться следующие сигналы:

♦ видеосигнал от видеокарты к контактам электронно-лучевой трубки монитора;

♦ сигналы от контроллера клавиатуры к порту ввода-вывода на материнской плате;

♦ сигналы-спутники различных периферийных устройств, считывателей магнитныхдисков и др.

    Вся картина паразитных излучений ПК в основном определяется наличием резонансовна некоторых частотах. Такие резонансные частоты, как правило, различны даже для двуханалогичных ПК. Что это значит для того, кто занимается перехватом паразитногоизлучения? Наверное, то, что существует возможность многоканального перехвата с группымониторов, так как каждая отдельная машина фонит только на своей специфической частоте(имеются в виду максимумы спектра). Как уже было сказано в начале подраздела, наиболееинтересным и опасным с точки зрения перехвата информации источником ПЭМИ являетсямонитор ПК, а также проводники, соединяющие отдельные блоки и модули, периферийныеустройства, устройства ввода/вывода информации и т. п.

    ВНИМАНИЕ

    Будет достаточно уместным привести следующие данные: с дисплея ПК,используя специальную аппаратуру (информация может быть восстановлена и спомощью обыкновенного телевизора (!), но без сигналов синхронизации:изображение при таком способе "съема" будет перемещаться на экране ввертикальном и горизонтальном направлениях; качество приема может бытьзначительно улучшено с помощью специальной приставки – внешнегосинхронизатора), информацию можно снять на расстоянии до одного километра.

Меры защиты

    С точки зрения того, кто занимается перехватом ПЭМИ, сам перехват при наличиисоответствующей аппаратуры технически не представляет собой чего-то фантастического, аесли учесть тот факт, что процесс перехвата не требует активного вмешательства со стороныподслушивающего, сразу же встает закономерный вопрос: как же все-таки можнозащититься от этого вида шпионажа? Есть ли выход и что может предпринять обычныйпользователь, для которого обеспечение конфиденциальности информации может быть также важно, как и для администратора безопасности, обслуживающего целую организацию?

    В странах Западной Европы вопросы защиты электронной аппаратуры (в частности,компьютерной техники) от перехвата информации за счет ПЭМИ и наводок (ПЭМИН)испытывают самое пристальное внимание со стороны соответствующих органов и ведомств.В случае если тестируемое оборудование успешно выдержало все испытания, оно попадает всписок так называемых рекомендуемых изделий и – обратите внимание – не может бытьэкспортировано или продано кому-либо без разрешения американского правительства.Именно так, а не иначе, наши заокеанские соседи относятся к проблеме ПЭМИ. Есть о чемзадуматься и нам…

    Возвращаясь к рассматриваемому вопросу, не без оптимизма хочется заявить, чтосредства противодействия ПЭМИ есть, причем на любой вкус. Что касается обычногопользователя ПК, обеспокоенного утечкой информации, то здесь прежде всего следуетобратить внимание на пассивные методы защиты.

    А именно: имеется в виду электромагнитное экранирование устройств и помещений,где, собственно, и расположен ПК. Эффективность экранировки может обеспечить экран,изготовленный из одинарной медной сетки с ячейкой 2,5 мм либо из тонколистовойоцинкованной стали толщиной 0,51 мм и более. Экранирующие составляющие (листы стали,фрагменты сетки) должны иметь плотный контакт по всему периметру, что обеспечиваетсяэлектросваркой или пайкой. После экранировки стен самое время заняться дверями,обеспечив надежный электроконтакт по всему периметру с дверной рамой, чтообеспечивается применением пружинной гребенки из фосфористой бронзы или другогоподходящего материала, укрепленного по всему внутреннему периметру дверной рамы. Сокнами поступают следующим образом: их затягивают одним или двумя слоями меднойсетки с ячейкой не более 2 х 2 мм, причем расстояние между слоями сетки должно быть неменее 50 мм. Оба слоя должны иметь качественный электроконтакт с прилегающимистенками помещения посредством уже упоминавшейся в тексте гребенки из фосфористойбронзы или другого подходящего материала. Самое главное – экран необходимо заземлить,для чего вполне подойдет сеть центрального отопления.

    Превратив таким образом вашу уютную квартиру в бункер СС, вы все равно необезопасите себя от нежелательных ПЭМИ. Все дело в том, что в процессе работы ПК,помимо "обычных" наводок, возникают квазистатические магнитные и электрические поля,которые достаточно быстро убывают с расстоянием. Но! Такие поля способны вызватьнаводки в проводах, выходящих из жилого помещения (телефонные провода, электрическиепровода и другие варианты). Есть ли выход?

    Конечно же, есть. Для устранения проблем подобного рода рекомендуется провестиэкранировку всех выходящих из закрытого помещения проводов – этим шагом вы сведете кминимуму возможность перехвата не только ПЭМИ ПК, но и других наводок, ослабляющихвашу информационную безопасность. Что же касается активных средств противодействия,то здесь, конечно же, хочется упомянуть о генераторах шумов в диапазоне,соответствующем ПЭМИ. В качестве горячего примера можно привести следующиеустройства.

    Сетевой генератор шума NGS предназначен для подавления подслушивающихустройств и систем передачи данных, использующих в качестве канала передачи сеть 220 В.NGS обеспечивает генерацию шума с гауссовской плотностью вероятности мгновенныхзначений в диапазоне частотного спектра от 300 Гц до 7 МГц. В наиболее частоиспользуемом диапазоне частот от 50 до 500 КГц генератор обеспечивает максимальныйуровень спектральной плотности мощности шумового сигнала. К краям диапазона уровеньспектральной плотности мощности плавно снижается. Помеха подается в сеть 220 В пошнуру питания. Изделие не создает помех устройствам бытовой электроники.

    Купол 4М,помимо задач противодействия техническим средствам разведки, можетиспользоваться для блокировки каналов дистанционного управления радиоуправляемыхвзрывных устройств. Прибор состоит из четырех излучающих модулей, обеспечивающихравномерную амплитудно-частотную характеристику в диапазоне наиболее вероятногоприменения технических средств разведки и диверсионно-террористических устройств. Вближней зоне излучения прибор обеспечивает блокировку работы сотовых телефонов иподслушивающих устройств, работающих с применением каналов систем мобильной связи(GSM, AMPS, DAMPS, CDMA).

    Переносной генератор радиошума «БРИЗ»– изделие относится к средствам активнойзащиты информации и предназначено для защиты объектов информатизации. По принципудействия является широкополосным генератором, создающим маскирующий сигнал вдиапазоне до 1 ГГц мощностью не менее 5 Вт, что обеспечивает:

♦ маскировку побочных электромагнитных излучений от средств обработки, передачи ихранения информации (в первую очередь от персональных компьютеров);

♦ блокировку радиоканалов, используемых устройствами дистанционного снятияинформации мощностью до 5 мВт;

♦ блокировку приемников различных систем дистанционного управления (СДУ) порадиоканалу (СДУ средствами снятия информации и др.).

Генераторы радиошума серии «ШТОРА» предназначены для защиты от утечкиинформации за счет побочных электромагнитных излучений и наводок, возникающих приработе электронных средств обработки, хранения и передачи информации, а также дляпредотвращения несанкционированного перехвата информации с помощью маломощныхрадиопередатчиков.

7.5. Восстановим, а потом удалим навсегда

    «Огромный дядька взмахивает кувалдой, шаг за шагом приводя винчестер в крайненеузнаваемое состояние.»

    "Что это за ерунда?" – спросят многие из читателей. "Это всего лишь факт", – ответиммы вам. Наиболее эффективным способом уничтожения данных (а точнее, носителей сданными) и по сей день остается "комиссия по уничтожению данных".

    В общем, вопрос уничтожения информации стоит особенно остро. Думаю, не стоитвдаваться в подробности, зачем и при каких обстоятельствах бывает необходимо уничтожитьданные, так чтобы до них не смог добраться тот, кому эти данные не предназначены.Согласно мировой практике, для безвозвратного уничтожения данных носитель информацииподвергается многократной перезаписи нулями или единицами в каждый байт секторасогласно стандартам по уничтожению данных. Более продвинутые техники уничтоженияданных предусматривают использование специализированных аппаратных комплексов,"убивающих" данные воздействием мощного электромагнитного излучения на рабочуюповерхность носителя (имеются в виду магнитные носители). В домашних условиях, вслучаях критической необходимости, таким аппаратным комплексом может стать обычнаямикроволновая печь, однако использование прибора не по назначению может привести ктрагическим последствиям.

    Не секрет, что когда мы что-либо удаляем с диска, то удаляется не сам файл, а толькоего заголовок в таблице FAT (File Allocation Table – таблица размещения файлов) или MFT

(Master File Table – для NTFS). Даже файлы, удаленные из корзины, несложно восстановить.И даже в том случае, если вы случайно отформатировали диск, это вовсе не поводрасстраиваться– существует целый вагон и маленькаяте-лежка программ, призванныхвосстановить утраченные данные даже после команды format. Рассмотрим некоторые изпрограмм подобного рода.

EasyRecovery

  Прод кты семейства EasyRecovery (рис. 7.7) представляют собой целый комплекспрограмм для восстановления утраченных данных и поврежденных файлов, а такжедиагностики жестких дисков. С помощью данного пакета возможно восстановление данныхпосле:

♦ случайного удаления;

♦ атаки вирусов;

♦ повреждения из-за отключения или резких колебаний напряжения в электросети;

♦ ошибок в программе;

♦ проблем при создании разделов или загрузке;

♦ неправильного выключения компьютера;

♦ повреждения структуры файловой системы;

♦ форматирования носителя данных или применения на нем программы FDISK.

Рис. 7.7.Так выглядит окно EasyRecovery

Рис. 7.7.Так выглядит окно EasyRecovery

    Пакет включает в себя такие продукты, как базовый инструментарий EasyRecoveryDataRecovery (восстанавливает недоступные, поврежденные или удаленные файлы сразделов FAT и NTFS, с жестких дисков IDE/ATA/EIDE, SCSI, дискет, ZIP и JAZ, а также сдругих носителей. В модуль также включена возможность восстановления документовMicrosoft Word и ZIP-архивов), утилиту для восстановления локальных ящиков электроннойпочты EasyRecovery EmailRepair (восстанавливает поврежденные файлы почтовых программMicrosoft Outlook и Outlook Express, которые доступны, но не открываются. Пакет даетвозможность вернуть удаленные электронные письма из файлов Microsoft Outlook и OutlookExpress, а также восстановить поврежденные файлы Microsoft Outlook Express (DBX) иMicrosoft Outlook (PST & OST), в том числе файлы Outlook, превышающие порог 2 Гбайт),инструмент EasyRecovery FileRepair (восстанавливает поврежденные документы, созданныепри помощи Microsoft Office) и EasyRecovery Professional, в состав которого входитуникальный диагностический инструмент Ontrack Data Advisor, а также расширенныеинструменты для восстановления утраченных данных на жестком диске. С помощью EasyRecovery Professional возможно восстановление на диске более 225 файлов различныхтипов, включая музыкальные MIDI-файлы, файлы звукозаписи, фильмы и многое другое. Втом случае если Windows обычными способами загрузить не удается, пользователиполучают возможность сделать это с предварительно созданной загрузочной дискеты.Программа хорошо показала себя в полевых условиях и не раз выручала в критическихситуациях типа "мы уже все отформатировали".

FinalRecovery

    Это хорошо зарекомендовавшая себя утилита для спасения данных. Поддерживаетфайловые системы FAT12, FAT16, FAT32 и NTFS, восстанавливает информацию на жесткихи флоппи-дисках, которая была удалена из корзины, из командной строки и т. д. Интерфейспрост и интуитивно понятен. В отличие от EasyRecovery, эта программа не стольтяжеловесна (1,22 Мбайт), что имеет свои преимущества.

Dead Disk Doctor

    Программа предназначена для полного или частичного восстановления файлов счастично нечитаемых дисков, дискет или других носителей. Она читает файл блоками по 10Кбайт, и огда устройство (CD-ROM, например) выдает ошибку, размер блока уменьшается в10 раз, попытка повторяется, и так до тех пор, пока блок данных не будет прочитан безошибок. Если размер блока достигает минимума, программа пропускает один байт иначинает чтение со следующего. После удачного прочтения размер блока увеличивается в 10раз и т. д., пока не достигнет максимума – 10 Кбайт.

«Кремация…»

    Как вы уже поняли из первой части раздела, обычное удаление не гарантируетудаление в прямом смысле этого слова – стирается не сам файл, а соответствующая емузапись в таблице разделов. И даже если вы отформатировали диск – его также легковосстановить.

    Для полного и безвозвратного уничтожения данных используются специальныеутилиты – шредеры (от англ. shredder). Смысл их работы заключается в многократнойперезаписи стираемых файлов, что гарантирует невозможность их дальнейшеговосстановления. Рассмотрим некоторые из таких утилит.

    Eraser.Популярнейшая программа для безвозвратного удаления файлов, директорий ичистки следов в свободной области диска методом перезаписи. Имеет несколькостандартных режимов работы (включая стандарты DoD и Гутмана) и позволяет создаватьсвои режимы с произвольным количеством проходов при перезаписи. Для уничтоженияданных Acronis Proof Eraser использует известные национальные стандарты уничтоженияинформации на жестких дисках (например, Российский стандарт ГОСТ P50739-95), а такжеалгоритмы, разработанные авторитетными специалистами по защите информации,многократно превосходящие национальные стандарты. Программа примечательна наличиемпланировщика, благодаря которому процесс очистки диска полностью автоматизирован, атакже freeware-распространением.

    RedBut.Программа представляет собой комплексное решение для защиты информацииот утечки, доступа посторонних, реализует своевременное удаление или шифрованиеконфиденциальной информации в экстренных случаях, заметая следы активностиоперационной системы и пользователя.

    С помощью RedBut можно удалять указанные файлы и папки без возможностивосстановления, а также зашифровывать их современными стойкими криптоалгоритмами.RedBut позволяет очистить множество следов активности системы: файлы журналаприложений Windows, данные в буфере обмена, списки недавно использованныхдокументов, списки часто используемых программ, временные файлы приложений,удаленные файлы в Корзине,а также следы сетевой активности пользователя.

    В заключение хочется привести краткое описание программы Clean Disc Security(рис.7.8).

    Приложение позволяет уничтожить данные одним из четырех вариантов.

♦ Простой вариант (перезапись случайными данными до шести проходов). Может бытьполезен для домашнего использования.

♦ Вариант NIS, согласно правилам "National Industrial Security Program OperatingManual", подразумевает использование более продвинутых техник для уничтожения данных,в частности: место на диске с данными перезаписывается семью подходами, каждый изкоторых включает следующие операции – см. рис. 7.8.

Рис. 7.8.Окно утилиты Clean Disc Security

Рис. 7.8.Окно утилиты Clean Disc Security

    ♦ Gutmann method – уничтожение данных методом Гутмана согласно руководству"Secure Deletion of Data from Magnetic and Solid-State Memory". Gutmann method – наиболеенадежный способ уничтожения данных, применяемый, если высока вероятностьиспользования точной аппаратуры для восстановления данных.

    Как и другие программы аналогичного класса, помимо профессиональногоуничтожения данных, программа позволяет очистить множество следов активности системы.


    Выезд компьютерного мастера в районы: Троещина, Оболонь, Позняки, Теремки, Борщаговка, Шулявка, Дарница, Соломенка, Осокорки, Лесной, Березняки, Подол, Виноградар, Демеевка, Русановка, Лукьяновка, Татарка, Академгородок, Святошино, ДВРЗ, Гончарка, Голосеево, Академгородок, Беличи, Корчеватое, Китаево, Жуляны, Борисполь, Бровары, Вышневе




Ссылки