С ростом популярности ноутбуков вопросы их безопасности и защиты приобретают все большее значение. Традиционно для стационарного ПК "общецелевого" назначения решение этих проблем и противостояние угрозам безопасности заключается в своевременном обновлении антивирусных баз данных, периодическом резервном копировании системы, использовании паролей при входе в систему или при включении компьютера, использовании прокси-серверов и "файрволов" при работе в сети, своевременной установке заплаток, обновлений ОС и программного обеспечения (в основном, это связка Windows + Internet Explorer + Outlook + MS Office).
Ноутбуки также нуждаются в подобной защите. При этом следует принимать во внимание их специфику, которая предопределяет необходимость поиска новых решений для обеспечения их безопасности.
Можно выделить три направления, по которым осуществляется комплексная защита ноутбука и данных, которые на нем хранятся.
- Физическая безопасность ноутбука и его компонентов.
- Безопасность данных (бэкап, шифрование, идентификация пользователя)
- Сетевая безопасность и Интернет
Рассмотрим проблемы безопасности ноутбуков с точки зрения характера информации, которая на нем хранится. Если данные представляют большую ценность, то правильнее использовать классический подход и рассматривать методы решения по принципу "что произойдет, если информация будет полностью утеряна, временно недоступна или станет попадет к другим лицам (скомпрометирована)".
Физическая безопасность
Первое направление на 90% учитывает специфику ноутбука, которая отличает его от традиционного ПК. Мобильность лэптопов во много раз увеличивает вероятность их физического повреждения, потери или кражи, влекущих за собой безвозвратную потерю как самого ноутбука, так и данных, хранящихся на нем. Соответственно, в рамках решения проблемы физической безопасности и развиваются несколько подходов, предусматривающих тот или иной вариант развития событий.
Существует ряд устройств, препятствующих непосредственной краже ноутбука либо позволяющих облегчить его поиск в дальнейшем. К ним относятся:
- замок Кенсингтона - самое простое, распространенное и дешевое устройство. При помощи металлического тросика ноутбук крепится к тяжелому стационарному предмету или объекту;
- различные виды сигнализации - это может быть сигнализация, срабатывающая при перемещении ноутбука, удалении его из определенной зоны и т.д.
Облегчить поиск украденной модели помогает и специальное ПО, которое в случае выхода с украденного ноутбука в Интернет сообщит данные о себе в соответствующие организации либо свяжется для этих целей с ближайшим хот-спотом.
Понятно, что подобное ПО, установленное на уровне ОС, будет работать до тех пор, пока злоумышленник не переустановит систему или полностью не заменит жесткий диск. Однако есть и специальное ПО уровня BIOS, например, TheftGuard от компании Phoenix, которое связывается с веб-сайтом TheftGuard и сообщает номер телефона, с которого осуществлен выход в Интернет и другую подобную информацию, уже без привязки к ОС.
Следующее направление - это защита ноутбука или его наиболее важных компонентов (например жесткого диска, экрана, инвертора) от физических повреждений. Самый распространенный и эффективный способ защиты при переноске - использование специальной сумки для ноутбука. Хорошая сумка эффективно защитит мобильный ПК как от внезапного дождя, так и от случайного падения. (Подробно о сумках для ноутбуков рассказано в обзоре "Сумки для ноутбуков: производители, характеристики, типы защиты")
Повышенной устойчивостью к механическим повреждениям обладают так называемые "защищенные" модели - целый класс ноутбуков, изготовляемых в ударопрочных корпусах, со специальными покрытиями экранов и влагонепроницаемыми клавиатурами. Эти модели существенно дороже обычных ноутбуков и применяются в основном в промышленности или армии.
У большинства пользователей нет необходимости иметь такой ноутбук, однако в некоторых случаях важно иметь дополнительные гарантии безопасности и сохранности информации. Для этих целей разработаны специальные методы защиты жестких дисков от повреждений, используются водозащищенные виды клавиатур, а также различные амортизирующие устройства и защитные покрытия.
Пожалуй, основное внимание уделяется защите жесткого диска, так как он является основным хранилищем информации, стоимость которой может в несколько раз превышать стоимость самого ноутбука. В то же время сложность конструкции жесткого диска, прецезионность работающей в нем механики требует очень бережного и аккуратного отношения к нему, что идет в разрез с концепцией мобильного компьютера.
Проблема защиты винчестеров от ударов и вибрации существует достаточно долгое время, и так же актуальна для жестких дисков, используемых в обычных компьютерах. Компании-производители уже давно разработали и применяют ряд технологий, повышающих надежность жестких дисков для обычных ПК. Однако в винчестерах для ноутбуков эта проблема проявляется гораздо острее и имеет свою специфику.
В обычном ПК вероятность повреждения винчестера велика лишь во время транспортировки и во время монтирования; в процессе эксплуатации жесткий диск подвергается меньшей опасности. В ноутбуке же винчестер может подвергаться сотрясениям и ударам даже во время работы.
Основными специфическими методами защиты винчестеров в ноутбуках являются использование специальных демпфирующих прокладок, гасящих колебания, специальных шасси для их крепления и принудительная парковка головок винчестера при падении ноутбука или резких перемещениях.
Последний метод требует небольшого пояснения. В выключенном состоянии или когда считывающие головки винчестера припаркованы, т.е. отведены от пластин с записанной на них информацией в безопасную зону, жесткий диск может выдержать в несколько раз более существенное внешнее воздействие (удар или падение ноутбука), чем во включенном состоянии. Процесс парковки включается по команде сенсора обнаружения ускорения, например, когда ноутбук начинает падать со стола.
Если удар произошел во время считывания данных, когда головки находятся над пластиной, происходит их удар о пластину и, как следствие, ее физическое повреждение. Естественно, от сотрясения страдают и другие компоненты винчестера: подшипники и т.д.
К сожалению, в некоторых случаях подобная система защиты оказывается зависимой от типа ОС, используемой с ноутбуком. Например, технология IBM Active Protection System требует наличия специального ПО, работающего только под Windows XP или Windows 2000. Соответственно, такая защита не работает в период, когда компьютер загружается или выключается, когда он находится или переходит в режимы сна.
Вполне вероятно, что в недалеком будущем подобные технологии перейдут на уровень самих жестких дисков.
Безопасность данных
Второе направление защиты - обеспечение безопасности данных, хранящихся на ноутбуке. Чем больше мобильные компьютеры приближаются по своим возможностям к десктопам, тем больше проявляется тенденция к использованию ноутбука как единственного и основного компьютера. В то же время мобильность и портативность ноутбука значительно увеличивают риск кражи или повреждения по сравнению с десктопом. В связи с этим задачи безопасности и сохранения данных выходят на новый уровень.
Чем ценнее информация, хранящаяся на ноутбуке, тем выше необходимость ее защиты от несанкционированного доступа. Для большинства пользователей наиболее вероятны проблемы потери данных, связанные с кражей (потерей) ноутбука либо с его повреждением или поломкой.
В соответствии с классическим подходом - что будет, если информация будет полностью утеряна, временно недоступна или будет доступна другим лицам - можно выделить два подраздела: защита данных от несанкционированного доступа - как более профессиональный вид защиты и резервное копирование и восстановление информации - как последнее средство, позволяющее вернуть утерянную информацию.
Для наглядности, представим небольшую блок-схему:
Рассмотрим эти блоки по порядку. Защита данных от несанкционированного доступа состоит из нескольких ступеней:
- авторизация пользователя;
- идентификация системы;
- шифрование данных;
- защита каналов передачи данных.
В большинстве случаев для обычного пользователя достаточно грамотно использовать обычные методы авторизации, чтобы надежно защитить свою информацию. Пароли на включение и жесткий диск, также пароль на ОС - это все, что нужно, чтобы посторонний человек не смог воспользоваться вашим ноутбуком. (Правильный пароль должен иметь длину не меньше определенного числа символов и состоять из букв разных регистров, цифр и других знаков.)
При защите корпоративной информации гарантии безопасности должны быть более высокими. Здесь используются более сложные и надежные системы идентификации, и, следовательно, более дорогие: смарт-карты, USB-ключи, биометрические сенсоры (в ноутбуках применяются в основном считыватели отпечатков пальцев).
Однако смарт-карта или USB-ключ - это предмет, который должен быть c вами всякий раз, когда вы пользуетесь ноутбуком. При таких методах защиты возникает проблема хранения и потери ключа, а также необходимость наличия и хранения дубликата.
За последнее время появилось очень много моделей ноутбуков со считывателями отпечатков пальцев. По большей части это корпоративные модели таких брендов, как IBM, HP/Compaq, Toshiba, Fujitsu и т.д. В случае использования биометрической идентификации появляются дополнительные преимущества - отпечаток пальца невозможно украсть и очень сложно подделать, кроме того, он всегда с вами.
К одной из наиболее важных характеристик подобных систем, основанных на идентификации биометрических данных, относится вероятность ложного срабатывания (используется также термин False Match Rate - кол-во фальшивых распознаваний). К сожалению, найти соответствующие цифры для сенсоров, используемых в ноутбуках, не удалось. Поэтому приведем в качестве примера для сравнения цифры, известные для похожих устройств.
Для "промышленных" ридеров используемых в системах безопасности, возможности которых значительно превосходят модели устанавливаемые в ноутбуках, эта характеристика оценивается цифрой порядка 0,0001%.
Также существует такой параметр, как False Reject Rate - вероятность того, что устройство не распознает ваш отпечаток. Для предотвращения такой проблемы можно понизить порог чувствительности сенсора, но этим самым снижается и безопасность.
За последние несколько лет произошел серьезный скачок в развитии биометрических сенсоров и их миниатюризации. Очевидно, что производители подобных устройств активно ищут новые рыночные ниши, предлагая эти устройства на рынок ноутбуков, сотовых телефонов, КПК и другой техники.
В качестве информации к размышлению приведем две цитаты:
Первая - это абзац из FAQ на сайте IBM по считывателю отпечатков пальцев:
"What happens if the integrated fingerprint reader breaks? Will I be able to get into my computer?
If the integrated fingerprint reader is not available, prompts for fingerprint can be by-passed, sending the user to a user id/password prompt. If the user is protecting data with Client Security Software, it will be necessary to use the Client Security Software administrative tool to change the policy to remove the requirement to use the fingerprint reader. Once that is done, normal use can proceed without the fingerprint reader. "
(Чем грозит поломка встроенного считывающего устройства отпечатков пальцев?
Если сенсорное устройство сломалось и им нельзя воспользоваться, то эта процедура будет пропущена и пользователю будет предложено ввести свое ID и пароль. Если данные пользователя защищены Client Security Software, то ему необходимо будет воспользоваться настройками управления, чтобы отменить процедуру сверения отпечатка пальца. После отмены этой операции использование ноутбука осуществляется без считывающего устройства.)
Т.е. есть способ перейти к стандартной процедуре логин/пароль в обход авторизации через считыватель отпечатков.
Вторая цитата - из блога пользователя, подчеркнуто наиболее интересное.
A NEW LINE OF MICROSOFT FINGERPRINT readers for Windows XP, including a stand-alone USB scanner ($64, $84 bundled with a mouse) and a version built into a keyboard ($104), will push optical reader technology into the consumer mainstream. Oddly enough, the software tells you that the reader is intended to be used for convenience, not security - a warning that I suspect will be heeded as much as the one on the Q-tips box that tells you not to stick swabs in your ears. When you start up your PC after installation, it invites you to register one or more fingers by touching the pad four times. After that, you log in simply by touching the pad. If the computer has more than one user, Windows checks the fingerprint to pick the right account. Once logged in, you can use the Password Manager software for additional log-ins. If, say, you want to visit Travelocity, you touch the fingerprint pad and the software automatically forwards your password to the Web site.
(Новая серия считывающих устройств отпечатков пальцев для Windows XP включающая в себя отдельно используемый USB-сканер (по цене $64 и $84 вместе с мышью) и устройство, встроенное в клавиатуру ($104) в скором времени перейдет в разряд мейнстрима. Странен тот факт, что ПО утверждает, будто считыватель предназначен не для защиты, а для удобства пользования… Когда пользователь начнет работу на своем РС после инсталляции ПО для считывателя, ему потребуется представить 1 или более отпечатков пальцев, дотронувшись до сканера четыре раза. После этого вход в систему осуществляется просто посредством считывания отпечатка. Если на компьютере работает несколько пользователей, Windows проверяет отпечаток пальца, чтобы выбрать надлежащую учетную запись. После входа в систему вы можете воспользоваться Password Manager для установки пароля. В этом случае после сверения отпечатка пальца система автоматически запрашивает пароль для доступа к определенному вебсайту. )
Одним из важнейших вопросов является хранение паролей и идентификационной информации на компьютере. В обычной системе пароли в зашифрованном виде хранятся на жестком диске пользователя. Однако наиболее безопасным является способ независимого аппаратного хранения этих данных и по проведению операций над ними, так чтобы доступ средствами ПК к ним был невозможен. Идентификация пользователя должна выполняться до загрузки ОС.
В портативных компьютерах в последнее время активно внедряются так называемые TPM-модули (Trusted Platform Module). С их помощью в определенной степени и реализуется данная идея. Разработкой этой концепции занимается международная организация Trusted Computing Group, объединяющая такие компании, как Microsoft, Toshiba, HP, IBM, Intel, AMD и др.
Интересно вспомнить, для чего разрабатывалась эта концепция с самого начала. В связи с принятием в США закона DMCA о защите авторских прав, компании-разработчики и компании-правообладатели стали продвигать идею "хардварного" контроля за соблюдением прав пользования цифровым контентом и ПО. Таким образом, основная идея использования TPM-модуля состояла в аппаратной криптографической защите цифрового контента и проверке ваших прав на его воспроизведение. Иными словами, в установке контроля над вашей машиной со стороны соответствующего владельца копирайта.
Эта инициатива встретила решительный отпор со стороны общественных организаций; позже к ней было привлечено внимание государственных структур. В 2003 году деятельность этой группы изучала комиссия Евросоюза, и сейчас основной упор в предназначении TPM-модуля перенесен на обеспечение безопасности данных пользователя. ТPM-модуль представляет собой микросхему, установленную на материнскую плату ноутбука или компьютера. На рисунке проиллюстрирована его структура:
В TPM-модуле могут храниться ваши пароли, цифровые сертификаты и ключи, с его помощью можно шифровать отдельные папки и файлы, а также можно создать логический зашифрованный диск размером до 2 Гб. Основные производители этих устройств - это компании Infineon, National semiconductor, Broadcom, Atmel. Фирма Microsoft, один из членов Trusted Computing Group, заявила о поддержке TPM-модулей в будущих версиях Windows.
На данный момент есть мнение, что целесообразность использования TPM-модулей несколько сомнительна: на деле шифрование данных пользователя происходит программным способом, обращение к TPM-модулю также осуществляется программно. Все, что это устройство пока может - это хранить криптографические ключи в зашифрованном виде.
Следующий метод обеспечения безопасности данных - шифрование. Если ноутбук украден, а информация строго конфиденциальна, то шифрование не позволит злоумышленнику воспользоваться хранящимися данными.
Шифрование данных относится к методам профессиональной защиты информации. Однако вместе с увеличением уровня безопасности данных, которое оно дает, шифрование имеет ряд подводных камней, которые следует иметь в виду, прежде чем принять решение о его использовании.
К недостаткам шифрования данных можно отнести то, что оно использует системные ресурсы и место на накопителях, увеличивает вероятность потери данных, а также ставит проблему хранения ключа (как программного, так и в виде USB-брелка или смарт-карты).
Для обычного пользователя имеет смысл применять шифрование только в частных случаях, например, при пересылке корреспонденции по электронной почте.
Одна из обязательных операций, которые должен проводить любой пользователь ПК это резервное копирование данных или "бэкап". Это средство максимально эффективно позволяет избежать безвозвратной потери данных, как в случае утери или кражи ноутбука, так и в случае его повреждения. Термин "бэкап" является калькой с английского "back up", дословно "запас".
В зависимости от интенсивности накопления данных, требующих "бэкапа", следует установить периодичность процедуры. Проводить "бэкап" следует только на другой носитель, а возможность восстановления данных со скрытого раздела на жестком диске в значительной степени уменьшает полезный эффект от этой процедуры и исключает ее наиболее важную возможность - восстановление данных при потере лэптопа или его окончательной поломке.
Обычному пользователю стоит потратить некоторое время на изучение процедуры бэкапа и настроить ее под себя: выбрать файлы или каталоги, которые должны регулярно сохраняться (если вместо этого каждый раз "бэкапить" весь жесткий диск, это займет слишком много времени и ресурсов) и установить периодичность этой процедуры, например, один раз в три дня, и делать полный архив жесткого диска раз в месяц.
Стоит также учитывать, что данные бэкапа необходимо хранить с той же степенью безопасности, что и основные, чтобы злоумышленник не смог получить к ним доступ.
Итак, если ноутбук не хранит чрезвычайно важной информации, то вам нужно использовать доступ по паролю и делать регулярные "бэкапы". Это позволит восстановить информацию в случае кражи или повреждения ноутбука и избежать внимания ваших соседей к вашей личной информации.
Если ноутбук используется для профессиональной деятельности и информация, хранящаяся на нем, имеет большую важность, то появляется необходимость использовать другие методы ее защиты. Их применение требует от пользователя соответствующего уровня квалификации и аккуратности в использовании.
Сетевая безопасность
Подавляющее большинство персональных компьютеров и ноутбуков в настоящее время подключены к локальным сетям (как проводным, так и беспроводным). Также зачастую они используются для выхода в Интернет. Задачи безопасной работы в сети являются для ПК и ноутбуков общими и решаются одинаково.
Пожалуй, единственное отличие ноутбука от ПК заключается в том, что ноутбуков, оборудованных модулями беспроводной связи, гораздо больше, чем обычных ПК с такими же функциями. Свойство мобильности ноутбука подразумевает и большие возможности подключения: к WiFi можно подключаться в кафе или даже в аэропорту. Поэтому на этом пункте мы остановимся подробнее.
Перечислим основные средства защиты ПК при работе в сетях и Интернете:
- сетевые экраны firewall;
- VPN - виртуальные защищенные сетевые соединения;
- Network Intrusion Prevention - обнаружение вторжения;
- антивирусы;
- antiSpyWare;
- антиспам;
- использование шифрования при WiFi соединениях;
- интернет эксплорер и переключение между профилями;
Рассмотрим эти пункты более подробно.
В комплекте с Windows XP есть встроенный firewall. Однако он нуждается в определенной настройке и требует от пользователя некоторых знаний, что идет в разрез с концепцией Microsoft о простоте использования этой ОС. Не понимая сути своих действий и просто нажимая "ок" в появляющихся диалоговых окнах, пользователь может легко его разблокировать.
"Антиспамы". При работе с электронной почтой можно использовать специальные фильтры, или "антиспамы". При этом стоит помнить, что подобные программы всегда имеют определенный процент ложных срабатываний - среди отфильтрованных писем может оказаться важное сообщение. Кроме того, антиспамы могут блокировать всплывающие окна в браузере, не пропускать рекламные баннеры и т.д.
Антивирус. Наличие любого, даже работающего "на автомате", антивируса дает положительный результат, при учете, что антивирусные базы регулярно обновляются.
Беспроводные соединения. Для WLAN-сетей очень актуальны вопросы безопасности и защиты передаваемых данных, так как для их перехвата в общем случае достаточно просто оказаться в зоне действия сети. Защитить беспроводную сеть от утечки информации можно только с помощью шифрования.
Изначально стандарт 802.11 предусматривал аппаратный протокол шифрования данных WEP (Wired Equivalent Privacy - защищенность, эквивалентная беспроводным сетям), основанный на алгоритме шифрования RC4. Однако в скором времени было обнаружено, что защищенную с его помощью сеть довольно легко взломать. Основная слабость данной технологии заключалась в статичности ключа шифрования, поэтому даже увеличение длины ключа (64, 128 или 256 битное) не решало проблему.
На смену WEP пришла новая технология WPA (Wi-Fi Protected Access), главной особенностью которой является шифрование данных с динамическими изменяемыми ключами. Однако и она подвержена взломам. На сегодняшний день самыми надежными считаются устройства, поддерживающие стандарт 802.11i (WPA2) - их пока взломать не удалось.
Мобильность - главное, что отличает ноутбук от стационарного компьютера, поэтому возможно возникновение ситуации, когда вы его используете на работе - с одним уровнем безопасности и настройками доступа к вашим файлам, и дома - с совершенно другими. Т.е., необходима возможность настройки и переключения разных профилей.
Итоги
Подведем общий итог наших рассуждений о безопасности и защите ноутбуков.
Все перечисленные меры предосторожности невольно наталкивают на мысль о том, что для обеспечения безопасной работы на ПК обычному пользователю приходится знать большое количество информации. При этом вполне закономерным является вопрос о возможности создания комплексных и в то же время простых в использовании систем защиты, корректно работающих вместе.
На текущий момент такие комплексные решения предлагаются некоторыми ведущими производителями ноутбуков. Зачастую за разными маркетинговыми определениями скрываются одни и те же технологии и методы защиты, общие по отрасли.
Так, в том или ином виде защиту жесткого диска предлагают все производители ноутбуков. Приведем таблицу с маркетинговыми названиями их технологий защиты HDD:
| Защита жесткого диска | IBM | IBM Active Protection System (APS) - технология защиты жесткого диска. Принцип действия заключается в обнаружении резких перемещений корпуса в пространстве с помощью установленного на материнской плате акселерометра. При большом ускорении подается сигнал о необходимости немeдленной парковки головок. IBM сравнивает идею с автомобильными мешками безопасности, защищающими пассажиров при аварии и уверяет, что ноутбуки с IBM Active Protection System защищены от ударов в 4 раза лучше, чем без этой технологии.
Hard Disk Drive Shock Absorbe - еще одна технология защиты винчестера от повреждений -, по заявлениям IBM, улучшает защиту жесткого диска на 30%. |
| Toshiba | Для защиты винчестера при ударах, вибрации или падениях используется технология Toshiba Shock Protection: "трехосный акселерометр определяет ускорение в любом направление и освобождает головку жесткого диска (она не соприкасается с его поверхностью)". Помимо этого, винчестер окружен ударопоглощающим материалом, действующий как угловой амортизатор | |
| HP/Compaq | Жесткий диск некоторых моделей ноутбуков HP и Compaq защищен от ударов и вибрации системой HP Mobile Data Protection. По словам производителя, при применении системы риск потери данных снижается в два раза. | |
| Acer | Защита жесткого диска ряда моделей обеспечивается технологией DASP (Disk Anti Shock Protection). | |
| Apple | Компания оснащает свои ноутбуки технологией защиты от падений: компенсаторы сотрясений и датчики движения. |
Такие свойства ноутбука, как мобильность и портативность многократно увеличивают возможность его кражи, потери или повреждения. В силу своей стоимости портативный компьютер является привлекательным предметом для похищения, следовательно, в физическую защиту ноутбука стоит вложить определенную сумму денег. В большинстве случаев достаточно хорошей сумки (желательно, без лейбла производителя ноутбука, демонстрирующего наличие дорогого лаптопа) и тросика с замком Кенсингтона.
Кроме того, для защиты данных необходимо производить регулярные "бэкапы", которые нередко спасают положение благодаря предусмотрительно сохраненной копии важного отчета или диссертации на обычном CD-RW диске.
На BIOS, жесткий диск и на включение системы необходимо поставить пароли. Для людей, не хранящих на диске секретную информацию, этого вполне достаточно. Если же данные строго конфиденциальны, то в этом случае возможно использование TPM-модуля, идентификации по отпечатку пальца или с помощью смарт-карты. При этом необходимо помнить, что шифрование осуществляется средствами ОС и может быть подвержена взлому, а если система откажется распознавать ваш отпечаток, вы не получите доступа к собственной информации.
В заключение приведем небольшую сводную таблицу с ценами на те или иные защитные устройства или ПО.