вторник, 28 октября 2008 г.

“Ну да, конечно”, или не полагайтесь на средства защиты сверх меры. Часть 8.

Контроль доступа.

image «Мы установили лучшую систему контроля доступа, самую дорогую систему видеонаблюдения и наняли лучшее охранное агентство для обеспечения физической безопасности»

Вау!!! Круто. Нет, правда. Я тоже хочу такие. Только что толку? Карточки доступа оставляются на рабочих местах, потому что заботливая душа подперла уже давно дверь кирпичом. Охранник курит каждые 10 минут (а курение в офисе запрещено, потому он, как законопослушный гражданин бегает через все здание на улицу…).

А система видеонаблюдения ничего никуда не пишет, увы. И даже не просматривается. Вывод: в лучшем молоке оборудовании не всегда таится лучшая защита.

Биометрия

Сканеры отпечатков пальцев, сетчатки глаза и прочие средства биоаутентификации являются, увы, так же малым утешением. Да, их все труднее и труднее обмануть, но… Есть одно маленькое но. Трудно это сделать, имея крайне ограниченные сроки, нежелание разломать ноутбук, на котором хранятся защищенные данным средством данные и не хочется, чтобы кто-то догадался, что произошел взлом. Короче, от любопытных домочадцев или еще более любопытных сослуживцев. На худой конец, от случайного воришки, для которого ценность самого ноутбука неизмеримо выше, чем стоимость данных на нем. Но от злоумышленника, который целенаправленно «увел» именно Ваш ноутбук (а потому уже давно владеет Вашими отпечатками пальцев – это несложно, если оно ему нужно), обладает определенными временными, финансовыми и техническими ресурсами, а главное – головой…. От такого вора эти технологии не спасут. Просто потому, что ему не нужно будет сохранять целостность устройства, а потому он может обманывать не датчик, который обмануть моет быть и впрямь не просто, а те imageустройства и программы, которые сверяют полученный от устройства сигнал с зашитым образцом. И это уже будет, возможно, намного проще. Я уже не говорю о возможности просто подключиться к винчестеру, если он не зашифрован и просто удалить эту систему защиты нафиг… Или даже просто прочитать данные.

Остается, правда, одна область, в которой биометрия очень даже поможет и указанные мной «уязвимости» ни на что в этой ситуации не влияют – стационарные пункты доступа к информации и/или пропускные пункты – тут уже особо не поразбираешь ничего.

Ссылки на публикации серии.
Часть 1: вводная
Часть 2: антивирус
Часть 3: Firewall
Часть 4: SSL
Часть 5: VPN + обновления
Часть 6: процедуры и регламенты + принцип наименьших полномочий
Часть 7: резервное копирование
Часть 8: контроль доступа и биометрия
Часть 9: шифрование
Часть 10: UAC

Комментариев нет: