Гасло дня - безпека
- Частина I. LaGrande
- Частина II. Група Trusted Computing Group і безпеку ПК
- Вбудовані апаратні засоби безпеки
- Безпека за рамками TPM
- Завдання ініціативи Trusted Computing
- Проблеми технологій безпеки
- Переваги та перспективи
- висновки
- Частина III. Безпека в бездротових мережах
- VPN і WEP
- Intel + CheckPoint
- Новий модуль Wi-Fi в Centrino для підвищення безпеки
Олександр Семенов
Частина I. LaGrande
Частина II. Група Trusted Computing Group і безпеку ПК
Вбудовані апаратні засоби безпеки
Безпека за рамками TPM
Завдання ініціативи Trusted Computing
Проблеми технологій безпеки
Переваги та перспективи
висновки
Частина III. Безпека в бездротових мережах
VPN і WEP
Intel + CheckPoint
Новий модуль Wi-Fi в Centrino для підвищення безпеки
Підвищення безпеки комп'ютерів завжди було актуальним завданням, а сьогодні, коли в усьому світі все більше домашніх і корпоративних ПК об'єднуються через Інтернет, ця проблема стала першочерговою, адже підключення до мережі системи є привабливим об'єктом як для випадкових хакерів, так і для професійних злочинців. Крім того, з кожним днем зростає обсяг ділових операцій, що здійснюються через Інтернет.
так, підвищення безпеки є невідкладне завдання, вирішення якої в рівній мірі необхідно і кінцевим користувачам, і компаніям. У зв'язку з цим корпорація Intel зайнялася вивченням зазначеної проблеми з тим, щоб допомогти кінцевим користувачам і підприємствам захистити критично важливі дані.
За даними Інституту комп'ютерної безпеки, лише 15% з опитаних в минулому році 538 компаній не виявили у себе витік конфіденційної інформації, а майже дві третини компаній несуть через подібних витоків фінансові втрати, які оцінюються сотнями тисяч, а іноді і мільйонами доларів. Відповідно до огляду PWC і DTI «Information Security Breaches Survey 2002», британський бізнес щорічно втрачає до 18 млрд. Фунтів стерлінгів через недотримання правил інформаційної безпеки. А стрімке зростання ринку мобільних комп'ютерів і бездротових комунікацій лише посилює цю ситуацію - за оцінками компанії IDC, ринок програмного забезпечення в області безпеки мобільних пристроїв до 2006 року досягне мільярда доларів, хоча в 2001 році він оцінювався всього в 75,3 млн.
За даними Gartner Group, підвищення інформаційної безпеки стоїть на другому місці в списку головних завдань для IT-менеджерів сучасних компаній, при цьому європейський ринок програмних рішень в області IT-безпеки, наприклад, досягне в поточному році позначки в 2 млрд. Дол. У світі в цілому витрати на ПЗ для забезпечення Інтернет-безпеки в 2002 році становили 14 млрд. дол., а до 2006 року на їх частку припаде близько 11% від усіх витрат індустрії інформаційних технологій (за прогнозами IDC). «Комп'ютерна безпека стала однією з найважливіших проблем як для домашніх ПК, так і для корпоративних мереж.
Частина I. LaGrande
фіциальной технологія LaGrande (LT) була оголошена в лютому 2003 року на Форумі Intel для розробників (IDF), що проходив у каліфорнійському місті Сан-Хосе. Більш докладно про LT розповідалося восени 2003 року на Форумах в Сан-Хосе і Москві, а на лютневому IDF 2004 року різним аспектам LT і супутнім рішенням було присвячено відразу кілька доповідей в рамках технічних сесій.
LT - справа майбутнього. Її практична реалізація неможлива без створення принципово нової операційної системи, хоча сама технологія базується саме на апаратних зміни платформи - процесора, чіпсета, відеоприскорювача і ін. Тому користуватися перевагами технології ми зможемо не раніше 2005 року - коли вийде Windows Longhorn (і аналогічні варіанти Linux) , проектована з урахуванням всіх вимог LaGrande.
Основне призначення LT - захист зберігаються на ПК вводяться і переданих даних від шкідливих програм. Intel оцінює ефективність LT як високу, в разі якщо технологія застосовується для захисту від програмних атак (вірусів, троянських коней, атак по локальній мережі), інформація статично зберігається на комп'ютері, а користувач добропорядочен. Дещо менший рівень захисту забезпечується, якщо з даними активно працюють і при цьому відбуваються різні нештатні ситуації (наприклад, втрата харчування під час роботи) або зловмисники мають вільний доступ до нутрощів комп'ютера.
Нарешті, LaGrande практично не здатна захистити від «апаратних» атак, пов'язаних з безпосереднім підключенням до заліза спеціальних пристроїв (наприклад, апаратних «жучків», які записують усі, що вводиться з клавіатури комп'ютера). До речі, від дії людського фактора, зокрема від користувачів, які відключають захист в додатках ними записуючих паролі на папірці, LT теж не рятує.
LT схожа на захищене сховище, де в роздільних відсіках розташовані вимагають захисту дані і працюють використовують їх застосування. Якщо користувачеві потрібно попрацювати з цими даними, він запускає відповідну програму, і якщо він має всі необхідні для цього права - його допускають до роботи з документами. При наявності відповідних ключів програма може відкривати знаходяться там же «сейфи» - зберігають, наприклад, криптографічні ключі, і працювати з будь-якою загальнодоступною інформацією комп'ютера. Програма може зберігати основні дані на жорсткому диску в зашифрованому вигляді, а ключі до неї - в «сейфі». Перебуваючи в «сховище», програма безбоязно розшифровує дані, оскільки ніхто, крім неї, прочитати їх ззовні не зможе. Після закінчення роботи дані знову зашифровуються, зберігаються на диск, а ключі прибираються в сейф. Перебуваючи в цьому сховищі, ви захищені не тільки від «підглядання», а й від різного «силового» впливу з боку інших програм. Технології LaGrande у всьому цьому відводиться роль «цегляних стін» (за термінологією Intel) і інших захисних елементів.
Фактично LT захищає буквально всі аспекти функціонування комп'ютерної системи і вимагає для своєї реалізації змін в архітектурі центрального процесора, контролера пам'яті і контролерів вводу-виводу (AGP і USB), додавання в систему особливого пристрою - модуля TPM (про який ми докладніше розповімо в наступній частині нашій статті), суттєвої переробки BIOS і операційної системи, використання спеціальних відеокарти, клавіатури і миші! За всіма пунктами вже вироблені необхідні специфікації, підтримувані найбільшими учасниками ринку. Intel і AMD забезпечують підтримку LT в своїх процесорах і чіпсетах, Microsoft створює операційну систему New Generation of Secure Computing Base (NGSCB), в альянсі TCG беруть участь NVIDIA, ATI, Phoenix, ALi, SiS і ще два десятка не менш відомих компаній, тому на успіх LT можна сподіватися.
Частина II. Група Trusted Computing Group і безпеку ПК
оскольку рішення проблем безпеки ПК вимагає злагодженої роботи апаратних засобів, операційних систем і прикладного програмного забезпечення, корпорація Intel виступила з ініціативою Safer Computing Initiative, що об'єднала спільною метою безліч постачальників продукції. Однією з ключових складових ініціативи Safer Computing Initiative стало формування спільної групи провідних представників галузі, що отримала назву Trusted Computing Group (TCG).
У створенні TCG - галузевої робочої групи, мета якої полягає в підвищенні безпеки комп'ютерів, - брала участь і корпорація Intel. З моменту свого утворення в 2003 році TCG працює над стандартизацією апаратних і програмних інтерфейсів, що забезпечують взаємодію між різними платформами і підвищують рівень захисту при обміні інформацією через Інтернет.
Вбудовані апаратні засоби безпеки
Група Trusted Computing Group, яка до перетворення в корпорацію носила назву Trusted Platform Computing Association (TCPA), взялася за вирішення складної, важливою і часто суперечливою завдання - забезпечити безпеку персонального комп'ютера без шкоди для його основних переваг - відкритості і гнучкості. TCG приділяє особливу увагу виробленню специфікацій найважливішою складовою загального рішення з безпеки - апаратного модуля Trusted Platform Module (TPM).
Сам по собі TPM не може забезпечити безпеку ПК, але його стандартизація допоможе постачальникам платформ, операційних систем і прикладного програмного забезпечення створювати технологічні компоненти, здатні зробити персональні комп'ютери і здійснюються з їх допомогою транзакції реально захищеними.
TPM - це апаратний модуль, який виконує наступні функції:
• cлужіт безпечним сховищем інформації;
• реалізує ряд криптографічних функцій, виконуваних в захищеному середовищі
• зберігає і повідомляє відомості про цілісність даних.
Поняття довірчих станів можна проілюструвати так: хтось задає вам питання і дізнається, що ви закінчили Московський університет. Оскільки він не любить москвичів, так як сам з Санкт-Петербурга, він вирішує вам не вірити. Однак комусь третьому цієї характеристики буде цілком достатньо, щоб довіритися вам. Іншими словами, технологія не визначає, можна або не можна довіряти системі. Вона тільки намагається гарантувати, що ви отримаєте правдиві відповіді на поставлені запитання. Запитуюча програмний додаток має сама вирішувати, чи достатній отриману відповідь для того, щоб довіряти запитуваній ПК в разі даної конкретної транзакції.
Безпека за рамками TPM
Хоча поява TPM - важлива подія з точки зору безпеки, воно є лише частиною загального рішення щодо підвищення безпеки обчислювальних систем. В даний час основна увага приділяється стандартизації складових TPM, проте на майбутнє Intel передбачає створення клавіатур і графічних підсистем з довірчими станами і поглиблення функцій безпеки процесорів і наборів мікросхем. Корпорація Intel вже займається цими проблемами і найближчим часом планує випустити ряд рішень, в яких передбачені деякі функції такого роду.
Блок-схема TPM
Завдання ініціативи Trusted Computing
Сьогодні група TCG об'єднує безліч компаній - постачальників платформ персональних комп'ютерів, операційних систем і модулів TPM. До складу директорів групи входять представники Intel, IBM, HP, Microsoft, Sony, Sun Microsystems, Seagate, Verisign і AMD. Модулі TPM випускають, зокрема, компанії Atmel, Infineon, National Semiconductor і STMicroelectronics. До теперішнього часу TCG займалася виробленням специфікацій TPM для персональних комп'ютерів.
Уже випущено понад 4 млн. ПК з встановленими TPM версії 1.1 - в основному компаніями IBM і HP. Корпорація Intel теж почала поставки продукції на базі цієї технології. Нещодавно на ринку з'явилася системна плата Intel D865GRH, оснащена TPM версії 1.1 і укомплектована пакетом програмного забезпечення, що забезпечує підвищену безпеку персональної інформації користувача. Одночасно випущена версія 1.2 специфікації TPM і вже почалася розробка модулів TPM, які б відповідали новій специфікації.
Сьогодні, коли розробка TPM для платформ персональних комп'ютерів вже просунулася достатньо далеко, група TCG розширює свій склад і починає розробку специфікацій TPM для стільникових телефонів, кишенькових пристроїв і серверів, продовжуючи реалізацію ідеї світу, де всі пристрої можуть взаємодіяти між собою і повідомляти один одному дані про своє довірчому стані. Також триває робота зі стандартизації протоколів, необхідних для передачі та інтерпретації довірчого стану.
Проблеми технологій безпеки
Технології безпеки даних нерозривно пов'язані з численними соціальними проблемами і питаннями охорони приватної інформації. Сучасні криптографічні технології передбачають, що кожна платформа матиме унікальний ідентифікатор. Однак виникають побоювання, що присвоєний персонального комп'ютера унікальний номер може бути використаний для порушення недоторканності приватного життя і стеження за діями користувача.
Учасники TCG доклали значних зусиль для того, щоб ПК залишився тим, чим він є сьогодні - по-справжньому «персональним» пристроєм. Були прийняті спеціальні жорсткі заходи, покликані забезпечити широкі можливості управління для користувача і захист приватної інформації. Всі ці заходи були реалізовані на рівні конструктивних вимог, а не заднім числом.
Переваги та перспективи
Результати діяльності TCG будуть корисні всім. Кінцевим користувачам необхідні засоби захисту персональних даних без шкоди для таємниці приватного життя. Компаніям потрібна кращий захист даних і корпоративних активів, більш безпечний віддалений доступ і можливості розширення бізнесу завдяки більш захищеним транзакціях.
Постачальники обладнання та програмного забезпечення отримають в своє розпорядження єдину систему надійних засобів безпеки для широкого спектра платформ, здатну спростити організацію транзакцій з великою кількістю клієнтів. Зрозуміло, багато постачальників виграють і від можливості запропонувати ринку нову продукцію з корисними новими функціями і характеристиками.
висновки
Сьогодні, коли більшість домашніх і корпоративних комп'ютерів підключено до мереж, особливої гостроти набуває проблема безпеки даних, що проходять через ці комп'ютери. Все більш актуальною стає необхідність розробки методів і технологій захисту, які не порушували б доступності даних для тих, хто має право до них звертатися, але запобігали б несанкціонований доступ.
Корпорація Intel і інші провідні компанії галузі сформували групу Trusted Computing Group, мета якої - розробити стандарти інтерфейсів апаратних і програмних засобів безпеки, які забезпечили б взаємодія між різними платформами і при обміні даними через Інтернет. Ці стандарти нададуть компаніям галузі і користувачам необхідну основу для розробки рішень в області безпеки, що підвищують захищеність даних.
Частина III. Безпека в бездротових мережах
рясні користувачі, кількість яких постійно збільшується, вимагають можливості безпечного бездротового доступу до своїх даних в будь-якому місці і в будь-який час. Шифрування по протоколу Wired Equivalent Privacy (WEP) виявилося досить уразливим, а отже, захист WEP не може вважатися достатньою. Створення надійної і масштабованої системи безпеки можливо з використанням технологій віртуальних приватних мереж (VPN), оскільки вони забезпечують инкапсуляцию, аутентифікацію і повне шифрування даних в бездротовій мережі.
Продукція корпорації Intel для бездротових мереж підтримує найпередовіші протоколи безпеки в галузі і додаткові функції, такі як WEP, а також 802.1x і фільтрацію MAC-адрес, що в комплексі забезпечує максимальний рівень безпеки, досяжний в наші дні при використанні бездротових мереж. Корпорація Intel співпрацює з іншими лідерами в галузі бездротових комунікацій за допомогою участі в організаціях IEEE і WiFi Alliance для розробки протоколів безпеки нового покоління, таких як SSN і 802.11ic ключем AES і TKIP, що має забезпечити більш високий рівень безпеки при збереженні сумісності зі старими технологіями. Корпорація Intel пропонує різні системи безпеки з усіма поставляються пристроями для створення бездротових мереж, дозволяючи користувачам самим вибрати найкраще поєднання засобів безпеки в кожному конкретному випадку.
VPN і WEP
Мобільність викладацького складу є одним з необхідних умов для досягнення максимальної ефективності функціонування підприємства. Підрозділу IT корпорації Intel вдалося домогтися значного підвищення мобільності 80 тис. Співробітників завдяки застосуванню бездротових технологій. В результаті сьогодні багатьом співробітникам корпорації Intel для роботи з електронною поштою, отримання доступу до Web-ресурсів і загальним документам вже не потрібно підключати свій ПК до мережі за допомогою мережевого кабелю.
Для створення безпечної, цільної і масштабованої бездротової інфраструктури підрозділом IT корпорації Intel було прийнято рішення про використання бездротового стандарту IEEE 802.11b / g в якості єдиного бездротового протоколу. Цей стандарт є засновану на радіозв'язку версію добре зарекомендували себе кабельних мережевих технологій. Він передбачає схожу архітектуру, забезпечує досить високу швидкість передачі даних і значні можливості подальшого розвитку, а також включає технологію забезпечення безпеки WEP (Wireless Equivalent Privacy).
Серйозні вимоги до забезпечення безпеки бездротового зв'язку пред'являються виходячи з самого принципу її здійснення - широкомовної передачі даних всім прийомним пристроїв в межах досяжності. Корпорація Intel вирішила цю проблему шляхом створення шлюзу VPN (віртуальної приватної мережі), використання якого спільно з технологією WEP дозволяє задовольнити найвибагливіші вимоги до безпеки. Сервер VPN, який використовується в якості шлюзу, здійснює аутентифікацію користувачів і виробляє шифрування переданих даних. Технологія VPN також працює з існуючими кабельними мережами і забезпечує єдину структуру для захисту робочого місця користувача. Використання VPN надає мобільним користувачам можливість встановлення з'єднання з потрібною їм мережею, а крім того, дозволяє корпорації Intel домогтися необхідного рівня безпеки.
Intel + CheckPoint
Ще два роки тому корпорація Intel і компанія Check Point Software Technologies (NASDAQ: CHKP) оголосили про укладення довгострокової угоди про спільну роботу над удосконаленням технології віртуальних приватних мереж для підвищення безпеки і простоти доступу до корпоративної мережі користувачам ноутбуків на базі технології Intel Centrino для мобільних ПК .
Рішення для бездротового доступу з високим ступенем захищеності протестовано і готово до впровадження. Системи на базі технології Intel Centrino для мобільних ПК з вбудованими засобами підключення до бездротових мереж різко підвищують популярність мобільних комп'ютерів, і перш за все - серед корпоративних користувачів.
Покращена і пройшла перевірку версія програмного пакета Check Point VPN-1 SecureClient стає дуже корисним доповненням до ноутбука Intel Centrino - це клієнтське ПЗ забезпечує централізований захист як самих мобільних ПК за допомогою персонального брандмауера, так і їх з'єднань з віртуальними приватними мережами. В результаті в системах на базі технології Intel Centrino для мобільних ПК реалізується функція автоматичного запуску цього програмного забезпечення при установці бездротового з'єднання і впроваджена підтримка двухфакторной апаратної ідентифікації за допомогою технології Trusted Platform Module (TPM).
«Check Point об'єднує зусилля з Intel, щоб забезпечити найвищий рівень захисту бездротових мобільних ПК на базі технології Intel Centrino для мобільних ПК наступного покоління, - заявив Гонен Фінк (Gonen Fink), віце-президент Check Point Software Technologies за рішеннями і стратегіям. - Об'єднання мікроархітектури мобільних систем наступного покоління з провідним в своїй галузі клієнтським ПО забезпечення безпеки від Check Point робить провідні та безпровідні мобільні обчислення більш надійними і захищеними, що сприяє збереженню цілісності корпоративних мереж ».
Власники мобільних ПК використовують технологію віртуальних приватних мереж, що забезпечує наскрізне шифрування даних, для того щоб через безпечне з'єднання підключатися до своїх корпоративних локальних мереж через різні чужі мережі, в тому числі через корпоративні мережеві структури і точки бездротового доступу, встановлені в аеропортах, готелях, ресторанах та інших громадських місцях. Метою цієї співпраці є надання комерційним підприємствам додаткових можливостей щодо забезпечення безпеки своїх бездротових локальних мереж та віддаленого доступу до них за рахунок впровадження в їх мережеві архітектури двухфакторной апаратної ідентифікації віртуальних приватних мереж.
«Шифрування віртуальних приватних мереж є надійним способом підвищення ступеня безпеки як дротових, так і бездротових з'єднань, - зазначив Ананд Чандрасехер (Anand Chandrasekher), віце-президент корпорації Intel і генеральний менеджер її підрозділу SMG. - Покращена і пройшла перевірку версія ПО Check Point VPN-1 SecureClient на системах на базі технології Intel Centrino для мобільних ПК з підтримкою TPM дозволить комерційним підприємствам підвищити продуктивність праці завдяки тому, що вони зможуть надати своїм співробітникам можливість здійснення більш безпечного доступу до корпоративних ресурсів з будь-якої точки світу ».
Новий модуль Wi-Fi в Centrino для підвищення безпеки
У серпні минулого року корпорація Intel оголосила про додавання нових можливостей бездротового зв'язку в ноутбуки на базі технології Intel Centrino для мобільних ПК - розширених функцій безпеки і підтримки трьох основних стандартів Wi-Fi, а також нового зручного програмного забезпечення. Новий модуль бездротового зв'язку підтримує роботу в трьох режимах (IEEE 802.11a, b і g), а програмне забезпечення для бездротового зв'язку робить простіше процедуру настройки бездротового з'єднання і роботу в будь-якій мережі стандарту Wi-Fi, забезпечуючи максимальну швидкість передачі даних.
За прогнозом аналітичної компанії Gartner Group, до 2008 року число користувачів точок бездротового доступу в світі зросте до 75 млн. Однак у міру зростання популярності бездротового доступу зростає і стурбованість з приводу безпеки і складності настройки. Корпорація Intel значно поліпшила ключові області роботи в бездротових мережах, що роблять підключення до точок доступу Wi-Fi в стандартних бездротових мережах у всьому світі більш простим і безпечним. Корпорація Intel також співпрацює з такими компаніями, як Linksys, з тим щоб зробити бездротовий доступ більш простим і зручним для споживачів.
«Число мереж Wi-Fi стає дедалі більше, але користувачів хвилюють питання складності підключення до мережі і безпеки, - говорить Джим Джонсон (Jim Johnson), віце-президент корпорації Intel і генеральний менеджер підрозділу Wireless Networking Group. - Розширюючи можливості технології Intel Centrino для мобільних ПК, корпорація Intel робить роботу користувачів більш простий і підвищує рівень безпеки бездротових мереж, дозволяючи компаніям та індивідуальним користувачам повніше використовувати можливості мобільних ПК ».
Щоб захистити кінцевих користувачів і забезпечити безпеку корпоративної інформації, корпорація Intel включила в нову версію технології Intel Centrino для мобільних ПК останні рішення в області безпеки бездротових мереж. Корпоративним користувачам новий модуль пропонує підтримку нового стандарту забезпечення безпеки 802.11i, розробленого фахівцями Інституту інженерів з електротехніки та електроніки, який надає сьогодні найвищий рівень захисту даних. Користувачі корпоративних мереж також можуть використовувати функцію єдиної аутентифікації для отримання доступу до бездротової мережі. Покращені можливості автоматичного пошуку мережі і автоматичного вибору налаштувань безпеки дозволяють будь-яким користувачам вибирати найвищий рівень захисту. В даний час ця технологія передбачає захищений доступ Wi-Fi (WPA) та протокол WEP, а в майбутньому буде підтримувати стандарт WPA2.
Мережеві адаптери Intel PRO / Wireless 2915ABG є останнім доповненням до технології Intel Centrino для мобільних ПК, що включає процесор Intel Pentium M, набір мікросхем Intel 855 і мережевий адаптер Intel PRO / Wireless. Технологія Intel Centrino для мобільних ПК надає інтегровані функції бездротового доступу до мережі, забезпечує тривалий час автономної роботи, можливість створення легких і зручних ноутбуків і найвищу продуктивність мобільних пристроїв.
КомпьютерПресс 4'2005