Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

Для таких ситуаций как нельзя лучше подойдет решение с загрузкой эталонного неизменяемого образа из защищенной памяти отчуждаемого устройства. После окончания работы в сессии пользователю достаточно отключить устройство и перезагрузиться, чтобы вернуться к работе с ресурсами основного СВТ.

Это и есть краткое описание доверенного сеанса связи (ДСС), реализуемого, в частности, СОДС (средством обеспечения доверенного сеанса связи) «МАРШ!».

Суть концепции доверенного сеанса связи с точки зрения безопасности заключается в следующем: раз компьютер практически всегда используется в незащищенных сетях и только иногда – в защищенных, значит, нужно добиваться не «тотальной» защиты, что дорого и неудобно, а защиты, при которой защищенные и «опасные» ресурсы разделяются и не могут использоваться совместно.

При этом очевидно, что целесообразность применения «постоянной» защиты или средства обеспечения доверенного сеанса связи прямо пропорциональна тому, сколько данный конкретный компьютер должен использоваться в режиме доверенной среды. Если постоянно или большую часть времени – то его необходимо полноценно, хоть и со значительными затратами, защищать, создавая ИПС, защищая каналы связи и т. д. Если же это короткие сеансы в течение дня – то логично использовать СОДС.

Успешность атаки определяется в том числе временем, в течение которого злоумышленник имеет возможность ее осуществлять. Это математически доказуемое и доказанное положение давно стало общим местом и в результате, к сожалению, дало почву для злоупотреблений, когда несанкционированное использование злоумышленниками ключей, хранящихся в токенах, объяснялось тем, что пользователи слишком надолго оставляли токены подключенными.

Ошибочность этого объяснения настолько очевидна, что его сложно считать именно ошибочным. Однако предпосылки понятны: любая атака требует подготовки, создания условий для ее успешного проведения.

Подготовить условия для проведения атаки в постоянной среде удобнее, чем в среде, создающейся на ограниченное время. Поэтому постоянная вычислительная среда должна быть более устойчивой к воздействиям.

Однако для того, чтобы повысить устойчивость системы, не обязательно непременно повышать устойчивость среды. Альтернатива повышению устойчивости среды к воздействию – повышение устойчивости системы за счет уменьшения периодов времени существования целевой (для хакера) среды.

Вспомним распространенный мотив из детективов и боевиков: для того чтобы засечь место, из которого производится телефонный звонок, специалистам необходимо N секунд. Поэтому тот, кому звонят, старается продержать абонента на связи нужное время, а звонящий – прервать сеанс на (N – 2) – й секунде. После этого можно перезванивать снова: специалистам опять понадобится N секунд, а не только две оставшиеся, так как результат их действий не накапливается, а создается всякий раз с нуля.

Примерно такова и логика ДСС.

Доверенная вычислительная среда создается комплексом средств единожды и на постоянное время и стоит дорого. Доверенный сеанс связи создается многократно по мере необходимости в нем на непродолжительный промежуток времени (сеанс), и средства его обеспечения стоят ощутимо меньше.

Почему же тогда неверна логика кратковременности подключения токенов? Почему ключи успевают попасть в руки злоумышленников даже в тех случаях, когда токены подключаются только для подписания платежки и даже если ключи в них неизвлекаемые?

Принципиальное требование к сеансу, детерминирующее безопасность применения этой технологии, – «обнуление» среды при разрыве сеанса, возвращение ее в исходное состояние. Именно это не дает злоумышленнику возможность накопить результаты воздействий на среду, подготовить условия для проведения атаки. В случае с СОДС это обеспечивается тем, что доверенная среда взаимодействия загружается из раздела памяти Read Only и модифицировать ее можно только во время сеанса связи.

В случае же с токенами среда компьютера постоянна, все необходимые манипуляции с ней злоумышленник может произвести в любое удобное время вне зависимости от того, подключен ли токен. И потом даже предельно кратковременного подключения будет достаточно для того, чтобы доступ к ключам был получен.

Безусловно, возможны атаки и на «МАРШ!» (например, атакой через сеть, так как остальные ресурсы компьютера не поддерживаются средой, загружаемой с «МАРШ!»). Даже если такая атака состоялась, например в доверенную среду попал вирус или была осуществлена попытка «инъекции кода», то после отключения «МАРШ!» от компьютера среда вернется в исходное состояние, так как вирус не сможет записаться в память RO.