Читаем Журнал "Компьютерра" №751 полностью

Все методы защиты данных на флэшках можно разделить на программные, аппаратные и смешанные (программно-аппаратные). Чисто программные позволяют создавать на USB-флэшке скрытый раздел с парольной защитой либо монтировать из хранящегося на нем же зашифрованного файла-образа виртуальный диск. Аппаратный способ подразумевает самодостаточность. Для этого флэшке требуется оснащение собственным чипом (обрабатывающим запросы аутентификации), клавиатурой или сканером отпечатков и (иногда) батарейкой. Программно-аппаратный способ обычно реализуется встроенным в корпус флэшки биометрическим сканером и поставляемым ПО для работы с ним.

Одними из первых USB-флэшек, комплектующихся софтом для создания на них скрытого раздела с парольной защитой, были Transcend серии JetFlash. Сейчас с ними дополнительно поставляется бесплатная утилита TrueCrypt. Поскольку распространяется она с открытым исходным кодом и существует далеко не первый год, считаю, ей можно доверять. Интерес к анализу ее исходников и его плоды видны хотя бы по тому факту, что в конце 2005 года была обнаружена, опубликована и устранена уязвимость, присутствующая в версиях младше 4.0. Эта утилита универсальна и может быть использована с накопителями любого типа и от любого производителя.

Идею разделения памяти флэш-накопителей на две зоны (публичную и приватную) быстро взяли на вооружение и другие производители.

Использовавшаяся мной лет пять назад M.Tec MobileDisk M24 при емкости 256 Мбайт и то предлагала создать два раздела, закрыв один из них паролем.

К сожалению, большая часть программных методов защиты данных на флэшках работает лишь в том случае, если у владельца есть соответствующие привилегии на используемом компьютере. В случае отдельно взятого ПК учетная запись должна принадлежать к группе "администраторы", "опытные пользователи" или "операторы архива". Если речь идет о рабочей станции в домене, то должны быть созданы требуемые разрешения в доменной политике для учетных записей владельцев таких флэшек.

Точнее, требуется хотя бы однократно подключить флэшку и запустить/установить поставляемый для нее защитный софт из-под привилегированной учетной записи на каждом компьютере, где она будет использована (рис. 1).

Возникает такое условие из-за недоступности под гостевым и пользовательским аккаунтом операций, приводящих к изменению системных файлов и настроек (рис. 2).

Доступ к защищенному паролем скрытому разделу непосредственно на флэшке или монтирование виртуального диска из зашифрованного файла-образа на ней же потребует права добавлять дисковые тома, а поддержка биометрики - установить драйвер.

В противном случае вы будете созерцать неактивный дисковый раздел, с которым невозможно работать (рис. 3 - логический диск с буквой I).

Кроме того, штатный софт обычно написан под Windows, а в других ОС можно лишь пытаться запустить его с помощью эмулятора. Автор неоднократно наступал на эти грабли и каждый раз недоумевал - почему сложилась столь странная ситуация? Если человек может войти в некую систему с правами администратора, то он гарантированно имеет техническую возможность обеспечить себе в этой системе приемлемый уровень безопасности другими средствами. Если же он обладает правами обычного пользователя, то смысла переплачивать за флэшку со сканером отпечатков или скрывать дисковый раздел практически нет - без разрешения и помощи администратора воспользоваться дополнительным функционалом не удастся.

Самым опасным (с точки зрения приватности и конфиденциальности) местом, пожалуй, является интернет-кафе [Сейчас я не говорю о публичных WiFi-сетях — там опасностей тоже хватает, но они другие]. Обычно в таком заведении предлагается гостевой вход, не позволяющий ни убедиться в достаточной защите своих данных, ни самостоятельно улучшить ее.

Другой недостаток программных средств защиты данных состоит в том, что они вынуждены работать в неизвестной среде (чужой по отношению к владельцу флэшки операционной системе). Даже если в очередном месте удастся договориться с админом и смонтировать защищенный том с флэшки, на арендованном ПК запросто может оказаться установлен (хотя бы из любопытства) перехватчик клавиатурных нажатий. Им наверняка воспользуются, поскольку сам факт сокрытия данных уже вызовет к ним повышенный интерес. До них постараются добраться если и не в корыстных целях, то из спортивного азарта.