SecurAccess
Основной проблемой современного Интернета является аутентификация. Именно обман процедуры аутентификации и лежит в основе большинства хакерских атак, в которых злоумышленники выдают себя за легальных пользователей. При этом не всегда помогают даже такие средства аутентификации как специальные устройства (токены), которые генерируют одноразовые пароли. Они не очень удобны в использовании, поскольку их нужно иметь под рукой для прохождения процедуры аутентификации. Однако, как показывает практика, и на них так же могут быть организованы атаки. Примером может служить атака на систему дистанционного банковского обслуживания нескольких банков, которая началась со взлома производителя токенов RSA.
В то же время практически у всех пользователей современных технологий удаленного доступа есть устройство, которое привязано жестко к пользователю — это его мобильный телефон. Сейчас он постепенно превращается и в средство аутентификации пользователей. В России все контракты мобильных операторов именные и привязаны к паспортам, что позволяет по номеру мобильного телефона в случае необходимости определить его владельца. Именно эту особенность мобильного телефона и использует компания SecurEnvoy, разработавшая продукт SecurAccess для аутентификации пользователей в различных веб-системах с помощью мобильного телефона.
Телефон как имя
Компания предлагает систему, которая позволяет аутентифицировать пользователя по номеру телефона. Продукт состоит из сервера, который рассылает одноразовые пароли на мобильные телефоны предварительно зарегистрированных пользователей. При этом у пользователя проверяется знание постоянного пароля для входа в систему аутентификации Windows. Для этого продукт интегрируется с такими службами каталогов как Microsoft Active Directory, Novell E-Directory, Sun Directory Server и OpenLDAP, а сама процедура аутентификации выполняется по протоколу Kerberos. Дополнительным фактором защиты может служить PIN-код для снятия блокировки самого телефона, который вообще не передаётся по сетям и его знает только владелец телефона. Одноразовый пароль служит для подтверждения регистрации данного телефона в системе. Таким образом, систему можно отнести к классу двухфакторных с привязкой к телефону. SecurAccess интегрируется с большинством серверов удалённого доступа и веб-службами, включая Microsoft OWA, Citrix, Juniper, Cisco и многими другими. Устанавливается он на любой существующий сервер Microsoft Windows 2003 или 2008, поддерживающий виртуальные среды, такие как VMware и Microsoft Hyper-V. Причем может работать и в условиях нестабильной сотовой связи — в одном SMS может передаваться до 3 кодов-паролей. Использование их последовательно пользователю можно получать в три раза меньше сообщений. Кроме того, есть режим получения временных ключей со сроком действия один или несколько день — они хорошо подходят для временного персонала. Причем у пользователя есть возможность получить временный пароль с помощью веб-интерфейса или по электронной почте.
Технология, реализованная в SecurAccess, предназначена для построения систем удалённого доступа, решая наиболее сложную для них проблему двухфакторной аутентификации. Причем она проще в использовании, чем традиционные аппаратные устройства — для её применения пользователям достаточно стандартных мобильных телефонов. Кроме того, она может оказаться дешевле. Токены стоят определённых денег, да к тому же ими нужно управлять, для чего приходится разворачивать специальные приложения. В то же время при потере токена этот факт может обнаружиться не сразу, а для его замены нужно приобретать новый токен, приходить к системному администратору и прописывать его в системе.
В то же время стоимость решения с использованием мобильных телефонов зависит от лицензии на само ПО и цены SMS, которая постоянно снижается. Аппаратная же часть системы — мобильные телефоны — находятся вообще в собственности пользователя, и он за них отвечает самостоятельно. Кроме того, сам пользователь следит за тем, чтобы мобильный телефон был постоянно доступен и в случае потери может легко восстановить номер. При потере телефона пользователь может восстановить его номер самостоятельно, не обращаясь к системному администратору, но к собственному оператору или зарегистрировать новый номер телефона — в любом случае нет необходимости физического присутствия пользователя при регистрации устройства.
Поскольку для генерации одноразовых паролей используется не хеширующая функция, но действительно случайные числа, то и не существует начального вектора инициализации, как в аппаратных устройствах. Поэтому от надёжности защиты производителя, как это произошло с RSA, работа механизма не зависит. При этом регистрация в системе может быть дистанционной и легко контролироваться компанией по спискам контактных телефонов сотрудников, клиентов или партнёров. Безопасность системы зависит от защиты сервера, которую можно сделать достаточно надёжной. Для взлома механизма аутентификации хакеры должны перехватывать канал между корпоративной сетью и мобильным оператором, что сделать достаточно трудно, или же получить контроль над мобильным телефоном жертвы.
Аутентификация по мобильному телефону может пригодиться для систем дистанционного банковского обслуживания, различных платёжных приложений и любых систем удалённого доступа к наиболее ценным корпоративным ресурсам. В частности, подобная процедура защищает от действия троянских программ, которые работают на компьютере и не в состоянии синхронно контролировать еще и мобильный телефон сотрудника. Защититься же от троянцев на мобильном телефоне достаточно просто — использовать простые телефоны, которые только и умеют, что получать SMS-сообщения.
Кроме того, аутентификация с помощью мобильных телефонов хорошо подходит для защиты облачных приложений. Продукт SecurEnvoy работает в виртуальных средах VMware и Microsoft Hyper-V, что облегчает его использование в облачных приоложениях. Поэтому его можно использовать для усилиения безопасности облачных вычислений — именно это и является сейчас основной проблемой для внедрения облаков. Надёжная аутентификация в облаке является ключевой задачей при построения системы защиты распределённых приложений.
Также на основе данного сервера безопасности работает несколько продуктов SecurEnvoy, каждый из которых может найти своё место в инфраструктуре компании. Так надёжная аутентификация во время чрезвычайных ситуаций может быть выполнена с помощью продукта SecurICE, восстановление паролей через мобильный телефон можно организовать с помощью продукта SecurPassword, а для передачи защищенных сообщений можно воспользоваться продуктом SecurMail.
Итак, рассмотрим их более подробно…
SecurPassword
Этот продукт позволяет пользователям обновить пароль. Для этого достаточно, чтобы пользователь системы ввёл на момент регистрации не только свои регистрационные данные, но и номер мобильного телефона. В случае, если свой старый пароль пользователь забыл или он был скомпрометирован, пользователь запускает на сайте специальную процедуру восстановления пароля, которая инициирует пересылку SMS-сообщения на заранее зарегистрированный мобильный телефон. В сообщении содержится временный пароль, который просто гарантирует, что процедуру проходит зарегистрированный пользователь с указанным номером телефона. При этом пользователь может сменить временный пароль на любой другой.
Пересылку временного пароля можно инициировать и в том случае, если пользователь неправильно ввёл пароль несколько раз. Если это был легальный пользователь, то он в результате может успешно пройти процедуру аутентификации. Если же это была попытка подбора пароля, то легальный пользователь очень быстро получит предупреждающее сообщение и должен будет сообщить об этом факте администратору системы. Таким образом, продукт можно использовать не только для восстановления пароля, но и как средство защиты от подбора. Следует отметить, что использовать подобную систему стоит не для собственных сотрудников, а для регистрации сторонних пользователей. Пароли являются не самым надёжным, но самым дешёвым средством аутентификации, поэтому когда пользователей предполагается иметь тысячи, то лучше использовать обычные пароли с возможностью их обнуления по мобильному телефону — именно для этого предназначен продукт SecurPassword.
SecurICE
В некоторых случаях все-таки стоит использовать аппаратные устройства аутентификации — это может быть указано в требованиях безопасности или в том случае, когда система с токенами уже была развёрнута. Для надёжной аутентификации также могут использоваться сертификаты. Однако эти системы достаточно сложны и могут выходить из строя. Например, что делать, если аппаратный идентификатор потерян или корневой сертификат дискредитирован. В этом случае система становиться беззащитной, что могут использовать нападающие. Они же могут и спровоцировать подобную ситуацию для проникновения внутрь системы.
Чтобы защититься от подобных активных методов нападения компании стоит предусмотреть надёжный метод аутентификации на время восстановления штатной работы системы защиты. В этом случае также может помочь аутентификация по мобильному телефону. В частности, именно для этих целей компания SecurEnvoy предлагает продукт SecurICE. Его активирует системный администратор в случае аварийной ситуации с штатной системой надёжной аутентификации. Сервер безопасности рассылает всем пользователям, затронутым аварией, одноразовые пароли для временного доступа. В результате, система не совсем теряет защиту, но переходит в другой режим безопасности, исследовать который заранее злоумышленники не могут.
Этот продукт пригодится тем компаниям у которых есть внедрённая система надёжной аутентификации. Поскольку она достаточно дорога, то пользуются ей обычно наиболее ответственные сотрудники, такие как системные администраторы и руководство. Именно для них и стоит предусмотреть надёжную аутентификацию на случай аварийной ситуации, чтобы нападающие, которые её спровоцировали, не могли ей воспользоваться.
SecurMail
Безопасные системы передачи сообщений существуют достаточно давно, однако в них всегда есть проблема передачи ключа дешифрования новому пользователю. Для этого приходиться использовать схемы распределения ключей через сертификаты или общие секреты. Однако есть способ лучше — доставлять ключи дешифрования на мобильный телефон. При этом также можно использовать платформу безопасной аутентификации, разработанную компанией SecurEnvoy. Именно этим и занимается продукт SecurMail, который обеспечивает шифрование сообщений и рассылку паролей для их дешифрования на мобильный телефон. Правда, для шифрования и дешифрования сообщений нужно установить специальный программный компонент. Подобное программное решение может пригодиться практически любой компании для защиты своей внутренней переписки, а также общения с наиболее важными контрагентами.
Заключение
Компания SecuiEnvoy разработала удобную технологическую платформу для более надёжной аутентификации с использованием мобильного телефона. При этом в компании могут пригодиться практически все продукты на базе этой платформы. Так SecurPassword можно использовать для смены и восстановления пароля посетителей сайта, SecurAcces — для организации доступа собственных сотрудников, а SecurICE — для поддержки системы надёжной аутентификации, которая должна быть развёрнута для защиты наиболее важных пользователей, таких как руководство или системные администраторы. Ну, а безопасный обмен шифрованными сообщениями с помощью SecurMail может пригодиться любым компаниям для защиты наиболее важной почтовой переписки. Скачать бесплатную пробную 30-дневную версию продуктов можно на сайте официального дистрибьютора в России — компании TopSecurity.
