Защита КПК на платформе PocketPC

Впервые опубликовано в журнале «Upgrade» №159 (2004 г).

В этой статье мы поговорим о вероятно самом «модном» в настоящий момент направлении IT-индустрии: безопасности и сохранности данных. Несомненно, для владельцев карманных компьютеров эта тема должна представлять повышенный интерес. Ведь наладонник по определению сопровождает своего хозяина в дороге, в которой, как известно, может случиться всякое. А подчас мы доверяем своему КПК если уж не секретную, то, как минимум личную и конфиденциальную информацию. Вряд ли вам понравится мысль, что некий незнакомый дядя, нашедший, или, мягко выражаясь, взявший без спроса карманный компьютер будет рыться в ваших личных заметках, адресах и телефонах. Я предлагаю ознакомиться с некоторыми программами для платформы PocketPC, призванными защитить ваши данные от посягательств посторонних. Конечно, если информация, которая хранится на вашем КПК, заинтересует более-менее серьезных товарищей, то никакие ухищрения не помогут ее скрыть. Но, по крайней мере, случайный человек, без спроса завладевший вашим наладонником останется ни с чем (к сожалению, кроме наладонника, конечно).

Антивирусные программы
Начнем традиционно с антивирусов. Сразу хочу успокоить обладателей КПК на платформе PocketPC. По официальной информации, сообщенной мне представителем всем известной «Лаборатории Касперского», в настоящее время не зарегистрировано ни одного случая появления вирусов для PocketPC. Тем не менее, той же «Лабораторией Касперского», наряду с не менее уважаемой компанией McAfee (продукт McAfee VirusScan Wireless) и компанией Trend Micro (продукт PC-cillin for Wireless) выпускается антивирус Kaspersky Security для PDA. На кого же ориентированы данные программы, и за что производители хотят получить свои деньги? В основном, эти антивирусы предназначены для тех, кто использует свой наладонник в качестве хранилища конфиденциальной информации, и для переноски файлов между персональными компьютерами. При этом вы можете быть уверены, что никакой зараженный вирусом для «большого» компьютера файл не пройдет через КПК. Надо заметить, что в том же Kaspersky Security, функция антивируса по заявлению «Лаборатории Касперского» вторична по отношению к функциям шифрования данных.

На мой взгляд, использование такого комплексного решения, учитывая ограниченный объем ОЗУ наладонника не всегда оправдано, тем более, если за него просят деньги. Криптографические функции обеспечиваются целым рядом бесплатных программ, которые будут рассмотрены ниже, и возможно вам вполне хватит их функций. Те же, кто все-таки решит испытать решения от «Лаборатории Касперского», могут купить версию Kaspersky Security для PocketPC 2000/2002, или принять участие в бета-тестировании усовершенствованной версии для PocketPC 2003.

Закрываем доступ к КПК
Рассмотрим методы ограничения доступа ко всей информации и программам, хранящимся на вашем карманном компьютере. Тех, кто еще только раздумывает над покупкой КПК, и заранее беспокоится о его защите, я отсылаю к одной из врезок — возможно, вам понравится идея аппаратной защиты наладонника.

Начнем со свободно распространяемой программы Softava LogoLogin. У нее есть и платный вариант, отличающийся только возможностью смены интерфейса и заставки. По security-возможностям версии программы аналогичны. В бесплатной версии, как я уже сказал, присутствует ограниченное число вариантов заставки. Наиболее приемлемой мне показалась версия с логотипом в виде Российского флага.

[Картинка]

Первым делом перед установкой программы необходимо отключить все сторонние программы аналогичного назначения и встроенную функцию парольной защиты. Далее, установив соединение с настольным компьютером через ActiveSync, запустите «экзешник» на исполнение. После того, как программа установится в память КПК, вам потребуется сделать «горячий» рестарт. Когда наладонник перезагрузится, нажмите Start > Settings. В разделе Personal добавляется новая иконка LogoLogin. Щелкните по ней, и введите алфавитно-символьный или численный пароль. Далее — самое интересное. Вы нажимаете кнопку Picture Code. Вам будет показана картинка, на которой Вы должны выбрать одну определенную точку, и нажать на этой точке стилусом. Теперь каждый раз при включении КПК вам будет предложено нажать стилусом в том же самом месте на появившейся картинке вместо ввода пароля. При двух неверных попытках программа уберет рисунок и предложит ввести системный пароль.

Намного более продвинутая программа, выполняющая аналогичную функцию — защиту вашего КПК при включении — это NiceStart от Tran Creative. Взгляните на скриншот, и вам сразу станет ясно, почему ее разработчики желают получить около десяти долларов за каждую копию программы.

[Картинка]

Установка аналогична предыдущей программе. Там же, в Start > Settings следует искать иконку с настройками программы. Защита осуществляется по паролю или при помощи нажатия комбинаций аппаратных кнопок наладонника. Имеются функции ведения логов входа на КПК, блокировка после нескольких неудачных попыток ввода пароля и большой набор функций по выбору оформления экрана логина. На сайте доступен для свободного скачивания редактор тем и демо-версия программы.

Следующая утилита подобного класса, о которой хотелось бы упомянуть — CardPass V1.0 for PocketPC2002/2003, которую можно скачать с домашней странички. Программа бесплатна и имеет достаточно оригинальную концепцию. В качестве пароля доступа к вашему наладоннику в данном случае будет выступать карточка памяти типа Compact Flash или SD. Установка CardPass несколько отличается от установки двух вышеописанных программ. После того, как вы скачаете дистрибутив, который весит всего лишь восемь килобайт, разархивируйте его на настольном компьютере. В результате вы получите файл CardPassv10.cab. Теперь необходимо перенести его на ваш КПК. Я надеюсь, вы знаете, как это сделать. Но если вам до сих пор приходилось устанавливать только программы, снабженные инсталлятором, а весь обмен файлами заключался в синхронизации с Outlook, то поступите так: установите соединение между настольным компьютером и наладонником; разверните ActiveSync и нажмите кнопку Explore. При этом в открывшемся окошке проводника вам будет доступно содержимое памяти карманного компьютера. Теперь вы можете из второго окна проводника с разархивированным Cab-файлом просто перетащить его мышкой в первое окошко. Далее на КПК запустите проводник, найдите папку, куда вы скопировали CardPassv10.cab, и щелкните стилусом по файлу. После окончания установки, перезагрузите КПК. Не забудьте, что перед установкой программы необходимо отключить встроенную защиту по паролю. Для того чтобы настроить авторизацию на вашу конкретную флэшку, вставьте ее после перезагрузки, проследуйте в Settings > Personal > CardPass, выберите карточку, задайте пароль и таймаут. Необходимо заметить, что защита от записи на флэш-карте должна быть отключена. Теперь можно сохранить изменения, и вытащить свою флэшку. С данного момента — единственный способ получить доступ к КПК после выключения или «софт»-ресета, это — «холодный» рестарт карманного компьютера.

Шифрование данных
Теперь перейдем к классическому способу защиты информации, а именно к шифрованию файлов. Говоря о криптографических программах, логично было бы начать с де-факто стандарта при использовании шифрования с открытым ключом — программы PGP.

Немного истории. В 1991 году ныне известный всему компьютерному сообществу американец Филип Зиммерманн (Philip Zimmermann) публикует в Сети исходники программы шифрования с открытым ключом, обеспечивающей частному лицу уровень защиты информации класса разработок государственных спецслужб. Что такое шифрование с открытым ключом, я думаю рассказывать не надо — эта технология сейчас используется повсеместно, и если вы даже ничего не слышали о ней, легко найдете всю необходимую информацию в Интернете. Надо сказать, Зиммерманн опубликовал программу не из альтруистических соображений, а в связи с тем, что коммерческое использование PGP тогда было невозможно, о чем Филипу прямо заявили «компетентные органы». И вот тогда-то программист и решился выложить исходники в Сети, что превратило его в своеобразного американского диссидента. Зиммерманну пришлось защищаться, и при помощи общественности пять лет спустя было закрыто уголовное дело по обвинению в «незаконном экспорте вооружения» (под это определение попадают и криптоалгоритмы) против Филипа, которое было возбужденно Таможенным комитетом США. В итоге Фил приобрел ореол «борца за права человека», а мы получили отличную программу.

В настоящее время существует как коммерческая версия PGP, так и свободно распространяемая OpenPGP, на основе которой и написан пакет Pocket GnuPG (скачать утилиту можно по этому адресу). Нужно сказать, что данная программа является консольной и работает в среде PocketConsole, которую можно скачать там же. Работа с Pocket GnuPG полностью аналогична работе с OpenPGP на настольном компьютере, и я не вижу смысла подробно ее здесь рассматривать. В Интернете существует большое число инструкций, в том числе на русском языке, и я отсылаю читателя к ним. Краткую же справку по командам всегда можно получить, запустив Pocket GnuPG с ключем «-h». Напоследок скажу, что также существует и коммерческая версия.

Теперь перейдем к чисто «покетным» криптографическим программам.

[Картинка]

Надо также отметить, что на сайте разработчика существует аналогичная версия Sentry 2020 для персональных компьютеров. Таким образом, вы можете создавать защищенные тома на КПК, работать с данными и перекидывать сразу весь диск в зашифрованном виде на персоналку, и наоборот. Замечу, что программа платная. В том случае, если она вам не понравится, можно скачать конкурента Sentry 2020 примерно с теми же возможностями — CryptoStorage. Вернемся к программам, работающим на уровне отдельных файлов.

Первый кандидат на установку — бесплатная и, соответственно, с достаточно слабой криптографией и 16-битным ключом шифрования (на основе MD5) утилита TEA v1.0.1. «Весит» она около 16 килобайт, что можно отнести к ее плюсам. Устанавливается утилита при помощи cab-файла непосредственно с карманного компьютера.

Следующая программа с «дьявольским» названием Lucifer 1.2 — посерьезнее. Функции те же самые, что и у предыдущей программы, но используется алгоритм шифрования DES, согласно стандарту FIPS PUB 74. Распространяется утилита бесплатно и с открытыми исходными кодами. Устанавливается Lucifer через cab-файл. Обратите внимание при установке программы на версию, которую будете копировать на «наладонник». В дистрибутив входят четыре cab-файла. Для всех новых КПК ставьте тот, в названии которого есть ARM — по архитектуре процессора.

Ну, и на последок дам еще две ссылки на утилиты шифрования. Бесплатная SWM File Crypto 1.0 (Прим. ред.: в момент публикации статьи на handy.ru программа была недоступна для загрузки с домашней страницы разработчика и с других файловых серверов) и «шароварная» Crippin 1.6. Пожалуй, всех вышеназванных криптопрограмм, работающих на уровне файловой системы вам вполне хватит, чтобы защитить свои файлы от несанкционированного доступа.

Закрывая тему, скажу, что помимо специальных решений для шифрования, существуют и интегрированные. Например, при помощи известного файлового менеджера Resco Explorer 2003 можно шифровать файлы по пяти алгоритмам: RC2 и RC5 (128-битный ключ), DES (56-битный ключ), 3DES TWO KEY (112-битный ключ), 3DES (168-битный ключ).

[Картинка]

Защищенное хранение структурированной информации
Конечно, можно хранить номера своих кредитных карточек и пароли в текстовом файле, а сам файл зашифровать с помощью одной из программ предыдущего раздела. Такое решение представляется мне в меру удобным. Но к счастью, разработчики программ для карманных компьютеров уже задумались о такой возможности и облегчили управление и защищенное хранение критической информации на КПК.

Первая программа этого класса, о которой мне хотелось бы упомянуть, программа Passman 1.0. Основные ее особенности: freeware (то есть даром); криптография с 512-битным ключом; функции импорта и экспорта в «файл, с данными, разделенными запятыми» — .csv, который очень удобно выгружать и закачивать в «большие» приложения, например, в ту же базу данных или электронную таблицу; ограниченное только памятью вашего карманного компьютера число записей в программе; автогенератор паролей; анализ стойкости сохраняемых в программе паролей; поиск по базе; поддержка как PocketPC 2002, так и 2003.

[Картинка]

Установка Passman проходит по стандарту: скачиваете дистрибутив, распаковываете zip-файл и запускаете на настольном компьютере setup.exe. После того, как программа установится на КПК, ее следует искать в Start > Programs. Внешний вид Passman представлен на рисунке. Первый раз вас пустят в программу без пароля. Для закрытия базы с пин-кодами, паролями и так далее, после того как вы ее заполните, необходимо зайти в пункт меню Tools > Encrypt Database. Там вам будет предложено ввести пароль, который будет защищать всю информацию. Таким образом, вместо десятка секретных комбинаций букв и символов, достаточно будет помнить всего одну. Кроме того, обратите внимание на пункты меню Database > Import Database и Database > Export Database. Это как раз и есть возможность импорта/экспорта через cvs-файл.

После знакомства с бесплатной Passman, посмотрим на коммерческую версию подобного ПО в лице eWallet 3.1. Программа стоит около двадцати долларов, но на сайте разработчика также доступна и тридцатидневная пробная версия. После того как вы запустите программу, сразу убедитесь, что разница между Passman и eWallet более чем заметна. Начнем с того, что коммерческая программа использует промышленный стандарт шифрования RC4 со 128-битным ключем. Также программа имеет модуль синхронизации с настольным компьютером. Кроме того, интерфейс значительно отличается в лучшую сторону. Программа изначально содержит около тридцати шаблонов различных кредитных карт, карточки настроек Интернета и так далее. Причем каждая форма отличается своим графическим оформлением. Само собой, имеются и средства экспорта данных.

Программа очень хорошая, но, как я уже писал — платная. Правда есть одно маленькое «но». Если у вас не более пяти кредитных карточек, информацию о которых вы хотите сохранить на своем КПК, то можно воспользоваться бесплатной версией eWallet, полностью идентичной коммерческой. Но, еще раз напоминаю, с ограничением в пять карт и без возможности синхронизации с настольным компьютером.

[Картинка]

Из программ аналогичного назначения также можно упомянуть PassBase Password Manager for PocketPC. Положительного об этой утилите, пожалуй, можно лишь сказать, что она бесплатна. На этом ее достоинства заканчиваются, хотя со своими задачами она вполне справляется. Однако попробуйте, и кто знает, может быть, ваш выбор остановится именно на ней.

Еще один «хранитель паролей» — CodeStore v1.0.0. Программа вполне может составить конкуренцию предыдущей и, на мой взгляд, выглядит несколько приятней. Единственное требование — наличие .Net Compact Framework, установленной на PocketPC 2002, либо PocketPC 2003 без всяких дополнений.

Для полноты картины кратко перечислю, указывая характерные особенности, еще несколько платных программ подобного назначения. Цена на данные продукты варьируется в пределах от трех до пятнадцати американских дензнаков.

ckdWallet. Аналог eWallet, однако, субъективно, первая программа мне понравилась больше. Также имеется десктопная часть и синхронизация с настольным компьютером. Несколько неудобно реализовано редактирование шаблонов: в виде редактирования текстового файла.

My Passwords. Больше всего похожа на Passman, но с 128-битным шифрованием и экспортом информации не только в CVS, но и HTML, а также в формат Word.

Password Plus. Очень мощная программа, но и дорогая, если вы решите ее честно приобрести — выложите четверть сотни долларов. Доступна чуть ли не для всех мобильных платформ, 128-битное шифрование, двадцать пять шаблонов и двести пятьдесят категорий, различные виды экспорта/импорта/бэкапа, а также печать записей непосредственно с КПК.

Несколько выбивается из этого ряда программа Pocket Privacy. В отличие от вышеперечисленных утилит она не шифрует, а прячет ваши данные. С ее помощью вы можете контролировать видимость папок, ярлыков, событий календаря, заметок и целых групп контактов.

Все под контролем!
Если вы профессионально работаете с информационными системами, то наверняка знаете, какую роль в решении проблем с функционированием или при выяснении причин и последствий несанкционированного вмешательства в работу программы играют лог-файлы, ведущиеся приложением или операционной системой. Для пользователей КПК, желающих полностью контролировать все происходящее с их машинкой, существуют программы, добавляющие данную функциональность и карманному компьютеру. Рассмотрим две из них.

Во-первых, на том же сайте, где мы брали Passman есть бесплатный плагин для экрана Today (аналога «Рабочего стола» настольного компьютера) — FSWatcher. Настроив и поместив его в удобном вам месте поверх фонового рисунка, вы получаете своеобразного Цербера, следящего за активностью файловой системы наладонника. В случае выполнения каких-либо операций, как то: копирование, переименование, удаление файлов, и тому подобное, вы моментально получите на Рабочем столе (придерживаясь терминологии «больших» компьютеров) КПК соответствующее сообщение. Далее вы можете щелкнуть по сообщению стилусом, и получить на экране подробности произведенной операции. Если вы уверены в том, что рано или поздно для платформы PocketPC появятся вирусы, то тогда эта программка для вас.

Вторая программа не бесплатна, но, пожалуй, стоит своих денег. По адресу: www.valksoft.com можно скачать утилиту System Security Monitor, удостоившуюся Best Software Award 2003 от буржуйского журнала PocketPC Magasine. На сайте предлагается для ознакомления полностью функциональная в течение семи дней демо-версия. Что же предлагает данная программа? Как оказалось, достаточно много полезных вещей. При размере всего в шестьдесят килобайт, она включает в себя системный монитор, отслеживающий запущенные в фоновом режиме процессы, менеджер процессов, механизм оповещения о событиях, происходящих в системе, ведение логов и хранение их в сжатом виде. Кроме того, программа не перестает функционировать и после «софт»-ресета, продолжая методично записывать все происходящее с вашим карманным компьютером.

И последнее. Вы, вероятно, знаете об утилитах для настольного компьютера под управлением Windows, позволяющих следить за изменениями в реестре и его состоянием. Аналогичная программа существует и для платформы PocketPC. Здесь вы можете загрузить утилиту CeRegSpy registry access monitor for WindowsCE. Ставьте утилиту, а потом анализируйте ее логи.

Врезка 1. Аппаратная защита в HP iPAQ 5000-й серии
Говоря о программных методах защиты информации, нельзя также забывать и об аппаратных. Конечно, вам не удастся навесить на уже существующий, не оборудованный специальными устройствами наладонник какие-либо security-устройства, за исключением, пожалуй, внешних флэшек с защитой по паролю. Но если вы только собираетесь приобрести карманный компьютер, то, возможно, вам стоит обратить внимание на iPaq 5000-й серии от HP. Это новый HP iPAQ H5550 и, снятый уже с производства, HP iPAQ H5450. Помимо продвинутых характеристик эти карманники оборудованы биометрическим устройством идентификации по отпечатку пальца владельца. На практике это выглядит так. Вы заранее в настройках КПК задаете соответствующий режим авторизации и настраиваете «наладонник» под себя (до пяти вариантов отпечатков пальцев — рекомендуется все пять раз использовать один и тот же палец для всех вариантов). При этом отпечаток вашего пальца будет играть роль пароля в момент включения компьютера. Если отпечаток не принимается системой авторизации, то единственный выход — «холодный» старт КПК. Само собой, при этом все ваши секретные данные теряются, и злоумышленник получает «голый» компьютер с очищенной памятью, сброшенной настройкой на отпечаток пальца хозяина и обнуленным iPAQ File Store. Отзывы об этой технологии, надо сказать, весьма противоречивы. Требуется определенный навык, чтоб компьютер распознавал вас с первого раза. Кроме того, пользователи отмечают долгое время «разогрева» КПК после включения питания до готовности считать отпечаток вашего пальца.

Врезка 2. Софт для КПК
Несколько номеров назад, я уже приводил список сайтов, на которых вы можете поискать программное обеспечение для своего мобильного помощника. Этот список был ориентирован в основном на системных администраторов, и состоял из англоязычных сайтов. Сейчас же, несколько изменив его в соответствии с тематикой статьи, и добавив софт-каталоги Рунета, я счел нужным привести его еще раз.

www.freewareppc.com — только свободно распространяемое (не обязательно с исходниками) ПО для наладонников платформы PocketPC.

www.pocketpcfreewares.com — критерий отбора программ и утилит для этого софтохранилища аналогичен предыдущему.

www.pocketgear.com — самый большой сайт с программным обеспечением для карманных компьютеров. В основном представляет собой интернет-магазин платного софта, но есть демо-версии и freesoft.

www.pocketpccity.com — аналог предыдущего сайта.

tucowspda.rinet.ru — раздел, посвященный КПК на русском зеркале «Двух коров».

soft.handy.ru — «Зоопарк ручных компьютеров». Статьи, софт, обзоры.

www.hpc.ru/soft — большой каталог программ с русскоязычными описаниями.

www.ladoshki.com — еще один известный русскоязычный портал.

www.winceware.ru — русскоязычный каталог программного обеспечения для PocketPC с описаниями.

Врезка 3. Резервирование информации
Важной составляющей вашей стратегии защиты данных карманного компьютера должна стать практика регулярного резервного копирования важной информации. Резервное копирование можно осуществлять несколькими способами. Во-первых — это синхронизация через ActiveSync данных КПК с настольным компьютером. К сожалению, в этом случае мы получаем только резервную копию «Входящих», «Заметок», «Календаря», «Контактов» (в Outlook), а также папки «Мои документы». В случае, например, «хард»-ресета, вы полностью лишитесь всех программ, установленных на КПК, и их данных (за исключением тех, что я перечислил выше).

Второй метод — это бэкап с помощью утилиты Backup/Restore, встроенной, опять же в ActiveSync (пункт меню Tools > Backup/Restore). В этом случае мы уже получаем полную копию вашей системы. Необходимо заметить, что вы можете делать как полный, так и инкрементальный (после полного) бэкап системы.

И третий вариант — использование утилит на самом «наладоннике». Например, идущей с iPAQ-ми программы iPAQ Backup. В этом случае вы можете сохранить данные на карту расширения CF или SD, в зависимости от того, каким слотом оборудован КПК. Плюсы такого решения: возможность восстановиться после холодного перезапуска прямо в дороге, и более «тонкая» настройка элементов реестра, файловой системы и баз данных PIM, которые необходимо сохранить.

Не забывайте, что резервную копию информации для предотвращения несанкционированного доступа можно защитить паролем.

Врезка 4. Еще о безопасности
Работая на КПК, вы не должны также забывать о стандартных правилах безопасности, применяемых к карманным компьютерам наравне с настольными. Например, не забывайте чистить временные папки, где могут остаться следы работы с документами, например, в Pocket Word. Если вы об этом постоянно забываете, то вам поможет небольшая утилита Clear Temp. В памяти наладонника она занимает всего четыре килобайта, и при каждом «горячем» рестарте мобильного компьютера, она будет очищать папку с временными файлами.

Еще один аспект работы, который косвенно относится к безопасности (а больше, конечно, к анонимности), но про который надо помнить при активном веб-серфинге с наладонника — cookies. Это небольшие файлы, которые остаются после посещения некоторых сайтов в специально выделенной под них области кэша браузера КПК. С помощью cookies владелец ресурса может собирать о пользователях информацию. Контролировать наличие и состав cookies вам поможет утилита IECookie Viewer 1.1. Прим. ред.: А еще вы можете воспользоваться бесплатной утилитой SK Remover, которая «умеет» чистить не только временные файлы и cookies, а также реестр, оставшиеся после удаления программ ярлыки и многое и многое другое.

Проверить, возможно ли восстановить вводимые вами во время работы в Интернете пароли из кэша IE, можно при помощи программки Lektor, специально предназначенной для этих целей.

Оригинал этой статьи и другие материалы автора можно найти на сайте Markelov.Net. Опубликовано с любезного разрешения автора.

Просим при воспроизведении материалов этого сайта, делать ссылку на Зоопарк ручных компьютеров Copyright © 1999-2005 : О проекте : Смотритель Зоопарка