Данные под замком на жёстких дисках Seagate Momentus
Вопросами безопасности данных часто пренебрегают, несмотря на то, что эта тема касается и домашних, и корпоративных пользователей. Большинство из них хорошо защищены от вредоносного ПО: они устанавливают антивирус или брандмауэр, а также старательно настраивают беспроводной маршрутизатор. Однако о защите против физического воровства носителей думают гораздо реже. У разработчиков готовых решений для малого и крупного бизнеса теперь есть ещё один способ реализовать такую защиту – это новый жёсткий диск от Seagate Momentus 5400 FDE.2 со встроенным шифрованием.
Прежде всего, следует разграничить понятия потери данных и их утечки/разглашения. Если сломался жёсткий диск, то данные с жёсткого диска будут утеряны, и их можно восстановить при обращении к недавно сохранённым копиям. Если копии создавались регулярно, то ущерб, нанесённый в таком случае, будет незначительным. А если вы физически не сможете защитить какое-либо устройство хранения или целую систему, то данные могут быть скомпрометированы, то есть неавторизованные пользователи смогут скопировать их или внести изменения. Здесь наихудшим случаем будет воровство, так как в этом случае вы не узнаете, что было истинной целью похитителя: информация или же сам ноутбук.
Одной из самых больших проблем становятся мобильные пользователи. При работе на компьютерах, размещённых в здании компании, данные сохраняются на единых файловых серверах или локальных жёстких дисках. Механизмы локальной защиты и ИТ-инфраструктура помогают обеспечить максимальную защиту данных, как на стороне сервера, так и на стороне пользователя. Следовательно, данные могут быть скомпрометированы только из-за бреши в ИТ-инфраструктуре, или если кто-то физически унесёт устройство с необходимыми данными или скопирует их на собственный носитель.
Самый простой способ потерять важные данные – оставить сумку с ноутбуком у барной стойки в уютном кафе. Вряд ли вы будете так же спокойно потягивать ваш коктейль, когда вдруг поймёте, что самая ценная часть вашего бизнеса только что исчезла из-под носа. При этом совсем необязательно, чтобы ваш ноутбук украл вор: кто-то мог просто ошибиться и забрать чужую сумку. Но что вы скажете своему боссу? Что вы обменяли ваши новые разработки на чашечку кофе? И подобные случаи не редкость. Для решения таких проблем компания Seagate предлагает 2,5-дюймовый жёсткий диск со встроенным механизмом шифрования Momentus 5400 FDE.2. Сегодня мы его испытаем.
Почему недостаточно системного пароля
Мы уже описали возможную и довольно стандартную ситуацию, из-за которой можно неумышленно подвергнуть опасности важные данные. Несмотря на то, что есть несколько вариантов защиты данных на жёстком диске, большинство из них не могут обеспечить стойкую защиту от неправомочного доступа.
Первый способ – это установка пароля в BIOS, который будет спрашиваться при каждой загрузке. Это может остановить детей, которые хотят поиграть на компьютере в ваше отсутствие, но серьёзной защитой это назвать нельзя. При стирании памяти CMOS этот пароль стирается тоже, после чего открывается доступ ко всей системе. Если же у похитителя будет время, чтобы установить новый пароль, то уже вы не сможете увидеть свои данные, пока не обнулите CMOS. Мы рекомендуем устанавливать пароль BIOS, но лишь для того, чтобы ограничить доступ к настройкам BIOS. Из-за того, что доступ к BIOS даёт не слишком большие возможности, многие пользователи пренебрегают подобной защитой.
Вторым шагом может стать аутентификация Windows по имени пользователя и паролю. Хотя хороший пароль (в нём должно быть не менее 10 символов, среди которых должны быть числа и заглавные буквы; он не должен содержать никаких сведений о пользователе) сможет защитить ваш аккаунт Windows, это не будет адекватной защитой всех ваших данных. Если злоумышленник сможет загрузиться с другого устройства, то он, скорее всего, получит доступ ко всем данным (конечно, диск может быть зашифрован, но это бывает крайне редко). К примеру, это можно сделать из среды BartPE и немедленно получить доступ к большинству данных. Кроме того, существуют инструменты, позволяющие получить доступ к SAM (Security Account Manager) – базе паролей Windows и изменить пароль. Ну и, наконец, похититель может просто забрать жёсткий диск и делать с ним всё, что ему захочется.
Мы уже упоминали о шифровании в Windows. Windows XP Professional и Windows Vista (не все версии) позволяют зашифровывать отдельные папки. Для этого нужно щёлкнуть правой клавишей мыши на папку и выбрать “Свойства/Properties”, затем на вкладке “Общие/General” нажать “Другие/Advanced”. С помощью пункта “Атрибуты сжатия и шифрования/Compress or Encrypt attributes” можно включить шифрование этой папки и всех вложенных в неё папок. Хотя этот способ работает не хуже других инструментов шифрования и, вдобавок, встроен в Windows, нельзя забывать о человеческом факторе. Можно просто забыть скопировать несколько важных файлов в защищённую папку или решить поработать с крупным файлом вне зашифрованной области ради большей производительности. В обоих случаях вы рискуете вашими данными.
Единственное решение, которое действительно можно считать надёжным, – это устройство хранения, в котором реализована аппаратная защита. Этим требованиям в полной мере удовлетворяет технология “Trusted Platform Module” (TPM), связывающая системные компоненты. Seagate реализовала что-то подобное в своих дисках Momentus с аппаратным шифрованием, работающим ”на лету”. Однако для работы с данными всё-таки требуется специальное ПО.
Seagate Momentus 5400 FDE.2 ST9169824AS-FDE
Название жёстких дисков Momentus 5400 FDE.2 соответствует системе наименований продуктов Seagate, в которой имя состоит из названия семейства (Momentus), скорости (5 400 об/мин) и поколения продукта (5400.3 – третье поколение). В случае диска Momentus 5400 FDE.2 со встроенным шифрованием, имеется в виду второе поколение 2,5-дюймовых дисков Momentus с шифрованием. Но, в то же время, его нельзя сравнивать с моделью без шифрования Momentus 5400.2, так как модель Momentus 5400 FDE.2 построена на той же технической базе, что и Momentus 5400.3. Следовательно, и их производительность также примерно одинакова.
Все продукты семейства Momentus 5400.2 FDE.2 представлены в наиболее популярных объёмах 80, 120 и 160 Гб и основаны на методе перпендикулярной записи первого поколения. Все модели имеют скорость 5 400 об/мин, интерфейс Serial ATA/150 и 8 Мбайт кэша. Мы взяли для теста топовую модель на 160 Гбайт, построенную на двух пластинах. Её вес такой же, как и у большинства 2,5-дюймовых дисков на двух пластинах, 102 грамма, а энергопотребление, по нашим измерениям, колеблется от 0,9 Вт при бездействии до 3,2 Вт при максимальной загрузке.
Конечно, по производительности этот продукт не может конкурировать с признанными лидерами: моделями Spinpoint M5 от Samsung, Scorpio BEVS от WD, Hitachi Travelstar 5K250 и новым Momentus 5400.4. Если вам необходим быстрый диск, то Momentus 5400.2 FDE.2 вряд ли подойдёт, так как относится к предыдущему поколению. Однако стоит отметить, что шифрование практически не влияет на производительность. То есть Momentus 5400.2 FDE.2 почти настолько же быстр, как и его ”брат-близнец” – Momentus 5400.3.
Как и для большинства других жёстких дисков от Seagate (за исключением внешних моделей), на этот продукт предоставляется пятилетняя гарантия. Но обращайте внимание на условия гарантии. Seagate предоставляет возможность выбрать в качестве замены похожую модель, то есть можно выбрать диск большего объёма или большей скорости. Однако корпоративные пользователи обычно выбирают точно такие же модели.
С этим жёстким диском можно работать и без шифрования. Чтобы включить шифрование, нужно установить пакет “FinallySecure” от Secude. Шифрование основывается на TPM-совместимом алгоритме AES (Seagate не говорит о надёжности шифрования в своей документации), но технология “Bitlocker” из Windows Vista пока не поддерживается. Поэтому сейчас шифрование можно использовать только в Windows XP Home или Professional.
Зашифровываем диск
Когда вы устанавливаете программу, она выводит запрос для изменения пароля Windows. После установки используйте для изменения имени пользователя и пароля только утилиту Seagate, иначе она не “узнает” об изменениях, перейдя в режим восстановления.
После установки программного обеспечения на Momentus 5400.2 FDE.2 образуется небольшой второй раздел. Это будет загрузочный раздел, контролирующий доступ к разделу с вашими ценными данными: чтобы получить к нему доступ, нужно будет ввести пароль. Но если подключить диск к другой системе, то этот раздел окажется пустым.
Во время первой загрузки “FinallySecure” работает в режиме получения пароля. Это означает, что вы загружаетесь прямо в Windows, и оттуда программа получит ваше имя пользователя и пароль, которые будут использоваться для всех последующих загрузок. ПО основано на принципе одноразовой аутентификации, что означает, что вам не нужно вводить имя и пароль дважды. Но теперь уже нельзя менять пароль в Windows стандартными средствами, а вместо этого нужно использовать менеджер паролей “FinallySecure”. Если смените пароль, не используя менеджер, то вам придётся запускать процедуру восстановления пароля, потому что “FinallySecure” не будет знать об этом изменении. То же самое касается и смены имени пользователя.
Программа “FinallySecure”
Хотя шифрование жёсткого диска аппаратное, для доступа всё равно требуется программа.
Для включения функции шифрования требуется установка специального ПО. “FinallySecure” создаёт свой загрузочный раздел, с помощью которого контролируется шифрование данных. При установке программа сама сделает всё необходимое и попросит вас перезагрузить компьютер. Программа создаст файл экстренного восстановления – для него нужно придумать хороший пароль и сохранить в надёжном месте.
В программе есть функция безопасной очистки диска. С её помощью можно действительно удалить данные, в то время как обычное удаление лишь стирает записи в файловой таблице, оставляя само содержимое нетронутым. Так как данные на Momentus 5400.2 FDE.2 уже зашифрованы, то “FinallySecure” достаточно просто стереть ключ доступа к ним, и данные будет уже не расшифровать.
Momentus 5400 FDE.2 распознаёт, была ли система перегружена “холодно” или “горячо”. Требуется “холодная” перезагрузка.
Программа “FinallySecure” позволяет создать ключ для экстренного восстановления. Поскольку этот ключ открывает доступ к вашим данным, его следует скопировать на надёжный источник (флэш-брелок или CD-R) и хранить в безопасном месте. Чтобы предотвратить несанкционированный доступ, следует указать надёжный пароль, который придётся вводить для запуска процедуры экстренного восстановления на Momentus 5400 FDE.2.
Когда пакет “FinallySecure” будет установлен, на винчестере Momentus 5400 FDE.2 появится небольшой раздел, в котором присутствует вся необходимая для загрузки информация.
Экстренное восстановление
После прохождения POST вы получите данный экран входа, напоминающий экран входа в Windows. Если вы измените или забудете пароль, то будут доступны две опции восстановления, обе из которых требуют файл ключа.
Если вы забудете свой пароль, то можно восстановить систему, обратившись к разделу “HelpDesk” на странице ввода пароля. Вам потребуется носитель, на котором хранится файл для экстренного восстановления – CD, “флэшка” или любой другой носитель, доступный с загрузочного раздела. Когда вы подключите файл экстренного восстановления (ключ), вы сможете установить новый пароль для вашего пользователя, который начнёт работать после перезагрузки. Это напоминает первый запуск, когда “FinallySecure” получает ваши данные.
Второй инструмент для восстановления – восстановление с CD. Если загрузочный раздел Momentus 5400.2 FDE.2 выйдет из строя, то загружаться надо будет с этого диска. Сначала нужно сменить пароль пользователя с помощью файла экстренного восстановления и главного пароля (для “FinallySecure”), а потом можно запускать Windows. Примечание: загружать диск для восстановления надо с того же контроллера, к которому подключён жёсткий диск, иначе восстановление не заработает.
Менеджер обновлений
“FinallySecure” имеет встроенную утилиту проверки обновлений, которая под Windows производит их поиск и скачивание.
Недостатки
Кроме ограниченной поддержки современных операционных систем (только Windows XP, Windows Vista пока не поддерживается), у Momentus 5400 FDE.2 есть и другие недостатки. Во-первых, шифрование работает не на всех чипсетах. Об этом не упоминается в обзорах, хотя это написано в readme-файле. Первым ноутбуком, выбранным для тестирования, был Acer Ferrari 1000 со встроенным чипсетом ATI. “FinallySecure” вылетала на нём с ошибкой запуска. Поэтому мы проводили тесты на системе, построенной на Intel G33, где программа нормально заработала. Несмотря на то, что Momentus 5400 FDE.2 будет в основном устанавливаться в готовые ноутбуки, для некоторых это всё же может стать проблемой.
Решение восстановления, конечно, работает, но оно основано на командной строке Linux, с которой могут возникнуть трудности, если вы никогда раньше не сталкивались с Linux или под рукой нет руководства пользователя “FinallySecure”. Впрочем, как мы предполагаем, эту функцию будут использовать администраторы с достаточными знаниями, но в качестве потребительского решения такая особенность Momentus 5400 FDE.2 не слишком хороша.
Вряд ли это можно назвать проблемой, однако после установки и запуска “FinallySecure” время загрузки значительно увеличивается. Во-первых, нужно вводить имя пользователя и пароль для получения доступа и запуска Windows. Если выбрана опция “Безопасный вход”, то для входа нужно будет ещё нажимать “CTRL+ALT+DEL”. В то же время, проводить аутентификацию для доступа к жёсткому диску нужно лишь при “холодных” запусках, то есть после выключения или режима гибернации, а после перезагрузки или выхода из режима сна этого делать не нужно. На нашей системе от завершения POST до появления экрана входа “FinallySecure” проходит 11 секунд, и ещё 5,5 секунд загружается Windows. Те, кому дорога каждая секунда, должны учитывать это.
Для тестов производительности
| Системное аппаратное обеспечение | |
| Процессоры | 2x Intel Xeon (ядро Nocona), 3,6 ГГц, FSB800, 1 Мбайт кэша L2 |
| Платформа | Asus NCL-DS (Socket 604), чипсет Intel E7520, BIOS 1005 |
| Память | Corsair CM72DD512AR-400 (DDR2-400 ECC, reg.), 2x 512 Мбайт, задержки CL3-3-3-10 |
| Системный жёсткий диск | Western Digital Caviar WD1200JB, 120 Гбайт, 7 200 об/мин, кэш 8 Мбайт, UltraATA/100 |
| Контроллеры накопителей | Intel 82801EB UltraATA/100 (ICH5) Promise SATA 300TX4 Promise FastTrak TX4310 Драйвер 2.06.1.310 |
| Сеть | Broadcom BCM5721 встроенная 1 Гбит/с |
| Видеокарта | Встроенная ATI RageXL, 8 Мбайт |
| Тесты | |
| Тесты производительности | c’t h2benchw 3.6 |
| PCMark05 | V1.01 |
| Производительность ввода/вывода | IOMeter 2003.05.10 Fileserver Benchmark Webserver Benchmark Database Benchmark Workstation Benchmark |
| Системное ПО и драйверы | |
| ОС | Microsoft Windows Server 2003 Enterprise Edition,Service Pack 1 |
| Драйвер платформы | Intel Chipset Installation Utility 7.0.0.1025 |
| Графический драйвер | Графический драйвер Windows по умолчанию |
Для тестов FDE
| Системное аппаратное обеспечение | |
| Процессор | Intel Core 2 Duo E4400 (Conroe 65 нм; 2,0 ГГц, 2 Мбайт кэша L2) |
| Материнская плата (Intel) | Gigabyte G33M-S2H, Socket 775 (Rev. 1.0), чипсет Intel G33 |
| Память | Corsair CM2X1024-8500C5, 2x 1024 Мбайт DDR2-800 (CL 5-5-5-15 2T) |
| DVD-ROM | Samsung SH-S183 |
| Видеокарта | Встроенная Intel GMA 3100 |
| Звуковая карта | Встроенная ALC889A |
| Блок питания | Coolermaster RS-450-ACL4, ATX 2,2, 450 Вт |
| Системное ПО и драйверы | |
| ОС | Windows XP Professional 5.10.2600, Service Pack 2 |
| Версия DirectX | 9.0c (4.09.0000.0904) |
| Драйверы платформы Intel | Версия 8.3.0.1013 |
Диаграмма передачи данных
Время доступа
Производительность интерфейса
Производительность чтения
Производительность записи
Производительность PCMark05: запуск Windows XP
Производительность PCMark05: запись файлов
Производительность ввода/вывода
Энергопотребление
Заключение
Новый Seagate Momentus 5400 FDE.2 – это первый жёсткий диск в нашей лаборатории со встроенным аппаратным шифрованием по алгоритму AES. Он выпускается с ёмкостью до 160 Гбайт, внешне ничем не отличается от обычных 2,5″ жёстких дисков, а уровень его производительность соответствует уровню “брата-близнеца” Momentus 5400.3. Установка программы “FinallySecure” хорошо документирована и не вызовет затруднений даже у не слишком опытных пользователей. Главное, что нужно запомнить, – это то, что изменять имя пользователя и пароль нужно с помощью специального ПО, которое контролирует процесс загрузки, запуская её со специального маленького загрузочного раздела.
Использование Momentus 5400 FDE.2 в готовых платформах может принести дополнительную безопасность. Но ПО пока поддерживает не все чипсеты – Seagate даёт соответствующую информацию в своём руководстве. Кроме того, не поддерживается Windows Vista.
Шифрование использовать не обязательно, да и программу “FinallySecure” можно легко удалить. По нашему мнению, это некая брешь в защите, потому что злоумышленник может удалить защитное ПО в отсутствие пользователя. Мы считаем, что возможность удаления должна предоставляться только при наличии файла (ключа) экстренного восстановления.
У нас остались смешанные впечатления. Диск довольно быстр, хотя его и нельзя сравнивать ни с современными 2,5″ моделями с ёмкостью до 250 Гбайт, ни с дисками со скоростью 7 200 об/мин, ни с накопителями на основе флэш-памяти. Momentus 5400 FDE.2 не усложняет повседневную работу. Единственной помехой является большее время загрузки, но и оно кажется довольно приемлемым.
Таким образом, Seagate предоставляет максимальную безопасность данных в сложившейся ситуации, когда идёт переход от одной операционной системы к другой (от XP к Vista), и когда безопасность отдаётся на откуп крупным сборщикам вроде Dell. Жёсткий диск FDE – это шаг вперёд, но его использование целесообразно лишь для критически важных данных. Бизнес-пользователям следует учесть все недостатки, которые, в принципе, вполне приемлемые. Лично я, будучи энтузиастом и имея немного важной информации на ноутбуке, предпочитаю более быстрые или большие жёсткие диски, а заботиться о безопасности информации буду отдельно. Хотя, конечно, я не попадаю в целевую аудиторию…
