SavePearlHarbor

Инсайдер в системе: как аппаратная блокировка перезаписи защищает данные от собственных сотрудников

от автора

admin

Самая опасная угроза — внутри

В массовом представлении угроз информационной безопасности главным врагом остаётся внешний хакер. Однако многолетняя практика эксплуатации корпоративных ИТ-систем показывает более неприятную реальность. Наиболее разрушительные инциденты зачастую происходят внутри самой организации — из-за ошибок персонала, злоупотребления привилегиями или действий «обиженного админа».

Современная ИТ-инфраструктура неизбежно содержит пользователей с чрезвычайно высокими правами доступа. Это разработчики, системные администраторы, администраторы резервного копирования, администраторы хранения данных и операторы дата-центров. Именно эти специалисты обладают полномочиями, позволяющими удалить или изменить практически любую информацию. Их работа требует высокого уровня доверия – но именно доверие делает инфраструктуру уязвимой.

Если возможность удаления данных существует, рано или поздно кто-то ею воспользуется — случайно, по ошибке, либо умышленно.

Месть!

В 1996 году бывший системный администратор компании Omega Engineering заложил в корпоративные системы код, который сработал после его увольнения и удалил критически важное программное обеспечение и данные, причинив ущерб более 100 млн. долларов США. Этот инцидент стал одним из первых широко известных примеров саботажа со стороны технического сотрудника.

В 2015 году системный администратор железнодорожной компании Canadian Pacific Railway после увольнения, используя ещё активные учётные данные, удалил очень важные данные, поменял пароли сетевых устройств и удалил журналы действий. В результате компания потеряла доступ к сетевой инфраструктуре и систему пришлось восстанавливать практически с нуля.

В 2018 году бывший сотрудник компании Cisco, имея доступ к облачной инфраструктуре, развернул вредоносный код в системе WebEx. В итоге было уничтожено 456 виртуальных машин, отключено свыше 16 000 аккаунтов пользователей, сервис был недоступен почти две недели, восстановление обошлось компании более чем в 2,4 млн. долларов США.

В 2021 году в Нью-Йорке сотрудница кредитного союза, уволенная с работы, подключилась к серверу удалённо и уничтожила 20 000 файлов общим размером 21 Гб. Помимо этого, она удалила программное обеспечение кибербезопасности.

В 2025 году два инженера компании OPEXUS, получив уведомление об увольнении, использовали свои администраторские права для саботажа. Они удалили 33 базы данных и похитили 1805 файлов, нарушили работу федеральных информационных систем США на несколько недель.

Подобных случаев множество. Все их объединяет то, что атакующий обладал административными правами. Поэтому появилась идея архитектурного уровня: данные должны быть защищены даже от администратора. Такой защитой стал…

WORM

WORM означает WriteOnce, ReadMany – однократная запись, множественное чтение. Суть технологии в том, что единожды записанные данные невозможно изменить, перезаписать, удалить. Их можно уничтожить только с носителем.

Такие данные становятся неизменяемыми. Даже если злоумышленник имеет полный административный доступ к ним, он не может повлиять на записанную информацию.

Существует два типа WORM-защиты:

Программная неизменяемость: реализуется файловой системой или приложением. Проблема таких систем в том, что если защита выполнена только программно, то она может быть снята из-за ошибок, сбоев или уязвимостей в ПО или, в некоторых случаях, в результате действий администратора системы.

Аппаратная неизменяемость – на примере ленточных библиотек – реализуется на уровне привода: носитель с особой разметкой на серводорожках определяется им как неперезаписываемый. В этой модели система хранения запрещает перезапись, операционная система не может обойти запрет, а администратор лишён возможности изменить данные.

Исторический экскурс

Идея неизменяемых носителей возникла в 1980-х годах с появлением оптических дисков.

К концу 1990-х основным носителем резервного копирования стала магнитная лента, когда три компании – IBM, Hewlett-Packard и Seagate Technology – разработали открытый стандарт LTO (Linear Tape-Open).

Первое поколение LTO появилось в 2000 году. Через несколько лет, с введением строгих финансовых регламентов (например, SEC Rule 17a-4), стало очевидно: данные должны быть защищены от изменения кем бы то ни было.

Решение пришло в 2005 году с LTO-3: стандарт получил поддержку WORM-картриджей, которые аппаратно блокируют перезапись данных.

Как устроен WORM-картридж

Если разобрать WORM-картридж, мы увидим стандартную многослойную магнитную ленту, идентичную обычным носителям формата Linear Tape-Open. Конструктивно она состоит из полимерной основы (обычно полиэтилентерефталат или аналогичные композиты), на которую нанесён магнитный слой. В современных поколениях это чаще всего бариевые ферриты (BaFe) или аналогичные высокостабильные частицы, обеспечивающие плотную запись и долговременную сохранность.

Поверх магнитного слоя находится защитное покрытие, уменьшающее износ при многократных проходах через головку. Однако важно понимать: ни один из этих слоёв не делает носитель WORM.

Физически лента полностью перезаписываема — её «одноразовость» возникает исключительно из-за сочетания серворазметки и логики привода.

Серводорожки: неизменяемая координатная сетка ленты

Ключевым элементом, который делает ленточную систему управляемой, являются серводорожки. В отличие от пользовательских данных, они записываются на этапе производства ленты с помощью прецизионного оборудования и не могут быть изменены ни приводом, ни пользователем.

Серводорожки представляют собой непрерывные магнитные структуры, расположенные с высокой точностью по ширине ленты. В системах уровня Linear Tape-Open они выполняют роль координатной сетки, относительно которой работает вся головка записи/чтения.

Серводорожка содержит:

  • периодические маркеры синхронизации,

  • границы дорожек,

  • калибровочные сигналы,

  • служебные метки позиционирования.

Привод постоянно считывает эти сигналы отдельными сервоэлементами головки и на их основе корректирует положение магнитной головки в реальном времени.

WORMID: неизменяемая идентичность носителя

Каждый WORM-картридж содержит уникальный идентификатор носителя — WORMID. Это логический маркер, который фиксирует сам факт принадлежности носителя к категории «одноразовой записи».

WORMID хранится в нескольких уровнях одновременно:

  • в служебной области магнитной ленты – как раз на серводорожках;

  • в метаданных первых записанных блоков;

  • частично дублируется в памяти картриджа (Cartridge Memory, CM), чтобы исключить рассогласования.

Главная особенность WORMID заключается в том, что он создаётся либо на заводе, либо при первом инициализирующем проходе записи, после чего становится неизменяемым. При наличии WORMID запись допускается только в режиме последовательного добавления.

Cartridge Memory

Cartridge Memory —это встроенная микросхема памяти внутри корпуса картриджа, реализованная в системах вроде LTO Ultrium.

Это энергонезависимая EEPROM или аналогичная микросхема, расположенная непосредственно в корпусе носителя. Она взаимодействует с приводом через индуктивный интерфейс — так же, как стандартные RFID-чипы —  и содержит:

  • тип носителя (WORM или RW (перезаписываемый)),

  • уникальный серийный номер,

  • производственные параметры,

  • состояние форматирования,

  • флаг WORM-enabled,

  • ссылки на последнюю позицию записи.

Важный момент: Cartridge Memory не хранит сами данные файлов, но содержит только метаинформацию о состоянии носителя.

Как привод предотвращает перезапись

Когда WORM-картридж загружается в привод, происходит многоступенчатая проверка:

1. Первичное распознавание носителя

Привод считывает Cartridge Memory.
Если установлен флаг WORM, носитель переводится в режим неизменяемой записи.

2. Считывание серворазметки и построение карты ленты

После этого привод переходит к анализу серводорожек. На этом этапе он считывает WORMID и формирует внутреннюю модель ленты:

  • физическая длина,

  • допустимые зоны записи,

  • уже занятые сегменты,

  • границы последнего записанного блока.

3. Сопоставление логической и физической модели

Система сравнивает:

  • данные из Cartridge Memory,

  • WORMID из служебных блоков,

  • реальную позицию маркера конца записи (EOD).

Любое несоответствие трактуется как ошибка носителя и приводит к блокировке записи.

4. Контроль записи на уровне блоков

Запись в ленточных системах осуществляется строго последовательно. Привод поддерживает указатель EOD, который фиксирует последнюю допустимую точку записи.

В WORM-режиме этот указатель:

  • может только увеличиваться;

  • никогда не может быть уменьшен.

Попытка записать данные «в середину» невозможна, поскольку серводорожки и EOD исключают обратное позиционирование в уже занятые области.

5. Аппаратная блокировка команд записи

На уровне интерфейса (обычно SCSI/SAS) привод самостоятельно отклоняет команды перезаписи или стирания. Даже если операционная система отправляет такие команды, ПО привода:

проверяет WORM-флаг;

сверяет позицию с серво-картой;

блокирует операцию;

возвращает аппаратную ошибку.

Итоговая логика защиты

Таким образом, WORM-картридж — это не носитель с физически «запечатанной» поверхностью, а система слоёв доверия:

  • серводорожки задают неизменяемую координатную сетку,

  • WORMID фиксирует одноразовый статус носителя,

  • Cartridge Memory хранит аппаратный флаг неизменяемости и указатель на EOD,

  • привод объединяет всё это в аппаратно-логическую модель «только добавление».

Эффективная защита от…

инсайдеров

Даже если злоумышленник имеет административные права и может управлять системой резервного копирования, он не может:

— удалить ранее записанные данные на WORM-картридже;

— изменить содержимое существующих блоков;

— «очистить» носитель для повторного использования.

Инсайдер может повлиять на будущие записи — например, остановить резервное копирование или изменить расписание. Но он не способен изменить уже созданный архив.

Это принципиальное отличие от программной неизменяемости, где администратор при наличии достаточных прав всё же может изменить политики хранения или удалить моментальный снимок. В случае аппаратного WORM даже полный административный доступ не даёт возможности вмешаться в уже записанные данные.

…вымогателей

Кибератаки, особенно направленные на вымогательство, обычно проходят по одному сценарию:

1.     проникновение в сеть;

2.     перехват прав администратора;

3.     уничтожение резервных копий;

4.     шифрование или уничтожение инфраструктуры.

Если резервные копии или архивы находятся на дисках или в облаке, злоумышленник уничтожает их.

Но если резервные копии или архивы записаны на WORM-ленты, то данные на них нельзя изменить никаким образом.

Админ мне друг, но данные дороже

История ИТ показывает, что катастрофы происходят регулярно. Сбой оборудования, ЧП вроде пожара, ошибки администратора, саботаж сотрудника, атака вымогателя могут разрушить инфраструктуру за минуты.

Информация же, сохранённая на неизменяемом носителе и находящаяся далеко от места событий, переживёт неприятности.

Данные должны быть защищены даже от тех, кто их обслуживает. Это означает, что администратор управляет структурой, но не может вносить изменения в данные. Они превращаются в неизменяемый факт.

ссылка на оригинал статьи https://habr.com/ru/articles/1029116/