In Oktober 2017 het ek die geleentheid gehad om 'n promosieseminaar vir die DeviceLock DLP-stelsel by te woon, waar, benewens die hooffunksie van beskerming teen lekkasies soos die toemaak van USB-poorte, kontekstuele ontleding van pos en die knipbord, beskerming deur die administrateur was geadverteer. Die model is eenvoudig en pragtig - 'n installeerder kom na 'n klein onderneming, installeer 'n stel programme, stel 'n BIOS-wagwoord, skep 'n DeviceLock-administrateurrekening en laat slegs die regte oor om Windows self en die res van die sagteware te bestuur aan die plaaslike admin. Selfs as daar opset is, sal hierdie admin niks kan steel nie. Maar dit is alles teorie...
Omdat meer as 20+ jaar se werk op die gebied van die ontwikkeling van inligtingsekuriteitnutsmiddels, was ek duidelik oortuig dat 'n administrateur enigiets kan doen, veral met fisiese toegang tot 'n rekenaar, dan kan die hoofbeskerming daarteen slegs organisatoriese maatreëls wees soos streng verslagdoening en fisiese beskerming van rekenaars wat belangrike inligting bevat, toe onmiddellik Die idee het ontstaan om die duursaamheid van die voorgestelde produk te toets.
'n Poging om dit onmiddellik na die einde van die seminaar te doen was onsuksesvol; beskerming teen die verwydering van die hoofdiens DlService.exe is gemaak en hulle het selfs nie vergeet van toegangsregte en die keuse van die laaste suksesvolle konfigurasie nie, as gevolg waarvan hulle het dit afgekap, soos die meeste virusse, en die stelsel toegang geweier om te lees en uit te voer , Het nie uitgewerk nie.
Op alle vrae oor die beskerming van die bestuurders wat waarskynlik by die produk ingesluit is, het die verteenwoordiger van die Smart Line-ontwikkelaar met selfvertroue gesê dat "alles op dieselfde vlak is."
'n Dag later het ek besluit om voort te gaan met my navorsing en het die proefweergawe afgelaai. Ek was dadelik verras deur die grootte van die verspreiding, amper 2 GB! Ek is gewoond daaraan dat stelselsagteware, wat gewoonlik as inligtingsekuriteitnutsmiddels (ISIS) geklassifiseer word, gewoonlik 'n baie meer kompakte grootte het.
Na die installasie was ek vir die tweede keer verbaas - die grootte van die bogenoemde uitvoerbare lêer is ook redelik groot - 2MB. Ek het dadelik gedink met so 'n bundel is daar iets om aan te gryp. Ek het probeer om die module te vervang met vertraagde opname - dit was gesluit. Ek het in die programkatalogusse gegrawe, en daar was reeds 13 bestuurders! Ek het na die toestemmings gekyk - hulle is nie gesluit vir veranderinge nie! Goed, almal is verban, kom ons oorlaai!
Die effek is eenvoudig betowerend - alle funksies is gedeaktiveer, die diens begin nie. Watter soort selfverdediging is daar, neem en kopieer wat jy wil, selfs op flash drives, selfs oor die netwerk. Die eerste ernstige nadeel van die stelsel het na vore gekom - die onderlinge verbinding van die komponente was te sterk. Ja, die diens moet met die bestuurders kommunikeer, maar hoekom crash as niemand reageer nie? As gevolg hiervan is daar een metode om die beskerming te omseil.
Nadat ek uitgevind het dat die wonderwerk-diens so sag en sensitief is, het ek besluit om die afhanklikheid daarvan van derdeparty-biblioteke na te gaan. Dit is selfs eenvoudiger hier, die lys is groot, ons vee net die WinSock_II-biblioteek lukraak uit en sien 'n soortgelyke prentjie - die diens het nie begin nie, die stelsel is oop.
Gevolglik het ons dieselfde ding wat die spreker by die seminaar beskryf het, 'n kragtige heining, maar nie die hele beskermde omtrek omsluit weens 'n gebrek aan geld nie, en in die onbedekte area is daar bloot stekelrige roosheupe. In hierdie geval, met inagneming van die argitektuur van die sagtewareproduk, wat nie by verstek 'n geslote omgewing impliseer nie, maar 'n verskeidenheid verskillende proppe, onderskeppers, verkeersontleders, is dit eerder 'n paalheining, met baie van die stroke vasgeskroef die buitekant met selftappende skroewe en baie maklik om los te skroef. Die probleem met die meeste van hierdie oplossings is dat daar met so 'n groot aantal potensiële gate altyd die moontlikheid is om iets te vergeet, 'n verhouding te mis of stabiliteit te beïnvloed deur een van die onderskeppers onsuksesvol te implementeer. Te oordeel aan die feit dat die kwesbaarhede wat in hierdie artikel aangebied word bloot op die oppervlak is, bevat die produk baie ander wat 'n paar uur langer sal neem om na te soek.
Boonop is die mark vol voorbeelde van bekwame implementering van afsluitbeskerming, byvoorbeeld huishoudelike antivirusprodukte, waar selfverdediging nie eenvoudig omseil kan word nie. Sover ek weet, was hulle nie te lui om FSTEC-sertifisering te ondergaan nie.
Nadat verskeie gesprekke met Smart Line-werknemers gevoer is, is verskeie soortgelyke plekke gevind waarvan hulle nie eens gehoor het nie. Een voorbeeld is die AppInitDll-meganisme.
Dit is dalk nie die diepste nie, maar in baie gevalle laat dit jou toe om te doen sonder om in die OS-kern te kom en nie die stabiliteit daarvan te beïnvloed nie. nVidia-bestuurders maak ten volle gebruik van hierdie meganisme om die video-adapter vir 'n spesifieke speletjie aan te pas.
Die algehele gebrek aan 'n geïntegreerde benadering tot die bou van 'n outomatiese stelsel gebaseer op DL 8.2 laat vrae ontstaan. Daar word voorgestel om die voordele van die produk aan die kliënt te beskryf, die rekenaarkrag van bestaande rekenaars en bedieners na te gaan (konteksontleders is baie hulpbron-intensief en die nou modieuse kantoor alles-in-een rekenaars en Atom-gebaseerde nettops is nie geskik in hierdie geval) en rol eenvoudig die produk bo-op uit. Terselfdertyd is terme soos "toegangsbeheer" en "geslote sagteware-omgewing" nie eers by die seminaar genoem nie. Daar is oor enkripsie gesê dat dit, benewens kompleksiteit, vrae van reguleerders sal laat ontstaan, hoewel daar in werklikheid geen probleme daarmee is nie. Vrae oor sertifisering, selfs by FSTEC, word tersyde gestel weens hul veronderstelde kompleksiteit en omvang. As 'n inligtingsekuriteitspesialis wat herhaaldelik aan sulke prosedures deelgeneem het, kan ek sê dat in die proses om dit uit te voer, baie kwesbaarhede soortgelyk aan dié wat in hierdie materiaal beskryf word geopenbaar, omdat spesialiste van sertifiseringslaboratoriums het ernstige gespesialiseerde opleiding.
Gevolglik kan die aangebied DLP-stelsel 'n baie klein stel funksies verrig wat eintlik inligtingsekuriteit verseker, terwyl dit 'n ernstige rekenaarlading genereer en 'n gevoel van sekuriteit vir korporatiewe data skep onder maatskappybestuur wat onervare is in inligtingsekuriteitsake.
Dit kan net werklik groot data beskerm teen 'n onbevoorregte gebruiker, want ... die administrateur is redelik in staat om die beskerming heeltemal te deaktiveer, en vir groot geheime sal selfs 'n junior skoonmaakbestuurder diskreet 'n foto van die skerm kan neem, of selfs die adres of kredietkaartnommer kan onthou deur na die skerm te kyk oor 'n kollega se skouer.
Boonop is dit alles waar slegs as dit onmoontlik is vir werknemers om fisiese toegang tot die binnekant van die rekenaar of ten minste tot die BIOS te hê om selflaai vanaf eksterne media te aktiveer. Dan help selfs BitLocker, wat waarskynlik nie gebruik sal word in maatskappye wat net daaraan dink om inligting te beskerm nie.
Die gevolgtrekking, hoe banaal dit ook al mag klink, is 'n geïntegreerde benadering tot inligtingsekuriteit, insluitend nie net sagteware/hardeware-oplossings nie, maar ook organisatoriese en tegniese maatreëls om foto-/videoskiet uit te sluit en te verhoed dat ongemagtigde "seuns met 'n fenomenale geheue" binnekom. die webwerf. Jy moet nooit staatmaak op die wonderwerkproduk DL 8.2 nie, wat geadverteer word as 'n eenstapoplossing vir die meeste ondernemingsekuriteitsprobleme.
Bron: will.com