في أكتوبر 2017، أتيحت لي الفرصة لحضور ندوة ترويجية لنظام DeviceLock DLP، حيث، بالإضافة إلى الوظيفة الرئيسية للحماية ضد التسريبات مثل إغلاق منافذ USB، والتحليل السياقي للبريد والحافظة، كانت الحماية من المسؤول المعلن عنها. النموذج بسيط وجميل - يأتي المثبت إلى شركة صغيرة، ويقوم بتثبيت مجموعة من البرامج، وتعيين كلمة مرور BIOS، وإنشاء حساب مسؤول DeviceLock، ويترك فقط حقوق إدارة Windows نفسه وبقية البرامج للخادم المحلي مسؤل. حتى لو كانت هناك نية، فلن يتمكن هذا المشرف من سرقة أي شيء. لكن هذه كلها نظرية..
لأن على مدى أكثر من 20 عامًا من العمل في مجال تطوير أدوات أمن المعلومات، كنت مقتنعًا بوضوح بأن المسؤول يمكنه فعل أي شيء، خاصة مع الوصول الفعلي إلى جهاز الكمبيوتر، ومن ثم فإن الحماية الرئيسية ضده لا يمكن أن تكون إلا تدابير تنظيمية مثل إعداد التقارير الصارمة و الحماية المادية لأجهزة الكمبيوتر التي تحتوي على معلومات مهمة، ثم ظهرت الفكرة على الفور لاختبار متانة المنتج المقترح.
لم تنجح محاولة القيام بذلك مباشرة بعد نهاية الندوة؛ تم إجراء الحماية ضد حذف الخدمة الرئيسية DlService.exe ولم ينسوا حتى حقوق الوصول واختيار آخر تكوين ناجح، ونتيجة لذلك لقد قطعوها، مثل معظم الفيروسات، ومنعوا النظام من الوصول إلى القراءة والتنفيذ، ولم ينجح الأمر.
بالنسبة لجميع الأسئلة المتعلقة بحماية برامج التشغيل التي ربما تكون مدرجة في المنتج، صرح ممثل مطور Smart Line بثقة أن "كل شيء على نفس المستوى".
وبعد يوم قررت مواصلة بحثي وتنزيل النسخة التجريبية. لقد فوجئت على الفور بحجم التوزيع الذي يقارب 2 جيجابايت! لقد اعتدت على حقيقة أن برامج النظام، والتي تُصنف عادةً على أنها أدوات لأمن المعلومات (ISIS)، عادةً ما يكون حجمها أصغر بكثير.
بعد التثبيت، تفاجأت للمرة الثانية - حجم الملف القابل للتنفيذ المذكور أعلاه كبير جدًا أيضًا - 2 ميجابايت. اعتقدت على الفور أنه مع هذا الحجم، هناك شيء يمكن الإمساك به. حاولت استبدال الوحدة باستخدام التسجيل المؤجل - لقد تم إغلاقها. لقد بحثت في كتالوجات البرامج، وكان هناك بالفعل 13 برنامج تشغيل! لقد طعنت في الأذونات - فهي ليست مغلقة للتغييرات! حسنًا، الجميع محظور، دعونا نحمل أكثر من اللازم!
التأثير ساحر ببساطة - تم تعطيل جميع الوظائف، ولا تبدأ الخدمة. ما هو نوع الدفاع عن النفس الموجود، خذ وانسخ ما تريد، حتى على محركات الأقراص المحمولة، حتى عبر الشبكة. ظهر أول عيب خطير في النظام - كان الترابط بين المكونات قويًا للغاية. نعم، يجب أن تتواصل الخدمة مع السائقين، ولكن لماذا تتعطل إذا لم يستجب أحد؟ ونتيجة لذلك، هناك طريقة واحدة لتجاوز الحماية.
بعد أن اكتشفت أن الخدمة المعجزة دقيقة وحساسة للغاية، قررت التحقق من اعتماديتها على مكتبات الطرف الثالث. الأمر أبسط هنا، القائمة كبيرة، فقط نقوم بمسح مكتبة WinSock_II بشكل عشوائي ونرى صورة مماثلة - لم تبدأ الخدمة، والنظام مفتوح.
ونتيجة لذلك، لدينا نفس الشيء الذي وصفه المتحدث في الندوة، وهو سياج قوي، ولكن لا يحيط بالمحيط المحمي بالكامل بسبب نقص المال، وفي المنطقة المكشوفة هناك ببساطة وردة شائكة. في هذه الحالة، مع الأخذ في الاعتبار بنية منتج البرنامج، والتي لا تعني بيئة مغلقة بشكل افتراضي، ولكن مجموعة متنوعة من المقابس المختلفة، وأجهزة الاعتراض، ومحللات حركة المرور، فهي بالأحرى سياج اعتصام، مع تثبيت العديد من الشرائط الخارج بمسامير ذاتية التنصت ومن السهل جدًا فكها. المشكلة في معظم هذه الحلول هي أنه مع هذا العدد الهائل من الثغرات المحتملة، هناك دائمًا احتمال نسيان شيء ما، أو فقدان علاقة ما، أو التأثير على الاستقرار من خلال تنفيذ أحد الاعتراضات دون جدوى. انطلاقًا من حقيقة أن الثغرات الأمنية المعروضة في هذه المقالة هي مجرد ثغرات ظاهرية، فإن المنتج يحتوي على العديد من الثغرات الأمنية الأخرى التي سيستغرق البحث عنها بضع ساعات أطول.
علاوة على ذلك، فإن السوق مليء بالأمثلة على التنفيذ الكفء للحماية من الإغلاق، على سبيل المثال، منتجات مكافحة الفيروسات المحلية، حيث لا يمكن تجاوز الدفاع عن النفس ببساطة. وبقدر ما أعرف، لم يكونوا كسالى جدًا لدرجة أنهم لم يحصلوا على شهادة FSTEC.
وبعد إجراء عدة محادثات مع موظفي سمارت لاين، تم العثور على عدة أماكن مماثلة لم يسمعوا عنها من قبل. أحد الأمثلة على ذلك هو آلية AppInitDll.
قد لا يكون الأعمق، لكنه يسمح لك في كثير من الحالات بالقيام بذلك دون الدخول إلى نواة نظام التشغيل وعدم التأثير على استقراره. تستفيد برامج تشغيل nVidia بشكل كامل من هذه الآلية لضبط محول الفيديو للعبة معينة.
إن الافتقار التام لنهج متكامل لبناء نظام آلي يعتمد على DL 8.2 يثير تساؤلات. يُقترح وصف مزايا المنتج للعميل، والتحقق من قوة الحوسبة لأجهزة الكمبيوتر والخوادم الحالية (تتطلب أدوات تحليل السياق استهلاكًا كثيفًا للموارد، كما أن أجهزة الكمبيوتر المكتبية متعددة الإمكانات وأجهزة الكمبيوتر المكتبية المستندة إلى Atom ليست مناسبة في هذه الحالة) وقم ببساطة بطرح المنتج في الأعلى. وفي الوقت نفسه، لم يتم حتى ذكر مصطلحات مثل "التحكم في الوصول" و"بيئة البرمجيات المغلقة" في الندوة. قيل عن التشفير أنه بالإضافة إلى التعقيد، فإنه سيثير أسئلة من قبل المنظمين، رغم أنه في الواقع لا توجد مشاكل معه. يتم تجاهل الأسئلة المتعلقة بالشهادة، حتى في FSTEC، نظرًا لتعقيدها وطولها المفترض. باعتباري متخصصًا في أمن المعلومات شارك مرارًا وتكرارًا في مثل هذه الإجراءات، أستطيع أن أقول أنه أثناء تنفيذها، تم الكشف عن العديد من نقاط الضعف المشابهة لتلك الموصوفة في هذه المادة، لأن المتخصصون في مختبرات إصدار الشهادات لديهم تدريب متخصص جاد.
ونتيجة لذلك، يمكن لنظام DLP المقدم أداء مجموعة صغيرة جدًا من الوظائف التي تضمن بالفعل أمن المعلومات، مع توليد حمل حاسوبي خطير وخلق شعور بالأمان لبيانات الشركة بين إدارة الشركة التي ليس لديها خبرة في مسائل أمن المعلومات.
يمكنها فقط حماية البيانات الكبيرة حقًا من مستخدم لا يتمتع بالامتيازات، لأن... المسؤول قادر تمامًا على إلغاء تنشيط الحماية تمامًا، وبالنسبة للأسرار الكبيرة، حتى مدير التنظيف المبتدئ سيكون قادرًا على التقاط صورة للشاشة بشكل سري، أو حتى تذكر العنوان أو رقم بطاقة الائتمان من خلال النظر إلى الشاشة فوق شاشة زميله. كتف.
علاوة على ذلك، كل هذا صحيح فقط إذا كان من المستحيل على الموظفين الوصول فعليًا إلى الأجزاء الداخلية للكمبيوتر أو على الأقل إلى BIOS لتنشيط التمهيد من الوسائط الخارجية. ثم حتى BitLocker، الذي من غير المرجح أن يتم استخدامه في الشركات التي تفكر فقط في حماية المعلومات، قد لا يساعد.
الاستنتاج، رغم أنه قد يبدو مبتذلاً، هو نهج متكامل لأمن المعلومات، بما في ذلك ليس فقط حلول البرمجيات/الأجهزة، ولكن أيضًا التدابير التنظيمية والتقنية لاستبعاد التقاط الصور/الفيديو ومنع "الأولاد ذوي الذاكرة الهائلة" غير المصرح لهم من الدخول الموقع. يجب ألا تعتمد أبدًا على المنتج المعجزة DL 8.2، الذي يتم الإعلان عنه كحل من خطوة واحدة لمعظم مشكلات أمان المؤسسات.
المصدر: www.habr.com