2017-ci ilin oktyabr ayında DeviceLock DLP sistemi üçün təqdimat seminarında iştirak etmək imkanım oldu, burada USB portlarının bağlanması, poçtun kontekstual təhlili və mübadilə buferi kimi sızmalardan qorunmanın əsas funksionallığına əlavə olaraq, administratordan qorunma da var idi. elan olunub. Model sadə və gözəldir - quraşdırıcı kiçik bir şirkətə gəlir, bir sıra proqramlar quraşdırır, BIOS parolunu təyin edir, DeviceLock administrator hesabı yaradır və yalnız Windows-un özünü və qalan proqram təminatını idarə etmək hüquqlarını yerli şirkətə buraxır. admin. Niyyət olsa belə bu admin heç nə oğurlaya bilməyəcək. Amma bütün bunlar nəzəriyyədir...
Çünki İnformasiya təhlükəsizliyi vasitələrinin işlənib hazırlanması sahəsində 20+ ildən çox işlədiyim zaman mən aydın şəkildə əmin oldum ki, bir idarəçi hər şeyi edə bilər, xüsusən də kompüterə fiziki girişlə, onda ondan əsas müdafiə yalnız ciddi hesabatlar və məlumatların verilməsi kimi təşkilati tədbirlər ola bilər. Əhəmiyyətli məlumatları ehtiva edən kompüterlərin fiziki mühafizəsi, sonra dərhal təklif olunan məhsulun davamlılığını yoxlamaq fikri ortaya çıxdı.
Seminar bitdikdən dərhal sonra bunu etmək cəhdi uğursuz oldu; DlService.exe əsas xidmətinin silinməsinə qarşı qorunma edildi və onlar hətta giriş hüquqlarını və son uğurlu konfiqurasiyanın seçilməsini unutmadılar, bunun nəticəsində onlar onu yıxdılar, əksər viruslar kimi, oxumaq və icra etmək üçün sistemin girişini rədd etdilər, İşə yaramadı.
Yəqin ki, məhsula daxil olan sürücülərin qorunması ilə bağlı bütün suallara Smart Line tərtibatçısının nümayəndəsi əminliklə bildirdi ki, “hər şey eyni səviyyədədir”.
Bir gün sonra araşdırmamı davam etdirmək qərarına gəldim və sınaq versiyasını yüklədim. Mən dərhal paylamanın ölçüsü ilə təəccübləndim, demək olar ki, 2 GB! Mən adətən informasiya təhlükəsizliyi alətləri (ISIS) kimi təsnif edilən sistem proqram təminatının adətən daha yığcam ölçülərə malik olmasına öyrəşmişəm.
Quraşdırıldıqdan sonra ikinci dəfə təəccübləndim - yuxarıda qeyd olunan icra sənədinin ölçüsü də kifayət qədər böyükdür - 2MB. Dərhal düşündüm ki, belə bir həcmdə tutmaq üçün bir şey var. Gecikmiş qeyddən istifadə edərək modulu dəyişdirməyə çalışdım - bağlandı. Proqram kataloqlarını qazdım və artıq 13 sürücü var idi! Mən icazələrə baxdım - onlar dəyişikliklər üçün bağlanmayıb! Yaxşı, hamıya qadağa qoyulub, həddən artıq yükləyək!
Effekt sadəcə cazibədardır - bütün funksiyalar söndürülür, xidmət başlamır. Nə cür özünümüdafiə var, istədiyinizi götürün və köçürün, hətta fləş disklərdə, hətta şəbəkə üzərindən də. Sistemin ilk ciddi çatışmazlığı ortaya çıxdı - komponentlərin qarşılıqlı əlaqəsi çox güclü idi. Bəli, xidmət sürücülərlə əlaqə saxlamalıdır, amma heç kim cavab vermirsə, niyə qəzaya uğrasın? Nəticə etibarı ilə, qorunmadan yan keçməyin bir üsulu var.
Möcüzə xidmətinin bu qədər yumşaq və həssas olduğunu bildikdən sonra onun üçüncü tərəf kitabxanalarından asılılığını yoxlamaq qərarına gəldim. Burada daha sadədir, siyahı böyükdür, sadəcə WinSock_II kitabxanasını təsadüfi silirik və oxşar şəkil görürük - xidmət başlamadı, sistem açıqdır.
Nəticədə, biz seminarda danışan təsvir eyni şey var, güclü hasar, lakin pul olmaması səbəbindən bütün qorunan perimetri əhatə deyil və açıq sahədə sadəcə tikanlı itburnu var. Bu halda, proqram məhsulunun arxitekturasını nəzərə alsaq, bu, standart olaraq qapalı bir mühiti nəzərdə tutmur, lakin müxtəlif tıxaclar, kəsicilər, trafik analizatorlarıdır, bu, bir çox zolaqları vidalanmış bir piket hasarıdır. xaricdən özünü vurma vintləri ilə və sökülməsi çox asandır. Bu həllərin əksəriyyətində problem odur ki, bu qədər çox sayda potensial dəliklə həmişə bir şeyi unutmaq, əlaqəni əldən vermək və ya kəsicilərdən birini uğursuz şəkildə həyata keçirməklə sabitliyə təsir etmək ehtimalı var. Bu məqalədə təqdim olunan zəifliklərin sadəcə səthdə olması faktına əsasən, məhsul axtarış üçün bir neçə saat daha çox vaxt aparacaq bir çox başqalarını ehtiva edir.
Üstəlik, bazar, məsələn, özünümüdafiənin sadəcə yan keçə bilməyəcəyi yerli antivirus məhsulları kimi, bağlanma mühafizəsinin səlahiyyətli tətbiqi nümunələri ilə doludur. Bildiyimə görə, onlar FSTEC sertifikatından keçmək üçün çox tənbəl deyildilər.
Smart Line əməkdaşları ilə bir neçə dəfə söhbət etdikdən sonra onların heç eşitmədiyi bir neçə oxşar yer tapıldı. Bir nümunə AppInitDll mexanizmidir.
Bu, ən dərin olmaya bilər, lakin bir çox hallarda OS nüvəsinə girmədən və onun sabitliyinə təsir etmədən bunu etməyə imkan verir. nVidia sürücüləri xüsusi oyun üçün video adapteri tənzimləmək üçün bu mexanizmdən tam istifadə edirlər.
DL 8.2 əsasında avtomatlaşdırılmış sistemin qurulmasına inteqrasiya olunmuş yanaşmanın tam olmaması suallar doğurur. Müştəriyə məhsulun üstünlüklərini təsvir etmək, mövcud fərdi kompüterlərin və serverlərin hesablama gücünü yoxlamaq təklif olunur (kontekst analizatorları çox resurs tələb edir və indi dəbdə olan ofis komputerləri və Atom əsaslı nettoplar uyğun deyil. bu halda) və sadəcə məhsulu üstünə yaydırın. Eyni zamanda seminarda “giriş nəzarəti” və “qapalı proqram təminatı mühiti” kimi terminlər belə qeyd olunmayıb. Şifrələmə haqqında deyildi ki, mürəkkəblikdən əlavə, tənzimləyicilərdən suallar doğuracaq, baxmayaraq ki, əslində bununla bağlı heç bir problem yoxdur. Sertifikatlaşdırma ilə bağlı suallar, hətta FSTEC-də, ehtimal olunan mürəkkəblik və uzunluq səbəbindən bir kənara atılır. Dəfələrlə bu cür prosedurlarda iştirak etmiş bir informasiya təhlükəsizliyi mütəxəssisi kimi deyə bilərəm ki, onların həyata keçirilməsi prosesində bu materialda təsvir edilənlərə bənzər bir çox boşluqlar aşkarlanır, çünki sertifikatlaşdırma laboratoriyalarının mütəxəssisləri ciddi ixtisas hazırlığına malikdirlər.
Nəticə etibarı ilə təqdim edilən DLP sistemi informasiya təhlükəsizliyi məsələlərində təcrübəsiz şirkət rəhbərliyi arasında ciddi hesablama yükü yaradaraq və korporativ məlumatlara təhlükəsizlik hissi yaradaraq, faktiki olaraq informasiya təhlükəsizliyini təmin edən çox kiçik funksiyaları yerinə yetirə bilir.
O, yalnız həqiqətən böyük məlumatları imtiyazsız istifadəçidən qoruya bilər, çünki... administrator mühafizəni tamamilə deaktiv etmək iqtidarındadır və böyük sirrlər üçün hətta kiçik təmizlik meneceri belə ekranın şəklini təmkinli şəkildə çəkə, hətta həmkarının ekranına baxaraq ünvanı və ya kredit kartı nömrəsini yadda saxlaya biləcək. çiyin.
Üstəlik, bütün bunlar yalnız işçilərin xarici mediadan yükləməni aktivləşdirmək üçün PC-nin daxili hissələrinə və ya heç olmasa BIOS-a fiziki girişi mümkün olmadıqda doğrudur. Onda hətta sadəcə olaraq məlumatı qorumaq haqqında düşünən şirkətlərdə istifadə oluna bilməyən BitLocker də kömək etməyə bilər.
Nəticə, nə qədər bayağı səslənsə də, informasiya təhlükəsizliyinə inteqrasiya olunmuş yanaşmadır, o cümlədən təkcə proqram/aparat həlləri deyil, həm də foto/video çəkilişləri istisna etmək və icazəsiz “fenomenal yaddaşa malik oğlanlar”ın girişinin qarşısını almaq üçün təşkilati və texniki tədbirlər. Sayt. Siz heç vaxt müəssisənin təhlükəsizlik problemlərinin əksəriyyətinin bir addımlı həlli kimi elan edilən möcüzəvi məhsul DL 8.2-ə etibar etməməlisiniz.
Mənbə: www.habr.com