У кастрычніку 2017 года давялося пабываць на рэкламным семінары DLP-сістэмы DeviceLock, дзе апроч асноўнага функцыяналу абароны ад уцечак тыпу закрыцця USB-партоў, кантэкстнага аналізу пошты і буфера абмену рэкламавалася абарона ад адміністратара. Мадэль простая і прыгожая – у маленькую фірму прыходзіць усталёўшчык, ставіць комплекс праграм, параліт БИОС, стварае адміністратарскі ўлік DeviceLock, а мясцоваму адміну пакідае толькі правы на кіраванне ўласна Віндай і астатнім софтам. Нават у выпадку намеру гэты адмін нічога ўкрасці не зможа. Але гэта ўсё тэорыя…
Т.к. за 20+ гадоў працы ў вобласці распрацоўкі сродкаў абароны інфармацыі навочна пераканаўся, што адміністратар можа ўсё, асабліва маючы фізічны доступ да кампутара, то асноўнай абаронай ад яго могуць служыць вылучна арганізацыйныя меры тыпу строгай справаздачнасці і фізічнай абароны кампутараў, утрымоўвальных важную інфармацыю, то неадкладна паўстала думка праверыць устойлівасць прапанаванага прадукта.
Спроба зрабіць адразу па завяршэнні семінара не ўдалася, у лоб абарону ад выдалення асноўнай службы DlService.exe зрабілі і нават пра правы доступу і выбар апошняй удалай канфігурацыі не забыліся, у выніку чаго паваліць яе, як большасць вірусаў, забараніўшы сістэме доступ на чытанне і выкананне , не атрымалася.
На ўсе пытанні аб абароне напэўна наяўных у складзе прадукта драйвераў прадстаўнік фірмы-распрацоўніка Смарт Лайн упэўнена заяўляў, што "усё на тым жа ўзроўні".
Праз дзень вырашыў працягнуць пошукі, запампаваў выпрабавальную версію. Адразу ж здзівіў размерчык дыстрыбутыва амаль у 2 Гб! Абвык, што сістэмнае ПА, да якога прынята адносіць сродкі абароны інфармацыі (СЗІ), звычайна мае значна больш кампактны памер.
Пасля ўстаноўкі здзівіўся другі раз – памер вышэйзгаданага ехе-шника таксама вельмі немаленькі – 2Мб. Адразу падумалася, што пры такім аб'ёме ёсць завошта ўчапіцца. Паспрабаваў падмяніць модуль з дапамогай адкладзенага запісу - закрыта. Пакапаўся ў каталогах праграмы, а тамака адных драйвераў аж 13 штук! Патыкаў у дазволы - не зачыненыя для змены! Ну добра, усім забарона, перагружаемся!
Эфект проста феерычны - усе функцыі адключыліся, служба не стартавала. Якая там самаабарона, бяры і капіюй што хочаш хоць на флэшкі, хоць па сетцы. Вылез першы сур'ёзны недахоп сістэмы - занадта моцная ўзаемасувязь кампанентаў. Так, служба з драйверамі павінна мець зносіны, але падаць тое навошта, калі ніхто не адказвае? У выніку адзін метад абыходу абароны ёсць.
Высветліўшы, што цуда-служба такая далікатная і адчувальная, вырашыў праверыць яе залежнасці ад іншых бібліятэк. Тут яшчэ прасцей, спіс вялікі, проста наўздагад сціраем бібліятэку WinSock_II і назіраем аналагічную карціну – служба не стартавала, сістэма адкрыта.
У выніку маем тое самае, што маляваў дакладчык на семінары, магутны плот, але які агароджвае не ўвесь ахоўны перыметр з-за недахопу грошай, а на незачыненым участку проста калючы шыпшыннік. У дадзеным жа выпадку, улічваючы архітэктуру праграмнага выраба, якая прадугледжвае не зачыненае па змаўчанні асяроддзе, а мноства разнастайных затычак, перахопнікаў, аналізатараў трафіку, гэта хутчэй штыкетнік, прычым шматлікія планачкі прыкручаны саморезами звонку і іх вельмі лёгка адкруціць. Праблемы большасці падобных рашэнняў у тым, што ў такой велізарнай колькасці патэнцыйных дзірак заўсёды ёсць верагоднасць забыцца нешта, прапусціць узаемасувязь або паўплываць на стабільнасць, няўдала рэалізаваўшы нейкі з перахопнікаў. Судзячы па тым, што прыведзеныя ў дадзеным артыкуле ўразлівасці проста ляжаць на паверхні, прадукт утрымоўвае яшчэ мноства іншых, шукаць якія трэба на пару гадзін даўжэй.
Прычым на рынку поўна прыкладаў пісьменнай рэалізацыі абароны ад адключэння, напрыклад айчынныя антывірусныя сродкі, дзе самаабарону проста так не аб'едзеш. Наколькі мне вядома, яны не заленаваліся прайсці сертыфікацыю ФСТЭК.
Правёўшы некалькі гутарак з супрацоўнікамі Смарт Лайн, некалькі падобных месцаў, пра якія яны нават не чулі, было знойдзена. Адзін з прыкладаў - механізм АррInitDll.
Хай ён не найглыбейшы, затое ў шматлікіх выпадках дазваляе абыйсціся без залажэння ў ядро АС і не ўплываць на яе стабільнасць. Драйвера nVidia ва ўсю выкарыстоўваюць дадзены механізм для падладкі відэадаптара пад пэўную гульню.
Выклікае пытанні поўная адсутнасць комплекснага падыходу да пабудовы аўтаматызаванай сістэмы на базе DL 8.2. Прапануецца маляваць заказчыку перавагі прадукта, праверыць вылічальную магутнасць наяўных ПК і сервераў (кантэксныя аналізатары вельмі рэсурсаёмістыя і модныя цяпер офісныя манаблокі і неттопы на базе Атам у дадзеным выпадку не падыходзяць) і проста накаціць зверху выраб. Пры гэтым такія тэрміны, як "размежаванне доступу", "замкнутае праграмнае асяроддзе", нават не прагучалі на семінары. Пра шыфраванне было сказана, што апроч складанасці яно выкліча пытанні рэгулятараў, хоць рэальна ніякіх праблем з гэтым няма. Пытанні пра сертыфікацыю нават у ФСТЭК адкідаюцца з прычыны іх нібыта складанасці і зацягнутасці. Як адмысловец па ИБ, неаднаразова які прымаў удзел у падобных працэдурах, магу сказаць, што падчас іх правядзення выяўляецца мноства ўразлівасцяў, падобных апісаным у дадзеным матэрыяле, т.к. спецыялісты сертыфікуючых лабараторый маюць сур'ёзную профільную падрыхтоўку.
У выніку прадстаўленая DLP-сістэма можа выконваць вельмі малы набор функцый, уласна забяспечвальных інфармацыйную бяспеку, генеруючы пры гэтым сур'ёзную вылічальную нагрузку і ствараючы ў неспрактыкаванага ў пытаннях ИБ кіраўніцтва кампаніі адчуванне абароненасці карпаратыўных дадзеных.
Рэальна абараніць яна можа хіба што рэальна вялікія дадзеныя ад непрывілеяванага карыстальніка, т.я. адміністратар суцэль здольны цалкам дэактываваць абарону, а для неаб'ёмных сакрэтаў і малодшы мэнэджар па клінінгу здагадаецца неўзаметку сфатаграфаваць экран, а то і запомніць адрас ці нумар крэдыткі, зазірнуўшы ў экран праз плячо калегі.
Прычым усё гэта справядліва толькі ў выпадку немагчымасці фізічнага доступу супрацоўнікаў да вантроб ПК ці хаця б да БІГС для актывацыі загрузкі з вонкавых носьбітаў. Тады можа не дапамагчы нават БітЛокер, які ці наўрад ужываецца ў фірмах, якія толькі задумаліся аб абароне інфармацыі.
Выснова, як гэта ні банальна гучыць, у комплексным падыходзе да ИБ, уключаючы не толькі праграмна / апаратныя рашэнні, але і арганізацыйна-тэхнічныя меры для выключэння фота / відэаздымкі і нядопуску на аб'ект старонніх "хлопчыкаў з фенаменальнай памяццю". Спадзявацца на цуда-прадукт DL 8.2, які рэкламуецца як аднакрокавае рашэнне большасці праблем з бяспекай прадпрыемства нельга ні ў якім разе.
Крыніца: habr.com