U oktobru 2017. godine imao sam priliku da prisustvujem promotivnom seminaru za DeviceLock DLP sistem, na kojem je, pored glavne funkcionalnosti zaštite od curenja, kao što je zatvaranje USB portova, kontekstualna analiza pošte i međuspremnika, bila i zaštita od administratora. reklamirao. Model je jednostavan i lijep - instalater dolazi u malu kompaniju, instalira set programa, postavlja lozinku za BIOS, kreira DeviceLock administratorski račun i ostavlja samo prava upravljanja samim Windowsom i ostatkom softvera lokalnom admin. Čak i ako postoji namjera, ovaj administrator neće moći ništa ukrasti. Ali ovo je sve teorija...
Jer preko 20+ godina rada na polju razvoja alata za informatičku sigurnost, jasno sam se uvjerio da administrator može sve, posebno fizičkim pristupom računaru, tada glavna zaštita od toga mogu biti samo organizacijske mjere poput strogog izvještavanja i fizička zaštita računara koji sadrže važne informacije, odmah se javila ideja da se testira trajnost predloženog proizvoda.
Pokušaj da se to uradi odmah po završetku seminara je bio neuspješan; napravljena je zaštita od brisanja glavne usluge DlService.exe, a nisu zaboravili ni prava pristupa i odabir posljednje uspješne konfiguracije, kao rezultat uništili su ga, kao i većinu virusa, uskraćujući pristup sistemu za čitanje i izvršavanje, nije išlo.
Na sva pitanja o zaštiti drajvera koji su vjerovatno uključeni u proizvod, predstavnik programera Smart Line je samouvjereno izjavio da je „sve na istom nivou“.
Dan kasnije odlučio sam da nastavim istraživanje i preuzeo sam probnu verziju. Odmah sam bio iznenađen veličinom distribucije, skoro 2 GB! Navikao sam na činjenicu da sistemski softver, koji se obično klasifikuje kao alati za sigurnost informacija (ISIS), obično ima mnogo kompaktniju veličinu.
Nakon instalacije, drugi put sam bio iznenađen - veličina gore navedenog izvršnog fajla je takođe prilično velika - 2MB. Odmah sam pomislio da se sa takvom količinom ima za šta uhvatiti. Pokušao sam zamijeniti modul pomoću odloženog snimanja - bio je zatvoren. Kopao sam po katalozima programa, a tamo je već bilo 13 drajvera! Probao sam u dozvole - nisu zatvorene za promjene! Dobro, svi su zabranjeni, hajde da preopteretimo!
Efekt je jednostavno očaravajući - sve funkcije su onemogućene, usluga se ne pokreće. Kakva je tu samoodbrana, uzmi i kopiraj šta god hoćeš, makar na fleš diskove, makar i preko mreže. Pojavio se prvi ozbiljni nedostatak sistema - međusobna povezanost komponenti bila je prejaka. Da, servis bi trebao komunicirati sa drajverima, ali zašto se rušiti ako niko ne reaguje? Kao rezultat toga, postoji jedan način zaobilaženja zaštite.
Otkrivši da je čudotvorna usluga tako delikatna i osjetljiva, odlučio sam provjeriti ovisnost o bibliotekama trećih strana. Ovdje je još jednostavnije, lista je velika, samo nasumično izbrišemo biblioteku WinSock_II i vidimo sličnu sliku - usluga nije pokrenuta, sistem je otvoren.
Kao rezultat toga imamo isto ono što je govornik opisao na seminaru, moćnu ogradu, ali ne ograđujući cijeli zaštićeni perimetar zbog nedostatka novca, a u nepokrivenom prostoru su jednostavno bodljikavi šipak. U ovom slučaju, uzimajući u obzir arhitekturu softverskog proizvoda, koji podrazumevano ne podrazumeva zatvoreno okruženje, već niz različitih utikača, presretača, analizatora saobraćaja, to je pre ogradna ograda, na kojoj su mnoge trake zašrafljene. spolja sa samoreznim vijcima i vrlo lako se odvrću. Problem kod većine ovih rješenja je u tome što uz toliki broj potencijalnih rupa uvijek postoji mogućnost da se nešto zaboravi, propuste odnos ili da se neuspješnom implementacijom jednog od presretača ugrozi stabilnost. Sudeći po činjenici da su ranjivosti predstavljene u ovom članku jednostavno na površini, proizvod sadrži mnoge druge za koje će biti potrebno nekoliko sati duže da se traže.
Štoviše, tržište je puno primjera kompetentne implementacije zaštite od isključivanja, na primjer, domaći antivirusni proizvodi, gdje se samoodbrana ne može jednostavno zaobići. Koliko ja znam, nisu bili previše lijeni da prođu FSTEC sertifikaciju.
Nakon nekoliko razgovora sa zaposlenima Smart Linea, pronađeno je nekoliko sličnih mjesta za koja nisu ni čuli. Jedan primjer je mehanizam AppInitDll.
Možda nije najdublji, ali u mnogim slučajevima vam omogućava da ne ulazite u jezgro OS-a i ne utječete na njegovu stabilnost. nVidia drajveri u potpunosti koriste ovaj mehanizam za podešavanje video adaptera za određenu igru.
Potpuni nedostatak integrisanog pristupa izgradnji automatizovanog sistema zasnovanog na DL 8.2 postavlja pitanja. Predlaže se da se kupcu opiše prednosti proizvoda, provjeri računska snaga postojećih PC-a i servera (analizatori konteksta su veoma intenzivni, a sada moderni kancelarijski sve-u-jednom računari i Atom-bazirani nettopovi nisu prikladni u ovom slučaju) i jednostavno razvaljajte proizvod na vrh. Istovremeno, pojmovi kao što su „kontrola pristupa“ i „zatvoreno softversko okruženje“ nisu ni spominjani na seminaru. Za enkripciju je rečeno da će, osim složenosti, izazvati i pitanja regulatora, iako u stvarnosti s tim nema problema. Pitanja o sertifikaciji, čak i na FSTEC-u, su odbačena zbog njihove navodne složenosti i dugotrajnosti. Kao stručnjak za informatičku sigurnost koji je više puta učestvovao u ovakvim procedurama, mogu reći da se u procesu njihovog provođenja otkrivaju mnoge ranjivosti slične onima opisanim u ovom materijalu, jer specijalisti sertifikacionih laboratorija imaju ozbiljnu specijalizovanu obuku.
Kao rezultat toga, predstavljeni DLP sistem može obavljati vrlo mali skup funkcija koje zapravo osiguravaju sigurnost informacija, istovremeno stvarajući ozbiljno računarsko opterećenje i stvarajući osjećaj sigurnosti za korporativne podatke kod menadžmenta kompanije koji nije iskusan u pitanjima sigurnosti informacija.
On može stvarno zaštititi zaista velike podatke od neprivilegovanog korisnika, jer... administrator je sasvim sposoban da potpuno deaktivira zaštitu, a za velike tajne, čak će i mlađi menadžer za čišćenje moći diskretno fotografirati ekran, ili čak zapamtiti adresu ili broj kreditne kartice gledajući u ekran preko ekrana kolege ramena.
Štaviše, sve ovo važi samo ako je nemoguće da zaposleni imaju fizički pristup unutrašnjosti računara ili barem BIOS-u da bi aktivirali pokretanje sa eksternog medija. Tada čak ni BitLocker, koji se vjerovatno neće koristiti u kompanijama koje samo razmišljaju o zaštiti informacija, možda neće pomoći.
Zaključak, koliko god banalno zvučao, jeste integrirani pristup informatičkoj sigurnosti, koji uključuje ne samo softverska/hardverska rješenja, već i organizacijske i tehničke mjere za isključenje foto/video snimanja i sprječavanje neovlaštenog ulaska “dječaka s fenomenalnim pamćenjem”. mjesto. Nikada se ne biste trebali oslanjati na čudesni proizvod DL 8.2, koji se reklamira kao rješenje u jednom koraku za većinu sigurnosnih problema preduzeća.
izvor: www.habr.com