L'octubre de 2017 vaig tenir l'oportunitat d'assistir a un seminari de promoció del sistema DeviceLock DLP, on, a més de la funcionalitat principal de protecció contra fuites com ara el tancament de ports USB, l'anàlisi contextual del correu i el porta-retalls, la protecció de l'administrador va ser anunciat. El model és senzill i bonic: un instal·lador arriba a una petita empresa, instal·la un conjunt de programes, estableix una contrasenya de BIOS, crea un compte d'administrador de DeviceLock i només deixa els drets per gestionar el propi Windows i la resta del programari al local. admin. Encara que hi hagi intenció, aquest administrador no podrà robar res. Però tot això és teoria...
Perquè Més de 20 anys de treball en el camp del desenvolupament d'eines de seguretat de la informació, estava clarament convençut que un administrador pot fer qualsevol cosa, especialment amb accés físic a un ordinador, llavors la principal protecció contra això només poden ser mesures organitzatives com ara informes estrictes i protecció física dels ordinadors que contenen informació important, després immediatament La idea va sorgir per provar la durabilitat del producte proposat.
Un intent de fer-ho immediatament després del final del seminari no va tenir èxit; es va protegir contra la supressió del servei principal DlService.exe i fins i tot no es van oblidar dels drets d'accés i la selecció de l'última configuració correcta, com a resultat de la qual cosa el van caure, com la majoria de virus, negant l'accés al sistema per llegir i executar, no va funcionar.
A totes les preguntes sobre la protecció dels controladors probablement inclosos en el producte, el representant del desenvolupador de Smart Line va afirmar amb confiança que "tot està al mateix nivell".
Un dia després vaig decidir continuar la meva recerca i vaig descarregar la versió de prova. De seguida em va sorprendre la mida de la distribució, gairebé 2 GB! Estic acostumat al fet que el programari del sistema, que normalment es classifica com a eines de seguretat de la informació (ISIS), sol tenir una mida molt més compacta.
Després de la instal·lació, em va sorprendre per segona vegada: la mida de l'executable esmentat anteriorment també és bastant gran: 2 MB. Immediatament vaig pensar que amb un volum així hi havia alguna cosa a què agafar-se. Vaig intentar substituir el mòdul mitjançant la gravació retardada: estava tancat. Vaig buscar en els catàlegs de programes i ja hi havia 13 controladors! Vaig mirar els permisos: no estan tancats per canvis! D'acord, tothom està prohibit, sobrecarreguem-ne!
L'efecte és simplement encantador: totes les funcions estan desactivades, el servei no s'inicia. Quin tipus d'autodefensa hi ha, agafa i copia el que vulguis, fins i tot en unitats flash, fins i tot a través de la xarxa. Va sorgir el primer inconvenient greu del sistema: la interconnexió dels components era massa forta. Sí, el servei s'ha de comunicar amb els conductors, però per què fallar si ningú respon? Com a resultat, hi ha un mètode per evitar la protecció.
Després de descobrir que el servei miracle és tan delicat i sensible, vaig decidir comprovar les seves dependències de biblioteques de tercers. Aquí és encara més senzill, la llista és gran, només esborram la biblioteca WinSock_II a l'atzar i veiem una imatge similar: el servei no s'ha iniciat, el sistema està obert.
Com a resultat, tenim el mateix que va descriure el ponent al seminari, una tanca potent, però que no tanca tot el perímetre protegit per manca de diners, i a la zona descoberta hi ha simplement escaramujos espinosos. En aquest cas, tenint en compte l'arquitectura del producte de programari, que no implica un entorn tancat per defecte, sinó una varietat de diferents endolls, interceptors, analitzadors de trànsit, es tracta més aviat d'una tanca, amb moltes de les tires cargolades. l'exterior amb cargols autorroscants i molt fàcil de desenroscar. El problema de la majoria d'aquestes solucions és que amb un nombre tan gran de forats potencials, sempre hi ha la possibilitat d'oblidar alguna cosa, perdre una relació o afectar l'estabilitat mitjançant la implementació sense èxit d'un dels interceptors. A jutjar pel fet que les vulnerabilitats presentades en aquest article es troben simplement a la superfície, el producte conté moltes altres que trigaran un parell d'hores més a buscar.
A més, el mercat està ple d'exemples d'implementació competent de protecció d'apagada, per exemple, productes antivirus nacionals, on l'autodefensa no es pot evitar simplement. Pel que jo sé, no van ser massa mandrós per sotmetre's a la certificació FSTEC.
Després de mantenir diverses converses amb empleats de Smart Line, es van trobar diversos llocs semblants dels quals ni tan sols havien sentit a parlar. Un exemple és el mecanisme AppInitDll.
Potser no és el més profund, però en molts casos permet fer-ho sense entrar al nucli del sistema operatiu i no afectar-ne l'estabilitat. Els controladors nVidia fan un ús complet d'aquest mecanisme per ajustar l'adaptador de vídeo per a un joc específic.
La manca total d'un enfocament integrat per construir un sistema automatitzat basat en DL 8.2 planteja preguntes. Es proposa descriure al client els avantatges del producte, comprovar la potència de càlcul dels ordinadors i servidors existents (els analitzadors de context consumeixen molt recursos i els ordinadors tot en un d'oficina, ara de moda, i els netops basats en Atom no són adequats). en aquest cas) i simplement estireu el producte a sobre. Al mateix temps, termes com ara "control d'accés" i "entorn de programari tancat" ni tan sols es van esmentar al seminari. Sobre el xifratge es va dir que, a més de la complexitat, plantejarà preguntes als reguladors, encara que en realitat no hi ha problemes. Les preguntes sobre la certificació, fins i tot a FSTEC, es deixen de banda a causa de la seva suposada complexitat i llargada. Com a especialista en seguretat de la informació que ha participat repetidament en aquest tipus de tràmits, puc dir que en el procés de realització d'aquests es destaquen moltes vulnerabilitats semblants a les descrites en aquest material, perquè els especialistes dels laboratoris de certificació tenen una formació especialitzada seriosa.
Com a resultat, el sistema DLP presentat pot realitzar un conjunt molt reduït de funcions que realment garanteixen la seguretat de la informació, alhora que genera una càrrega informàtica seriosa i crea una sensació de seguretat per a les dades corporatives entre la direcció de l'empresa que no té experiència en qüestions de seguretat de la informació.
Només pot protegir realment grans dades d'un usuari sense privilegis, perquè... l'administrador és bastant capaç de desactivar completament la protecció, i per a grans secrets, fins i tot un director de neteja junior podrà fer una foto de la pantalla de manera discreta, o fins i tot recordar l'adreça o el número de la targeta de crèdit mirant la pantalla per sobre de la d'un company. espatlla.
A més, tot això només és cert si és impossible que els empleats tinguin accés físic a l'interior de l'ordinador o almenys a la BIOS per activar l'arrencada des de mitjans externs. Aleshores, fins i tot BitLocker, que és poc probable que s'utilitzi en empreses que només estan pensant en protegir la informació, potser no ajudi.
La conclusió, per banal que sembli, és un enfocament integrat de la seguretat de la informació, que inclou no només solucions de programari/maquinari, sinó també mesures organitzatives i tècniques per excloure la gravació de fotos/vídeos i evitar que entrin "nens amb una memòria fenomenal" no autoritzats. el lloc. Mai no hauríeu de confiar en el producte miracle DL 8.2, que s'anuncia com una solució d'un sol pas per a la majoria dels problemes de seguretat empresarial.
Font: www.habr.com