V říjnu 2017 jsem měl možnost zúčastnit se propagačního semináře k systému DeviceLock DLP, kde kromě hlavní funkcionality ochrany proti únikům jako je uzavření USB portů, kontextová analýza pošty a schránky, byla ochrana ze strany administrátora inzerované. Model je jednoduchý a krásný – do malé firmy přijde instalátor, nainstaluje sadu programů, nastaví heslo systému BIOS, vytvoří účet správce DeviceLock a ponechá pouze práva ke správě samotného systému Windows a zbytku softwaru místnímu admin. I když existuje záměr, tento admin nebude moci nic ukrást. Ale to je všechno teorie...
Protože za 20+ let práce v oblasti vývoje nástrojů informační bezpečnosti jsem se jednoznačně přesvědčil, že administrátor může dělat cokoli, zejména s fyzickým přístupem k počítači, pak hlavní ochranou proti němu mohou být pouze organizační opatření jako přísné reporting a fyzická ochrana počítačů obsahujících důležité informace, pak ihned Vznikl nápad vyzkoušet odolnost navrhovaného produktu.
Pokus o to ihned po skončení semináře byl neúspěšný, byla provedena ochrana proti smazání hlavní služby DlService.exe a nezapomněli ani na přístupová práva a výběr poslední úspěšné konfigurace, v důsledku čehož srazili to, jako většina virů, a odepřeli systému přístup ke čtení a spouštění, Nefungovalo to.
Na všechny otázky týkající se ochrany ovladačů pravděpodobně obsažených v produktu zástupce vývojáře Smart Line sebevědomě uvedl, že „vše je na stejné úrovni“.
O den později jsem se rozhodl pokračovat ve výzkumu a stáhl jsem si zkušební verzi. Ihned mě překvapila velikost distribuce, téměř 2 GB! Jsem zvyklý na to, že systémový software, který je obvykle klasifikován jako nástroje informační bezpečnosti (ISIS), má obvykle mnohem kompaktnější velikost.
Po instalaci jsem byl překvapen podruhé - velikost výše zmíněného spustitelného souboru je také poměrně velká - 2MB. Hned mě napadlo, že s takovým objemem je se čeho chytit. Zkusil jsem vyměnit modul pomocí zpožděného nahrávání - byl zavřený. Prohrabal jsem katalogy programů a už tam bylo 13 ovladačů! Šťouchl jsem do oprávnění - kvůli změnám nejsou uzavřená! Dobře, všichni jsou zakázáni, pojďme se přetížit!
Efekt je prostě okouzlující – všechny funkce jsou deaktivovány, služba se nespustí. Co je tam za sebeobranu, vezměte a zkopírujte si co chcete, třeba i na flashky, třeba i přes síť. Objevila se první vážná nevýhoda systému - příliš silné propojení komponent. Ano, služba by měla komunikovat s ovladači, ale proč havarovat, když nikdo nereaguje? V důsledku toho existuje jeden způsob, jak ochranu obejít.
Když jsem zjistil, že zázračná služba je tak jemná a citlivá, rozhodl jsem se zkontrolovat její závislosti na knihovnách třetích stran. Zde je to ještě jednodušší, seznam je velký, jen náhodně vymažeme knihovnu WinSock_II a vidíme podobný obrázek - služba se nespustila, systém je otevřený.
Ve výsledku máme to samé, co na semináři popisoval řečník, mohutný plot, který však kvůli nedostatku peněz neohraničuje celý chráněný perimetr a v nekrytém prostoru jsou prostě pichlavé šípky. V tomto případě, vezmeme-li v úvahu architekturu softwarového produktu, která ve výchozím nastavení neznamená uzavřené prostředí, ale řadu různých zástrček, odposlechů, analyzátorů provozu, jde spíše o laťkový plot s mnoha našroubovanými proužky. vnější strana se samořeznými šrouby a velmi snadno se odšroubovává. Problémem většiny těchto řešení je, že při tak obrovském množství potenciálních děr je vždy možnost něco zapomenout, zmeškat vztah nebo ovlivnit stabilitu neúspěšnou implementací některého ze záchytných zařízení. Soudě podle skutečnosti, že zranitelnosti uvedené v tomto článku jsou pouze na povrchu, produkt obsahuje mnoho dalších, jejichž hledání bude trvat o několik hodin déle.
Kromě toho je trh plný příkladů kompetentní implementace ochrany před vypnutím, například domácích antivirových produktů, kde nelze sebeobranu jednoduše obejít. Pokud vím, nebyli líní podstoupit certifikaci FSTEC.
Po několika rozhovorech se zaměstnanci Smart Line se našlo několik podobných míst, o kterých ani neslyšeli. Jedním z příkladů je mechanismus AppInitDll.
Možná není nejhlubší, ale v mnoha případech vám umožní obejít se bez toho, abyste se dostali do jádra OS a neovlivnili jeho stabilitu. Ovladače nVidia tento mechanismus plně využívají k úpravě grafického adaptéru pro konkrétní hru.
Naprostý nedostatek integrovaného přístupu k budování automatizovaného systému založeného na DL 8.2 vyvolává otázky. Navrhuje se popsat zákazníkovi výhody produktu, zkontrolovat výpočetní výkon stávajících PC a serverů (kontextové analyzátory jsou velmi náročné na zdroje a nyní módní kancelářské all-in-one počítače a nettopy na bázi Atom nejsou vhodné. v tomto případě) a produkt jednoduše rozválejte nahoru. Na semináři přitom nebyly ani zmíněny pojmy jako „řízení přístupu“ a „uzavřené softwarové prostředí“. O šifrování se říkalo, že kromě složitosti vyvolá otázky regulátorů, i když ve skutečnosti s ním problémy nejsou. Otázky týkající se certifikace, a to i na FSTEC, jsou oprášeny kvůli jejich domnělé složitosti a zdlouhavosti. Jako specialista na informační bezpečnost, který se takových postupů opakovaně účastnil, mohu říci, že v procesu jejich provádění je odhaleno mnoho zranitelností podobných těm, které jsou popsány v tomto materiálu, protože specialisté certifikačních laboratoří mají seriózní specializované školení.
Výsledkem je, že prezentovaný systém DLP může vykonávat velmi malou sadu funkcí, které skutečně zajišťují informační bezpečnost, a zároveň generují vážnou výpočetní zátěž a vytvářejí pocit bezpečí pro podniková data u vedení společnosti, které nemá v otázkách bezpečnosti informací zkušenosti.
Skutečně velká data dokáže ochránit jen před neprivilegovaným uživatelem, protože... správce je docela schopný ochranu zcela deaktivovat a pro velká tajemství bude moci i junior vedoucí úklidu diskrétně vyfotit obrazovku, nebo si dokonce zapamatovat adresu nebo číslo kreditní karty pohledem na obrazovku přes kolegovu rameno.
To vše navíc platí pouze v případě, že zaměstnanci nemohou mít fyzický přístup do útrob PC nebo alespoň do BIOSu, aby aktivovali bootování z externího média. Pak nemusí pomoci ani BitLocker, který se ve firmách, které o ochraně informací teprve uvažují, pravděpodobně nevyužije.
Závěr, jakkoli banální to může znít, je integrovaný přístup k informační bezpečnosti, zahrnující nejen softwarová/hardwarová řešení, ale také organizační a technická opatření k vyloučení natáčení fotografií/videí a zabránění vstupu neautorizovaných „chlapců s fenomenální pamětí“ stránka. Nikdy byste neměli spoléhat na zázračný produkt DL 8.2, který je inzerován jako jednokrokové řešení většiny problémů podnikové bezpečnosti.
Zdroj: www.habr.com