Ym mis Hydref 2017, cefais y cyfle i fynychu seminar hyrwyddo ar gyfer system DeviceLock DLP, lle, yn ogystal â phrif swyddogaeth amddiffyn rhag gollyngiadau megis cau porthladdoedd USB, dadansoddiad cyd-destunol o bost a'r clipfwrdd, roedd amddiffyniad gan y gweinyddwr hysbysebu. Mae'r model yn syml a hardd - mae gosodwr yn dod i gwmni bach, yn gosod set o raglenni, yn gosod cyfrinair BIOS, yn creu cyfrif gweinyddwr DeviceLock, ac yn gadael dim ond yr hawliau i reoli Windows ei hun a gweddill y meddalwedd i'r lleol gweinyddwr. Hyd yn oed os oes bwriad, ni fydd y gweinyddwr hwn yn gallu dwyn unrhyw beth. Ond damcaniaeth yw hyn i gyd ...
Achos dros 20+ mlynedd o waith ym maes datblygu offer diogelwch gwybodaeth, roeddwn yn amlwg yn argyhoeddedig y gall gweinyddwr wneud unrhyw beth, yn enwedig gyda mynediad corfforol i gyfrifiadur, yna dim ond mesurau sefydliadol fel adrodd llym a all fod yn brif amddiffyniad yn ei erbyn. amddiffyn corfforol cyfrifiaduron sy'n cynnwys gwybodaeth bwysig, yna ar unwaith Cododd y syniad i brofi gwydnwch y cynnyrch arfaethedig.
Bu ymgais i wneud hyn yn syth ar ôl diwedd y seminar yn aflwyddiannus; gwnaed amddiffyniad rhag dileu'r prif wasanaeth DlService.exe ac ni wnaethant hyd yn oed anghofio am hawliau mynediad a dewis y cyfluniad llwyddiannus olaf, ac o ganlyniad i hynny maent yn ei dorri, fel y rhan fwyaf o firysau , gwrthod mynediad i'r system i ddarllen a gweithredu , Heb weithio allan.
I bob cwestiwn am amddiffyn y gyrwyr sydd wedi'u cynnwys yn y cynnyrch yn ôl pob tebyg, dywedodd cynrychiolydd y datblygwr Smart Line yn hyderus “mae popeth ar yr un lefel.”
Ddiwrnod yn ddiweddarach penderfynais barhau â'm hymchwil a lawrlwytho'r fersiwn prawf. Cefais fy synnu ar unwaith gan faint y dosbarthiad, bron 2 GB! Rwyf wedi arfer â'r ffaith bod gan feddalwedd system, sydd fel arfer yn cael ei ddosbarthu fel offer diogelwch gwybodaeth (ISIS), faint llawer mwy cryno fel arfer.
Ar ôl gosod, cefais fy synnu am yr eildro - mae maint y gweithredadwy uchod hefyd yn eithaf mawr - 2MB. Meddyliais ar unwaith gyda chyfrol o'r fath fod rhywbeth i fachu arno. Ceisiais ddisodli'r modiwl gan ddefnyddio recordio oedi - cafodd ei gau. Cloddiais i gatalogau'r rhaglenni, ac roedd 13 gyrrwr yn barod! Fe wnes i brocio ar y caniatâd - nid ydyn nhw ar gau am newidiadau! Iawn, mae pawb wedi'u gwahardd, gadewch i ni orlwytho!
Mae'r effaith yn syml hudolus - mae pob swyddogaeth yn anabl, nid yw'r gwasanaeth yn cychwyn. Pa fath o hunan-amddiffyn sydd yna, cymerwch a chopïwch beth bynnag y dymunwch, hyd yn oed ar yriannau fflach, hyd yn oed dros y rhwydwaith. Daeth anfantais ddifrifol gyntaf y system i'r amlwg - roedd rhyng-gysylltiad y cydrannau yn rhy gryf. Oes, dylai'r gwasanaeth gyfathrebu â'r gyrwyr, ond pam ddamwain os nad oes unrhyw un yn ymateb? O ganlyniad, mae un dull o osgoi'r amddiffyniad.
Ar ôl darganfod bod y gwasanaeth gwyrthiol mor fregus a sensitif, penderfynais wirio ei ddibyniaeth ar lyfrgelloedd trydydd parti. Mae hyd yn oed yn symlach yma, mae'r rhestr yn fawr, rydyn ni'n dileu'r llyfrgell WinSock_II ar hap ac yn gweld llun tebyg - nid yw'r gwasanaeth wedi cychwyn, mae'r system ar agor.
O ganlyniad, mae gennym yr un peth a ddisgrifiodd y siaradwr yn y seminar, ffens bwerus, ond heb amgáu'r perimedr gwarchodedig cyfan oherwydd diffyg arian, ac yn yr ardal heb ei gorchuddio mae cluniau rhosyn pigog yn syml. Yn yr achos hwn, gan gymryd i ystyriaeth pensaernïaeth y cynnyrch meddalwedd, nad yw'n awgrymu amgylchedd caeedig yn ddiofyn, ond amrywiaeth o wahanol blygiau, rhyng-gipwyr, dadansoddwyr traffig, mae'n hytrach yn ffens biced, gyda llawer o'r stribedi wedi'u sgriwio ymlaen y tu allan gyda sgriwiau hunan-dapio ac yn hawdd iawn i'w dadsgriwio. Y broblem gyda'r rhan fwyaf o'r atebion hyn yw, gyda chymaint o dyllau posibl, bod posibilrwydd bob amser o anghofio rhywbeth, colli perthynas, neu effeithio ar sefydlogrwydd trwy weithredu un o'r atalwyr yn aflwyddiannus. A barnu gan y ffaith bod y gwendidau a gyflwynir yn yr erthygl hon yn syml ar yr wyneb, mae'r cynnyrch yn cynnwys llawer o rai eraill a fydd yn cymryd ychydig oriau yn hirach i chwilio amdanynt.
Ar ben hynny, mae'r farchnad yn llawn enghreifftiau o weithrediad cymwys o amddiffyniad cau, er enghraifft, cynhyrchion gwrth-firws domestig, lle na ellir osgoi hunan-amddiffyn yn syml. Hyd y gwn i, nid oeddent yn rhy ddiog i gael ardystiad FSTEC.
Ar ôl cynnal sawl sgwrs gyda gweithwyr Smart Line, darganfuwyd sawl man tebyg nad oeddent hyd yn oed wedi clywed amdanynt. Un enghraifft yw mecanwaith AppInitDll.
Efallai nad dyma'r dyfnaf, ond mewn llawer o achosion mae'n caniatáu ichi wneud heb fynd i mewn i'r cnewyllyn OS a heb effeithio ar ei sefydlogrwydd. Mae gyrwyr nVidia yn gwneud defnydd llawn o'r mecanwaith hwn i addasu'r addasydd fideo ar gyfer gêm benodol.
Mae diffyg llwyr ymagwedd integredig at adeiladu system awtomataidd yn seiliedig ar DL 8.2 yn codi cwestiynau. Cynigir disgrifio manteision y cynnyrch i'r cwsmer, gwirio pŵer cyfrifiadurol y cyfrifiaduron personol a'r gweinyddwyr presennol (mae dadansoddwyr cyd-destun yn ddwys iawn o ran adnoddau ac nid yw'r cyfrifiaduron popeth-mewn-un swyddfa sydd bellach yn ffasiynol na rhwydi Atom yn addas. yn yr achos hwn) a chyflwyno'r cynnyrch ar ei ben yn syml. Ar yr un pryd, ni chrybwyllwyd termau fel “rheolaeth mynediad” ac “amgylchedd meddalwedd caeedig” yn y seminar hyd yn oed. Dywedwyd am amgryptio y bydd, yn ychwanegol at gymhlethdod, yn codi cwestiynau gan reoleiddwyr, er mewn gwirionedd nid oes unrhyw broblemau ag ef. Mae cwestiynau am ardystio, hyd yn oed yn FSTEC, yn cael eu rhoi o'r neilltu oherwydd eu cymhlethdod a'u hydrwydd tybiedig. Fel arbenigwr diogelwch gwybodaeth sydd wedi cymryd rhan mewn gweithdrefnau o'r fath dro ar ôl tro, gallaf ddweud, yn y broses o'u cyflawni, bod llawer o wendidau tebyg i'r rhai a ddisgrifir yn y deunydd hwn yn cael eu datgelu, oherwydd mae gan arbenigwyr labordai ardystio hyfforddiant arbenigol difrifol.
O ganlyniad, gall y system CLLD a gyflwynir gyflawni set fach iawn o swyddogaethau sydd mewn gwirionedd yn sicrhau diogelwch gwybodaeth, wrth gynhyrchu llwyth cyfrifiadurol difrifol a chreu ymdeimlad o ddiogelwch ar gyfer data corfforaethol ymhlith rheolwyr cwmni sy'n ddibrofiad mewn materion diogelwch gwybodaeth.
Dim ond data mawr iawn y gall ei amddiffyn rhag defnyddiwr di-freintiedig, oherwydd ... mae'r gweinyddwr yn eithaf abl i ddadactifadu'r amddiffyniad yn llwyr, ac ar gyfer cyfrinachau mawr, bydd hyd yn oed rheolwr glanhau iau yn gallu tynnu llun o'r sgrin yn synhwyrol, neu hyd yn oed gofio'r cyfeiriad neu rif cerdyn credyd trwy edrych ar y sgrin dros un cydweithiwr ysgwydd.
Ar ben hynny, mae hyn i gyd yn wir dim ond os yw'n amhosibl i weithwyr gael mynediad corfforol i'r tu mewn i'r PC neu o leiaf i'r BIOS i actifadu cychwyn o gyfryngau allanol. Yna efallai na fydd hyd yn oed BitLocker, sy'n annhebygol o gael ei ddefnyddio mewn cwmnïau sy'n meddwl am ddiogelu gwybodaeth, yn helpu.
Mae’r casgliad, mor banal ag y gallai fod yn swnio, yn ddull integredig o ddiogelu gwybodaeth, gan gynnwys nid yn unig datrysiadau meddalwedd/caledwedd, ond hefyd fesurau sefydliadol a thechnegol i wahardd saethu lluniau/fideo ac atal “bechgyn â chof rhyfeddol” heb awdurdod rhag mynd i mewn. y safle. Ni ddylech byth ddibynnu ar y cynnyrch gwyrthiol DL 8.2, sy'n cael ei hysbysebu fel ateb un cam i'r rhan fwyaf o broblemau diogelwch menter.
Ffynhonnell: hab.com