I oktober 2017 havde jeg mulighed for at deltage i et kampagneseminar for DeviceLock DLP-systemet, hvor, udover hovedfunktionaliteten af beskyttelse mod lækager såsom lukning af USB-porte, kontekstanalyse af mail og udklipsholderen, beskyttelse fra administratoren var annonceret. Modellen er enkel og smuk - en installatør kommer til en lille virksomhed, installerer et sæt programmer, sætter en BIOS-adgangskode, opretter en DeviceLock-administratorkonto og overlader kun rettighederne til at administrere selve Windows og resten af softwaren til den lokale admin. Selvom der er hensigt, vil denne administrator ikke være i stand til at stjæle noget. Men det er alt sammen teori...
Fordi over 20+ års arbejde inden for udvikling af informationssikkerhedsværktøjer, var jeg klart overbevist om, at en administrator kan gøre alt, især med fysisk adgang til en computer, så kan den primære beskyttelse mod det kun være organisatoriske tiltag såsom streng rapportering og fysisk beskyttelse af computere, der indeholder vigtig information, så opstod med det samme Ideen om at teste holdbarheden af det foreslåede produkt.
Et forsøg på at gøre dette umiddelbart efter afslutningen af seminaret var mislykket; beskyttelse mod sletning af hovedtjenesten DlService.exe blev lavet, og de glemte endda ikke adgangsrettigheder og valget af den sidste vellykkede konfiguration, som et resultat af hvilket de fældede det, ligesom de fleste vira, og nægtede systemet adgang til at læse og udføre , Det lykkedes ikke.
Til alle spørgsmål om beskyttelsen af de drivere, der sandsynligvis er inkluderet i produktet, udtalte repræsentanten for Smart Line-udvikleren trygt, at "alt er på samme niveau."
En dag senere besluttede jeg at fortsætte min forskning og downloadede prøveversionen. Jeg blev straks overrasket over størrelsen af distributionen, næsten 2 GB! Jeg er vant til, at systemsoftware, som normalt er klassificeret som informationssikkerhedsværktøjer (ISIS), normalt har en meget mere kompakt størrelse.
Efter installationen blev jeg overrasket for anden gang - størrelsen på den ovennævnte eksekverbare er også ret stor - 2MB. Jeg tænkte straks, at med sådan en volumen var der noget at gribe fat i. Jeg forsøgte at udskifte modulet ved hjælp af forsinket optagelse - det var lukket. Jeg gravede i programkatalogerne, og der var allerede 13 chauffører! Jeg prikkede i tilladelserne - de er ikke lukket for ændringer! Okay, alle er forbudt, lad os overbelaste!
Effekten er simpelthen fortryllende - alle funktioner er deaktiveret, tjenesten starter ikke. Hvilken slags selvforsvar er der, tag og kopier hvad du vil, selv på flashdrev, selv over netværket. Den første alvorlige ulempe ved systemet dukkede op - sammenkoblingen af komponenterne var for stærk. Ja, tjenesten skal kommunikere med chaufførerne, men hvorfor gå ned, hvis ingen reagerer? Som et resultat er der én metode til at omgå beskyttelsen.
Efter at have fundet ud af, at mirakeltjenesten er så blid og følsom, besluttede jeg at kontrollere dens afhængighed af tredjepartsbiblioteker. Det er endnu enklere her, listen er stor, vi sletter bare WinSock_II-biblioteket tilfældigt og ser et lignende billede - tjenesten er ikke startet, systemet er åbent.
Som et resultat har vi det samme, som taleren beskrev på seminaret, et kraftigt hegn, men ikke omslutter hele den beskyttede omkreds på grund af pengemangel, og i det afdækkede område er der simpelthen stikkende hyben. I dette tilfælde, under hensyntagen til softwareproduktets arkitektur, som ikke indebærer et lukket miljø som standard, men en række forskellige stik, interceptorer, trafikanalysatorer, er det snarere et stakit, med mange af strimlerne skruet på ydersiden med selvskærende skruer og meget nem at skrue af. Problemet med de fleste af disse løsninger er, at med et så stort antal potentielle huller, er der altid muligheden for at glemme noget, gå glip af et forhold eller påvirke stabiliteten ved at implementere en af interceptorerne uden succes. At dømme ud fra det faktum, at de sårbarheder, der præsenteres i denne artikel, blot er på overfladen, indeholder produktet mange andre, som det vil tage et par timer længere at søge efter.
Desuden er markedet fyldt med eksempler på kompetent implementering af nedlukningsbeskyttelse, for eksempel indenlandske antivirusprodukter, hvor selvforsvar ikke bare kan omgås. Så vidt jeg ved, var de ikke for dovne til at gennemgå FSTEC-certificering.
Efter flere samtaler med Smart Line-medarbejdere blev der fundet flere lignende steder, som de ikke engang havde hørt om. Et eksempel er AppInitDll-mekanismen.
Det er måske ikke det dybeste, men i mange tilfælde giver det dig mulighed for at gøre uden at komme ind i OS-kernen og ikke påvirke dens stabilitet. nVidia-drivere gør fuld brug af denne mekanisme til at justere videoadapteren til et specifikt spil.
Den fuldstændige mangel på en integreret tilgang til at bygge et automatiseret system baseret på DL 8.2 rejser spørgsmål. Det foreslås at beskrive fordelene ved produktet over for kunden, kontrollere computerkraften af eksisterende pc'er og servere (kontekstanalysatorer er meget ressourcekrævende, og de nu fashionable kontor alt-i-en computere og Atom-baserede nettops er ikke egnede i dette tilfælde) og rul blot produktet ud ovenpå. Samtidig blev udtryk som "adgangskontrol" og "lukket softwaremiljø" ikke engang nævnt på seminaret. Det blev sagt om kryptering, at det udover kompleksitet vil rejse spørgsmål fra regulatorer, selvom der i virkeligheden ikke er nogen problemer med det. Spørgsmål om certificering, selv hos FSTEC, bliver tilsidesat på grund af deres formodede kompleksitet og længde. Som en informationssikkerhedsspecialist, der gentagne gange har deltaget i sådanne procedurer, kan jeg sige, at i processen med at udføre dem afsløres mange sårbarheder svarende til dem, der er beskrevet i dette materiale, fordi specialister fra certificeringslaboratorier har seriøs specialiseret uddannelse.
Som et resultat heraf kan det præsenterede DLP-system udføre et meget lille sæt funktioner, der faktisk sikrer informationssikkerhed, samtidig med at det genererer en alvorlig computerbelastning og skaber en følelse af sikkerhed for virksomhedens data blandt virksomhedsledelsen, som er uerfaren i informationssikkerhedsspørgsmål.
Det kan kun virkelig beskytte virkelig store data fra en uprivilegeret bruger, fordi... administratoren er ganske i stand til helt at deaktivere beskyttelsen, og for store hemmeligheder vil selv en junior rengøringsleder diskret kunne tage et billede af skærmen, eller endda huske adressen eller kreditkortnummeret ved at se på skærmen over en kollegas skulder.
Desuden er alt dette kun sandt, hvis det er umuligt for medarbejdere at have fysisk adgang til indersiden af pc'en eller i det mindste til BIOS'en for at aktivere opstart fra eksterne medier. Så hjælper selv BitLocker, som næppe vil blive brugt i virksomheder, der bare tænker på at beskytte information, ikke.
Konklusionen, hvor banal den end lyder, er en integreret tilgang til informationssikkerhed, herunder ikke kun software/hardwareløsninger, men også organisatoriske og tekniske foranstaltninger til at udelukke foto-/videooptagelser og forhindre uautoriserede "drenge med en fænomenal hukommelse" i at komme ind. siden. Du bør aldrig stole på mirakelproduktet DL 8.2, som annonceres som en ettrinsløsning på de fleste virksomhedssikkerhedsproblemer.
Kilde: www.habr.com