Im Oktober 2017 hatte ich die Gelegenheit, an einem Werbeseminar für das DeviceLock DLP-System teilzunehmen, bei dem es neben der Hauptfunktionalität des Schutzes vor Lecks wie dem Schließen von USB-Anschlüssen, der Kontextanalyse von E-Mails und der Zwischenablage auch um den Schutz vor dem Administrator ging beworben. Das Modell ist einfach und schön: Ein Installateur kommt zu einem kleinen Unternehmen, installiert eine Reihe von Programmen, legt ein BIOS-Passwort fest, erstellt ein DeviceLock-Administratorkonto und überlässt dem Einheimischen nur die Rechte zur Verwaltung von Windows selbst und der restlichen Software Administrator. Selbst wenn eine Absicht vorliegt, kann dieser Administrator nichts stehlen. Aber das ist alles Theorie...
Weil Nach mehr als 20 Jahren Arbeit im Bereich der Entwicklung von Informationssicherheitstools war ich eindeutig davon überzeugt, dass ein Administrator alles tun kann, insbesondere mit dem physischen Zugriff auf einen Computer. Der Hauptschutz dagegen können nur organisatorische Maßnahmen wie strikte Berichterstattung usw. sein physischer Schutz von Computern, die wichtige Informationen enthalten, dann entstand sofort die Idee, die Haltbarkeit des vorgeschlagenen Produkts zu testen.
Попытка сделать сразу по завершении семинара не удалась, в лоб защиту от удаления основной службы DlService.exe сделали и даже про права доступа и выбор последней удачной конфигурации не забыли, в результате чего повалить ее, как большинство вирусов, запретив системе доступ на чтение и выполнение , hat nicht funktioniert.
Auf alle Fragen zum Schutz der vermutlich im Produkt enthaltenen Treiber antwortete der Vertreter des Smart Line-Entwicklers selbstbewusst: „Alles ist auf dem gleichen Niveau.“
Einen Tag später beschloss ich, meine Recherche fortzusetzen und lud die Testversion herunter. Ich war sofort von der Größe der Distribution überrascht, fast 2 GB! Ich bin daran gewöhnt, dass Systemsoftware, die normalerweise als Informationssicherheitstools (ISIS) klassifiziert wird, normalerweise eine viel kompaktere Größe hat.
Nach der Installation war ich zum zweiten Mal überrascht – die Größe der oben genannten ausführbaren Datei ist ebenfalls ziemlich groß – 2 MB. Ich dachte sofort, dass es bei so einer Lautstärke etwas gibt, an dem man sich festhalten kann. Ich habe versucht, das Modul mit verzögerter Aufnahme auszutauschen – es war geschlossen. Ich habe in den Programmkatalogen gestöbert und festgestellt, dass es bereits 13 Treiber gab! Ich habe in den Berechtigungen gestöbert – sie sind nicht für Änderungen gesperrt! Okay, jeder ist gesperrt, lasst uns überladen!
Der Effekt ist einfach bezaubernd – alle Funktionen sind deaktiviert, der Dienst startet nicht. Welche Art von Selbstverteidigung gibt es? Nehmen und kopieren Sie, was Sie wollen, sogar auf Flash-Laufwerken, sogar über das Netzwerk. Der erste gravierende Nachteil des Systems zeigte sich – die Verbindung der Komponenten war zu stark. Ja, der Dienst sollte mit den Fahrern kommunizieren, aber warum abstürzen, wenn niemand antwortet? Daher gibt es eine Möglichkeit, den Schutz zu umgehen.
Nachdem ich herausgefunden hatte, dass der Wunderdienst so heikel und empfindlich ist, habe ich beschlossen, seine Abhängigkeiten von Bibliotheken Dritter zu überprüfen. Hier ist es noch einfacher, die Liste ist groß, wir löschen einfach zufällig die WinSock_II-Bibliothek und sehen ein ähnliches Bild – der Dienst wurde nicht gestartet, das System ist geöffnet.
Dadurch haben wir das Gleiche, was der Referent auf dem Seminar beschrieben hat, einen mächtigen Zaun, der aber aus Geldmangel nicht den gesamten Schutzbereich umschließt, und im unbedeckten Bereich stehen einfach stachelige Hagebutten. In diesem Fall handelt es sich unter Berücksichtigung der Architektur des Softwareprodukts, die standardmäßig keine geschlossene Umgebung, sondern eine Vielzahl verschiedener Stecker, Abfangjäger und Verkehrsanalysatoren impliziert, eher um einen Lattenzaun, an dem viele der Streifen angeschraubt sind außen mit selbstschneidenden Schrauben versehen und sehr leicht abzuschrauben. Das Problem bei den meisten dieser Lösungen besteht darin, dass bei einer so großen Anzahl potenzieller Lücken immer die Möglichkeit besteht, etwas zu vergessen, eine Beziehung zu verpassen oder die Stabilität zu beeinträchtigen, indem einer der Interceptors erfolglos implementiert wird. Gemessen an der Tatsache, dass die in diesem Artikel vorgestellten Schwachstellen nur oberflächlich sind, enthält das Produkt viele weitere, deren Suche ein paar Stunden länger dauern wird.
Darüber hinaus gibt es auf dem Markt viele Beispiele für die kompetente Umsetzung des Shutdown-Schutzes, beispielsweise bei heimischen Antivirenprodukten, bei denen die Selbstverteidigung nicht einfach umgangen werden kann. Soweit ich weiß, waren sie nicht zu faul, sich der FSTEC-Zertifizierung zu unterziehen.
Nach mehreren Gesprächen mit Smart Line-Mitarbeitern wurden mehrere ähnliche Orte gefunden, von denen sie noch nicht einmal gehört hatten. Ein Beispiel ist der AppInitDll-Mechanismus.
Es ist vielleicht nicht das tiefste, aber in vielen Fällen können Sie damit auskommen, ohne in den Betriebssystemkernel einzusteigen und dessen Stabilität nicht zu beeinträchtigen. nVidia-Treiber nutzen diesen Mechanismus voll aus, um den Videoadapter für ein bestimmtes Spiel anzupassen.
Das völlige Fehlen eines integrierten Ansatzes zum Aufbau eines automatisierten Systems auf Basis von DL 8.2 wirft Fragen auf. Es wird vorgeschlagen, dem Kunden die Vorteile des Produkts zu beschreiben und die Rechenleistung vorhandener PCs und Server zu überprüfen (Kontextanalysatoren sind sehr ressourcenintensiv und die mittlerweile modischen Office-All-in-One-Computer und Atom-basierten Nettops sind nicht geeignet (in diesem Fall) und rollen Sie das Produkt einfach darauf aus. Gleichzeitig wurden Begriffe wie „Zugriffskontrolle“ und „geschlossene Softwareumgebung“ im Seminar überhaupt nicht erwähnt. Über die Verschlüsselung wurde gesagt, dass sie neben der Komplexität auch Fragen bei den Regulierungsbehörden aufwerfen wird, obwohl es in Wirklichkeit keine Probleme damit gibt. Fragen zur Zertifizierung werden selbst bei FSTEC wegen ihrer vermeintlichen Komplexität und Langwierigkeit beiseite gewischt. Als Informationssicherheitsspezialist, der wiederholt an solchen Verfahren teilgenommen hat, kann ich sagen, dass bei der Durchführung viele Schwachstellen aufgedeckt werden, die den in diesem Material beschriebenen ähneln, denn Spezialisten von Zertifizierungslaboren verfügen über eine fundierte Fachausbildung.
Infolgedessen kann das vorgestellte DLP-System einen sehr kleinen Satz von Funktionen ausführen, die tatsächlich die Informationssicherheit gewährleisten, während es gleichzeitig eine erhebliche Rechenlast erzeugt und bei der Unternehmensleitung, die in Fragen der Informationssicherheit unerfahren ist, ein Gefühl der Sicherheit für Unternehmensdaten erzeugt.
Es kann nur wirklich große Datenmengen vor einem unprivilegierten Benutzer schützen, weil... Der Administrator ist durchaus in der Lage, den Schutz vollständig zu deaktivieren, und bei großen Geheimnissen kann selbst ein Junior-Reinigungsmanager diskret ein Foto vom Bildschirm machen oder sich sogar die Adresse oder Kreditkartennummer merken, indem er über dem eines Kollegen auf den Bildschirm schaut Schulter.
Darüber hinaus gilt dies alles nur, wenn es für Mitarbeiter unmöglich ist, physischen Zugriff auf das Innere des PCs oder zumindest auf das BIOS zu haben, um das Booten von externen Medien zu aktivieren. Dann hilft möglicherweise auch BitLocker nicht weiter, das in Unternehmen, die nur über den Schutz von Informationen nachdenken, wahrscheinlich nicht zum Einsatz kommen wird.
Die Schlussfolgerung, so banal es auch klingen mag, ist ein integrierter Ansatz zur Informationssicherheit, der nicht nur Software-/Hardwarelösungen, sondern auch organisatorische und technische Maßnahmen umfasst, um Foto-/Videoaufnahmen auszuschließen und den Zutritt unbefugter „Jungs mit einem phänomenalen Gedächtnis“ zu verhindern der Standort. Sie sollten sich niemals auf das Wunderprodukt DL 8.2 verlassen, das als One-Step-Lösung für die meisten Sicherheitsprobleme in Unternehmen beworben wird.
Source: habr.com