Die Kontrolle aller in einer Organisation zirkulierenden Informationen ist eine der Hauptaufgaben bei der praktischen Umsetzung organisatorischer und administrativer Dokumente (Informationssicherheitsrichtlinie und andere interne Dokumente niedrigerer Ebenen) der Organisation.
Systeme zur Verhinderung des Austritts vertraulicher Informationen aus einem Informationssystem (Data Leak Prevention, DLP) sind größtenteils in der Lage, dieses Problem zu lösen.
Auf dem modernen Markt gibt es genügend Varianten dieser Systeme, zum Beispiel: SearchInform DLP, Infowatch Traffic Monitor DLP, Zecurion DLP, Symantec DLP und andere. Doch heute geht es in diesem Artikel um das Produkt von SearchInform LLC.
SearchInform Information Security Circuit (CIB Searchinform) ist ein seriöses und hochgradig anpassbares Softwarepaket, das aufgrund seiner Funktionalität und umfangreichen Analysetools eine ernsthafte Konkurrenz für andere Unternehmen in diesem Bereich darstellt. Aber wie alle Produkte hat CIB Searchinform einen seiner Nachteile, auf den wir jetzt eingehen.
Abbildung 1 – Logo von CIB Searchinform
In KIB Searchinform ist eine der Quellen der Informationssammlung ein Agent (Windows/LinuxAgent für OS WindowsWas das Betriebssystem betrifft LinuxEs verfügt über ein modulares Datenerfassungssystem, das je nach Bedarf aktiviert oder deaktiviert werden kann. Wir betrachten das Gerätemodul (Steuerung externer Geräte, Netzwerkgeräte, Prozesse usw.). Eine Demoversion dieses Produkts (mit vollem Funktionsumfang) ist offiziell auf der Website des Entwicklers verfügbar. Die weiteren Schritte erfolgen mit dem erhaltenen Lizenzschlüssel – EndPointController Version 5.51.0.9 (Agentenversion 5.51.0.9).
Das Hauptproblem beim Betrieb dieses Moduls ist der Algorithmus zur Verschlüsselung von Informationen auf externen Wechseldatenträgern. Betrachten wir das Funktionsprinzip des Verschlüsselungsalgorithmus in KIB Searchinform.
Wir installieren den Agenten auf der Workstation und stellen die Arbeitssteuerung externer Geräte (Gerätemodul) im Abschnitt „Netzwerkumgebung“ EndPointController 5.51.0.9 ein
Abbildung 2 – Installieren und Einschalten des Moduls
Wir konfigurieren die Verschlüsselung in den Einstellungen des Gerätemoduls der Registerkarte „Verschlüsselung“: Generieren Sie einen Schlüssel und aktivieren Sie die Verschlüsselung für alle Medien (es ist möglich, die Verschlüsselung nur für bestimmte Medien zu aktivieren).
Abbildung 3 – Einrichten einer Whitelist
Abbildung 4 – Verschlüsselungskonfiguration
Beginnen wir nun mit der Analyse des Dateiverschlüsselungsalgorithmus für dieses Produkt. Kopieren wir die Dateien „Install.exe“ und „Fundamentals of Law.rtf“ von der gesteuerten Workstation „WINOC“ auf das externe Wechselmedium „Removable Disk (E:)“. Wie in Abbildung 5 zu sehen ist, wurden die Objekte „Install.exe“ und „Fundamentals of Law.rtf“ im versteckten Ordner „System Volume Information“ erstellt. Daraus können wir schließen, dass der Ordner „System Volume Information“ eine Liste verschlüsselter Objekte auf Wechselmedien enthält.
Abbildung 5 – Ordner „System Volume Information“.
Abbildung 6 – Stammordner des Wechselspeichermediums
Wie Sie wissen, basiert die Informationssicherheit auf drei Aspekten: Integrität, Verfügbarkeit und Vertraulichkeit. Diese Aspekte werden bei diesem Verschlüsselungsansatz verletzt, da Systeminformationen darüber, ob ein Objekt verschlüsselt ist oder nicht, im Objektheader selbst enthalten sein müssen.
Bei der aktuellen Konstruktion des Algorithmus besteht die Möglichkeit einer versehentlichen Änderung/Löschung von Objekten im Ordner „System Volume Information“ auf Wechselmedien mit weiterem Verlust der ursprünglich verschlüsselten Objekte sowie einer Änderung der Objekte selbst auf unkontrollierten Stationen (Beispiel: Umbenennen des Objekts „Install.exe“ mit dem Netzwerkpfad „E“ :Install.exe“ auf einem Computer ohne Agent, während sich die Informationsdatei des Softwareprodukts KIB Searchinform im Ordner „System Volume Information“ befindet. Install.exe“ im Netzwerkpfad „E:System Volume InformationInstall.exe“ bleibt unverändert, da es keinen Agenten gibt, der Dienstinformationen ändert, und das Öffnen dieser Datei unmöglich wird.
Hoffen wir, dass der Entwickler diesen Mangel in der Funktionsweise der Verschlüsselungsfunktion für Wechselspeichermedien im Produkt KIB Searchinform zur Kenntnis nimmt und seinen Algorithmus ändert.
Source: habr.com
