Τον Οκτώβριο του 2017, είχα την ευκαιρία να παρακολουθήσω ένα προωθητικό σεμινάριο για το σύστημα DeviceLock DLP, όπου, εκτός από την κύρια λειτουργία προστασίας από διαρροές, όπως το κλείσιμο θυρών USB, η ανάλυση συμφραζομένων της αλληλογραφίας και του προχείρου, η προστασία από τον διαχειριστή ήταν διαφημίζεται. Το μοντέλο είναι απλό και όμορφο - ένα πρόγραμμα εγκατάστασης έρχεται σε μια μικρή εταιρεία, εγκαθιστά ένα σύνολο προγραμμάτων, ορίζει έναν κωδικό πρόσβασης BIOS, δημιουργεί έναν λογαριασμό διαχειριστή DeviceLock και αφήνει μόνο τα δικαιώματα διαχείρισης των Windows και του υπόλοιπου λογισμικού στον τοπικό διαχειριστής. Ακόμα κι αν υπάρχει πρόθεση, αυτός ο διαχειριστής δεν θα μπορεί να κλέψει τίποτα. Αλλά όλα αυτά είναι θεωρία...
Επειδή πάνω από 20+ χρόνια εργασίας στον τομέα της ανάπτυξης εργαλείων ασφάλειας πληροφοριών, ήμουν ξεκάθαρα πεπεισμένος ότι ένας διαχειριστής μπορεί να κάνει τα πάντα, ειδικά με φυσική πρόσβαση σε έναν υπολογιστή, τότε η κύρια προστασία από αυτό μπορεί να είναι μόνο οργανωτικά μέτρα, όπως αυστηρές αναφορές και φυσική προστασία των υπολογιστών που περιέχουν σημαντικές πληροφορίες, τότε αμέσως Προέκυψε η ιδέα να δοκιμαστεί η ανθεκτικότητα του προτεινόμενου προϊόντος.
Μια προσπάθεια να γίνει αυτό αμέσως μετά το τέλος του σεμιναρίου ήταν ανεπιτυχής, έγινε προστασία από τη διαγραφή της κύριας υπηρεσίας DlService.exe και δεν ξέχασαν ακόμη και τα δικαιώματα πρόσβασης και την επιλογή της τελευταίας επιτυχημένης διαμόρφωσης, ως αποτέλεσμα της οποίας το έκοψαν, όπως οι περισσότεροι ιοί, αρνούμενοι την πρόσβαση του συστήματος για ανάγνωση και εκτέλεση, Δεν λειτούργησε.
Σε όλες τις ερωτήσεις σχετικά με την προστασία των προγραμμάτων οδήγησης που πιθανώς περιλαμβάνονται στο προϊόν, ο εκπρόσωπος του προγραμματιστή Smart Line δήλωσε με βεβαιότητα ότι "όλα είναι στο ίδιο επίπεδο".
Μια μέρα αργότερα αποφάσισα να συνεχίσω την έρευνά μου και κατέβασα τη δοκιμαστική έκδοση. Αμέσως με εξέπληξε το μέγεθος της διανομής, σχεδόν 2 GB! Είμαι συνηθισμένος στο γεγονός ότι το λογισμικό συστήματος, το οποίο συνήθως ταξινομείται ως εργαλεία ασφάλειας πληροφοριών (ISIS), έχει συνήθως πολύ πιο συμπαγές μέγεθος.
Μετά την εγκατάσταση, εξεπλάγην για δεύτερη φορά - το μέγεθος του προαναφερθέντος εκτελέσιμου είναι επίσης αρκετά μεγάλο - 2MB. Σκέφτηκα αμέσως ότι με τέτοιο όγκο υπήρχε κάτι να πιάσω. Προσπάθησα να αντικαταστήσω τη μονάδα χρησιμοποιώντας καθυστερημένη εγγραφή - ήταν κλειστή. Έσκαψα τους καταλόγους των προγραμμάτων και υπήρχαν ήδη 13 οδηγοί! Πέταξα τις άδειες - δεν είναι κλειστές για αλλαγές! Εντάξει, όλοι απαγορεύονται, ας υπερφορτωθούμε!
Το εφέ είναι απλά μαγευτικό - όλες οι λειτουργίες είναι απενεργοποιημένες, η υπηρεσία δεν ξεκινά. Τι είδους αυτοάμυνα υπάρχει, πάρτε και αντιγράψτε ό,τι θέλετε, ακόμα και σε μονάδες flash, ακόμα και μέσω δικτύου. Προέκυψε το πρώτο σοβαρό μειονέκτημα του συστήματος - η διασύνδεση των εξαρτημάτων ήταν πολύ ισχυρή. Ναι, η υπηρεσία θα πρέπει να επικοινωνεί με τους οδηγούς, αλλά γιατί να τρακάρει αν δεν ανταποκριθεί κανείς; Ως αποτέλεσμα, υπάρχει μία μέθοδος παράκαμψης της προστασίας.
Έχοντας ανακαλύψει ότι η υπηρεσία θαύματος είναι τόσο ευγενική και ευαίσθητη, αποφάσισα να ελέγξω τις εξαρτήσεις της από βιβλιοθήκες τρίτων. Είναι ακόμα πιο απλό εδώ, η λίστα είναι μεγάλη, απλώς διαγράφουμε τυχαία τη βιβλιοθήκη WinSock_II και βλέπουμε μια παρόμοια εικόνα - η υπηρεσία δεν έχει ξεκινήσει, το σύστημα είναι ανοιχτό.
Ως αποτέλεσμα, έχουμε το ίδιο που περιέγραψε ο ομιλητής στο σεμινάριο, έναν ισχυρό φράχτη, που δεν περικλείει όμως όλη την προστατευόμενη περίμετρο λόγω έλλειψης χρημάτων, και στον ακάλυπτο χώρο υπάρχουν απλά αγκαθωτοί τριανταφυλλιές. Σε αυτή την περίπτωση, λαμβάνοντας υπόψη την αρχιτεκτονική του προϊόντος λογισμικού, η οποία δεν συνεπάγεται ένα κλειστό περιβάλλον από προεπιλογή, αλλά μια ποικιλία διαφορετικών βυσμάτων, αναχαιτιστών, αναλυτών κυκλοφορίας, είναι μάλλον ένας φράχτης, με πολλές από τις λωρίδες βιδωμένες. εξωτερικά με αυτοκόλλητες βίδες και πολύ εύκολο να ξεβιδωθεί. Το πρόβλημα με τις περισσότερες από αυτές τις λύσεις είναι ότι με έναν τόσο τεράστιο αριθμό πιθανών οπών, υπάρχει πάντα η πιθανότητα να ξεχάσετε κάτι, να χάσετε μια σχέση ή να επηρεάσετε τη σταθερότητα με την ανεπιτυχή εφαρμογή ενός από τους αναχαιτιστές. Κρίνοντας από το γεγονός ότι τα τρωτά σημεία που παρουσιάζονται σε αυτό το άρθρο είναι απλά στην επιφάνεια, το προϊόν περιέχει πολλά άλλα που θα χρειαστούν μερικές ώρες περισσότερο για να αναζητηθούν.
Επιπλέον, η αγορά είναι γεμάτη από παραδείγματα ικανής εφαρμογής προστασίας από τερματισμό λειτουργίας, για παράδειγμα, εγχώρια προϊόντα προστασίας από ιούς, όπου η αυτοάμυνα δεν μπορεί απλώς να παρακαμφθεί. Από όσο ξέρω, δεν ήταν πολύ τεμπέληδες για να υποβληθούν σε πιστοποίηση FSTEC.
Μετά από πολλές συνομιλίες με υπαλλήλους της Smart Line, βρέθηκαν αρκετά παρόμοια μέρη για τα οποία δεν είχαν καν ακούσει. Ένα παράδειγμα είναι ο μηχανισμός AppInitDll.
Μπορεί να μην είναι το πιο βαθύ, αλλά σε πολλές περιπτώσεις σας επιτρέπει να το κάνετε χωρίς να μπείτε στον πυρήνα του λειτουργικού συστήματος και να μην επηρεάσετε τη σταθερότητά του. Τα προγράμματα οδήγησης nVidia χρησιμοποιούν πλήρως αυτόν τον μηχανισμό για να προσαρμόσουν τον προσαρμογέα βίντεο για ένα συγκεκριμένο παιχνίδι.
Η παντελής έλλειψη μιας ολοκληρωμένης προσέγγισης για την κατασκευή ενός αυτοματοποιημένου συστήματος βασισμένου στο DL 8.2 εγείρει ερωτήματα. Προτείνεται να περιγραφούν στον πελάτη τα πλεονεκτήματα του προϊόντος, να ελέγχεται η υπολογιστική ισχύς των υπαρχόντων υπολογιστών και διακομιστών (οι αναλυτές περιβάλλοντος απαιτούν πολύ πόρους και οι πλέον μοντέρνοι υπολογιστές γραφείου all-in-one και τα nettops που βασίζονται σε Atom δεν είναι κατάλληλα σε αυτήν την περίπτωση) και απλώστε απλά το προϊόν από πάνω. Ταυτόχρονα, όροι όπως «έλεγχος πρόσβασης» και «κλειστό περιβάλλον λογισμικού» δεν αναφέρθηκαν καν στο σεμινάριο. Ειπώθηκε για την κρυπτογράφηση ότι, εκτός από πολυπλοκότητα, θα εγείρει ερωτήματα από τις ρυθμιστικές αρχές, αν και στην πραγματικότητα δεν υπάρχουν προβλήματα με αυτήν. Οι ερωτήσεις σχετικά με την πιστοποίηση, ακόμη και στο FSTEC, παραμερίζονται λόγω της υποτιθέμενης πολυπλοκότητας και μακροσκελούς τους. Ως ειδικός σε θέματα ασφάλειας πληροφοριών που έχει συμμετάσχει επανειλημμένα σε τέτοιες διαδικασίες, μπορώ να πω ότι στη διαδικασία διεξαγωγής τους, αποκαλύπτονται πολλά τρωτά σημεία παρόμοια με αυτά που περιγράφονται σε αυτό το υλικό, επειδή οι ειδικοί των εργαστηρίων πιστοποίησης έχουν σοβαρή εξειδικευμένη εκπαίδευση.
Ως αποτέλεσμα, το παρουσιαζόμενο σύστημα DLP μπορεί να εκτελέσει ένα πολύ μικρό σύνολο λειτουργιών που διασφαλίζουν στην πραγματικότητα την ασφάλεια των πληροφοριών, ενώ δημιουργεί ένα σοβαρό υπολογιστικό φόρτο και δημιουργεί ένα αίσθημα ασφάλειας για τα εταιρικά δεδομένα μεταξύ της διοίκησης της εταιρείας που δεν έχει εμπειρία σε θέματα ασφάλειας πληροφοριών.
Μπορεί πραγματικά να προστατεύσει πραγματικά μεγάλα δεδομένα από έναν μη προνομιούχο χρήστη, επειδή... ο διαχειριστής είναι αρκετά ικανός να απενεργοποιήσει πλήρως την προστασία και για μεγάλα μυστικά, ακόμη και ένας κατώτερος διευθυντής καθαρισμού θα μπορεί να τραβήξει διακριτικά μια φωτογραφία της οθόνης ή ακόμα και να θυμάται τη διεύθυνση ή τον αριθμό της πιστωτικής κάρτας κοιτάζοντας την οθόνη πάνω από το ώμος.
Επιπλέον, όλα αυτά ισχύουν μόνο εάν είναι αδύνατο για τους εργαζόμενους να έχουν φυσική πρόσβαση στο εσωτερικό του υπολογιστή ή τουλάχιστον στο BIOS για να ενεργοποιήσουν την εκκίνηση από εξωτερικά μέσα. Τότε ακόμη και το BitLocker, το οποίο είναι απίθανο να χρησιμοποιηθεί σε εταιρείες που σκέφτονται απλώς την προστασία των πληροφοριών, μπορεί να μην βοηθήσει.
Το συμπέρασμα, όσο κοινότοπο κι αν ακούγεται, είναι μια ολοκληρωμένη προσέγγιση για την ασφάλεια των πληροφοριών, που περιλαμβάνει όχι μόνο λύσεις λογισμικού/υλισμικού, αλλά και οργανωτικά και τεχνικά μέτρα για τον αποκλεισμό της λήψης φωτογραφιών/βίντεο και την αποτροπή της εισόδου μη εξουσιοδοτημένων «αγοριών με εκπληκτική μνήμη». η ιστοσελίδα. Δεν πρέπει ποτέ να βασίζεστε στο θαυματουργό προϊόν DL 8.2, το οποίο διαφημίζεται ως λύση ενός βήματος για τα περισσότερα προβλήματα ασφάλειας των επιχειρήσεων.
Πηγή: www.habr.com