En oktobro 2017, mi havis la ŝancon ĉeesti reklaman seminarion por la DeviceLock DLP-sistemo, kie, krom la ĉefa funkcieco de protekto kontraŭ likoj kiel fermo de USB-havenoj, kunteksta analizo de poŝto kaj la tondujo, protekto de la administranto estis. reklamita. La modelo estas simpla kaj bela - instalilo venas al malgranda firmao, instalas aron da programoj, metas BIOS-pasvorton, kreas DeviceLock-administran konton kaj lasas nur la rajtojn administri Vindozon mem kaj la reston de la programaro al la loka. admin. Eĉ se estas intenco, ĉi tiu administranto ne povos ŝteli ion ajn. Sed ĉi tio estas ĉio teorio...
Ĉar pli ol 20+ jarojn da laboro en la kampo de evoluigado de informsekurecaj iloj, mi estis klare konvinkita, ke administranto povas fari ion ajn, precipe per fizika aliro al komputilo, tiam la ĉefa protekto kontraŭ ĝi povas esti nur organizaj rimedoj kiel strikta raportado kaj fizika protekto de komputiloj enhavantaj gravajn informojn, tiam tuj La ideo ekestis provi la fortikecon de la proponita produkto.
Provo fari tion tuj post la fino de la seminario estis malsukcesa; protekto kontraŭ forigo de la ĉefa servo DlService.exe estis farita kaj ili eĉ ne forgesis pri alirrajtoj kaj elekto de la lasta sukcesa agordo, sekve de kio ili faligis ĝin, kiel la plej multaj virusoj, neante la sisteman aliron por legi kaj ekzekuti , Ne funkciis.
Al ĉiuj demandoj pri la protekto de la ŝoforoj verŝajne inkluzivitaj en la produkto, la reprezentanto de la programisto de Smart Line konfide deklaris, ke "ĉio estas je la sama nivelo."
Tagon poste mi decidis daŭrigi mian esploron kaj elŝutis la provversion. Mi tuj surpriziĝis pro la grandeco de la distribuo, preskaŭ 2 GB! Mi kutimas, ke sistema programaro, kiu kutime estas klasita kiel informsekurecaj iloj (ISIS), kutime havas multe pli kompaktan grandecon.
Post instalo, mi surpriziĝis la duan fojon - la grandeco de la supre menciita ekzekutebla estas ankaŭ sufiĉe granda - 2MB. Mi tuj pensis, ke kun tia volumo estas io por kapti. Mi provis anstataŭigi la modulon per malfrua registrado - ĝi estis fermita. Mi fosis en la programkatalogojn, kaj jam estis 13 ŝoforoj! Mi trafis la permesojn - ili ne estas fermitaj por ŝanĝoj! Bone, ĉiuj estas malpermesitaj, ni troŝarĝu!
La efiko estas simple sorĉa - ĉiuj funkcioj estas malŝaltitaj, la servo ne komenciĝas. Kia memdefendo ekzistas, prenu kaj kopiu tion, kion vi volas, eĉ sur poŝmemoriloj, eĉ tra la reto. La unua grava malavantaĝo de la sistemo aperis - la interkonekto de la komponantoj estis tro forta. Jes, la servo devus komuniki kun la ŝoforoj, sed kial kraŝi se neniu respondas? Kiel rezulto, ekzistas unu metodo preteriri la protekton.
Eksciinte, ke la mirakla servo estas tiel milda kaj sentema, mi decidis kontroli ĝiajn dependecojn de triaj bibliotekoj. Ĉi tie estas eĉ pli simpla, la listo estas granda, ni simple forviŝas la bibliotekon WinSock_II hazarde kaj vidas similan bildon - la servo ne komenciĝis, la sistemo estas malfermita.
Kiel rezulto, ni havas la samon, kiun la preleganto priskribis en la seminario, potencan barilon, sed ne enfermantan la tutan protektitan perimetron pro manko de mono, kaj en la nekovrita areo estas simple pikantaj rozkosoj. En ĉi tiu kazo, konsiderante la arkitekturon de la programaro, kiu ne implicas fermitan medion defaŭlte, sed diversajn malsamajn ŝtopilon, interkaptilojn, trafikajn analizilojn, ĝi estas prefere barilo, kun multaj el la strioj ŝraŭbintaj. la ekstero kun memfrapaj ŝraŭboj kaj tre facile malŝraŭbi. La problemo kun la plej multaj el ĉi tiuj solvoj estas, ke kun tia grandega nombro da eblaj truoj, ĉiam ekzistas la ebleco forgesi ion, maltrafi rilaton aŭ influi stabilecon malsukcese efektivigante unu el la interkaptistoj. Juĝante laŭ la fakto, ke la vundeblecoj prezentitaj en ĉi tiu artikolo estas simple sur la surfaco, la produkto enhavas multajn aliajn, kiuj daŭros kelkajn horojn pli longe por serĉi.
Plie, la merkato estas plena de ekzemploj de kompetenta efektivigo de ĉesiga protekto, ekzemple hejmaj kontraŭvirusaj produktoj, kie memdefendo ne povas simple preteriri. Kiom mi scias, ili ne estis tro maldiligentaj por sperti FSTEC-atestadon.
Farinte plurajn konversaciojn kun dungitoj de Smart Line, troviĝis pluraj similaj lokoj, pri kiuj ili eĉ ne aŭdis. Unu ekzemplo estas la mekanismo AppInitDll.
Ĝi eble ne estas la plej profunda, sed en multaj kazoj ĝi permesas vin sen eniri la OS-kernon kaj ne tuŝi ĝian stabilecon. nVidia-ŝoforoj plene uzas ĉi tiun mekanismon por alĝustigi la videoadaptilon por specifa ludo.
La kompleta manko de integra aliro al konstruado de aŭtomatigita sistemo bazita sur DL 8.2 levas demandojn. Estas proponite priskribi al la kliento la avantaĝojn de la produkto, kontroli la komputikan potencon de ekzistantaj komputiloj kaj serviloj (kuntekstanaliziloj estas tre riĉaj rimedoj kaj la nun modaj oficejaj ĉiu-en-unu komputiloj kaj Atom-bazitaj netops ne taŭgas. en ĉi tiu kazo) kaj simple rulu la produkton supre. Samtempe, terminoj kiel "alirkontrolo" kaj "fermita softvarmedio" eĉ ne estis menciitaj en la seminario. Oni diris pri ĉifrado, ke, krom komplekseco, ĝi levos demandojn de regulistoj, kvankam fakte ne estas problemoj pri ĝi. Demandoj pri atestado, eĉ ĉe FSTEC, estas flankenbalaitaj pro ilia supozebla komplekseco kaj longeco. Kiel specialisto pri informa sekureco, kiu plurfoje partoprenis en tiaj proceduroj, mi povas diri, ke en la procezo de plenumi ilin, multaj vundeblecoj similaj al tiuj priskribitaj en ĉi tiu materialo estas malkaŝitaj, ĉar specialistoj de atestadaj laboratorioj havas seriozan specialan trejnadon.
Kiel rezulto, la prezentita DLP-sistemo povas plenumi tre malgrandan aron da funkcioj, kiuj efektive certigas informan sekurecon, dum ĝi generas seriozan komputilan ŝarĝon kaj kreas senton de sekureco por kompaniaj datumoj inter kompanio-administrado, kiu estas nesperta en informaj sekurecaj aferoj.
Ĝi povas nur vere protekti vere grandajn datumojn de senprivilegia uzanto, ĉar... la administranto sufiĉe kapablas tute malaktivigi la protekton, kaj por grandaj sekretoj, eĉ juna purigadestro povos diskrete fari foton de la ekrano, aŭ eĉ memori la adreson aŭ kreditkartan numeron rigardante la ekranon super kolego. ŝultro.
Krome, ĉio ĉi estas vera nur se estas neeble por dungitoj havi fizikan aliron al la internoj de la komputilo aŭ almenaŭ al la BIOS por aktivigi lanĉadon de ekstera amaskomunikilaro. Tiam eĉ BitLocker, kiu verŝajne ne estos uzata en kompanioj, kiuj nur pensas pri protekti informojn, eble ne helpos.
La konkludo, kiel ajn banala ŝajnas, estas integra aliro al informa sekureco, inkluzive de ne nur softvaro/hardvaro solvoj, sed ankaŭ organizaj kaj teknikaj mezuroj por ekskludi foto/video pafado kaj malhelpi neaŭtorizita "knaboj kun fenomena memoro" eniri. La loko. Vi neniam devus fidi je la mirakla produkto DL 8.2, kiu estas reklamita kiel unupaŝa solvo al plej multaj entreprenaj sekurecaj problemoj.
fonto: www.habr.com