En octubre de 2017 tuve la oportunidad de asistir a un seminario promocional del sistema DeviceLock DLP, donde además de las principales funcionalidades de protección contra fugas como cierre de puertos USB, análisis contextual del correo y del portapapeles, se realizó la protección por parte del administrador. anunciado. El modelo es simple y hermoso: un instalador llega a una pequeña empresa, instala un conjunto de programas, establece una contraseña de BIOS, crea una cuenta de administrador DeviceLock y deja solo los derechos para administrar Windows y el resto del software al local. administración. Incluso si hay intención, este administrador no podrá robar nada. Pero todo esto es teoría...
Porque Durante más de 20 años de trabajo en el campo del desarrollo de herramientas de seguridad de la información, estaba claramente convencido de que un administrador puede hacer cualquier cosa, especialmente con acceso físico a una computadora, entonces la principal protección contra esto solo pueden ser medidas organizativas como informes estrictos y protección física de las computadoras que contienen información importante, luego inmediatamente Surgió la idea de probar la durabilidad del producto propuesto.
Un intento de hacer esto inmediatamente después del final del seminario fracasó, se hizo protección contra la eliminación del servicio principal DlService.exe e incluso no se olvidaron de los derechos de acceso y la selección de la última configuración exitosa, como resultado de lo cual Lo derribaron, como la mayoría de los virus, negando al sistema el acceso para leer y ejecutar. No funcionó.
A todas las preguntas sobre la protección de los controladores probablemente incluidos en el producto, el representante del desarrollador de Smart Line afirmó con seguridad que "todo está al mismo nivel".
Un día después decidí continuar mi investigación y descargué la versión de prueba. Inmediatamente me sorprendió el tamaño de la distribución, ¡casi 2 GB! Estoy acostumbrado a que el software del sistema, que suele clasificarse como herramienta de seguridad de la información (ISIS), suele tener un tamaño mucho más compacto.
Después de la instalación, me sorprendió por segunda vez: el tamaño del ejecutable mencionado anteriormente también es bastante grande: 2 MB. Inmediatamente pensé que con tal volumen había algo a lo que agarrarse. Intenté reemplazar el módulo usando grabación retrasada; estaba cerrado. Busqué en los catálogos de programas y ¡ya había 13 controladores! Hurgué en los permisos: ¡no están cerrados a cambios! Está bien, todo el mundo está prohibido, ¡sobrecarguemos!
El efecto es simplemente encantador: todas las funciones están desactivadas y el servicio no se inicia. ¿Qué tipo de autodefensa hay? Toma y copia lo que quieras, incluso en unidades flash, incluso a través de la red. El primer inconveniente grave del sistema surgió: la interconexión de los componentes era demasiado fuerte. Sí, el servicio debería comunicarse con los conductores, pero ¿por qué fallar si nadie responde? Como resultado, existe un método para eludir la protección.
Al descubrir que el servicio milagroso es tan delicado y sensible, decidí verificar sus dependencias de bibliotecas de terceros. Aquí es aún más simple, la lista es grande, simplemente borramos la biblioteca WinSock_II al azar y vemos una imagen similar: el servicio no se ha iniciado, el sistema está abierto.
Como resultado, tenemos lo mismo que describió el ponente en el seminario: una valla poderosa, pero que no cierra todo el perímetro protegido por falta de dinero, y en la zona descubierta simplemente hay escaramujos espinosos. En este caso, teniendo en cuenta la arquitectura del producto de software, que no implica un entorno cerrado por defecto, sino una variedad de enchufes, interceptores y analizadores de tráfico diferentes, se parece más a una valla y muchas de las franjas son Se atornillan por fuera con tornillos autorroscantes y son muy fáciles de desenroscar. El problema con la mayoría de estas soluciones es que con una cantidad tan grande de agujeros potenciales, siempre existe la posibilidad de olvidar algo, perder una relación o afectar la estabilidad al implementar sin éxito uno de los interceptores. A juzgar por el hecho de que las vulnerabilidades presentadas en este artículo son simplemente superficiales, el producto contiene muchas otras cuya búsqueda llevará un par de horas más.
Además, el mercado está lleno de ejemplos de implementación competente de protección de apagado, por ejemplo, productos antivirus nacionales, donde la autodefensa no se puede simplemente eludir. Hasta donde yo sé, no fueron demasiado vagos para someterse a la certificación FSTEC.
Después de mantener varias conversaciones con los empleados de Smart Line, se encontraron varios lugares similares de los que ni siquiera habían oído hablar. Un ejemplo es el mecanismo AppInitDll.
Puede que no sea el más profundo, pero en muchos casos te permite hacerlo sin entrar en el kernel del sistema operativo y sin afectar su estabilidad. Los controladores de nVidia aprovechan al máximo este mecanismo para ajustar el adaptador de vídeo a un juego específico.
La total falta de un enfoque integrado para construir un sistema automatizado basado en DL 8.2 plantea dudas. Se propone describir al cliente las ventajas del producto, comprobar la potencia informática de los PC y servidores existentes (los analizadores de contexto consumen muchos recursos y los ordenadores todo en uno de oficina y los nettops basados en Atom, ahora de moda, no son adecuados en este caso) y simplemente extienda el producto encima. Al mismo tiempo, en el seminario ni siquiera se mencionaron términos como “control de acceso” y “entorno de software cerrado”. Sobre el cifrado se dijo que, además de la complejidad, planteará dudas por parte de los reguladores, aunque en realidad no hay problemas con él. Las preguntas sobre la certificación, incluso en FSTEC, se dejan de lado debido a su supuesta complejidad y extensión. Como especialista en seguridad de la información que ha participado repetidamente en este tipo de procedimientos, puedo decir que en el proceso de su realización se revelan muchas vulnerabilidades similares a las descritas en este material, porque Los especialistas de los laboratorios de certificación tienen una formación especializada seria.
Como resultado, el sistema DLP presentado puede realizar un conjunto muy pequeño de funciones que realmente garantizan la seguridad de la información, al tiempo que genera una carga informática importante y crea una sensación de seguridad para los datos corporativos entre los directivos de la empresa que no tienen experiencia en cuestiones de seguridad de la información.
Realmente sólo puede proteger datos realmente grandes de un usuario sin privilegios, porque... el administrador es bastante capaz de desactivar completamente la protección y, en el caso de grandes secretos, incluso un jefe de limpieza junior podrá tomar discretamente una foto de la pantalla o incluso recordar la dirección o el número de la tarjeta de crédito mirando la pantalla por encima de la de un colega. hombro.
Además, todo esto es cierto sólo si a los empleados les resulta imposible tener acceso físico al interior de la PC o al menos al BIOS para activar el arranque desde medios externos. Entonces incluso BitLocker, que es poco probable que se utilice en empresas que sólo están pensando en proteger la información, puede que no ayude.
La conclusión, por banal que parezca, es un enfoque integrado de la seguridad de la información, que incluya no sólo soluciones de software y hardware, sino también medidas organizativas y técnicas para excluir la toma de fotografías y vídeos y evitar la entrada no autorizada de "niños con una memoria fenomenal" el sitio. Nunca debe confiar en el producto milagroso DL 8.2, que se anuncia como una solución de un solo paso para la mayoría de los problemas de seguridad empresariales.
Fuente: habr.com