2017. aasta oktoobris oli mul võimalus osaleda DeviceLock DLP-süsteemi reklaamseminaril, kus lisaks lekete eest kaitsmise põhifunktsioonidele nagu USB-portide sulgemine, kirjade ja lõikepuhvri kontekstuaalne analüüs, oli ka administraatoripoolne kaitse. reklaamitud. Mudel on lihtne ja ilus – paigaldaja tuleb väikefirmasse, installib programmikomplekti, määrab BIOS-i parooli, loob DeviceLocki administraatori konto ning jätab kohalikule vaid Windowsi enda ja ülejäänud tarkvara haldamise õigused. admin. Isegi kui kavatsus on, ei saa see administraator midagi varastada. Aga see kõik on teooria...
Sest üle 20+ aasta tööd infoturbe tööriistade väljatöötamise vallas, olin selgelt veendunud, et administraator võib kõike teha, eriti füüsilise ligipääsuga arvutile, siis peamiseks kaitseks selle vastu saavad olla vaid organisatsioonilised meetmed nagu range aruandlus ja olulist infot sisaldavate arvutite füüsiline kaitse, siis kohe tekkis mõte katsetada pakutava toote vastupidavust.
Katse seda teha kohe pärast seminari lõppu ebaõnnestus; kaitse põhiteenuse DlService.exe kustutamise vastu ja isegi ei unustatud juurdepääsuõigusi ja viimase eduka konfiguratsiooni valimist, mille tulemusena nad langetasid selle, nagu enamik viiruseid, keelates süsteemile juurdepääsu lugemisele ja täitmisele. Ei õnnestunud.
Kõigile küsimustele tõenäoliselt tootes sisalduvate draiverite kaitse kohta väitis Smart Line'i arendaja esindaja enesekindlalt, et "kõik on samal tasemel."
Päev hiljem otsustasin uurimistööd jätkata ja laadisin alla prooviversiooni. Mind üllatas kohe distributsiooni suurus, peaaegu 2 GB! Olen harjunud, et süsteemitarkvara, mida tavaliselt liigitatakse infoturbe tööriistadeks (ISIS), on tavaliselt palju kompaktsema suurusega.
Peale paigaldamist tabas mind juba teist korda üllatus – ka eelpool mainitud käivitatava faili suurus on päris suur – 2MB. Mõtlesin kohe, et sellise volüümi juures on millest haarata. Üritasin moodulit asendada viivitusega salvestamise abil - see suleti. Süvenesin programmikataloogidesse ja seal oli juba 13 draiverit! Torkasin lubade poole – need pole muudatusteks suletud! Olgu, kõik on keelatud, koormame üle!
Efekt on lihtsalt lummav - kõik funktsioonid on keelatud, teenus ei käivitu. Mis enesekaitse seal on, võta ja kopeeri mida tahad, kasvõi mälupulkadele, kasvõi üle võrgu. Ilmnes süsteemi esimene tõsine puudus – komponentide ühendus oli liiga tugev. Jah, teenus peaks juhtidega suhtlema, aga milleks kukkuda, kui keegi ei reageeri? Selle tulemusena on kaitsest möödahiilimiseks üks meetod.
Olles avastanud, et imeteenus on nii delikaatne ja tundlik, otsustasin kontrollida selle sõltuvusi kolmandate osapoolte raamatukogudest. Siin on veelgi lihtsam, loend on suur, kustutame WinSock_II teegi juhuslikult ja näeme sarnast pilti - teenus ei ole käivitunud, süsteem on avatud.
Sellest tulenevalt on meil sama, mida esineja seminaril kirjeldas, võimas tara, kuid rahapuudusel ei piira kogu kaitsealust perimeetrit ja katmata alal on lihtsalt kibuvitsad. Võttes arvesse tarkvaratoote arhitektuuri, mis ei tähenda vaikimisi suletud keskkonda, vaid erinevaid pistikuid, pealtkuulajaid, liiklusanalüsaatoreid, on antud juhul tegemist pigem taraga, kus paljud ribad on kinni keeratud. väljast isekeermestavate kruvidega ja väga lihtne lahti keerata. Enamiku nende lahenduste probleem seisneb selles, et nii suure hulga potentsiaalsete aukude puhul on alati võimalus midagi unustada, suhe vahele jääda või stabiilsust mõjutada ühe pealtkuulaja ebaõnnestunud rakendamisega. Otsustades selle järgi, et selles artiklis esitatud haavatavused on lihtsalt pealispinnal, sisaldab toode palju muid, mille otsimine võtab paar tundi kauem aega.
Pealegi on turg täis näiteid seiskamiskaitse pädeva rakendamise kohta, näiteks kodumaised viirusetõrjetooted, kus enesekaitsest lihtsalt mööda ei saa. Minu teada polnud nad FSTECi sertifikaadi läbimiseks liiga laisad.
Pärast mitmeid vestlusi Smart Line'i töötajatega leiti mitu sarnast kohta, millest nad polnud kuulnudki. Üks näide on AppInitDll mehhanism.
See ei pruugi olla kõige sügavam, kuid paljudel juhtudel võimaldab see teil hakkama saada ilma OS-i tuumasse sattumata ja selle stabiilsust mõjutamata. nVidia draiverid kasutavad seda mehhanismi täielikult ära, et kohandada videoadapterit konkreetse mängu jaoks.
Küsimusi tekitab DL 8.2-l põhineva automatiseeritud süsteemi loomise integreeritud lähenemisviisi täielik puudumine. Soovitav on kirjeldada kliendile toote eeliseid, kontrollida olemasolevate personaalarvutite ja serverite arvutusvõimsust (kontekstianalüsaatorid on väga ressursimahukad ja nüüd moes kontori kõik-ühes arvutid ja Atom-põhised nettopid ei sobi sel juhul) ja rullige toode lihtsalt peale. Samas mõisteid nagu “juurdepääsu kontroll” ja “suletud tarkvarakeskkond” seminaril isegi ei mainitud. Krüpteerimise kohta öeldi, et lisaks keerukusele tekitab see küsimusi ka regulaatorites, kuigi tegelikkuses sellega probleeme pole. Sertifitseerimise küsimused, isegi FSTECis, jäetakse nende oletatava keerukuse ja pikkuse tõttu kõrvale. Infoturbe spetsialistina, kes on sellistes protseduurides korduvalt osalenud, võin öelda, et nende läbiviimise käigus ilmneb palju selles materjalis kirjeldatuga sarnaseid turvaauke, sest sertifitseerimislaborite spetsialistidel on tõsine eriväljaõpe.
Sellest tulenevalt suudab esitletud DLP-süsteem täita väga väikest kogumit funktsioone, mis reaalselt tagavad infoturbe, tekitades samas tõsise arvutuskoormuse ja tekitades ettevõtte andmetele turvatunde infoturbe küsimustes kogenematute ettevõtete juhtkonnas.
See suudab tõeliselt suuri andmeid kaitsta ainult privilegeerimata kasutaja eest, sest... administraator on üsna võimeline kaitse täielikult välja lülitama ja suurte saladuste jaoks suudab isegi noorem puhastusjuht ekraanilt diskreetselt pildistada või isegi aadressi või krediitkaardi numbrit meelde jätta, vaadates üle kolleegi ekraani. õlg.
Pealegi kehtib see kõik ainult siis, kui töötajatel on väliselt meediumilt käivitamise aktiveerimiseks võimatu füüsilist juurdepääsu arvuti sisemustele või vähemalt BIOS-ile. Siis ei pruugi aidata isegi BitLocker, mida tõenäoliselt ei kasutata ettevõtetes, kes alles mõtlevad teabe kaitsmisele.
Järeldus, nii banaalne kui see ka ei kõla, on integreeritud lähenemine infoturbele, mis ei hõlma mitte ainult tarkvara/riistvaralahendusi, vaid ka organisatsioonilisi ja tehnilisi meetmeid, et välistada fotode/videote tegemine ja vältida volitamata "fenomenalilise mäluga poiste" sisenemist. sait. Ärge kunagi lootke imetootele DL 8.2, mida reklaamitakse kui üheastmelist lahendust enamikule ettevõtte turbeprobleemidele.
Allikas: www.habr.com