در اکتبر 2017، من این فرصت را داشتم که در یک سمینار تبلیغاتی برای سیستم DeviceLock DLP شرکت کنم، که در آن، علاوه بر عملکرد اصلی محافظت در برابر نشت ها مانند بستن پورت های USB، تجزیه و تحلیل متنی نامه ها و کلیپ بورد، محافظت از مدیر انجام شد. تبلیغ کرد. مدل ساده و زیبا است - یک نصب کننده به یک شرکت کوچک می آید، مجموعه ای از برنامه ها را نصب می کند، یک رمز عبور بایوس تنظیم می کند، یک حساب مدیر DeviceLock ایجاد می کند، و فقط حقوق مدیریت ویندوز و بقیه نرم افزار را به محلی واگذار می کند. مدیر. حتی اگر قصد و نیت وجود داشته باشد، این ادمین نمی تواند چیزی را بدزدد. اما این همه تئوری است ...
زیرا بیش از 20 سال کار در زمینه توسعه ابزارهای امنیت اطلاعات، من به وضوح متقاعد شدم که یک مدیر می تواند هر کاری انجام دهد، به خصوص با دسترسی فیزیکی به رایانه، سپس محافظت اصلی در برابر آن فقط می تواند اقدامات سازمانی مانند گزارش دقیق و حفاظت فیزیکی از رایانه های حاوی اطلاعات مهم، سپس بلافاصله ایده برای آزمایش دوام محصول پیشنهادی مطرح شد.
تلاش برای انجام این کار بلافاصله پس از پایان سمینار ناموفق بود؛ محافظت در برابر حذف سرویس اصلی DlService.exe انجام شد و آنها حتی حقوق دسترسی و انتخاب آخرین پیکربندی موفق را فراموش نکردند، در نتیجه آنها آن را حذف کردند، مانند بسیاری از ویروس ها، دسترسی سیستم را برای خواندن و اجرا ممنوع کردند، کار نکرد.
نماینده توسعه دهنده Smart Line با اطمینان در مورد تمام سؤالات در مورد محافظت از درایورهایی که احتمالاً در محصول گنجانده شده است اظهار داشت که "همه چیز در یک سطح است."
یک روز بعد تصمیم گرفتم به تحقیقاتم ادامه دهم و نسخه آزمایشی را دانلود کردم. من بلافاصله از حجم توزیع، تقریبا 2 گیگابایت شگفت زده شدم! من به این واقعیت عادت کرده ام که نرم افزار سیستم، که معمولاً به عنوان ابزار امنیت اطلاعات (ISIS) طبقه بندی می شود، معمولاً اندازه بسیار فشرده تری دارد.
پس از نصب، برای دومین بار شگفت زده شدم - اندازه فایل اجرایی فوق الذکر نیز بسیار بزرگ است - 2 مگابایت. من بلافاصله فکر کردم که با چنین حجمی چیزی وجود دارد که بتوانم به آن چنگ بزنم. من سعی کردم با استفاده از ضبط تاخیری ماژول را جایگزین کنم - بسته شد. من کاتالوگ های برنامه را بررسی کردم و قبلاً 13 راننده وجود داشت! من به مجوزها اشاره کردم - آنها برای تغییرات بسته نیستند! خوب، همه ممنوع هستند، بیایید بیش از حد بارگذاری کنیم!
اثر به سادگی مسحور کننده است - همه عملکردها غیرفعال هستند، سرویس شروع نمی شود. چه نوع دفاع شخصی وجود دارد، هر چیزی را که می خواهید بردارید و کپی کنید، حتی روی درایوهای فلش، حتی از طریق شبکه. اولین اشکال جدی سیستم ظاهر شد - اتصال قطعات بسیار قوی بود. بله، سرویس باید با رانندگان ارتباط برقرار کند، اما اگر کسی پاسخ نمیدهد چرا تصادف میکند؟ در نتیجه، یک روش برای دور زدن حفاظت وجود دارد.
پس از اینکه متوجه شدم سرویس معجزه بسیار ملایم و حساس است، تصمیم گرفتم وابستگی های آن را به کتابخانه های شخص ثالث بررسی کنم. اینجا حتی ساده تر است، لیست بزرگ است، ما فقط کتابخانه WinSock_II را به صورت تصادفی پاک می کنیم و تصویر مشابهی را می بینیم - سرویس شروع نشده است، سیستم باز است.
در نتیجه، همان چیزی را داریم که سخنران در سمینار توصیف کرد، حصاری قدرتمند، اما به دلیل کمبود پول، کل محیط محافظت شده را در بر نمی گیرد و در ناحیه بدون پوشش به سادگی گل رز خاردار وجود دارد. در این مورد، با در نظر گرفتن معماری محصول نرمافزار، که به طور پیشفرض به محیط بسته دلالت نمیکند، بلکه شامل انواع شاخهها، رهگیرها، تحلیلگرهای ترافیکی میشود، بیشتر یک حصار است که بسیاری از نوارها روی آن پیچاند. بیرون با پیچ های خودکار و باز کردن آن بسیار آسان است. مشکل اکثر این راهحلها این است که با چنین تعداد زیادی حفره بالقوه، همیشه احتمال فراموشی چیزی، از دست دادن یک رابطه یا تأثیرگذاری بر ثبات با اجرای ناموفق یکی از رهگیرها وجود دارد. با قضاوت بر اساس این واقعیت که آسیب پذیری های ارائه شده در این مقاله به سادگی در سطح هستند، محصول حاوی بسیاری دیگر است که جستجوی آنها چند ساعت بیشتر طول می کشد.
علاوه بر این، بازار مملو از نمونه هایی از اجرای شایسته محافظت از خاموش شدن است، به عنوان مثال، محصولات ضد ویروس داخلی، که در آنها نمی توان به سادگی از دفاع شخصی عبور کرد. تا آنجا که من می دانم، آنها برای دریافت گواهینامه FSTEC خیلی تنبل نبودند.
پس از انجام چندین مکالمه با کارمندان اسمارت لاین، چندین مکان مشابه پیدا شد که حتی نام آنها را نشنیده بودند. یک مثال مکانیسم AppInitDll است.
ممکن است عمیقترین نباشد، اما در بسیاری از موارد به شما اجازه میدهد بدون وارد شدن به هسته سیستمعامل و تأثیری بر پایداری آن انجام دهید. درایورهای nVidia از این مکانیسم برای تنظیم آداپتور ویدیویی برای یک بازی خاص استفاده کامل می کنند.
فقدان کامل یک رویکرد یکپارچه برای ساخت یک سیستم خودکار مبتنی بر DL 8.2 سؤالاتی را ایجاد می کند. پیشنهاد میشود مزایای محصول را برای مشتری توصیف کنید، قدرت محاسباتی رایانههای شخصی و سرورهای موجود را بررسی کنید (تجزیهکنندههای زمینه بسیار منابع فشرده هستند و رایانههای اداری همهکاره امروزی مد روز و نتتاپهای مبتنی بر اتم مناسب نیستند. در این مورد) و به سادگی محصول را در بالا پهن کنید. در عین حال، اصطلاحاتی مانند "کنترل دسترسی" و "محیط نرم افزار بسته" حتی در سمینار ذکر نشد. در مورد رمزگذاری گفته شد که علاوه بر پیچیدگی، سؤالاتی را از رگولاتورها ایجاد می کند، اگرچه در واقعیت هیچ مشکلی با آن وجود ندارد. سوالات مربوط به صدور گواهینامه، حتی در FSTEC، به دلیل پیچیدگی و طولانی بودن احتمالی آنها کنار گذاشته شده است. به عنوان یک متخصص امنیت اطلاعات که بارها در چنین رویههایی شرکت کردهام، میتوانم بگویم که در فرآیند انجام آنها، آسیبپذیریهای زیادی مشابه آنچه در این مطالب توضیح داده شده است، آشکار میشود، زیرا متخصصان آزمایشگاه های صدور گواهینامه آموزش های تخصصی جدی دارند.
در نتیجه، سیستم DLP ارائه شده میتواند مجموعه بسیار کوچکی از عملکردها را انجام دهد که در واقع امنیت اطلاعات را تضمین میکند، در حالی که بار محاسباتی جدی ایجاد میکند و احساس امنیت برای دادههای شرکتی در بین مدیریت شرکت که در مسائل امنیت اطلاعات بیتجربه هستند، ایجاد میکند.
این فقط می تواند واقعاً از داده های واقعاً بزرگ در برابر یک کاربر غیرمجاز محافظت کند، زیرا ... مدیر کاملاً قادر است حفاظت را به طور کامل غیرفعال کند، و برای اسرار بزرگ، حتی یک مدیر نظافت جوان میتواند با احتیاط از صفحه عکس بگیرد یا حتی آدرس یا شماره کارت اعتباری را با نگاه کردن به صفحه از روی صفحه همکار به خاطر بسپارد. شانه
علاوه بر این، همه اینها فقط در صورتی صادق است که دسترسی فیزیکی به داخل رایانه شخصی یا حداقل به BIOS برای فعال کردن بوت از رسانه خارجی برای کارمندان غیرممکن باشد. سپس حتی BitLocker، که بعید است در شرکت هایی که فقط به محافظت از اطلاعات فکر می کنند استفاده شود، ممکن است کمکی نکند.
نتیجه گیری، هرچند پیش پا افتاده به نظر می رسد، یک رویکرد یکپارچه برای امنیت اطلاعات است، که نه تنها راه حل های نرم افزاری/سخت افزاری، بلکه اقدامات سازمانی و فنی برای حذف عکس/فیلم برداری و جلوگیری از ورود «پسران با حافظه خارق العاده» غیرمجاز را شامل می شود. سایت. هرگز نباید به محصول معجزه آسا DL 8.2 اعتماد کنید که به عنوان راه حلی تک مرحله ای برای اکثر مشکلات امنیتی سازمانی تبلیغ می شود.
منبع: www.habr.com