En octobre 2017, j'ai eu l'occasion d'assister à un séminaire promotionnel sur le système DeviceLock DLP, où, en plus des principales fonctionnalités de protection contre les fuites telles que la fermeture des ports USB, l'analyse contextuelle du courrier et du presse-papiers, la protection de l'administrateur était annoncé. Le modèle est simple et beau : un installateur vient dans une petite entreprise, installe un ensemble de programmes, définit un mot de passe BIOS, crée un compte administrateur DeviceLock et laisse uniquement les droits de gestion de Windows lui-même et du reste du logiciel au local. administrateur. Même s’il y a une intention, cet administrateur ne pourra rien voler. Mais tout cela n'est que théorie...
Parce que plus de 20 ans de travail dans le domaine du développement d'outils de sécurité de l'information, j'étais clairement convaincu qu'un administrateur peut tout faire, en particulier avec un accès physique à un ordinateur, alors la principale protection contre cela ne peut être que des mesures organisationnelles telles qu'un reporting strict et protection physique des ordinateurs contenant des informations importantes, puis immédiatement. L'idée est née de tester la durabilité du produit proposé.
Une tentative pour le faire immédiatement après la fin du séminaire a échoué ; une protection contre la suppression du service principal DlService.exe a été effectuée et ils n'ont même pas oublié les droits d'accès et la sélection de la dernière configuration réussie, à la suite de quoi ils l'ont abattu, comme la plupart des virus, refusant au système l'accès en lecture et en exécution. Cela n'a pas fonctionné.
A toutes les questions sur la protection des conducteurs probablement incluses dans le produit, le représentant du développeur Smart Line a déclaré avec assurance que "tout est au même niveau".
Un jour plus tard, j'ai décidé de poursuivre mes recherches et j'ai téléchargé la version d'essai. J'ai tout de suite été surpris par la taille de la distribution, presque 2 Go ! Je suis habitué au fait que les logiciels système, qui sont généralement classés comme outils de sécurité de l'information (ISIS), ont généralement une taille beaucoup plus compacte.
Après l'installation, j'ai été surpris pour la deuxième fois - la taille de l'exécutable mentionné ci-dessus est également assez grande - 2 Mo. J'ai tout de suite pensé qu'avec un tel volume il y avait de quoi s'accrocher. J'ai essayé de remplacer le module par enregistrement différé - il était fermé. J'ai fouillé dans les catalogues de programmes, et il y avait déjà 13 pilotes ! J'ai fouillé les autorisations - elles ne sont pas fermées aux modifications ! Bon, tout le monde est banni, surchargeons-nous !
L'effet est tout simplement enchanteur : toutes les fonctions sont désactivées, le service ne démarre pas. Quel genre d'autodéfense existe-t-il, prenez et copiez ce que vous voulez, même sur des clés USB, même sur le réseau. Le premier inconvénient majeur du système est apparu : l’interconnexion des composants était trop forte. Oui, le service doit communiquer avec les chauffeurs, mais pourquoi planter si personne ne répond ? En conséquence, il existe une méthode pour contourner la protection.
Ayant découvert que le service miracle est si doux et sensible, j'ai décidé de vérifier ses dépendances vis-à-vis de bibliothèques tierces. C'est encore plus simple ici, la liste est longue, nous effaçons simplement la bibliothèque WinSock_II au hasard et voyons une image similaire - le service n'a pas démarré, le système est ouvert.
En conséquence, nous avons la même chose que celle décrite lors du séminaire, une clôture puissante, mais ne clôturant pas tout le périmètre protégé par manque d'argent, et dans la zone non couverte il y a simplement des cynorrhodons épineux. Dans ce cas, compte tenu de l'architecture du produit logiciel, qui n'implique pas par défaut un environnement fermé, mais une variété de fiches, intercepteurs, analyseurs de trafic différents, il s'agit plutôt d'une palissade, avec de nombreuses bandes vissées l'extérieur avec des vis autotaraudeuses et très facile à dévisser. Le problème avec la plupart de ces solutions est qu’avec un si grand nombre de failles potentielles, il existe toujours la possibilité d’oublier quelque chose, de rater une relation ou d’affecter la stabilité en mettant en œuvre sans succès l’un des intercepteurs. À en juger par le fait que les vulnérabilités présentées dans cet article ne sont que superficielles, le produit en contient de nombreuses autres qui prendront quelques heures de plus à rechercher.
De plus, le marché regorge d'exemples de mise en œuvre compétente de protection contre les arrêts, par exemple de produits antivirus nationaux, où l'autodéfense ne peut être simplement contournée. Autant que je sache, ils n'étaient pas trop paresseux pour passer la certification FSTEC.
Après avoir mené plusieurs conversations avec les employés de Smart Line, plusieurs endroits similaires dont ils n'avaient même pas entendu parler ont été découverts. Un exemple est le mécanisme AppInitDll.
Ce n'est peut-être pas le plus profond, mais dans de nombreux cas, cela vous permet de vous passer du noyau du système d'exploitation et de ne pas affecter sa stabilité. Les pilotes nVidia utilisent pleinement ce mécanisme pour ajuster la carte vidéo pour un jeu spécifique.
L'absence totale d'une approche intégrée pour construire un système automatisé basé sur DL 8.2 soulève des questions. Il est proposé de décrire au client les avantages du produit, de vérifier la puissance de calcul des PC et serveurs existants (les analyseurs de contexte sont très gourmands en ressources et les ordinateurs de bureau tout-en-un actuellement à la mode et les nettops basés sur Atom ne conviennent pas dans ce cas) et déroulez simplement le produit par dessus. Dans le même temps, des termes tels que « contrôle d'accès » et « environnement logiciel fermé » n'ont même pas été mentionnés lors du séminaire. Il a été dit à propos du cryptage qu'en plus de sa complexité, il soulèverait des questions de la part des régulateurs, même si en réalité cela ne pose aucun problème. Les questions sur la certification, même au FSTEC, sont écartées en raison de leur prétendue complexité et longueur. En tant que spécialiste de la sécurité de l'information ayant participé à plusieurs reprises à de telles procédures, je peux dire qu'au cours de leur exécution, de nombreuses vulnérabilités similaires à celles décrites dans ce document sont révélées, car les spécialistes des laboratoires de certification ont une formation spécialisée sérieuse.
En conséquence, le système DLP présenté peut exécuter un très petit ensemble de fonctions qui assurent réellement la sécurité des informations, tout en générant une charge de calcul importante et en créant un sentiment de sécurité des données d'entreprise parmi les dirigeants de l'entreprise inexpérimentés en matière de sécurité de l'information.
Il ne peut vraiment protéger que les très grosses données d'un utilisateur non privilégié, car... l'administrateur est tout à fait capable de désactiver complètement la protection, et pour les grands secrets, même un responsable du nettoyage junior pourra discrètement prendre une photo de l'écran, ou même se souvenir de l'adresse ou du numéro de carte bancaire en regardant l'écran par-dessus celui d'un collègue. épaule.
De plus, tout cela n'est vrai que s'il est impossible pour les employés d'avoir un accès physique à l'intérieur du PC ou au moins au BIOS pour activer le démarrage à partir d'un support externe. Dans ce cas, même BitLocker, qui est peu susceptible d'être utilisé dans des entreprises qui ne pensent qu'à protéger les informations, pourrait ne pas aider.
La conclusion, aussi banale que cela puisse paraître, est une approche intégrée de la sécurité de l’information, comprenant non seulement des solutions logicielles/matérielles, mais également des mesures organisationnelles et techniques pour exclure les prises de vue photo/vidéo et empêcher l’entrée non autorisée de « garçons à la mémoire phénoménale ». le site. Vous ne devriez jamais vous fier au produit miracle DL 8.2, présenté comme une solution en une seule étape à la plupart des problèmes de sécurité des entreprises.
Source: habr.com