En outubro de 2017, tiven a oportunidade de asistir a un seminario de promoción do sistema DeviceLock DLP, onde, ademais da principal funcionalidade de protección contra fugas como o peche de portos USB, a análise contextual do correo e do portapapeis, a protección do administrador foi anunciado. O modelo é sinxelo e fermoso: un instalador chega a unha pequena empresa, instala un conxunto de programas, establece un contrasinal da BIOS, crea unha conta de administrador DeviceLock e deixa só os dereitos para xestionar o propio Windows e o resto do software ao local. administrador. Aínda que haxa intención, este administrador non poderá roubar nada. Pero todo isto é teoría...
Porque máis de 20 anos de traballo no campo do desenvolvemento de ferramentas de seguridade da información, estaba claramente convencido de que un administrador pode facer calquera cousa, especialmente co acceso físico a un ordenador, entón a principal protección contra el só pode ser medidas organizativas como informes estritos e protección física de ordenadores que conteñen información importante, a continuación, inmediatamente A idea xurdiu para probar a durabilidade do produto proposto.
O intento de facelo inmediatamente despois do final do seminario foi infructuoso; fíxose a protección contra a eliminación do servizo principal DlService.exe e mesmo non se esqueceron dos dereitos de acceso e da selección da última configuración exitosa, polo que derrubaron, como a maioría dos virus, negándolle o acceso ao sistema para ler e executar , Non funcionou.
A todas as preguntas sobre a protección dos controladores probablemente incluídos no produto, o representante do desenvolvedor de Smart Line afirmou con confianza que "todo está ao mesmo nivel".
Un día despois decidín continuar coa miña investigación e descarguei a versión de proba. Sorprendeume inmediatamente o tamaño da distribución, case 2 GB! Estou afeito a que o software do sistema, que normalmente se clasifica como ferramentas de seguridade da información (ISIS), adoita ter un tamaño moito máis compacto.
Despois da instalación, sorprendeume por segunda vez: o tamaño do executable mencionado anteriormente tamén é bastante grande: 2 MB. Inmediatamente pensei que con tal volume había algo ao que coller. Tentei substituír o módulo mediante a gravación atrasada: estaba pechado. Busquei nos catálogos de programas, e xa había 13 controladores! Busquei os permisos: non están pechados por cambios! Vale, todos están prohibidos, sobrecarguemos!
O efecto é simplemente encantador: todas as funcións están desactivadas, o servizo non se inicia. Que tipo de autodefensa hai, toma e copia o que queiras, mesmo en unidades flash, incluso a través da rede. O primeiro inconveniente serio do sistema xurdiu: a interconexión dos compoñentes era demasiado forte. Si, o servizo debería comunicarse cos condutores, pero por que falla se ninguén responde? Como resultado, hai un método para evitar a protección.
Despois de descubrir que o servizo milagre é tan amable e sensible, decidín comprobar as súas dependencias de bibliotecas de terceiros. É aínda máis sinxelo aquí, a lista é grande, só borramos a biblioteca WinSock_II ao chou e vemos unha imaxe similar: o servizo non comezou, o sistema está aberto.
Como resultado, temos o mesmo que o relator describiu no seminario, un valado poderoso, pero que non encerra todo o perímetro protexido por falta de diñeiro, e na zona descuberta hai simplemente rosa mosqueta espinosa. Neste caso, tendo en conta a arquitectura do produto de software, que non implica un ambiente pechado por defecto, senón unha variedade de enchufes diferentes, interceptores, analizadores de tráfico, é máis ben un valado, con moitas das tiras atornilladas. o exterior con parafusos autorroscantes e moi fácil de desenroscar. O problema da maioría destas solucións é que ante un número tan grande de posibles buratos, sempre existe a posibilidade de esquecer algo, perder unha relación ou afectar á estabilidade ao implementar sen éxito un dos interceptores. A xulgar polo feito de que as vulnerabilidades presentadas neste artigo están simplemente na superficie, o produto contén moitas outras que tardarán un par de horas máis en buscar.
Ademais, o mercado está cheo de exemplos de implementación competente de protección contra o apagado, por exemplo, produtos antivirus domésticos, onde a autodefensa non pode simplemente evitarse. Polo que sei, non eran demasiado preguiceiros para someterse á certificación FSTEC.
Despois de manter varias conversacións con empregados de Smart Line, atopáronse varios lugares similares dos que nin sequera tiñan oído falar. Un exemplo é o mecanismo AppInitDll.
Quizais non sexa o máis profundo, pero en moitos casos permite prescindir de entrar no núcleo do SO e non afectar á súa estabilidade. Os controladores de nVidia fan un uso completo deste mecanismo para axustar o adaptador de vídeo a un xogo específico.
A falta total dun enfoque integrado para construír un sistema automatizado baseado en DL 8.2 suscita preguntas. Proponse describir ao cliente as vantaxes do produto, comprobar a potencia de cálculo dos ordenadores e servidores existentes (os analizadores de contexto requiren moito uso de recursos e os ordenadores todo-en-un de oficina, agora de moda, e os nettops baseados en Atom non son axeitados). neste caso) e simplemente estea o produto encima. Ao mesmo tempo, termos como "control de acceso" e "entorno de software pechado" nin sequera foron mencionados no seminario. Sobre o cifrado díxose que, ademais da complexidade, suscitará preguntas dos reguladores, aínda que en realidade non hai problemas con el. As preguntas sobre a certificación, incluso en FSTEC, son eliminadas debido á súa suposta complexidade e lonxitude. Como especialista en seguridade da información que participou en reiteradas ocasións neste tipo de procedementos, podo dicir que no proceso de realización dos mesmos se revelan moitas vulnerabilidades similares ás descritas neste material, porque os especialistas dos laboratorios de certificación teñen unha formación especializada seria.
Como resultado, o sistema DLP presentado pode realizar un conxunto moi reducido de funcións que realmente garanten a seguridade da información, ao tempo que xera unha carga informática seria e crea unha sensación de seguridade para os datos corporativos entre a dirección da empresa que non ten experiencia en materia de seguridade da información.
Só pode protexer realmente grandes datos dun usuario sen privilexios, porque... o administrador é bastante capaz de desactivar completamente a protección e, para os grandes segredos, incluso un xestor de limpeza subalterno poderá facer discretamente unha foto da pantalla ou incluso lembrar o enderezo ou o número da tarxeta de crédito mirando a pantalla sobre a dun compañeiro. ombreiro.
Ademais, todo isto é certo só se é imposible que os empregados teñan acceso físico ao interior do PC ou polo menos á BIOS para activar o arranque desde medios externos. Entón, incluso BitLocker, que é pouco probable que se use en empresas que só están pensando en protexer a información, quizais non axude.
A conclusión, por banal que poida parecer, é unha aproximación integrada á seguridade da información, que inclúe non só solucións de software/hardware, senón tamén medidas organizativas e técnicas para excluír a gravación de fotos/vídeos e evitar que entren "rapazos cunha memoria fenomenal" non autorizados. o sitio. Nunca debes confiar no produto milagroso DL 8.2, que se anuncia como unha solución dun só paso para a maioría dos problemas de seguridade das empresas.
Fonte: www.habr.com