U listopadu 2017. imao sam priliku prisustvovati promotivnom seminaru za DeviceLock DLP sustav, gdje je uz glavne funkcionalnosti zaštite od curenja kao što su zatvaranje USB priključaka, kontekstualna analiza pošte i međuspremnika, zaštita od strane administratora reklamirao. Model je jednostavan i lijep - instalater dolazi u malu tvrtku, instalira set programa, postavlja lozinku za BIOS, kreira DeviceLock administratorski račun i ostavlja samo prava upravljanja samim Windowsima i ostatkom softvera lokalnim admin. Čak i ako postoji namjera, ovaj admin neće moći ništa ukrasti. Ali ovo je sve teorija...
Jer preko 20+ godina rada na području razvoja alata za informacijsku sigurnost, jasno sam se uvjerio da administrator može sve, pogotovo s fizičkim pristupom računalu, a glavna zaštita od toga mogu biti samo organizacijske mjere poput stroge prijave i fizičku zaštitu računala koja sadrže važne informacije, a zatim odmah Pojavila se ideja da se ispita trajnost predloženog proizvoda.
Pokušaj da se to učini odmah nakon završetka seminara je bio neuspješan, napravljena je zaštita od brisanja glavnog servisa DlService.exe, a nisu zaboravili niti na prava pristupa i odabir zadnje uspješne konfiguracije, uslijed čega srušili su ga, kao i većinu virusa, uskrativši pristup sustavu za čitanje i izvršavanje, Nije uspjelo.
Na sva pitanja o zaštiti vozača koji su vjerojatno uključeni u proizvod, predstavnik programera Smart Line samouvjereno je izjavio da je "sve na istoj razini".
Dan kasnije odlučio sam nastaviti svoje istraživanje i preuzeo sam probnu verziju. Odmah me iznenadila veličina distribucije, skoro 2 GB! Navikao sam na činjenicu da sistemski softver, koji se obično klasificira kao alati za informacijsku sigurnost (ISIS), obično ima mnogo kompaktniju veličinu.
Nakon instalacije, bio sam iznenađen po drugi put - veličina gore spomenute izvršne je također prilično velika - 2MB. Odmah sam pomislio da se s takvim volumenom ima za što uhvatiti. Pokušao sam zamijeniti modul pomoću odgođenog snimanja - bio je zatvoren. Kopao sam po programskim katalozima, i tamo je već bilo 13 vozača! Bockao sam dopuštenja - nisu zatvorena za promjene! U redu, svi su zabranjeni, idemo preopteretiti!
Učinak je jednostavno očaravajući - sve funkcije su onemogućene, usluga se ne pokreće. Kakva je tu samoobrana, uzmi i kopiraj što god hoćeš, čak i na flash diskove, čak i preko mreže. Pojavio se prvi ozbiljniji nedostatak sustava - prejaka međusobna povezanost komponenti. Da, usluga bi trebala komunicirati s vozačima, ali zašto se rušiti ako nitko ne reagira? Kao rezultat toga, postoji jedan način zaobilaženja zaštite.
Nakon što sam otkrio da je čudotvorna usluga tako delikatna i osjetljiva, odlučio sam provjeriti njezinu ovisnost o bibliotekama trećih strana. Ovdje je još jednostavnije, popis je velik, samo nasumično obrišemo biblioteku WinSock_II i vidimo sličnu sliku - usluga nije pokrenuta, sustav je otvoren.
Kao rezultat imamo isto ono što je govornik opisao na seminaru, moćnu ogradu, ali ne i cijeli zaštićeni perimetar zbog nedostatka novca, au nenatkrivenom prostoru su jednostavno bodljikavi šipurak. U ovom slučaju, uzimajući u obzir arhitekturu softverskog proizvoda, koja ne podrazumijeva zatvoreno okruženje prema zadanim postavkama, već mnoštvo različitih čepova, presretača, analizatora prometa, radi se o drvenoj ogradi s mnogo zašrafljenih traka. izvana sa samoreznim vijcima i vrlo se lako odvrnuti. Problem s većinom ovih rješenja je u tome što s tako velikim brojem potencijalnih rupa uvijek postoji mogućnost da se nešto zaboravi, promaši odnos ili utječe na stabilnost neuspješnom implementacijom jednog od presretača. Sudeći po činjenici da su ranjivosti predstavljene u ovom članku jednostavno na površini, proizvod sadrži mnoge druge za koje će potraga trajati nekoliko sati dulje.
Štoviše, tržište je puno primjera kompetentne implementacije zaštite od isključivanja, na primjer, domaćih antivirusnih proizvoda, gdje se samoobrana ne može jednostavno zaobići. Koliko ja znam, nisu bili previše lijeni da prođu FSTEC certifikaciju.
Nakon nekoliko obavljenih razgovora sa zaposlenicima Smart Linea, pronađeno je nekoliko sličnih mjesta za koja oni nisu niti čuli. Jedan primjer je AppInitDll mehanizam.
Možda nije najdublji, ali u mnogim slučajevima omogućuje vam da ne ulazite u jezgru OS-a i ne utječete na njegovu stabilnost. nVidia upravljački programi u potpunosti koriste ovaj mehanizam za prilagodbu video adaptera za određenu igru.
Potpuni nedostatak integriranog pristupa izgradnji automatiziranog sustava temeljenog na DL 8.2 postavlja pitanja. Predlaže se kupcu opisati prednosti proizvoda, provjeriti računalnu snagu postojećih osobnih računala i poslužitelja (analizatori konteksta su vrlo intenzivni, a sada moderna uredska sve-u-jednom računala i nettopovi temeljeni na Atomu nisu prikladni u ovom slučaju) i jednostavno zarolajte proizvod na vrh. Pritom pojmovi kao što su “kontrola pristupa” i “zatvoreno softversko okruženje” na seminaru nisu niti spomenuti. O enkripciji je rečeno da će, osim složenosti, izazvati pitanja regulatora, iako u stvarnosti s njom nema problema. Pitanja o certificiranju, čak i na FSTEC-u, zanemaruju se zbog njihove navodne složenosti i dugotrajnosti. Kao stručnjak za informacijsku sigurnost koji je više puta sudjelovao u takvim postupcima, mogu reći da se u procesu njihovog provođenja otkrivaju mnoge ranjivosti slične onima opisanim u ovom materijalu, jer stručnjaci certifikacijskih laboratorija imaju ozbiljnu specijaliziranu obuku.
Kao rezultat toga, predstavljeni DLP sustav može obavljati vrlo mali skup funkcija koje zapravo osiguravaju informacijsku sigurnost, istovremeno stvarajući ozbiljno računalno opterećenje i stvarajući osjećaj sigurnosti za korporativne podatke među menadžmentom tvrtke koji nema iskustva u pitanjima informacijske sigurnosti.
Može samo stvarno zaštititi stvarno velike podatke od neprivilegiranog korisnika, jer... administrator je sasvim sposoban potpuno deaktivirati zaštitu, a za velike tajne čak će i mlađi voditelj čišćenja moći diskretno fotografirati ekran ili čak zapamtiti adresu ili broj kreditne kartice gledajući ekran preko kolega. rame.
Štoviše, sve ovo vrijedi samo ako je zaposlenicima nemoguće fizički pristupiti unutrašnjosti računala ili barem BIOS-u za aktiviranje dizanja s vanjskog medija. Tada čak ni BitLocker, koji se vjerojatno neće koristiti u tvrtkama koje tek razmišljaju o zaštiti podataka, možda neće pomoći.
Zaključak je, koliko god banalan zvučao, integrirani pristup informacijskoj sigurnosti, koji uključuje ne samo softversko/hardverska rješenja, već i organizacijske i tehničke mjere za isključivanje foto/video snimanja i sprječavanje neovlaštenog ulaska “dečki s fenomenalnim pamćenjem”. mjesto. Nikada se ne biste trebali oslanjati na čudesni proizvod DL 8.2, koji se reklamira kao rješenje u jednom koraku za većinu sigurnosnih problema poduzeća.
Izvor: www.habr.com