2017 októberében lehetőségem volt részt venni a DeviceLock DLP rendszer promóciós szemináriumán, ahol a szivárgás elleni védelem fő funkciói mellett, mint például az USB-portok bezárása, a levelek és a vágólap kontextus szerinti elemzése, a rendszergazdai védelem is szerepelt. hirdetett. A modell egyszerű és gyönyörű – egy telepítő érkezik egy kis céghez, telepít egy sor programot, beállít egy BIOS-jelszót, létrehoz egy DeviceLock rendszergazdai fiókot, és csak magának a Windowsnak és a többi szoftvernek a kezelési jogát hagyja a helyinek. admin. Még ha szándék is van, ez az admin nem fog tudni ellopni semmit. De ez mind elmélet...
Mert Az információbiztonsági eszközök fejlesztése terén eltöltött több mint 20 éves munkával egyértelműen meg voltam győződve arról, hogy egy adminisztrátor bármit megtehet, főleg a számítógéphez való fizikai hozzáféréssel, akkor ez ellen a legfőbb védelmet csak a szervezeti intézkedések jelenthetik, mint a szigorú jelentéstétel ill. fontos információkat tartalmazó számítógépek fizikai védelme, majd azonnal Felmerült az ötlet, hogy teszteljük a javasolt termék tartósságát.
Közvetlenül a szeminárium befejezése után erre tett kísérlet sikertelen volt, a DlService.exe fő szolgáltatás törlése elleni védelem megtörtént, és még a hozzáférési jogokról és az utolsó sikeres konfiguráció kiválasztásáról sem feledkeztek meg, aminek eredményeként a legtöbb vírushoz hasonlóan elpusztították, megtagadva a rendszer hozzáférését az olvasáshoz és a végrehajtáshoz. Nem sikerült.
A termékben valószínűleg szereplő illesztőprogramok védelmével kapcsolatos minden kérdésre a Smart Line fejlesztő képviselője magabiztosan kijelentette, hogy „minden egy szinten van”.
Egy nappal később úgy döntöttem, hogy folytatom a kutatást, és letöltöttem a próbaverziót. Azonnal meglepett a disztribúció mérete, közel 2 GB! Megszoktam, hogy a rendszerszoftverek, amelyeket általában az információbiztonsági eszközök közé (ISIS) sorolnak, általában sokkal kompaktabb méretűek.
Telepítés után másodszor is meglepődtem - a fent említett futtatható fájl mérete is elég nagy - 2MB. Rögtön arra gondoltam, hogy ekkora hangerővel van mit megfogni. Megpróbáltam a modult késleltetett rögzítéssel cserélni - zárva volt. Beleástam a programkatalógusokat, és már 13 driver volt! Ráböktem az engedélyekre - nincsenek zárva a változtatások miatt! Oké, mindenkit kitiltottak, terheljük túl!
A hatás egyszerűen elbűvölő - minden funkció le van tiltva, a szolgáltatás nem indul el. Milyen önvédelem van, vigyen és másoljon, amit akar, akár pendrive-ra, akár hálózaton keresztül. Felmerült a rendszer első komoly hátránya - az alkatrészek összekapcsolása túl erős volt. Igen, a szolgáltatásnak kommunikálnia kell a sofőrökkel, de miért ütközik, ha senki nem reagál? Ennek eredményeként van egy módszer a védelem megkerülésére.
Miután rájöttem, hogy a csodaszolgáltatás olyan kényes és érzékeny, úgy döntöttem, hogy megvizsgálom a külső könyvtáraktól való függőségét. Itt még egyszerűbb, a lista nagy, csak véletlenszerűen töröljük a WinSock_II könyvtárat, és hasonló képet látunk - a szolgáltatás nem indult el, a rendszer nyitva van.
Ebből kifolyólag ugyanaz van, amit az előadó a szemináriumon leírt, egy erős kerítés, de pénzhiány miatt nem zárja be a teljes védett kerületet, a fedetlen területen pedig egyszerűen szúrós csipkebogyó. Ebben az esetben, figyelembe véve a szoftvertermék architektúráját, amely alapértelmezés szerint nem zárt környezetet, hanem sokféle csatlakozót, elfogót, forgalomelemzőt jelent, inkább egy kerítésről van szó, amelyen sok csík fel van csavarva. kívül önmetsző csavarokkal és nagyon könnyen lecsavarható. A legtöbb ilyen megoldással az a probléma, hogy ilyen hatalmas számú potenciális lyuk esetén mindig fennáll annak a lehetősége, hogy elfelejtünk valamit, kihagyunk egy kapcsolatot, vagy az egyik elfogó sikertelen megvalósításával befolyásoljuk a stabilitást. Abból a tényből ítélve, hogy a cikkben bemutatott sebezhetőségek csak a felszínen vannak, a termék sok mást is tartalmaz, amelyek keresése néhány órával tovább tart.
Ráadásul a piac tele van példákkal a leállási védelem kompetens megvalósítására, például hazai vírusirtó termékekre, ahol az önvédelmet nem lehet egyszerűen megkerülni. Amennyire én tudom, nem voltak túl lusták ahhoz, hogy FSTEC minősítést szerezzenek.
A Smart Line munkatársaival folytatott többszöri beszélgetést követően több hasonló helyet találtak, amelyekről még csak nem is hallottak. Az egyik példa az AppInitDll mechanizmus.
Lehet, hogy nem a legmélyebb, de sok esetben lehetővé teszi, hogy ne kerüljön bele az operációs rendszer kernelébe, és ne befolyásolja annak stabilitását. Az nVidia illesztőprogramjai teljes mértékben kihasználják ezt a mechanizmust, hogy beállítsák a videoadaptert egy adott játékhoz.
Kérdéseket vet fel a DL 8.2-re épülő automatizált rendszer építésének integrált megközelítésének teljes hiánya. Javasoljuk, hogy mutassák be a vásárlónak a termék előnyeit, ellenőrizze a meglévő PC-k és szerverek számítási teljesítményét (a kontextuselemzők nagyon erőforrás-igényesek, és a mostanában divatos irodai all-in-one számítógépek és Atom alapú nettopok nem megfelelőek ebben az esetben) és egyszerűen húzza ki a terméket a tetejére. Ugyanakkor a szemináriumon még csak szóba sem kerültek olyan kifejezések, mint a „hozzáférés szabályozása” és a „zárt szoftverkörnyezet”. A titkosításról elhangzott, hogy a bonyolultság mellett kérdéseket is felvet majd a szabályozók részéről, bár a valóságban nincs vele probléma. A tanúsítással kapcsolatos kérdéseket még az FSTEC-nél is félresiklik azok feltételezett összetettsége és hosszadalmassága miatt. Mint információbiztonsági szakember, aki többször is részt vett ilyen eljárásokban, elmondhatom, hogy ezek lefolytatása során számos, az anyagban leírtakhoz hasonló sérülékenységre derül fény, mert a tanúsító laboratóriumok szakemberei komoly szakirányú képzettséggel rendelkeznek.
Ennek eredményeként a bemutatott DLP rendszer nagyon kis számú olyan funkciót képes ellátni, amely ténylegesen biztosítja az információbiztonságot, miközben komoly számítási terhelést generál, és biztonságérzetet kelt a vállalati adatok számára az információbiztonsági kérdésekben járatlan cégvezetésben.
Igazán nagy adatokat csak egy kiváltságtalan felhasználótól tud megvédeni, mert... az adminisztrátor képes teljesen kikapcsolni a védelmet, és a nagy titkokért még egy junior takarításvezető is képes lesz diszkréten lefényképezni a képernyőt, vagy akár megjegyezni a címet vagy a hitelkártyaszámot, ha a képernyőre néz egy kollégája felett. váll.
Ráadásul mindez csak akkor igaz, ha az alkalmazottak nem tudnak fizikailag hozzáférni a PC belsejéhez vagy legalább a BIOS-hoz, hogy aktiválják a külső adathordozóról való indítást. Ekkor nem biztos, hogy a BitLocker sem segít, amelyet aligha használnak olyan cégek, amelyek csak az információk védelmében gondolkodnak.
A következtetés – bármilyen banálisan is hangzik – az információbiztonság integrált megközelítése, amely nem csak szoftveres/hardveres megoldásokat foglal magában, hanem szervezeti és technikai intézkedéseket is a fényképezés/videó készítés kizárására, valamint az illetéktelen „fenomenális memóriájú fiúk” belépésének megakadályozására. az oldal. Soha ne hagyatkozzon a DL 8.2 csodatermékre, amelyet a legtöbb vállalati biztonsági probléma egylépéses megoldásaként hirdetnek.
Forrás: will.com