2017 թվականի հոկտեմբերին ես հնարավորություն ունեցա մասնակցելու DeviceLock DLP համակարգի գովազդային սեմինարին, որտեղ, ի լրումն արտահոսքի դեմ պաշտպանության հիմնական գործառույթների, ինչպիսիք են USB պորտերի փակումը, փոստի և սեղմատախտակի համատեքստային վերլուծությունը, պաշտպանություն էր ադմինիստրատորից: գովազդված. Մոդելը պարզ և գեղեցիկ է. տեղադրողը գալիս է փոքր ընկերություն, տեղադրում է մի շարք ծրագրեր, սահմանում BIOS-ի գաղտնաբառ, ստեղծում DeviceLock ադմինիստրատորի հաշիվ և թողնում է միայն Windows-ի և մնացած ծրագրաշարի կառավարման իրավունքները տեղականին: ադմին. Եթե նույնիսկ դիտավորություն լինի, այս ադմինը չի կարողանա որևէ բան գողանալ։ Բայց այս ամենը տեսություն է...
Որովհետեւ Ավելի քան 20 տարի աշխատելով տեղեկատվական անվտանգության գործիքների մշակման ոլորտում, ես հստակ համոզված էի, որ ադմինիստրատորը կարող է անել ամեն ինչ, հատկապես համակարգչի ֆիզիկական հասանելիությամբ, ապա դրա դեմ հիմնական պաշտպանությունը կարող է լինել միայն կազմակերպչական միջոցառումներ, ինչպիսիք են խիստ հաշվետվությունները և Կարևոր տեղեկատվություն պարունակող համակարգիչների ֆիզիկական պաշտպանություն, այնուհետև անմիջապես Գաղափար առաջացավ փորձարկել առաջարկվող արտադրանքի ամրությունը:
Դա անելու փորձը սեմինարի ավարտից անմիջապես հետո անհաջող էր, պաշտպանություն արվեց DlService.exe հիմնական ծառայության ջնջումից, և նրանք նույնիսկ չմոռացան մուտքի իրավունքի և վերջին հաջող կազմաձևի ընտրության մասին, ինչի արդյունքում նրանք կտրեցին այն, ինչպես վիրուսների մեծ մասը՝ մերժելով համակարգին կարդալու և գործարկելու հասանելիությունը, չստացվեց:
Արտադրանքի մեջ, հավանաբար, ներառված վարորդների պաշտպանության վերաբերյալ բոլոր հարցերին Smart Line ծրագրավորողի ներկայացուցիչը վստահորեն նշել է, որ «ամեն ինչ նույն մակարդակի վրա է»։
Մեկ օր անց որոշեցի շարունակել հետազոտությունս և ներբեռնեցի փորձնական տարբերակը։ Ինձ անմիջապես զարմացրեց բաշխման չափը, գրեթե 2 ԳԲ: Ես սովոր եմ այն փաստին, որ համակարգի ծրագրակազմը, որը սովորաբար դասակարգվում է որպես տեղեկատվական անվտանգության գործիքներ (ISIS), սովորաբար ունի շատ ավելի կոմպակտ չափսեր:
Տեղադրվելուց հետո երկրորդ անգամ զարմացա՝ վերը նշված գործարկվողի չափը նույնպես բավականին մեծ է՝ 2ՄԲ։ Ես անմիջապես մտածեցի, որ նման ծավալով ինչ-որ բան կա բռնելու: Ես փորձեցի փոխարինել մոդուլը, օգտագործելով հետաձգված ձայնագրությունը, այն փակ էր: Ես փորփրեցի ծրագրի կատալոգները, և արդեն 13 վարորդ կար: Ես խփեցի թույլտվություններին. դրանք փակված չեն փոփոխությունների համար: Լավ, բոլորին արգելված է, եկեք ծանրաբեռնենք:
Էֆեկտը պարզապես դյութիչ է. բոլոր գործառույթներն անջատված են, ծառայությունը չի սկսվում: Ինչ ինքնապաշտպանություն կա, ինչ ուզում ես վերցրու ու պատճենիր, նույնիսկ ֆլեշ կրիչներով, նույնիսկ ցանցով։ Առաջացավ համակարգի առաջին լուրջ թերությունը՝ բաղադրիչների փոխկապակցումը չափազանց ուժեղ էր։ Այո, ծառայությունը պետք է շփվի վարորդների հետ, բայց ինչո՞ւ վթարի ենթարկվել, եթե ոչ ոք չի արձագանքում։ Արդյունքում կա պաշտպանությունը շրջանցելու մեկ մեթոդ.
Պարզելով, որ հրաշք ծառայությունն այնքան նուրբ և զգայուն է, ես որոշեցի ստուգել դրա կախվածությունը երրորդ կողմի գրադարաններից: Այստեղ նույնիսկ ավելի պարզ է, ցուցակը մեծ է, մենք պարզապես պատահականորեն ջնջում ենք WinSock_II գրադարանը և տեսնում ենք նմանատիպ պատկեր. ծառայությունը չի սկսվել, համակարգը բաց է:
Արդյունքում ունենք նույն բանը, ինչ սեմինարում նկարագրեց բանախոսը, հզոր պարիսպ, բայց փողի բացակայության պատճառով չփակելով ողջ պահպանվող պարագիծը, իսկ չծածկված հատվածում ուղղակի փշոտ մասուր են։ Այս դեպքում, հաշվի առնելով ծրագրային արտադրանքի ճարտարապետությունը, որը ենթադրում է ոչ թե լռելյայն փակ միջավայր, այլ մի շարք տարբեր խրոցակներ, ընդհատիչներ, երթևեկության անալիզատորներ, դա ավելի շուտ պիկետ ցանկապատ է, որի վրա շատ ժապավեններ պտուտակված են: դրսը՝ ինքնակպչուն պտուտակներով և շատ հեշտ պտտվող։ Այս լուծումներից շատերի խնդիրն այն է, որ նման հսկայական թվով պոտենցիալ անցքերի դեպքում միշտ կա ինչ-որ բան մոռանալու, փոխհարաբերությունները բաց թողնելու կամ կայունության վրա ազդելու հավանականությունը՝ անհաջող գործադրելով կալանիչներից մեկը: Դատելով այն փաստից, որ այս հոդվածում ներկայացված խոցելիությունները պարզապես մակերեսին են, ապրանքը պարունակում է շատ ուրիշներ, որոնց որոնումը մի քանի ժամ ավելի երկար կպահանջի:
Ավելին, շուկան լի է անջատման պաշտպանության գրագետ իրականացման օրինակներով, օրինակ՝ հայրենական հակավիրուսային արտադրանքներով, որտեղ ինքնապաշտպանությունը պարզապես չի կարելի շրջանցել։ Որքան գիտեմ, նրանք այնքան էլ ծույլ չէին FSTEC սերտիֆիկացում անցնելու համար:
Smart Line-ի աշխատակիցների հետ մի քանի զրույց վարելուց հետո հայտնաբերվել են նմանատիպ մի քանի վայրեր, որոնց մասին նրանք նույնիսկ չէին էլ լսել։ Օրինակներից մեկը AppInitDll մեխանիզմն է:
Գուցե դա ամենախորը չէ, բայց շատ դեպքերում դա թույլ է տալիս անել առանց ՕՀ-ի միջուկ մտնելու և դրա կայունության վրա չազդելու: nVidia-ի վարորդները լիովին օգտագործում են այս մեխանիզմը՝ որոշակի խաղի համար վիդեո ադապտերը հարմարեցնելու համար:
DL 8.2-ի վրա հիմնված ավտոմատացված համակարգի կառուցման ինտեգրված մոտեցման իսպառ բացակայությունը հարցեր է առաջացնում: Առաջարկվում է հաճախորդին նկարագրել արտադրանքի առավելությունները, ստուգել առկա ԱՀ-ների և սերվերների հաշվողական հզորությունը (համատեքստային անալիզատորները շատ ռեսուրսներ են պահանջում, և այժմ նորաձև գրասենյակային բոլորը մեկում համակարգիչները և Atom-ի վրա հիմնված ցանցերը հարմար չեն: այս դեպքում) և պարզապես գլորում ենք արտադրանքը վերևում: Միևնույն ժամանակ, սեմինարում նույնիսկ չնշվեցին «մուտքի վերահսկում» և «փակ ծրագրային միջավայր» տերմինները։ Գաղտնագրման մասին ասվում էր, որ այն, բացի բարդությունից, հարցեր կառաջացնի կարգավորիչների մոտ, թեև իրականում դրա հետ կապված խնդիրներ չկան։ Հավաստագրման վերաբերյալ հարցերը, նույնիսկ FSTEC-ում, մի կողմ են թողնում դրանց ենթադրյալ բարդության և երկարության պատճառով: Որպես տեղեկատվական անվտանգության մասնագետ, որը բազմիցս մասնակցել է նման ընթացակարգերի, կարող եմ ասել, որ դրանց իրականացման ընթացքում բացահայտվում են այս նյութում նկարագրվածի նման բազմաթիվ խոցելիություններ, քանի որ. Սերտիֆիկացման լաբորատորիաների մասնագետներն ունեն լուրջ մասնագիտացված վերապատրաստում։
Արդյունքում ներկայացված DLP համակարգը կարող է կատարել շատ փոքր գործառույթներ, որոնք իրականում ապահովում են տեղեկատվական անվտանգությունը՝ միաժամանակ առաջացնելով հաշվողական լուրջ բեռ և ստեղծելով կորպորատիվ տվյալների անվտանգության զգացում տեղեկատվական անվտանգության հարցերում անփորձ ընկերության ղեկավարության շրջանում:
Այն կարող է իսկապես պաշտպանել իսկապես մեծ տվյալները ոչ արտոնյալ օգտվողից, քանի որ... ադմինիստրատորը լիովին ի վիճակի է ամբողջությամբ անջատել պաշտպանությունը, և մեծ գաղտնիքների համար նույնիսկ կրտսեր մաքրման մենեջերը կկարողանա զուսպ լուսանկարել էկրանը կամ նույնիսկ հիշել հասցեն կամ վարկային քարտի համարը՝ նայելով էկրանին գործընկերոջ վրա։ ուս.
Ավելին, այս ամենը ճշմարիտ է միայն այն դեպքում, երբ աշխատակիցների համար անհնար է ֆիզիկական մուտք ունենալ ԱՀ-ի ներսի կամ գոնե BIOS-ի՝ արտաքին մեդիայի բեռնումը ակտիվացնելու համար: Հետո նույնիսկ BitLocker-ը, որը դժվար թե օգտագործվի ընկերություններում, որոնք պարզապես մտածում են տեղեկատվության պաշտպանության մասին, կարող է չօգնել:
Եզրակացությունը, որքան էլ տարօրինակ հնչի, տեղեկատվական անվտանգության ինտեգրված մոտեցում է, որը ներառում է ոչ միայն ծրագրային/ապարատային լուծումներ, այլ նաև կազմակերպչական և տեխնիկական միջոցներ՝ բացառելու ֆոտո/վիդեո նկարահանումները և կանխելու չարտոնված «ֆենոմենալ հիշողությամբ տղաների» մուտքը։ կայքը. Դուք երբեք չպետք է ապավինեք DL 8.2 հրաշք արտադրանքին, որը գովազդվում է որպես ձեռնարկության անվտանգության խնդիրների մեծ մասի մեկ քայլ լուծում:
Source: www.habr.com