Pada bulan Oktober 2017, saya berkesempatan menghadiri seminar promosi untuk sistem DLP DeviceLock, di mana, selain fungsi utama perlindungan terhadap kebocoran seperti menutup port USB, analisis kontekstual email dan clipboard, perlindungan dari administrator juga disediakan. diiklankan. Modelnya sederhana dan indah - penginstal datang ke perusahaan kecil, menginstal serangkaian program, menetapkan kata sandi BIOS, membuat akun administrator DeviceLock, dan hanya memberikan hak untuk mengelola Windows itu sendiri dan perangkat lunak lainnya ke lokal. admin. Kalaupun ada niat, admin ini tidak akan bisa mencuri apa pun. Tapi ini semua hanya teori...
Karena selama lebih dari 20 tahun bekerja di bidang pengembangan alat keamanan informasi, saya sangat yakin bahwa seorang administrator dapat melakukan apa saja, terutama dengan akses fisik ke komputer, maka perlindungan utama terhadapnya hanya dapat berupa tindakan organisasi seperti pelaporan yang ketat dan perlindungan fisik komputer yang berisi informasi penting, maka segera muncul ide untuk menguji ketahanan produk yang diusulkan.
Upaya untuk melakukan ini segera setelah seminar berakhir tidak berhasil; perlindungan terhadap penghapusan layanan utama DlService.exe telah dibuat dan mereka bahkan tidak melupakan hak akses dan pemilihan konfigurasi terakhir yang berhasil, sebagai akibatnya mereka menebangnya, seperti kebanyakan virus, menolak akses sistem untuk membaca dan mengeksekusi, Tidak berhasil.
Untuk semua pertanyaan tentang perlindungan driver yang mungkin disertakan dalam produk, perwakilan pengembang Smart Line dengan percaya diri menyatakan bahwa βsemuanya berada pada level yang sama.β
Sehari kemudian saya memutuskan untuk melanjutkan penelitian dan mengunduh versi uji coba. Saya langsung kaget dengan ukuran distribusinya, hampir 2 GB! Saya sudah terbiasa dengan kenyataan bahwa perangkat lunak sistem yang biasanya tergolong alat keamanan informasi (ISIS) biasanya memiliki ukuran yang jauh lebih kompak.
Setelah instalasi, saya terkejut untuk kedua kalinya - ukuran executable yang disebutkan di atas juga cukup besar - 2MB. Saya langsung berpikir bahwa dengan volume sebesar itu ada sesuatu yang bisa diambil. Saya mencoba mengganti modul menggunakan rekaman tertunda - ternyata ditutup. Saya menggali katalog program, dan sudah ada 13 driver! Saya menyodok izinnya - izin tersebut tidak ditutup untuk perubahan! Oke, semuanya dilarang, ayo kelebihan beban!
Efeknya sungguh mempesona - semua fungsi dinonaktifkan, layanan tidak dimulai. Pertahanan diri macam apa yang ada, ambil dan salin apa pun yang Anda inginkan, bahkan di flash drive, bahkan melalui jaringan. Kelemahan serius pertama dari sistem ini muncul - interkoneksi komponen terlalu kuat. Ya, layanan harus berkomunikasi dengan pengemudi, tetapi mengapa macet jika tidak ada yang merespons? Akibatnya, ada satu metode untuk melewati perlindungan.
Setelah mengetahui bahwa layanan keajaiban sangat lembut dan sensitif, saya memutuskan untuk memeriksa ketergantungannya pada perpustakaan pihak ketiga. Di sini lebih sederhana lagi, daftarnya banyak, kami hanya menghapus perpustakaan WinSock_II secara acak dan melihat gambar serupa - layanan belum dimulai, sistem terbuka.
Hasilnya, kita mendapatkan hal yang sama seperti yang dijelaskan oleh pembicara di seminar, sebuah pagar yang kuat, tetapi tidak menutupi seluruh perimeter yang dilindungi karena kekurangan uang, dan di area yang tidak tertutup hanya terdapat tanaman mawar yang berduri. Dalam hal ini, dengan mempertimbangkan arsitektur produk perangkat lunak, yang secara default tidak menyiratkan lingkungan tertutup, tetapi berbagai colokan, pencegat, penganalisis lalu lintas yang berbeda, ini lebih merupakan pagar kayu, dengan banyak strip yang disekrup. bagian luar dengan sekrup sadap sendiri dan sangat mudah dibuka. Masalah dengan sebagian besar solusi ini adalah dengan banyaknya potensi lubang, selalu ada kemungkinan melupakan sesuatu, kehilangan hubungan, atau mempengaruhi stabilitas dengan tidak berhasil menerapkan salah satu pencegat. Dilihat dari fakta bahwa kerentanan yang disajikan dalam artikel ini hanya muncul di permukaan, produk ini mengandung banyak kerentanan lain yang memerlukan waktu beberapa jam lebih lama untuk mencarinya.
Selain itu, pasar penuh dengan contoh penerapan perlindungan shutdown yang kompeten, misalnya produk anti-virus dalam negeri, di mana pertahanan diri tidak dapat diabaikan begitu saja. Setahu saya mereka tidak terlalu malas untuk menjalani sertifikasi FSTEC.
Setelah melakukan beberapa kali perbincangan dengan karyawan Smart Line, ditemukan beberapa tempat serupa yang bahkan belum pernah mereka dengar. Salah satu contohnya adalah mekanisme AppInitDll.
Ini mungkin bukan yang terdalam, tetapi dalam banyak kasus ini memungkinkan Anda melakukannya tanpa masuk ke kernel OS dan tidak mempengaruhi stabilitasnya. Driver nVidia memanfaatkan sepenuhnya mekanisme ini untuk menyesuaikan adaptor video untuk game tertentu.
Kurangnya pendekatan terpadu untuk membangun sistem otomatis berdasarkan DL 8.2 menimbulkan pertanyaan. Diusulkan untuk menjelaskan kepada pelanggan keunggulan produk, memeriksa kekuatan komputasi PC dan server yang ada (penganalisis konteks sangat intensif sumber daya dan komputer kantor all-in-one yang sekarang modis dan nettop berbasis Atom tidak cocok dalam hal ini) dan cukup luncurkan produk di atasnya. Pada saat yang sama, istilah seperti βkontrol aksesβ dan βlingkungan perangkat lunak tertutupβ bahkan tidak disebutkan dalam seminar tersebut. Soal enkripsi dikatakan selain rumit, akan menimbulkan pertanyaan dari regulator, meski pada kenyataannya tidak ada masalah. Pertanyaan mengenai sertifikasi, bahkan di FSTEC, diabaikan karena dianggap rumit dan panjang. Sebagai seorang spesialis keamanan informasi yang telah berulang kali mengambil bagian dalam prosedur tersebut, saya dapat mengatakan bahwa dalam proses pelaksanaannya, banyak kerentanan yang serupa dengan yang dijelaskan dalam materi ini terungkap, karena spesialis laboratorium sertifikasi memiliki pelatihan khusus yang serius.
Hasilnya, sistem DLP yang disajikan dapat menjalankan serangkaian fungsi yang sangat kecil yang benar-benar menjamin keamanan informasi, sekaligus menimbulkan beban komputasi yang serius dan menciptakan rasa aman bagi data perusahaan di antara manajemen perusahaan yang tidak berpengalaman dalam masalah keamanan informasi.
Itu hanya dapat melindungi data yang sangat besar dari pengguna yang tidak memiliki hak istimewa, karena... administrator cukup mampu menonaktifkan perlindungan sepenuhnya, dan untuk rahasia besar, bahkan manajer kebersihan junior akan dapat diam-diam mengambil foto layar, atau bahkan mengingat alamat atau nomor kartu kredit dengan melihat layar melalui layar rekan kerja. bahu.
Selain itu, semua ini hanya berlaku jika karyawan tidak mungkin memiliki akses fisik ke bagian dalam PC atau setidaknya ke BIOS untuk mengaktifkan booting dari media eksternal. Bahkan BitLocker, yang kemungkinan tidak akan digunakan di perusahaan yang hanya memikirkan perlindungan informasi, mungkin tidak membantu.
Kesimpulannya, meskipun terdengar dangkal, adalah pendekatan terpadu terhadap keamanan informasi, yang mencakup tidak hanya solusi perangkat lunak/perangkat keras, namun juga langkah-langkah organisasi dan teknis untuk mengecualikan pengambilan foto/video dan mencegah masuknya βanak laki-laki dengan ingatan fenomenalβ yang tidak sah. situs tersebut. Anda tidak boleh bergantung pada produk ajaib DL 8.2, yang diiklankan sebagai solusi satu langkah untuk sebagian besar masalah keamanan perusahaan.
Sumber: www.habr.com