Í október 2017 gafst mér kostur á að sitja kynningarnámskeið fyrir DeviceLock DLP kerfið, þar sem, auk helstu virkni verndar gegn leka eins og lokun USB-tengja, samhengisgreiningu á pósti og klemmuspjald, var vernd frá stjórnanda auglýst. Líkanið er einfalt og fallegt - uppsetningarforrit kemur til lítils fyrirtækis, setur upp sett af forritum, setur BIOS lykilorð, býr til DeviceLock stjórnandareikning og skilur aðeins réttindin til að stjórna Windows sjálfum og restinni af hugbúnaðinum eftir til staðarins. admin. Jafnvel þótt það sé ásetning, mun þessi stjórnandi ekki geta stolið neinu. En þetta er allt kenning...
Vegna þess að yfir 20+ ára starf á sviði þróunar upplýsingaöryggisverkfæra, ég var greinilega sannfærður um að stjórnandi getur allt, sérstaklega með líkamlegan aðgang að tölvu, þá getur helsta vörnin gegn því aðeins verið skipulagsráðstafanir eins og strangar tilkynningar og líkamleg vernd tölvur sem innihalda mikilvægar upplýsingar, þá kom strax upp sú hugmynd að prófa endingu fyrirhugaðrar vöru.
Tilraun til að gera þetta strax eftir lok málstofunnar tókst ekki; vörn gegn eyðingu aðalþjónustunnar DlService.exe var gerð og þeir gleymdu jafnvel ekki aðgangsréttindum og vali á síðustu heppnuðu uppsetningu, sem leiddi til þess að þeir felldu það, eins og flestir vírusar, neita kerfinu aðgangi til að lesa og keyra , Gekk ekki upp.
Við allar spurningar um vernd ökumanna sem sennilega eru innifalin í vörunni sagði fulltrúi Smart Line þróunaraðila með öryggi að „allt er á sama stigi.“
Degi síðar ákvað ég að halda áfram rannsókninni og hlaðið niður prufuútgáfunni. Ég var strax hissa á stærð dreifingarinnar, næstum 2 GB! Ég er vanur þeirri staðreynd að kerfishugbúnaður, sem venjulega er flokkaður sem upplýsingaöryggisverkfæri (ISIS), er venjulega mun þéttari.
Eftir uppsetningu kom ég á óvart í annað sinn - stærð ofangreinds keyrsluefnis er líka nokkuð stór - 2MB. Ég hugsaði strax að með svona bindi væri eitthvað til að grípa í. Ég reyndi að skipta um eininguna með því að nota seinkaða upptöku - henni var lokað. Ég gróf inn í forritaskrárnar og það voru þegar 13 ökumenn! Ég potaði í heimildirnar - þær eru ekki lokaðar vegna breytinga! Allt í lagi, allir eru bannaðir, við skulum ofhlaða!
Áhrifin eru einfaldlega heillandi - allar aðgerðir eru óvirkar, þjónustan byrjar ekki. Hvers konar sjálfsvörn er til, taktu og afritaðu hvað sem þú vilt, jafnvel á flash-drifum, jafnvel yfir netið. Fyrsti alvarlegi galli kerfisins kom í ljós - samtenging íhlutanna var of sterk. Já, þjónustan ætti að hafa samskipti við ökumenn, en hvers vegna að hrynja ef enginn bregst við? Þar af leiðandi er ein aðferð til að fara framhjá verndinni.
Eftir að hafa komist að því að kraftaverkaþjónustan er svo viðkvæm og viðkvæm ákvað ég að athuga hversu háð hún er á bókasöfnum þriðja aðila. Þetta er enn einfaldara hér, listinn er stór, við eyðum bara WinSock_II bókasafninu af handahófi og sjáum svipaða mynd - þjónustan er ekki ræst, kerfið er opið.
Fyrir vikið erum við með það sama og fyrirlesari lýsti á málþinginu, öfluga girðingu, en ekki umkringja alla friðlýsta jaðarinn vegna fjárskorts, og á afhjúpuðu svæði eru einfaldlega stökkar rósamjaðmir. Í þessu tilviki, að teknu tilliti til arkitektúrs hugbúnaðarvörunnar, sem felur ekki í sér lokað umhverfi sjálfgefið, heldur margs konar innstunga, hlerana, umferðargreiningartæki, er þetta frekar grindverksgirðing, þar sem margar ræmurnar eru skrúfaðar á að utan með sjálfborandi skrúfum og mjög auðvelt að skrúfa af. Vandamálið við flestar af þessum lausnum er að með svo miklum fjölda hugsanlegra gata er alltaf möguleiki á að gleyma einhverju, missa af sambandi eða hafa áhrif á stöðugleika með því að útfæra einn af hlerana án árangurs. Miðað við þá staðreynd að veikleikarnir sem kynntir eru í þessari grein eru einfaldlega á yfirborðinu, þá inniheldur varan marga aðra sem mun taka nokkrar klukkustundir lengur að leita að.
Þar að auki er markaðurinn fullur af dæmum um hæfa framkvæmd lokunarverndar, til dæmis innlendar vírusvarnarvörur, þar sem ekki er einfaldlega hægt að komast framhjá sjálfsvörn. Eftir því sem ég best veit voru þeir ekki of latir til að gangast undir FSTEC vottun.
Eftir nokkur samtöl við starfsmenn Smart Line fundust nokkrir svipaðir staðir sem þeir höfðu ekki einu sinni heyrt um. Eitt dæmi er AppInitDll vélbúnaðurinn.
Það er kannski ekki það dýpsta, en í mörgum tilfellum gerir það þér kleift að gera án þess að komast inn í OS kjarnann og hafa ekki áhrif á stöðugleika hans. nVidia ökumenn nýta sér þetta kerfi til fulls til að stilla myndbandsmillistykkið fyrir ákveðinn leik.
Algjör skortur á samþættri nálgun við að byggja upp sjálfvirkt kerfi byggt á DL 8.2 vekur upp spurningar. Lagt er til að lýsa fyrir viðskiptavinum kostum vörunnar, athuga tölvugetu núverandi tölvur og netþjóna (samhengisgreiningartæki eru mjög auðlindafrekir og allt-í-einn skrifstofutölvur sem nú eru í tísku og Atom-undirstaða nettops henta ekki. í þessu tilviki) og einfaldlega rúllaðu vörunni út ofan á. Á sama tíma voru hugtök eins og „aðgangsstýring“ og „lokað hugbúnaðarumhverfi“ ekki einu sinni nefnd á málþinginu. Sagt var um dulkóðun að auk þess að vera flókið mun það vekja upp spurningar frá eftirlitsaðilum, þó að í raun séu engin vandamál með hana. Spurningum um vottun, jafnvel hjá FSTEC, eru settar til hliðar vegna meintrar flóknar og langsóttar. Sem upplýsingaöryggissérfræðingur sem hefur ítrekað tekið þátt í slíkum aðgerðum get ég sagt að við framkvæmd þeirra koma í ljós margir veikleikar svipaðir þeim sem lýst er í þessu efni, vegna þess að sérfræðingar vottunarstofa hafa alvarlega sérhæfða þjálfun.
Fyrir vikið getur hið kynnta DLP kerfi framkvæmt mjög lítið sett af aðgerðum sem í raun tryggir upplýsingaöryggi, en skapar um leið alvarlegt tölvuálag og skapar öryggistilfinningu fyrir fyrirtækjagögn meðal stjórnenda fyrirtækja sem eru óreyndir í upplýsingaöryggismálum.
Það getur aðeins raunverulega verndað mjög stór gögn frá forréttindalausum notanda, vegna þess að... stjórnandinn er alveg fær um að gera vörnina algjörlega óvirka og fyrir stór leyndarmál getur jafnvel yngri ræstingastjóri tekið mynd af skjánum á næðislegan hátt, eða jafnvel munað heimilisfangið eða kreditkortanúmerið með því að horfa á skjáinn yfir samstarfsmanni sínum. öxl.
Þar að auki, allt þetta er aðeins satt ef það er ómögulegt fyrir starfsmenn að hafa líkamlegan aðgang að innri tölvunni eða að minnsta kosti að BIOS til að virkja ræsingu frá ytri miðlum. Þá gæti jafnvel BitLocker, sem ólíklegt er að sé notað í fyrirtækjum sem eru bara að hugsa um að vernda upplýsingar, ekki hjálpað.
Niðurstaðan, eins banal og hún kann að hljóma, er samþætt nálgun á upplýsingaöryggi, þar með talið ekki aðeins hugbúnaðar-/vélbúnaðarlausnir, heldur einnig skipulagslegar og tæknilegar ráðstafanir til að útiloka mynda-/myndbandstökur og koma í veg fyrir að óviðkomandi „strákar með stórkostlegt minni“ komist inn. síðan. Þú ættir aldrei að treysta á kraftaverkavöruna DL 8.2, sem er auglýst sem eins skrefs lausn á flestum öryggisvandamálum fyrirtækja.
Heimild: www.habr.com