🥇SEARCHINFORM CIB の暗号化アルゴリズムにおける重大なエラーの分析

組織内で流通するすべての情報の管理は、組織の組織文書および管理文書（情報セキュリティポリシーやその他の下位レベルの内部文書）の実践における主要なタスクの XNUMX つです。
情報システムからの機密情報の漏洩を防ぐシステム (DLP) は、この問題のほとんどを解決できます。

現在の市場には、SearchInform DLP、Infowatch Traffic Monitor DLP、Zecurion DLP、Symantec DLP など、十分な種類のシステムが存在します。ただし、今日のこの記事は SearchInform LLC の製品について説明します。

SearchInform Information Security Circuit (CIB Searchinform) は、高度にカスタマイズ可能な本格的なソフトウェアパッケージであり、その機能と広範な分析ツールにより、この分野で他の企業との激しい競争を引き起こします。ただし、他の製品と同様に、CIB Searchinform にも欠点が XNUMX つあります。これについてはこれから説明します。

CIB SEARCHINFORM の暗号化アルゴリズムにおける重大なエラーの分析

図 1 – CIB Searchinform のロゴ

KIB Searchinformでは、情報収集のソースの1つはエージェントです（Windows/LinuxOS 用エージェント WindowsOSに関しては Linux本製品は、必要に応じて有効化または無効化できるモジュール式のデータ収集システムを備えています。ここでは、デバイスモジュール（外部デバイス、ネットワークデバイス、プロセスなどの制御）について見ていきます。本製品のデモ版（フル機能搭載）は、開発元のウェブサイトから公式に入手可能です。以降の操作は、取得したライセンスキー（EndPointControllerバージョン5.51.0.9（エージェントバージョン5.51.0.9））を使用して行います。

このモジュールの動作における主な問題は、外部リムーバブルデバイス上の情報を暗号化するアルゴリズムです。 KIB Searchinform の暗号化アルゴリズムの動作原理を考えてみましょう。

ワークステーションにエージェントをインストールし、「ネットワークネイバーフッド」セクションで外部デバイス (デバイスモジュール) の動作制御を設定します。 EndPointController 5.51.0.9

CIB SEARCHINFORM の暗号化アルゴリズムにおける重大なエラーの分析
図 2 – モジュールの取り付けと電源投入

「暗号化」タブのデバイスモジュールの設定で暗号化を構成します。キーを生成し、すべてのメディアの暗号化を有効にします（特定のメディアのみ暗号化を有効にすることも可能です）。

CIB SEARCHINFORM の暗号化アルゴリズムにおける重大なエラーの分析
図 3 – ホワイトリストの設定

CIB SEARCHINFORM の暗号化アルゴリズムにおける重大なエラーの分析
図 4 – 暗号化構成

それでは、この製品のファイル暗号化アルゴリズムの分析を始めましょう。ファイル「Install.exe」と「Fundamentals of Law.rtf」を管理対象ワークステーション「WINOC」から外部リムーバブルメディア「リムーバブルディスク(E:)」にコピーしてみましょう。図 5 からわかるように、オブジェクト「Install.exe」と「Fundamentals of Law.rtf」が隠しフォルダ「システムボリューム情報」に作成されました。したがって、「システムボリューム情報」フォルダには、リムーバブルメディア上の暗号化されたオブジェクトのリストが含まれていると結論付けることができます。

CIB SEARCHINFORM の暗号化アルゴリズムにおける重大なエラーの分析
図 5 – 「システムボリューム情報」フォルダー

CIB SEARCHINFORM の暗号化アルゴリズムにおける重大なエラーの分析
図 6 – リムーバブルストレージメディアのルートフォルダー

ご存知のとおり、情報セキュリティは完全性、可用性、機密性という XNUMX つの側面に基づいて構築されています。オブジェクトが暗号化されているかどうかに関するシステム情報はオブジェクトヘッダー自体に含まれている必要があるため、この暗号化アプローチを使用すると、これらの側面に違反します。

現在のアルゴリズムの構造では、リムーバブルメディア上の「システムボリューム情報」フォルダ内のオブジェクトが誤って変更/削除され、元の暗号化されたオブジェクトがさらに失われる可能性があります。また、制御されていないステーション上のオブジェクト自体が変更される可能性があります。 (例: エージェントのないコンピュータでネットワークパス「E」を持つ「Install.exe」オブジェクトの名前を変更します。「システムボリューム情報」フォルダ内の KIB Searchinform ソフトウェア製品の情報ファイルは「ネットワークパス「E:System Volume InformationInstall.exe」にある「Install.exe」は、サービス情報を変更するエージェントが存在しないため変更されず、開くことができなくなります。

開発者が KIB Searchinform 製品のリムーバブルストレージメディアの暗号化機能の動作におけるこの欠点に注目し、そのアルゴリズムを変更することを期待します。

出所： habr.com