2017-жылдын октябрында мен DeviceLock DLP тутумунун жарнамалык семинарына катышуу мүмкүнчүлүгүнө ээ болдум, мында USB портторун жабуу, почтанын контексттик анализи жана алмашуу буфери сыяктуу агып кетүүдөн коргоонун негизги функцияларынан тышкары, администратордон коргоо болгон. жарнамаланган. Модель жөнөкөй жана кооз - орнотуучу чакан компанияга келип, программалардын топтомун орнотот, BIOS сырсөзүн орнотот, DeviceLock администраторунун каттоо эсебин түзөт жана Windowsтун өзүн жана калган программалык камсыздоону башкаруу укугун гана жергиликтүү админ. Ниет бар болсо да бул админ эч нерсе уурдай албайт. Бирок мунун баары теория...
Анткени Маалыматтык коопсуздук инструменттерин иштеп чыгуу тармагында 20+ жылдан ашык иштегенимде, мен администратордун баарын жасай ала тургандыгына, айрыкча компьютерге физикалык жетүү менен, андан кийин негизги коргоо бул катуу отчеттуулук сыяктуу уюштуруу чаралары гана боло аларына ынандым. маанилүү маалыматты камтыган компьютерлерди физикалык жактан коргоо, андан кийин дароо эле сунуш кылынган буюмдун туруктуулугун текшерүү идеясы пайда болду.
Попытка сделать сразу по завершении семинара не удалась, в лоб защиту от удаления основной службы DlService.exe сделали и даже про права доступа и выбор последней удачной конфигурации не забыли, в результате чего повалить ее, как большинство вирусов, запретив системе доступ на чтение и выполнение , болбой калды.
Продукцияга кирген айдоочуларды коргоо боюнча бардык суроолорго Smart Line иштеп чыгуучунун өкүлү "баары бирдей деңгээлде" деп ишенимдүү түрдө айтты.
Бир күндөн кийин мен изилдөөмдү улантууну чечтим жана сыноо версиясын жүктөп алдым. Мен бөлүштүрүүнүн көлөмүнө таң калдым, дээрлик 2 ГБ! Мен, адатта, маалыматтык коопсуздук куралдары (ISIS) катары классификацияланган тутумдук программалык камсыздоонун, адатта, бир топ компакттуу көлөмүнө ээ экенине көнүп калдым.
Орнотуудан кийин мен экинчи жолу таң калдым - жогоруда айтылган аткарылуучу файлдын көлөмү да абдан чоң - 2 МБ. Мен дароо эле мындай көлөмдө кармай турган бир нерсе бар деп ойлодум. Мен модулду кечиктирилген жаздыруу менен алмаштырууга аракет кылдым - ал жабылды. Мен программанын каталогдорун казып көрдүм, анда 13 айдоочу бар болчу! Мен уруксаттарды карадым - алар өзгөртүүлөр үчүн жабык эмес! Макул, бардыгына тыюу салынган, ашыкча жүктөйбүз!
Эффект жөн гана сыйкырдуу - бардык функциялар өчүрүлгөн, кызмат башталбайт. Кандай өзүн-өзү коргоо бар, каалаганыңызды алып көчүрүңүз, жада калса флэш-дисктерге да, тармак аркылуу да. Системанын биринчи олуттуу кемчилиги пайда болду - компоненттердин өз ара байланышы өтө күчтүү болгон. Ооба, кызмат айдоочулар менен баарлашуусу керек, бирок эч ким жооп бербесе, эмне үчүн кырсыкка учурайт? Натыйжада, коргоону айланып өтүүнүн бир ыкмасы бар.
Керемет кызматы ушунчалык жумшак жана сезимтал экенин билип, мен анын үчүнчү тараптын китепканаларынан көз карандылыгын текшерүүнү чечтим. Бул жерде дагы жөнөкөй, тизме чоң, биз жөн эле WinSock_II китепканасын кокусунан өчүрөбүз жана окшош сүрөттү көрөбүз - кызмат иштей элек, система ачык.
Натыйжада, бизде спикер семинарда айтып өткөн нерсе, күчтүү тосмо, бирок акчанын жетишсиздигинен бүтүндөй корголгон периметри менен курчалган эмес, ал эми жабылбаган жерде жөн гана тикенек жамбаштар бар. Бул учурда, программалык продуктунун архитектурасын эске алуу менен, ал демейки боюнча жабык чөйрөнү билдирбейт, бирок ар кандай тыгындар, тосмолор, трафик анализаторлору, бул, тескерисинче, көптөгөн тилкелер буралган пикет тосмосу. өзүн-өзү таптап бурамалар менен сырткы жана абдан жеңил бурап. Бул чечимдердин көпчүлүгүнүн көйгөйү, мынчалык көп сандагы потенциалдуу тешиктер менен дайыма бир нерсени унутуп калуу, мамилени өткөрүп жиберүү же тосмолордун бирин ийгиликсиз ишке ашыруу менен туруктуулукка таасир этиши мүмкүн. Бул макалада келтирилген алсыздыктар жөн гана бетинде экенине таянсак, продукт издөө үчүн бир нече саатка созула турган башка көптөгөн нерселерди камтыйт.
Мындан тышкары, рынок өчүрүүдөн коргоону компетенттүү ишке ашыруунун мисалдарына толгон, мисалы, ата мекендик антивирустук продуктулар, өзүн-өзү коргоону жөн эле айланып өтүүгө болбойт. Менин билишимче, алар FSTEC сертификациясынан өтүүгө жалкоо болгон эмес.
Smart Line кызматкерлери менен бир нече жолу сүйлөшүүлөрдү жүргүзгөндөн кийин, алар укпаган бир нече окшош жерлер табылды. Бир мисал AppInitDll механизми болуп саналат.
Бул эң терең эмес болушу мүмкүн, бирок көп учурларда ал OS ядросуна кирбестен жана анын туруктуулугуна таасир этпестен жасоого мүмкүндүк берет. nVidia драйверлери белгилүү бир оюн үчүн видео адаптерди тууралоо үчүн бул механизмди толук колдонушат.
DL 8.2 базасында автоматташтырылган системаны курууга комплекстүү мамиленин толук жоктугу суроолорду жаратат. Кардарга продуктунун артыкчылыктарын сүрөттөп берүү, учурдагы компьютерлердин жана серверлердин эсептөө күчүн текшерүү сунушталат (контексттик анализаторлор ресурстарды көп талап кылат жана азыркы модалуу кеңсенин бардыгы бир-бир компьютерлери жана Atom негизиндеги неттоптор ылайыктуу эмес. бул учурда) жана жөн гана продуктуну үстүнө жайып. Ошол эле учурда семинарда “мүмкүнчүлүктөрдү башкаруу” жана “жабык программалык камсыздоо чөйрөсү” сыяктуу терминдер айтылган эмес. Шифрлөө жөнүндө айтылгандай, татаалдыгынан тышкары, ал жөнгө салуучу органдардын суроолорун жаратат, бирок чындыгында аны менен эч кандай көйгөйлөр жок. Аттестацияга байланыштуу суроолор, атүгүл FSTECте, алардын болжолдуу татаалдыгына жана узактыгына байланыштуу четке кагылган. Мен мындай процедураларга бир нече жолу катышкан маалыматтык коопсуздук боюнча адис катары айта алам, аларды ишке ашыруу процессинде ушул материалда сүрөттөлгөндөй көптөгөн алсыздыктар аныкталат, анткени сертификаттоо лабораторияларынын адистери олуттуу адистештирилген даярдыгы бар.
Натыйжада, сунушталган DLP системасы олуттуу эсептөө жүктөмүн жаратып, маалыматтык коопсуздук маселелеринде тажрыйбасы жок компаниянын жетекчилигинин корпоративдик маалыматтар үчүн коопсуздук сезимин жаратып, иш жүзүндө маалыматтык коопсуздукту камсыз кылуучу функциялардын өтө кичинекей комплексин аткара алат.
Ал чынында эле чоң маалыматтарды артыкчылыксыз колдонуучудан коргой алат, анткени... администратор коргоону толугу менен өчүрүүгө жөндөмдүү, ал эми чоң сырлар үчүн, жада калса кенже тазалоочу менеджер да экранды кылдаттык менен сүрөткө тарта алат, ал тургай кесиптешинин үстүнөн экранды карап дарегин же кредиттик картанын номерин эстей алат. ийин.
Мындан тышкары, мунун баары кызматкерлерге компьютердин ички түзүлүштөрүнө же жок дегенде BIOS'ка тышкы медиадан жүктөөнү активдештирүү мүмкүнчүлүгүнө ээ болуу мүмкүн болбосо гана туура болот. Анда маалыматты коргоону жөн эле ойлоп жаткан компанияларда колдонулушу күмөн болгон BitLocker да жардам бербеши мүмкүн.
Корутунду, канчалык баналдык көрүнбөсүн, бул маалыматтык коопсуздукка комплекстүү мамиле, анын ичинде программалык/аппараттык чечимдерди гана эмес, фото/видео тартууну болтурбоо жана уруксатсыз “феноменалдуу эстутумга ээ балдарды” болтурбоо боюнча уюштуруу-техникалык чараларды да камтыйт. сайт. Сиз эч качан DL 8.2 кереметине ишенбешиңиз керек, ал көпчүлүк ишканалардын коопсуздугунун көйгөйлөрүн бир кадамдык чечүү катары жарнамаланат.
Source: www.habr.com