2017 m. spalio mėn. turėjau galimybę dalyvauti DeviceLock DLP sistemos reklaminiame seminare, kuriame, be pagrindinių apsaugos nuo nutekėjimo funkcijų, tokių kaip USB prievadų uždarymas, kontekstinė pašto ir iškarpinės analizė, buvo skirta apsauga nuo administratoriaus. reklamuojamas. Modelis paprastas ir gražus – į nedidelę įmonę ateina montuotojas, įdiegia aibę programų, nustato BIOS slaptažodį, sukuria DeviceLock administratoriaus paskyrą ir palieka tik teises valdyti pačią Windows ir likusią programinę įrangą vietiniam. admin. Net jei yra tyčia, šis administratorius negalės nieko pavogti. Bet visa tai tik teorija...
Nes per 20+ metų darbo informacijos saugos priemonių kūrimo srityje, buvau aiškiai įsitikinęs, kad administratorius gali viską, ypač turėdamas fizinę prieigą prie kompiuterio, tuomet pagrindinė apsauga nuo to gali būti tik organizacinės priemonės, tokios kaip griežtas ataskaitų teikimas ir fizinė kompiuterių, kuriuose yra svarbi informacija, apsauga, tada iš karto kilo mintis išbandyti siūlomo gaminio patvarumą.
Bandymas tai padaryti iškart pasibaigus seminarui buvo nesėkmingas, buvo apsisaugota nuo pagrindinės paslaugos DlService.exe ištrynimo ir net nepamiršta apie prieigos teises bei paskutinės sėkmingos konfigūracijos pasirinkimą, dėl ko jie jį numušė, kaip ir dauguma virusų, neleisdami sistemai skaityti ir vykdyti, Nepavyko.
Į visus klausimus apie greičiausiai gaminyje esančių tvarkyklių apsaugą Smart Line kūrėjo atstovas užtikrintai teigė, kad „viskas tame pačiame lygyje“.
Po dienos nusprendžiau tęsti tyrimą ir atsisiunčiau bandomąją versiją. Mane iš karto nustebino platinimo dydis, beveik 2 GB! Esu pripratęs, kad sisteminė programinė įranga, kuri dažniausiai priskiriama informacijos saugos priemonėms (ISIS), dažniausiai yra daug kompaktiškesnio dydžio.
Po įdiegimo nustebau antrą kartą – minėto vykdomojo failo dydis taip pat nemažas – 2MB. Iš karto pagalvojau, kad su tokia apimtimi yra už ką griebtis. Bandžiau pakeisti modulį naudodamas atidėtą įrašymą - jis buvo uždarytas. Pasigilinau į programų katalogus, ten jau buvo 13 tvarkyklių! Pažiūrėjau į leidimus – jie nėra uždaryti pokyčiams! Gerai, visi uždrausti, perkraukime!
Efektas tiesiog kerintis – visos funkcijos išjungtos, paslauga nepasileidžia. Kokia čia savigyna, imk ir nukopijuok ką nori, net į „flash drives“, net per tinklą. Išryškėjo pirmasis rimtas sistemos trūkumas – per stiprus komponentų tarpusavio ryšys. Taip, tarnyba turėtų bendrauti su vairuotojais, bet kam trenkti, jei niekas nereaguoja? Dėl to yra vienas apsaugos apėjimo būdas.
Sužinojęs, kad stebuklo paslauga yra tokia subtili ir jautri, nusprendžiau patikrinti jos priklausomybę nuo trečiųjų šalių bibliotekų. Čia dar paprasčiau, sąrašas didelis, tiesiog atsitiktinai ištriname „WinSock_II“ biblioteką ir matome panašų vaizdą - paslauga neprasidėjo, sistema atidaryta.
Dėl to turime tą patį, ką seminare aprašė pranešėja, galinga tvora, bet dėl pinigų stokos neužtverianti viso saugomo perimetro, o neuždengtoje vietoje tiesiog dygliuotos erškėtuogės. Šiuo atveju, atsižvelgiant į programinės įrangos produkto architektūrą, kuri pagal nutylėjimą reiškia ne uždarą aplinką, o daugybę skirtingų kištukų, perimtuvų, eismo analizatorių, tai veikiau yra tvorelė su daugybe juostų prisukta. išorė su savisriegiais varžtais ir labai lengvai atsukama. Daugumos šių sprendimų problema yra ta, kad esant tokiam didžiuliam potencialių spragų skaičiui, visada yra galimybė ką nors pamiršti, praleisti santykius arba paveikti stabilumą nesėkmingai įgyvendinus vieną iš perimtuvų. Sprendžiant iš to, kad šiame straipsnyje pateikiami pažeidžiamumai yra tiesiog paviršiuje, gaminyje yra daug kitų, kurių paieška užtruks porą valandų ilgiau.
Be to, rinkoje gausu pavyzdžių, kaip kompetentingai įgyvendinama apsauga nuo išjungimo, pavyzdžiui, buitiniai antivirusiniai produktai, kur savigynos tiesiog negalima apeiti. Kiek žinau, jie netingėjo gauti FSTEC sertifikatą.
Atlikus keletą pokalbių su „Smart Line“ darbuotojais, buvo aptiktos kelios panašios vietos, apie kurias jie net nebuvo girdėję. Vienas iš pavyzdžių yra AppInitDll mechanizmas.
Jis gali būti ne pats giliausias, bet daugeliu atvejų leidžia apsieiti neįsigilinus į OS branduolį ir nepažeidžiant jo stabilumo. „nVidia“ tvarkyklės visiškai išnaudoja šį mechanizmą, kad pritaikytų vaizdo adapterį konkrečiam žaidimui.
Visiškai trūksta integruoto požiūrio kuriant automatizuotą sistemą, pagrįstą DL 8.2, kelia klausimų. Siūloma klientui apibūdinti gaminio privalumus, patikrinti esamų asmeninių kompiuterių ir serverių skaičiavimo galią (konteksto analizatoriai yra labai daug resursų reikalaujantys ir dabar madingi biuro kompiuteriai „viskas viename“ ir „Atom“ pagrindu veikiantys nettopai netinka šiuo atveju) ir tiesiog iškočiokite gaminį ant viršaus. Tuo pačiu metu tokie terminai kaip „prieigos kontrolė“ ir „uždara programinės įrangos aplinka“ seminare net nebuvo paminėti. Apie šifravimą buvo pasakyta, kad be sudėtingumo jis kels klausimų reguliatoriams, nors iš tikrųjų problemų su juo nėra. Klausimai apie sertifikavimą, net FSTEC, yra atmesti dėl tariamo jų sudėtingumo ir trukmės. Kaip informacijos saugumo specialistas, ne kartą dalyvavęs tokiose procedūrose, galiu pasakyti, kad jas vykdant išryškėja daug pažeidžiamumų, panašių į aprašytus šioje medžiagoje, nes sertifikavimo laboratorijų specialistai turi rimtą specializuotą pasirengimą.
Dėl to pristatoma DLP sistema gali atlikti labai nedidelį funkcijų rinkinį, kuris realiai užtikrina informacijos saugumą, kartu generuodamas rimtą skaičiavimo apkrovą ir sukurdamas saugumo jausmą įmonės duomenims informacijos saugumo reikaluose nepatyrusiems įmonės vadovams.
Jis tikrai gali apsaugoti tikrai didelius duomenis nuo neprivilegijuoto vartotojo, nes... administratorius puikiai sugeba visiškai išjungti apsaugą, o dėl didelių paslapčių net ir jaunesnysis valymo vadovas galės diskretiškai nufotografuoti ekraną ar net prisiminti adresą ar kredito kortelės numerį žiūrėdamas į ekraną virš kolegos. pečių.
Be to, visa tai tiesa tik tuo atveju, jei darbuotojai negali turėti fizinės prieigos prie kompiuterio vidų ar bent jau prie BIOS, kad suaktyvintų paleidimą iš išorinės laikmenos. Tuomet gali nepadėti net „BitLocker“, kuris vargu ar bus naudojamas įmonėse, kurios tik galvoja apie informacijos apsaugą.
Išvada, kad ir kaip banaliai skambėtų, yra integruotas požiūris į informacijos saugumą, apimantis ne tik programinės/aparatinės įrangos sprendimus, bet ir organizacines bei technines priemones, skirtas neleisti fotografuoti/vaizduoti ir neleisti į vidų patekti neteisėtiems „berniukams, turintiems fenomenalią atmintį“. svetainė. Niekada neturėtumėte pasikliauti stebuklingu produktu DL 8.2, kuris reklamuojamas kaip vieno žingsnio sprendimas daugeliui įmonės saugumo problemų.
Šaltinis: www.habr.com