Во октомври 2017 година имав можност да присуствувам на промотивен семинар за системот DeviceLock DLP, каде покрај главната функционалност за заштита од протекување како што се затворање USB порти, контекстуална анализа на пошта и таблата со исечоци, беше и заштита од администраторот се огласуваат. Моделот е едноставен и убав - инсталерот доаѓа во мала компанија, инсталира сет на програми, поставува лозинка за BIOS-от, создава администраторска сметка на DeviceLock и ги остава само правата за управување со самиот Windows и остатокот од софтверот на локалниот админ. Дури и да има намера, овој админ нема да може да украде ништо. Но, сето ова е теорија...
Бидејќи над 20+ години работа на полето на развивање алатки за безбедност на информации, јас бев јасно убеден дека администраторот може да направи се, особено со физички пристап до компјутер, тогаш главната заштита од тоа може да бидат само организациски мерки како што се строго известување и физичка заштита на компјутерите кои содржат важни информации, тогаш веднаш се појави идејата да се тестира издржливоста на предложениот производ.
Обидот да се направи ова веднаш по завршувањето на семинарот беше неуспешен; беше направена заштита од бришење на главната услуга DlService.exe и тие дури не заборавија на правата за пристап и изборот на последната успешна конфигурација, како резултат на што тие го срушија, како и повеќето вируси, негирајќи пристап на системот за читање и извршување, Не успеа.
На сите прашања за заштитата на драјверите кои веројатно се вклучени во производот, претставникот на развивачот на Smart Line самоуверено изјави дека „сè е на исто ниво“.
Еден ден подоцна решив да продолжам со моето истражување и ја преземав пробната верзија. Веднаш бев изненаден од големината на дистрибуцијата, скоро 2 GB! Навикнат сум на фактот дека системскиот софтвер, кој обично се класифицира како алатки за безбедност на информации (ISIS), обично има многу покомпактна големина.
По инсталацијата, по втор пат бев изненаден - големината на горенаведената извршна датотека е исто така доста голема - 2 MB. Веднаш помислив дека со таков волумен има нешто да се дофати. Се обидов да го заменам модулот користејќи одложено снимање - тој беше затворен. Копав во програмските каталози и веќе имаше 13 возачи! Ги пикнав дозволите - не се затворени за промени! Добро, сите се банирани, да преоптоваруваме!
Ефектот е едноставно волшебен - сите функции се оневозможени, услугата не започнува. Каква самоодбрана има, земете и копирајте што сакате, дури и на флеш драјвови, дури и преку мрежа. Се појави првиот сериозен недостаток на системот - меѓусебната поврзаност на компонентите беше премногу силна. Да, сервисот треба да комуницира со возачите, но зошто да падне ако никој не реагира? Како резултат на тоа, постои еден метод за заобиколување на заштитата.
Откако дознав дека услугата за чудо е толку деликатна и чувствителна, решив да ги проверам нејзините зависности од библиотеки од трети страни. Овде е уште поедноставно, списокот е голем, само по случаен избор ја бришеме библиотеката WinSock_II и гледаме слична слика - услугата не е започната, системот е отворен.
Како резултат на тоа, го имаме истото што го опиша говорникот на семинарот, моќна ограда, но не го опфаќа целиот заштитен периметар поради недостаток на пари, а во непокриениот простор има едноставно бодликави шипки. Во овој случај, земајќи ја предвид архитектурата на софтверскиот производ, која стандардно не подразбира затворена средина, туку разновидни приклучоци, пресретнувачи, анализатори на сообраќајот, тоа е попрво ограда, со многу од лентите заштрафени. надворешноста со завртки за самопреслушување и многу лесно се одвртува. Проблемот со повеќето од овие решенија е што со толку огромен број потенцијални дупки, секогаш постои можност да заборавите нешто, да пропуштите врска или да влијаете на стабилноста со неуспешно спроведување на еден од пресретнувачите. Судејќи според фактот дека ранливостите претставени во овој напис се едноставно на површината, производот содржи многу други за кои ќе бидат потребни неколку часа подолго за пребарување.
Покрај тоа, пазарот е полн со примери на компетентна имплементација на заштита од исклучување, на пример, домашни антивирусни производи, каде што самоодбраната не може едноставно да се заобиколи. Колку што знам, тие не беа премногу мрзливи да се подложат на FSTEC сертификација.
По неколку разговори со вработените во Smart Line, пронајдени се неколку слични места за кои не ни слушнале. Еден пример е механизмот AppInitDll.
Можеби не е најдлабок, но во многу случаи ви овозможува да го направите без да влезете во кернелот на ОС и да не влијаете на неговата стабилност. Возачите на nVidia целосно го користат овој механизам за да го приспособат видео адаптерот за одредена игра.
Целосниот недостаток на интегриран пристап за градење на автоматизиран систем базиран на DL 8.2 покренува прашања. Предложено е да му се опишат на купувачот предностите на производот, да се провери компјутерската моќ на постоечките компјутери и сервери (контекст анализаторите бараат многу ресурси и сега модерните канцелариски се-во-едно компјутери и мрежите базирани на Atom не се соодветни во овој случај) и едноставно развлечете го производот одозгора. Во исто време, термините како „контрола на пристап“ и „затворена софтверска околина“ не беа ни спомнати на семинарот. За шифрирањето беше речено дека покрај сложеноста, ќе покрене прашања кај регулаторите, иако во реалноста нема никакви проблеми со тоа. Прашањата за сертификација, дури и во FSTEC, се отфрлени поради нивната наводна сложеност и должина. Како специјалист за информациска безбедност кој повеќепати учествувал во вакви постапки, можам да кажам дека во процесот на нивното спроведување се откриваат многу ранливости слични на оние опишани во овој материјал, бидејќи специјалистите на лабораториите за сертификација имаат сериозна специјализирана обука.
Како резултат на тоа, презентираниот систем DLP може да изврши многу мал сет на функции кои всушност обезбедуваат безбедност на информациите, притоа генерирајќи сериозен компјутерски товар и создавајќи чувство на сигурност за корпоративните податоци кај менаџментот на компанијата кој е неискусен во прашањата за безбедноста на информациите.
Може навистина да заштити навистина големи податоци од непривилегиран корисник, бидејќи ... администраторот е доста способен целосно да ја деактивира заштитата, а за големи тајни, дури и помладиот менаџер за чистење ќе може дискретно да фотографира на екранот, па дури и да ја запомни адресата или бројот на кредитната картичка со гледање на екранот над колегата. рамо.
Покрај тоа, сето ова е точно само ако е невозможно вработените да имаат физички пристап до внатрешноста на компјутерот или барем до BIOS-от за да го активираат подигањето од надворешни медиуми. Тогаш дури и BitLocker, кој веројатно нема да се користи во компании кои само размислуваат за заштита на информации, можеби нема да помогне.
Заклучокот, колку и да звучи банален, е интегриран пристап кон безбедноста на информациите, вклучувајќи не само софтверски/хардверски решенија, туку и организациски и технички мерки за да се исклучи фотографирањето/видео снимањето и да се спречи неовластено влегување „момчиња со феноменална меморија“. страната. Никогаш не треба да се потпирате на чудотворниот производ DL 8.2, кој се рекламира како решение во еден чекор за повеќето безбедносни проблеми на претпријатијата.
Извор: www.habr.com