Pada Oktober 2017, saya berpeluang menghadiri seminar promosi untuk sistem DLP DeviceLock, di mana, sebagai tambahan kepada fungsi utama perlindungan terhadap kebocoran seperti menutup port USB, analisis kontekstual mel dan papan keratan, perlindungan daripada pentadbir adalah diiklankan. Modelnya ringkas dan cantik - pemasang datang ke syarikat kecil, memasang satu set program, menetapkan kata laluan BIOS, mencipta akaun pentadbir DeviceLock dan hanya meninggalkan hak untuk mengurus Windows sendiri dan perisian yang lain kepada tempatan. admin. Kalau ada niat pun admin ni takkan dapat curi apa-apa. Tapi ini semua teori...
Kerana lebih 20+ tahun bekerja dalam bidang membangunkan alat keselamatan maklumat, saya jelas yakin bahawa pentadbir boleh melakukan apa sahaja, terutamanya dengan akses fizikal kepada komputer, maka perlindungan utama terhadapnya hanya boleh menjadi langkah organisasi seperti pelaporan yang ketat dan perlindungan fizikal komputer yang mengandungi maklumat penting, maka dengan serta-merta timbul idea untuk menguji ketahanan produk yang dicadangkan.
Percubaan untuk melakukan ini sejurus selepas tamat seminar tidak berjaya; perlindungan terhadap pemadaman perkhidmatan utama DlService.exe telah dibuat dan mereka juga tidak melupakan hak akses dan pemilihan konfigurasi terakhir yang berjaya, akibatnya mereka menebangnya, seperti kebanyakan virus, menafikan akses sistem untuk membaca dan melaksanakan , Tidak berjaya.
Kepada semua soalan tentang perlindungan pemandu yang mungkin termasuk dalam produk, wakil pembangun Smart Line dengan yakin menyatakan bahawa "semuanya berada pada tahap yang sama."
Sehari kemudian saya memutuskan untuk meneruskan penyelidikan saya dan memuat turun versi percubaan. Saya serta-merta terkejut dengan saiz pengedaran, hampir 2 GB! Saya sudah biasa dengan fakta bahawa perisian sistem, yang biasanya diklasifikasikan sebagai alat keselamatan maklumat (ISIS), biasanya mempunyai saiz yang lebih padat.
Selepas pemasangan, saya terkejut buat kali kedua - saiz boleh laku yang disebutkan di atas juga agak besar - 2MB. Saya dengan serta-merta berfikir bahawa dengan kelantangan sedemikian ada sesuatu untuk dipegang. Saya cuba menggantikan modul menggunakan rakaman tertunda - ia telah ditutup. Saya menyelongkar katalog program, dan sudah ada 13 pemandu! Saya mencucuk pada kebenaran - mereka tidak ditutup untuk perubahan! Okey, semua orang dilarang, mari melebihkan!
Kesannya hanya mempesona - semua fungsi dilumpuhkan, perkhidmatan tidak bermula. Apakah jenis pertahanan diri yang ada, ambil dan salin apa sahaja yang anda mahu, walaupun pada pemacu kilat, walaupun melalui rangkaian. Kelemahan serius pertama sistem muncul - sambungan komponen terlalu kuat. Ya, perkhidmatan itu harus berkomunikasi dengan pemandu, tetapi mengapa kemalangan jika tiada siapa yang bertindak balas? Akibatnya, terdapat satu kaedah untuk memintas perlindungan.
Setelah mengetahui bahawa perkhidmatan keajaiban itu sangat lembut dan sensitif, saya memutuskan untuk menyemak kebergantungannya pada perpustakaan pihak ketiga. Ia lebih mudah di sini, senarainya besar, kami hanya memadamkan perpustakaan WinSock_II secara rawak dan melihat gambar yang serupa - perkhidmatan belum bermula, sistem dibuka.
Akibatnya, kami mempunyai perkara yang sama yang diterangkan oleh penceramah pada seminar itu, pagar yang kuat, tetapi tidak menutup seluruh perimeter yang dilindungi kerana kekurangan wang, dan di kawasan yang tidak bertutup terdapat pinggul mawar yang berduri. Dalam kes ini, dengan mengambil kira seni bina produk perisian, yang tidak membayangkan persekitaran tertutup secara lalai, tetapi pelbagai palam yang berbeza, pemintas, penganalisis trafik, ia adalah agak pagar piket, dengan banyak jalur diskru pada bahagian luar dengan skru mengetuk sendiri dan sangat mudah ditanggalkan. Masalah dengan kebanyakan penyelesaian ini ialah dengan jumlah lubang berpotensi yang begitu besar, sentiasa ada kemungkinan untuk melupakan sesuatu, kehilangan hubungan, atau menjejaskan kestabilan dengan tidak berjaya melaksanakan salah satu pemintas. Berdasarkan fakta bahawa kelemahan yang dibentangkan dalam artikel ini hanya di permukaan, produk itu mengandungi banyak lagi yang akan mengambil masa beberapa jam lagi untuk mencari.
Lebih-lebih lagi, pasaran penuh dengan contoh pelaksanaan perlindungan penutupan yang cekap, contohnya, produk anti-virus domestik, di mana pertahanan diri tidak boleh dipintas begitu sahaja. Setahu saya, mereka tidak terlalu malas untuk menjalani pensijilan FSTEC.
Selepas melakukan beberapa perbualan dengan pekerja Smart Line, beberapa tempat serupa yang mereka tidak pernah dengar pun ditemui. Satu contoh ialah mekanisme AppInitDll.
Ia mungkin bukan yang paling dalam, tetapi dalam banyak kes ia membolehkan anda melakukannya tanpa masuk ke dalam kernel OS dan tidak menjejaskan kestabilannya. Pemacu nVidia menggunakan sepenuhnya mekanisme ini untuk melaraskan penyesuai video untuk permainan tertentu.
Kekurangan lengkap pendekatan bersepadu untuk membina sistem automatik berdasarkan DL 8.2 menimbulkan persoalan. Adalah dicadangkan untuk menerangkan kepada pelanggan kelebihan produk, menyemak kuasa pengkomputeran PC dan pelayan sedia ada (penganalisis konteks sangat intensif sumber dan komputer semua-dalam-satu pejabat yang kini bergaya dan nettop berasaskan Atom tidak sesuai dalam kes ini) dan hanya melancarkan produk di atas. Pada masa yang sama, istilah seperti "kawalan akses" dan "persekitaran perisian tertutup" tidak disebut pada seminar itu. Dikatakan mengenai penyulitan, sebagai tambahan kepada kerumitan, ia akan menimbulkan persoalan daripada pengawal selia, walaupun pada hakikatnya tidak ada masalah dengannya. Soalan mengenai pensijilan, walaupun di FSTEC, diketepikan kerana kerumitan dan kepanjangan yang sepatutnya. Sebagai pakar keselamatan maklumat yang telah berulang kali mengambil bahagian dalam prosedur sedemikian, saya boleh mengatakan bahawa dalam proses melaksanakannya, banyak kelemahan yang serupa dengan yang diterangkan dalam bahan ini didedahkan, kerana pakar makmal pensijilan mempunyai latihan khusus yang serius.
Hasilnya, sistem DLP yang dibentangkan boleh melaksanakan satu set fungsi yang sangat kecil yang benar-benar memastikan keselamatan maklumat, sambil menjana beban pengkomputeran yang serius dan mewujudkan rasa selamat untuk data korporat di kalangan pengurusan syarikat yang tidak berpengalaman dalam hal keselamatan maklumat.
Ia hanya benar-benar boleh melindungi data yang sangat besar daripada pengguna yang tidak mempunyai hak istimewa, kerana... pentadbir cukup mampu untuk menyahaktifkan perlindungan sepenuhnya, dan untuk rahsia besar, walaupun pengurus pembersihan junior akan dapat mengambil gambar skrin secara diam-diam, atau mengingati alamat atau nombor kad kredit dengan melihat skrin di atas rakan sekerja bahu.
Lebih-lebih lagi, semua ini adalah benar hanya jika adalah mustahil untuk pekerja mempunyai akses fizikal ke bahagian dalam PC atau sekurang-kurangnya ke BIOS untuk mengaktifkan but daripada media luaran. Kemudian BitLocker, yang tidak mungkin digunakan dalam syarikat yang hanya memikirkan tentang melindungi maklumat, mungkin tidak membantu.
Kesimpulannya, walaupun mungkin kedengaran, adalah pendekatan bersepadu untuk keselamatan maklumat, termasuk bukan sahaja penyelesaian perisian/perkakasan, tetapi juga langkah-langkah organisasi dan teknikal untuk mengecualikan penangkapan foto/video dan menghalang "budak lelaki dengan ingatan fenomenal" yang tidak dibenarkan daripada masuk. tapak tersebut. Anda tidak boleh bergantung pada produk ajaib DL 8.2, yang diiklankan sebagai penyelesaian satu langkah kepada kebanyakan masalah keselamatan perusahaan.
Sumber: www.habr.com