In oktober 2017 kreeg ik de gelegenheid om een promotieseminarie voor het DeviceLock DLP-systeem bij te wonen, waar, naast de belangrijkste functionaliteit van bescherming tegen lekken zoals het sluiten van USB-poorten, contextuele analyse van e-mail en het klembord, bescherming tegen de beheerder werd geboden. geadverteerd. Het model is eenvoudig en mooi: een installatieprogramma komt naar een klein bedrijf, installeert een reeks programma's, stelt een BIOS-wachtwoord in, maakt een DeviceLock-beheerdersaccount aan en laat alleen de rechten om Windows zelf en de rest van de software te beheren over aan de lokale beheerder. Zelfs als er sprake is van opzet, kan deze beheerder niets stelen. Maar dit is allemaal theorie...
Omdat Na meer dan 20 jaar werk op het gebied van het ontwikkelen van informatiebeveiligingstools was ik er duidelijk van overtuigd dat een beheerder alles kan doen, vooral met fysieke toegang tot een computer. De belangrijkste bescherming hiertegen kan alleen bestaan uit organisatorische maatregelen, zoals strikte rapportage en fysieke bescherming van computers die belangrijke informatie bevatten, dan ontstond meteen het idee om de duurzaamheid van het voorgestelde product te testen.
Een poging om dit onmiddellijk na het einde van het seminar te doen was niet succesvol; er werd bescherming tegen het verwijderen van de hoofdservice DlService.exe gemaakt en ze vergaten zelfs de toegangsrechten en de selectie van de laatste succesvolle configuratie niet, waardoor ze hebben het, zoals de meeste virussen, geveld en het systeem de toegang ontzegd om te lezen en uit te voeren. Het is niet gelukt.
Op alle vragen over de bescherming van de stuurprogramma’s die waarschijnlijk in het product zitten, verklaarde de vertegenwoordiger van de Smart Line-ontwikkelaar vol vertrouwen dat “alles op hetzelfde niveau ligt.”
Een dag later besloot ik mijn onderzoek voort te zetten en de proefversie te downloaden. Ik was meteen verrast door de omvang van de distributie, bijna 2 GB! Ik ben eraan gewend dat systeemsoftware, die meestal wordt geclassificeerd als informatiebeveiligingstools (ISIS), meestal een veel compacter formaat heeft.
Na de installatie was ik voor de tweede keer verrast - de grootte van het bovengenoemde uitvoerbare bestand is ook behoorlijk groot: 2 MB. Ik dacht meteen dat er met zo'n volume iets was om aan vast te houden. Ik heb geprobeerd de module te vervangen met behulp van vertraagde opname - deze was gesloten. Ik verdiepte me in de programmacatalogi en er waren al 13 stuurprogramma's! Ik porde in de machtigingen - ze zijn niet gesloten voor wijzigingen! Oké, iedereen is verbannen, laten we overbelasten!
Het effect is eenvoudigweg betoverend: alle functies zijn uitgeschakeld, de service start niet. Wat voor soort zelfverdediging is er, neem en kopieer wat je maar wilt, zelfs op flashdrives, zelfs via het netwerk. Het eerste ernstige nadeel van het systeem kwam naar voren: de onderlinge verbinding van de componenten was te sterk. Ja, de dienst moet communiceren met de chauffeurs, maar waarom crashen als niemand reageert? Als gevolg hiervan is er één methode om de beveiliging te omzeilen.
Toen ik erachter kwam dat de wonderservice zo delicaat en gevoelig is, besloot ik de afhankelijkheid van bibliotheken van derden te controleren. Hier is het nog eenvoudiger, de lijst is groot, we wissen gewoon willekeurig de WinSock_II-bibliotheek en zien een soortgelijk beeld: de service is niet gestart, het systeem is open.
Het resultaat is dat we hetzelfde hebben dat de spreker op het seminar beschreef: een krachtig hek, maar dat niet de hele beschermde perimeter omsluit vanwege geldgebrek, en in het onbedekte gebied zijn er gewoon stekelige rozenbottels. In dit geval, rekening houdend met de architectuur van het softwareproduct, die niet standaard een gesloten omgeving impliceert, maar een verscheidenheid aan verschillende pluggen, interceptors en verkeersanalysatoren, is het eerder een houten hekwerk, met veel van de strips vastgeschroefd de buitenkant met zelftappende schroeven en zeer eenvoudig los te draaien. Het probleem met de meeste van deze oplossingen is dat er met zo'n groot aantal potentiële gaten altijd de mogelijkheid bestaat om iets te vergeten, een relatie te missen of de stabiliteit te beïnvloeden door een van de interceptors zonder succes te implementeren. Afgaande op het feit dat de kwetsbaarheden die in dit artikel worden gepresenteerd slechts oppervlakkig zijn, bevat het product nog vele andere kwetsbaarheden waar het zoeken naar een paar uur langer zal duren.
Bovendien is de markt vol met voorbeelden van competente implementatie van shutdown-bescherming, bijvoorbeeld binnenlandse antivirusproducten, waarbij zelfverdediging niet zomaar kan worden omzeild. Voor zover ik weet waren ze niet te lui om de FSTEC-certificering te ondergaan.
Na meerdere gesprekken te hebben gevoerd met medewerkers van Smart Line zijn er meerdere vergelijkbare plekken gevonden waar ze nog niet eens van hadden gehoord. Een voorbeeld is het AppInitDll-mechanisme.
Het is misschien niet de diepste, maar in veel gevallen kun je het doen zonder in de OS-kernel te komen en de stabiliteit ervan niet te beïnvloeden. nVidia-stuurprogramma's maken volledig gebruik van dit mechanisme om de videoadapter aan te passen voor een specifiek spel.
Het totale gebrek aan een geïntegreerde aanpak voor het bouwen van een geautomatiseerd systeem op basis van DL 8.2 roept vragen op. Er wordt voorgesteld om de voordelen van het product aan de klant te beschrijven, de rekenkracht van bestaande pc's en servers te controleren (contextanalysers zijn zeer arbeidsintensief en de nu modieuze all-in-one kantoorcomputers en op Atom gebaseerde nettops zijn niet geschikt in dit geval) en rol het product er eenvoudig overheen. Tegelijkertijd werden termen als ‘toegangscontrole’ en ‘gesloten softwareomgeving’ op het seminar niet eens genoemd. Over encryptie werd gezegd dat het, naast de complexiteit, vragen zal oproepen bij toezichthouders, hoewel er in werkelijkheid geen problemen mee zijn. Vragen over certificering worden, zelfs bij FSTEC, terzijde geschoven vanwege hun veronderstelde complexiteit en langdurigheid. Als informatiebeveiligingsspecialist die herhaaldelijk aan dergelijke procedures heeft deelgenomen, kan ik zeggen dat tijdens het uitvoeren ervan veel kwetsbaarheden aan het licht komen die vergelijkbaar zijn met die beschreven in dit materiaal, omdat specialisten van certificeringslaboratoria hebben een serieuze gespecialiseerde opleiding genoten.
Als gevolg hiervan kan het gepresenteerde DLP-systeem een zeer klein aantal functies uitvoeren die feitelijk de informatiebeveiliging garanderen, terwijl het een serieuze computerbelasting genereert en een gevoel van veiligheid voor bedrijfsgegevens creëert bij het bedrijfsmanagement dat onervaren is op het gebied van informatiebeveiliging.
Het kan alleen echt grote gegevens beschermen tegen een gebruiker zonder privileges, omdat... de beheerder is heel goed in staat de beveiliging volledig uit te schakelen, en voor grote geheimen kan zelfs een junior schoonmaakmanager discreet een foto van het scherm maken, of zelfs het adres of creditcardnummer onthouden door over het scherm van een collega heen naar het scherm te kijken schouder.
Bovendien is dit allemaal alleen waar als het voor werknemers onmogelijk is om fysieke toegang te hebben tot de binnenkant van de pc of op zijn minst tot het BIOS om het opstarten vanaf externe media te activeren. Dan helpt zelfs BitLocker, dat waarschijnlijk niet zal worden gebruikt in bedrijven die alleen maar aan het beschermen van informatie denken, misschien niet.
De conclusie, hoe banaal het ook mag klinken, is een geïntegreerde benadering van informatiebeveiliging, die niet alleen software-/hardwareoplossingen omvat, maar ook organisatorische en technische maatregelen om foto- en video-opnamen uit te sluiten en te voorkomen dat ongeautoriseerde ‘jongens met een fenomenaal geheugen’ binnenkomen. de site. U moet nooit vertrouwen op het wonderproduct DL 8.2, dat wordt geadverteerd als een oplossing in één stap voor de meeste beveiligingsproblemen van ondernemingen.
Bron: www.habr.com