I oktober 2017 hadde jeg muligheten til å delta på et kampanjeseminar for DeviceLock DLP-systemet, der, i tillegg til hovedfunksjonaliteten for beskyttelse mot lekkasjer som lukking av USB-porter, kontekstuell analyse av post og utklippstavlen, beskyttelse fra administrator var annonsert. Modellen er enkel og vakker - en installatør kommer til et lite selskap, installerer et sett med programmer, setter et BIOS-passord, oppretter en DeviceLock-administratorkonto og overlater bare rettighetene til å administrere selve Windows og resten av programvaren til den lokale admin. Selv om det er hensikter, vil ikke denne administratoren kunne stjele noe. Men alt dette er teori...
Fordi over 20+ års arbeid innen utvikling av informasjonssikkerhetsverktøy, var jeg tydelig overbevist om at en administrator kan gjøre hva som helst, spesielt med fysisk tilgang til en datamaskin, da kan hovedbeskyttelsen mot det kun være organisatoriske tiltak som streng rapportering og fysisk beskyttelse av datamaskiner som inneholder viktig informasjon, og umiddelbart oppsto ideen om å teste holdbarheten til det foreslåtte produktet.
Et forsøk på å gjøre dette umiddelbart etter slutten av seminaret var mislykket; beskyttelse mot sletting av hovedtjenesten DlService.exe ble gjort, og de glemte til og med ikke tilgangsrettigheter og valget av den siste vellykkede konfigurasjonen, som et resultat av dette de felte den, som de fleste virus, og nektet systemet tilgang til å lese og kjøre , fungerte ikke.
På alle spørsmål om beskyttelsen av sjåførene som sannsynligvis er inkludert i produktet, uttalte representanten for Smart Line-utvikleren selvsikkert at "alt er på samme nivå."
En dag senere bestemte jeg meg for å fortsette min forskning og lastet ned prøveversjonen. Jeg ble umiddelbart overrasket over størrelsen på distribusjonen, nesten 2 GB! Jeg er vant til at systemprogramvare, som vanligvis er klassifisert som informasjonssikkerhetsverktøy (ISIS), vanligvis har en mye mer kompakt størrelse.
Etter installasjonen ble jeg overrasket for andre gang - størrelsen på den ovennevnte kjørbare filen er også ganske stor - 2MB. Jeg tenkte umiddelbart at med et slikt volum var det noe å ta tak i. Jeg prøvde å erstatte modulen ved å bruke forsinket opptak - den ble lukket. Jeg gravde i programkatalogene, og det var allerede 13 sjåfører! Jeg pirket i tillatelsene - de er ikke stengt for endringer! Ok, alle er utestengt, la oss overbelaste!
Effekten er rett og slett fortryllende - alle funksjoner er deaktivert, tjenesten starter ikke. Hva slags selvforsvar er det, ta og kopier hva du vil, selv på flash-stasjoner, til og med over nettverket. Den første alvorlige ulempen med systemet dukket opp - sammenkoblingen av komponentene var for sterk. Ja, tjenesten skal kommunisere med sjåførene, men hvorfor krasje hvis ingen svarer? Som et resultat er det én metode for å omgå beskyttelsen.
Etter å ha funnet ut at mirakeltjenesten er så skånsom og følsom, bestemte jeg meg for å sjekke avhengighetene til tredjepartsbiblioteker. Det er enda enklere her, listen er stor, vi sletter bare WinSock_II-biblioteket tilfeldig og ser et lignende bilde - tjenesten har ikke startet, systemet er åpent.
Som et resultat har vi det samme som foredragsholderen beskrev på seminaret, et kraftig gjerde, men som ikke omslutter hele den beskyttede omkretsen på grunn av pengemangel, og i det avdekkede området er det rett og slett stikkende nyper. I dette tilfellet, med tanke på arkitekturen til programvareproduktet, som ikke innebærer et lukket miljø som standard, men en rekke forskjellige plugger, interceptorer, trafikkanalysatorer, er det snarere et stakittgjerde, med mange av stripene skrudd på utsiden med selvskruende skruer og veldig lett å skru av. Problemet med de fleste av disse løsningene er at med et så stort antall potensielle hull, er det alltid muligheten for å glemme noe, gå glipp av et forhold eller påvirke stabiliteten ved å mislykkes med å implementere en av interceptorene. Å dømme etter det faktum at sårbarhetene som presenteres i denne artikkelen ganske enkelt er på overflaten, inneholder produktet mange andre som vil ta et par timer lenger å søke etter.
Dessuten er markedet fullt av eksempler på kompetent implementering av nedstengningsbeskyttelse, for eksempel innenlandske antivirusprodukter, der selvforsvar ikke bare kan omgås. Så vidt jeg vet var de ikke for late til å gjennomgå FSTEC-sertifisering.
Etter å ha gjennomført flere samtaler med Smart Line-ansatte ble det funnet flere lignende steder som de ikke engang hadde hørt om. Et eksempel er AppInitDll-mekanismen.
Det er kanskje ikke det dypeste, men i mange tilfeller lar det deg gjøre uten å komme inn i OS-kjernen og ikke påvirke stabiliteten. nVidia-drivere utnytter denne mekanismen til fulle for å justere videoadapteren for et spesifikt spill.
Den fullstendige mangelen på en integrert tilnærming til å bygge et automatisert system basert på DL 8.2 reiser spørsmål. Det foreslås å beskrive for kunden fordelene med produktet, sjekke datakraften til eksisterende PC-er og servere (kontekstanalysatorer er svært ressurskrevende, og de nå fasjonable alt-i-ett-maskinen på kontoret og Atom-baserte nettops er ikke egnet i dette tilfellet) og bare rull ut produktet på toppen. Samtidig ble begreper som «tilgangskontroll» og «lukket programvaremiljø» ikke en gang nevnt på seminaret. Det ble sagt om kryptering at det i tillegg til kompleksitet vil reise spørsmål fra regulatorer, selv om det i realiteten ikke er noen problemer med det. Spørsmål om sertifisering, selv hos FSTEC, blir børstet til side på grunn av deres antatte kompleksitet og lengde. Som en informasjonssikkerhetsspesialist som gjentatte ganger har deltatt i slike prosedyrer, kan jeg si at i prosessen med å utføre dem avsløres mange sårbarheter som ligner de som er beskrevet i dette materialet, fordi spesialister av sertifiseringslaboratorier har seriøs spesialisert opplæring.
Som et resultat kan det presenterte DLP-systemet utføre et svært lite sett med funksjoner som faktisk sikrer informasjonssikkerhet, samtidig som det genererer en alvorlig databelastning og skaper en følelse av sikkerhet for bedriftsdata blant bedriftsledelsen som er uerfaren i informasjonssikkerhetsspørsmål.
Det kan bare virkelig beskytte virkelig store data fra en uprivilegert bruker, fordi... administratoren er ganske i stand til å deaktivere beskyttelsen fullstendig, og for store hemmeligheter vil selv en junior rengjøringssjef diskret kunne ta et bilde av skjermen, eller til og med huske adressen eller kredittkortnummeret ved å se på skjermen over en kollegas skulder.
Dessuten er alt dette sant bare hvis det er umulig for ansatte å ha fysisk tilgang til innsiden av PC-en eller i det minste til BIOS for å aktivere oppstart fra eksterne medier. Da hjelper kanskje ikke selv BitLocker, som neppe blir brukt i selskaper som bare tenker på å beskytte informasjon.
Konklusjonen, så banal som den kan høres ut, er en integrert tilnærming til informasjonssikkerhet, inkludert ikke bare programvare-/maskinvareløsninger, men også organisatoriske og tekniske tiltak for å utelukke foto-/videoopptak og forhindre at uautoriserte "gutter med et fenomenalt minne" kommer inn. siden. Du bør aldri stole på mirakelproduktet DL 8.2, som annonseres som en ett-trinnsløsning på de fleste sikkerhetsproblemer for bedrifter.
Kilde: www.habr.com