W październiku 2017 roku miałem okazję uczestniczyć w seminarium promocyjnym systemu DeviceLock DLP, gdzie oprócz głównej funkcjonalności ochrony przed wyciekami jak zamykanie portów USB, analiza kontekstowa poczty i schowka, zastosowano zabezpieczenie przed administratorem reklamowane. Model jest prosty i piękny - instalator przychodzi do małej firmy, instaluje zestaw programów, ustawia hasło BIOS, tworzy konto administratora DeviceLock i pozostawia lokalnemu administratorowi jedynie prawa do zarządzania samym systemem Windows i resztą oprogramowania Admin. Nawet jeśli istnieje zamiar, ten administrator nie będzie mógł niczego ukraść. Ale to wszystko teoria...
Ponieważ przez ponad 20 lat pracy w obszarze rozwoju narzędzi bezpieczeństwa informacji byłem wyraźnie przekonany, że administrator może zrobić wszystko, szczególnie z fizycznym dostępem do komputera, wówczas główną ochroną przed tym mogą być jedynie działania organizacyjne takie jak ścisłe raportowanie i fizyczne zabezpieczenie komputerów zawierających ważne informacje, to od razu zrodził się pomysł sprawdzenia wytrzymałości proponowanego produktu.
Próba zrobienia tego zaraz po zakończeniu seminarium nie powiodła się, wprowadzono zabezpieczenie przed usunięciem usługi głównej DlService.exe i nie zapomniano nawet o prawach dostępu i wyborze ostatniej udanej konfiguracji, w wyniku czego powalili go, jak większość wirusów, odmawiając systemowi dostępu do odczytu i wykonania, nie wyszło.
Na wszystkie pytania dotyczące ochrony sterowników, które prawdopodobnie znalazły się w produkcie, przedstawiciel dewelopera Smart Line z przekonaniem stwierdził, że „wszystko jest na tym samym poziomie”.
Dzień później zdecydowałem się kontynuować badania i pobrałem wersję próbną. Od razu zaskoczył mnie rozmiar dystrybucji, prawie 2 GB! Przyzwyczaiłem się, że oprogramowanie systemowe, które zwykle zalicza się do narzędzi bezpieczeństwa informacji (ISIS), ma zwykle znacznie mniejsze rozmiary.
Po instalacji zdziwiłem się po raz drugi - rozmiar wspomnianego pliku wykonywalnego również jest dość duży - 2MB. Od razu pomyślałam, że przy takiej objętości jest się czego chwycić. Próbowałem wymienić moduł korzystając z opóźnionego nagrywania - był zamknięty. Pogrzebałem w katalogach programów i było już 13 sterowników! Szperałem w uprawnieniach - nie są one zamknięte na zmiany! Dobra, wszyscy są zbanowani, przeciążajmy się!
Efekt jest po prostu powalający – wszystkie funkcje wyłączone, usługa nie uruchamia się. Jaki jest rodzaj samoobrony, bierz i kopiuj, co chcesz, nawet na dyskach flash, nawet przez sieć. Pojawiła się pierwsza poważna wada systemu – wzajemne połączenie komponentów było zbyt mocne. Tak, usługa powinna komunikować się ze sterownikami, ale po co zawieszać się, jeśli nikt nie reaguje? W rezultacie istnieje jeden sposób na ominięcie zabezpieczenia.
Dowiedziawszy się, że cudowna usługa jest tak delikatna i wrażliwa, postanowiłem sprawdzić jej zależności od zewnętrznych bibliotek. Tutaj jest jeszcze prościej, lista jest duża, po prostu usuwamy losowo bibliotekę WinSock_II i widzimy podobny obraz - usługa nie została uruchomiona, system jest otwarty.
W rezultacie mamy to samo, co prelegent opisał na seminarium, potężny płot, ale nie zamykający całego chronionego obwodu z powodu braku pieniędzy, a na odsłoniętym obszarze znajdują się po prostu kłujące owoce róży. W tym przypadku, biorąc pod uwagę architekturę oprogramowania, która domyślnie nie zakłada zamkniętego środowiska, ale szereg różnych wtyczek, przechwytywaczy, analizatorów ruchu, jest to raczej płot, w którym wiele listew jest przykręconych na zewnątrz za pomocą wkrętów samogwintujących i bardzo łatwo je odkręcić. Problem z większością tych rozwiązań polega na tym, że przy tak dużej liczbie potencjalnych dziur zawsze istnieje możliwość zapomnienia o czymś, pominięcia związku lub zakłócenia stabilności poprzez nieudane wdrożenie jednego z przechwytywaczy. Sądząc po tym, że luki przedstawione w tym artykule są po prostu pozorne, produkt zawiera wiele innych, których wyszukiwanie zajmie kilka godzin dłużej.
Co więcej, rynek jest pełen przykładów kompetentnego wdrożenia ochrony przed wyłączeniem, na przykład domowe produkty antywirusowe, w przypadku których nie można po prostu ominąć samoobrony. O ile wiem, nie byli zbyt leniwi, aby przejść certyfikację FSTEC.
Po przeprowadzeniu kilku rozmów z pracownikami Smart Line odnaleziono kilka podobnych miejsc, o których nawet nie słyszeli. Jednym z przykładów jest mechanizm AppInitDll.
Może nie jest to najgłębsze, ale w wielu przypadkach pozwala obejść się bez wchodzenia do jądra systemu operacyjnego i nie wpływając na jego stabilność. Sterowniki nVidia w pełni wykorzystują ten mechanizm, aby dostosować kartę wideo do konkretnej gry.
Całkowity brak zintegrowanego podejścia do budowy zautomatyzowanego systemu w oparciu o DL 8.2 rodzi pytania. Proponuje się opisanie klientowi zalet produktu, sprawdzenie mocy obliczeniowej istniejących komputerów PC i serwerów (analizatory kontekstu wymagają bardzo dużych zasobów i modne obecnie biurowe komputery typu all-in-one i nettopy oparte na Atomach nie nadają się do w tym przypadku) i po prostu rozwałkuj produkt na wierzchu. Jednocześnie na seminarium w ogóle nie wspomniano o terminach takich jak „kontrola dostępu” i „zamknięte środowisko oprogramowania”. Mówiono o szyfrowaniu, że oprócz złożoności będzie budzić pytania organów regulacyjnych, chociaż w rzeczywistości nie ma z nim problemów. Pytania dotyczące certyfikacji, nawet w FSTEC, są ignorowane ze względu na ich rzekomą złożoność i długość. Jako specjalista ds. bezpieczeństwa informacji, który wielokrotnie brał udział w tego typu procedurach, mogę powiedzieć, że w trakcie ich przeprowadzania ujawnia się wiele podatności podobnych do opisanych w tym materiale, ponieważ specjaliści laboratoriów certyfikujących przeszli poważne specjalistyczne przeszkolenie.
W rezultacie zaprezentowany system DLP może realizować bardzo mały zestaw funkcji faktycznie zapewniających bezpieczeństwo informacji, generując jednocześnie poważne obciążenie obliczeniowe i tworząc poczucie bezpieczeństwa danych korporacyjnych wśród niedoświadczonej w kwestiach bezpieczeństwa informacji kadry kierowniczej firmy.
Może naprawdę chronić naprawdę duże dane przed nieuprzywilejowanym użytkownikiem, ponieważ... administrator jest w stanie całkiem wyłączyć ochronę, a w przypadku dużych tajemnic nawet młodszy kierownik sprzątania będzie w stanie dyskretnie zrobić zdjęcie ekranu, a nawet zapamiętać adres lub numer karty kredytowej, patrząc na ekran nad kolegą ramię.
Co więcej, wszystko to jest prawdą tylko wtedy, gdy pracownicy nie mają fizycznego dostępu do wnętrza komputera lub przynajmniej do BIOS-u w celu aktywacji uruchamiania z nośników zewnętrznych. Wtedy nawet funkcja BitLocker, który raczej nie będzie stosowany w firmach, które dopiero myślą o ochronie informacji, może nie pomóc.
Wniosek, choć może to zabrzmieć banalnie, to zintegrowane podejście do bezpieczeństwa informacji, obejmujące nie tylko rozwiązania programowe/sprzętowe, ale także środki organizacyjne i techniczne mające na celu wykluczenie robienia zdjęć/filmów i uniemożliwienie przedostania się nieupoważnionych „chłopców z fenomenalną pamięcią” Strona. Nigdy nie należy polegać na cudownym produkcie DL 8.2, który jest reklamowany jako jednoetapowe rozwiązanie większości problemów związanych z bezpieczeństwem w przedsiębiorstwie.
Źródło: www.habr.com