Kontrola wszelkich informacji krążących w organizacji jest jednym z głównych zadań w praktycznej realizacji dokumentów organizacyjnych i administracyjnych (polityki bezpieczeństwa informacji i innych dokumentów wewnętrznych niższych szczebli) organizacji.
Systemy zapobiegające wyciekom poufnych informacji z systemu informatycznego (Data Leak Prevention, DLP) w większości są w stanie rozwiązać ten problem.
Na współczesnym rynku istnieje wystarczająca liczba odmian tych systemów, na przykład: SearchInform DLP, Infowatch Traffic Monitor DLP, Zecurion DLP, Symantec DLP i inne. Ale dzisiaj ten artykuł będzie dotyczył produktu SearchInform LLC.
SearchInform Information Security Circuit (CIB Searchinform) to poważny i wysoce konfigurowalny pakiet oprogramowania, który swoją funkcjonalnością i rozbudowanymi narzędziami analitycznymi stwarza poważną konkurencję dla innych firm w tej branży. Jednak jak wszystkie produkty, CIB Searchinform ma jedną wadę, o której teraz porozmawiamy.
Rysunek 1 – Logo CIB Searchinform
W KIB Searchinform jednym ze źródeł gromadzenia informacji jest agent (Windows/Linux). Agent dla systemu operacyjnego Windows, jeśli chodzi o system operacyjny Linuxposiada modułowy system gromadzenia danych, który można włączać i wyłączać w razie potrzeby. Przyjrzymy się modułowi urządzeń (kontrola urządzeń zewnętrznych, sieciowych, procesów itp.). Wersja demonstracyjna tego produktu (z pełną funkcjonalnością) jest oficjalnie dostępna na stronie internetowej dewelopera. Dalsze czynności zostaną wykonane przy użyciu uzyskanego klucza licencyjnego — EndPointController w wersji 5.51.0.9 (wersja agenta 5.51.0.9).
Głównym problemem w działaniu tego modułu jest algorytm szyfrowania informacji na zewnętrznych urządzeniach przenośnych. Rozważmy zasadę działania algorytmu szyfrowania w KIB Searchinform.
Instalujemy agenta na stacji roboczej i ustawiamy kontrolę pracy urządzeń zewnętrznych (moduł Device) w sekcji „Otoczenie sieciowe” EndPointController 5.51.0.9
Rysunek 2 – Instalacja i włączenie modułu
Szyfrowanie konfigurujemy w ustawieniach modułu Urządzenie w zakładce „Szyfrowanie”: generujemy klucz i włączamy szyfrowanie dla wszystkich mediów (istnieje możliwość włączenia szyfrowania tylko dla niektórych mediów).
Rysunek 3 – Konfigurowanie białej listy
Rysunek 4 – Konfiguracja szyfrowania
Zacznijmy teraz analizować algorytm szyfrowania plików dla tego produktu. Skopiujmy pliki „Install.exe” i „Podstawy Law.rtf” z kontrolowanej stacji roboczej „WINOC” na zewnętrzny nośnik wymienny „Dysk wymienny (E:)”. Jak widać na rysunku 5, obiekty „Install.exe” i „Podstawy Law.rtf” zostały utworzone w ukrytym folderze „System Volume Information”. Możemy zatem stwierdzić, że folder „Informacje o woluminie systemowym” zawiera listę zaszyfrowanych obiektów na nośnikach wymiennych.
Rysunek 5 – Folder „Informacje o woluminie systemowym”.
Rysunek 6 – Folder główny wymiennego nośnika pamięci
Jak wiadomo, bezpieczeństwo informacji opiera się na trzech aspektach: integralności, dostępności i poufności. Aspekty te są naruszane przy użyciu tej metody szyfrowania, ponieważ informacja systemowa o tym, czy obiekt jest zaszyfrowany, czy nie, musi znajdować się w samym nagłówku obiektu.
Przy obecnej konstrukcji algorytmu możliwe są opcje przypadkowej modyfikacji/usunięcia obiektów w folderze „Informacje o woluminie systemowym” na nośnikach wymiennych z dalszą utratą oryginalnie zaszyfrowanych obiektów, a także modyfikacja samych obiektów na stacjach niekontrolowanych (na przykład: zmiana nazwy obiektu „Install.exe” na ścieżkę sieciową „E”:Install.exe” na komputerze bez agenta, podczas gdy plik informacyjny oprogramowania KIB Searchinform znajduje się w folderze „Informacje o woluminie systemowym” „ Install.exe” w ścieżce sieciowej „E:System Volume InformationInstall.exe” pozostaje niezmieniony, ponieważ nie ma agenta zmieniającego informacje o usłudze, a otwarcie tego pliku staje się niemożliwe).
Miejmy nadzieję, że twórca dostrzeże tę mankament w działaniu funkcji szyfrowania wymiennych nośników danych w produkcie KIB Searchinform i zmieni jego algorytm.
Źródło: www.habr.com
