Em outubro de 2017, tive a oportunidade de participar de um seminário promocional do sistema DeviceLock DLP, onde além das principais funcionalidades de proteção contra vazamentos como fechamento de portas USB, análise contextual de mail e da área de transferência, a proteção do administrador foi anunciado. O modelo é simples e bonito - um instalador chega a uma pequena empresa, instala um conjunto de programas, define uma senha do BIOS, cria uma conta de administrador do DeviceLock e deixa apenas os direitos de gerenciamento do próprio Windows e do restante do software para o local administrador. Mesmo que haja intenção, este administrador não poderá roubar nada. Mas isso é tudo teoria...
Porque mais de 20 anos de trabalho na área de desenvolvimento de ferramentas de segurança da informação, estava claramente convencido de que um administrador pode fazer qualquer coisa, especialmente com acesso físico a um computador, então a principal proteção contra isso só pode ser medidas organizacionais, como relatórios rigorosos e proteção física de computadores contendo informações importantes, surgiu imediatamente a ideia de testar a durabilidade do produto proposto.
Uma tentativa de fazê-lo imediatamente após o término do seminário não teve sucesso; foi feita proteção contra exclusão do serviço principal DlService.exe e eles ainda não se esqueceram dos direitos de acesso e da seleção da última configuração bem-sucedida, pelo que eles o derrubaram, como a maioria dos vírus, negando ao sistema acesso para leitura e execução. Não deu certo.
A todas as dúvidas sobre a proteção dos drivers provavelmente incluídos no produto, o representante do desenvolvedor da Smart Line afirmou com segurança que “tudo está no mesmo nível”.
Um dia depois decidi continuar minha pesquisa e baixei a versão de teste. Fiquei imediatamente surpreso com o tamanho da distribuição, quase 2 GB! Estou acostumado com o fato de que o software de sistema, que geralmente é classificado como ferramenta de segurança da informação (ISIS), costuma ter um tamanho muito mais compacto.
Após a instalação, fiquei surpreso pela segunda vez - o tamanho do executável mencionado acima também é bastante grande - 2 MB. Imediatamente pensei que com tanto volume havia algo em que me agarrar. Tentei substituir o módulo usando gravação atrasada - ele estava fechado. Pesquisei nos catálogos de programas e já havia 13 drivers! Eu cutuquei as permissões - elas não estão fechadas para alterações! Ok, todos estão banidos, vamos sobrecarregar!
O efeito é simplesmente encantador - todas as funções estão desativadas, o serviço não inicia. Que tipo de autodefesa existe, pegue e copie o que quiser, até em pen drives, até pela rede. Surgiu a primeira desvantagem séria do sistema - a interconexão dos componentes era muito forte. Sim, o serviço deve se comunicar com os motoristas, mas por que travar se ninguém responde? Como resultado, existe um método para contornar a proteção.
Ao descobrir que o serviço milagroso é tão delicado e sensível, resolvi verificar suas dependências de bibliotecas de terceiros. É ainda mais simples aqui, a lista é grande, apenas apagamos aleatoriamente a biblioteca WinSock_II e vemos uma imagem semelhante - o serviço não foi iniciado, o sistema está aberto.
Como resultado, temos o mesmo que o palestrante descreveu no seminário, uma cerca poderosa, mas não fechando todo o perímetro protegido por falta de dinheiro, e na área descoberta há simplesmente roseiras espinhosas. Neste caso, tendo em conta a arquitectura do produto de software, que não implica um ambiente fechado por defeito, mas sim uma variedade de diferentes fichas, interceptores, analisadores de tráfego, trata-se antes de uma cerca de estacas, com muitas das tiras aparafusadas o exterior com parafusos auto-roscantes e muito fáceis de desparafusar. O problema com a maioria dessas soluções é que com um número tão grande de possíveis falhas, há sempre a possibilidade de esquecer algo, perder um relacionamento ou afetar a estabilidade ao implementar sem sucesso um dos interceptadores. A julgar pelo fato de que as vulnerabilidades apresentadas neste artigo são simplesmente superficiais, o produto contém muitas outras que levarão mais algumas horas para serem pesquisadas.
Além disso, o mercado está repleto de exemplos de implementação competente de proteção contra desligamento, por exemplo, produtos antivírus nacionais, onde a autodefesa não pode simplesmente ser contornada. Pelo que eu sei, eles não tiveram preguiça de passar pela certificação FSTEC.
Depois de realizar diversas conversas com funcionários da Smart Line, foram encontrados vários locais semelhantes dos quais eles nem tinham ouvido falar. Um exemplo é o mecanismo AppInitDll.
Pode não ser o mais profundo, mas em muitos casos permite que você faça isso sem entrar no kernel do sistema operacional e sem afetar sua estabilidade. Os drivers da nVidia fazem uso total desse mecanismo para ajustar o adaptador de vídeo para um jogo específico.
A completa falta de uma abordagem integrada para a construção de um sistema automatizado baseado em DL 8.2 levanta questões. Propõe-se descrever ao cliente as vantagens do produto, verificar o poder de computação dos PCs e servidores existentes (os analisadores de contexto consomem muitos recursos e os agora modernos computadores multifuncionais de escritório e nettops baseados em Atom não são adequados neste caso) e simplesmente estenda o produto por cima. Ao mesmo tempo, termos como “controle de acesso” e “ambiente de software fechado” nem sequer foram mencionados no seminário. Foi dito sobre a criptografia que, além da complexidade, levantará dúvidas dos reguladores, embora na realidade não haja problemas com ela. Questões sobre certificação, mesmo no FSTEC, são deixadas de lado devido à sua suposta complexidade e morosidade. Como especialista em segurança da informação que já participou repetidamente de tais procedimentos, posso afirmar que no processo de realizá-los são reveladas muitas vulnerabilidades semelhantes às descritas neste material, pois especialistas de laboratórios de certificação possuem treinamento especializado sério.
Como resultado, o sistema DLP apresentado pode executar um conjunto muito pequeno de funções que realmente garantem a segurança da informação, ao mesmo tempo que gera uma grande carga computacional e cria uma sensação de segurança para os dados corporativos entre a gestão da empresa inexperiente em questões de segurança da informação.
Ele só pode realmente proteger big data de um usuário sem privilégios, porque... o administrador é perfeitamente capaz de desativar completamente a proteção e, para grandes segredos, até mesmo um gerente de limpeza júnior poderá tirar discretamente uma foto da tela ou até mesmo lembrar o endereço ou número do cartão de crédito olhando para a tela por cima da tela de um colega ombro.
Além disso, tudo isso só é verdade se for impossível para os funcionários terem acesso físico ao interior do PC ou pelo menos ao BIOS para ativar a inicialização a partir de mídia externa. Então, mesmo o BitLocker, que dificilmente será usado em empresas que estão apenas pensando em proteger informações, pode não ajudar.
A conclusão, por mais banal que possa parecer, é uma abordagem integrada à segurança da informação, incluindo não apenas soluções de software/hardware, mas também medidas organizacionais e técnicas para excluir a gravação de fotos/vídeos e impedir a entrada não autorizada de “meninos com uma memória fenomenal”. o site. Você nunca deve confiar no produto milagroso DL 8.2, que é anunciado como uma solução passo a passo para a maioria dos problemas de segurança empresarial.
Fonte: habr.com