În octombrie 2017, am avut ocazia să particip la un seminar promoțional pentru sistemul DeviceLock DLP, unde, pe lângă funcționalitatea principală de protecție împotriva scurgerilor precum închiderea porturilor USB, analiza contextuală a e-mailului și a clipboard-ului, a fost protejată de administrator. reclamă. Modelul este simplu și frumos - un program de instalare vine la o companie mică, instalează un set de programe, setează o parolă BIOS, creează un cont de administrator DeviceLock și lasă doar drepturile de a gestiona Windows însuși și restul software-ului local. admin. Chiar dacă există intenție, acest administrator nu va putea fura nimic. Dar asta e doar teorie...
Deoarece peste 20+ ani de muncă în domeniul dezvoltării instrumentelor de securitate a informațiilor, am fost clar convins că un administrator poate face orice, mai ales cu acces fizic la un computer, atunci principala protecție împotriva acestuia nu pot fi decât măsuri organizaționale precum raportarea strictă și protecția fizică a computerelor care conțin informații importante, apoi imediat A apărut ideea de a testa durabilitatea produsului propus.
O încercare de a face acest lucru imediat după încheierea seminarului a eșuat; s-a făcut protecție împotriva ștergerii serviciului principal DlService.exe și chiar nu au uitat de drepturile de acces și de selectarea ultimei configurații reușite, drept urmare l-au doborât, ca majoritatea virușilor, interzicând accesul sistemului pentru a citi și a executa , Nu a funcționat.
La toate întrebările despre protecția șoferilor probabil incluse în produs, reprezentantul dezvoltatorului Smart Line a declarat cu încredere că „totul este la același nivel”.
O zi mai târziu am decis să-mi continui cercetările și am descărcat versiunea de încercare. Am fost imediat surprins de dimensiunea distribuției, aproape 2 GB! Sunt obișnuit cu faptul că software-ul de sistem, care este de obicei clasificat ca instrumente de securitate a informațiilor (ISIS), are de obicei o dimensiune mult mai compactă.
După instalare, am fost surprins pentru a doua oară - dimensiunea executabilului menționat mai sus este, de asemenea, destul de mare - 2MB. Imediat m-am gândit că cu un astfel de volum există ceva de care să mă apuc. Am încercat să înlocuiesc modulul folosind înregistrarea întârziată - a fost închis. Am săpat în cataloagele de programe și erau deja 13 drivere! Am dat peste permisiuni - nu sunt închise pentru modificări! Bine, toată lumea este interzisă, să supraîncărcăm!
Efectul este pur și simplu încântător - toate funcțiile sunt dezactivate, serviciul nu pornește. Ce fel de autoapărare există, luați și copiați orice doriți, chiar și pe unități flash, chiar și prin rețea. A apărut primul dezavantaj serios al sistemului - interconectarea componentelor a fost prea puternică. Da, serviciul ar trebui să comunice cu șoferii, dar de ce să se blocheze dacă nimeni nu răspunde? Ca rezultat, există o metodă de a ocoli protecția.
Aflând că serviciul miracol este atât de delicat și sensibil, am decis să verific dependențele sale de biblioteci terțe. Este și mai simplu aici, lista este mare, doar ștergem biblioteca WinSock_II la întâmplare și vedem o imagine similară - serviciul nu a pornit, sistemul este deschis.
Ca urmare, avem același lucru pe care l-a descris vorbitorul la seminar, un gard puternic, dar care nu împrejmuiește întreg perimetrul protejat din lipsă de bani, iar în zona neacoperită sunt pur și simplu măceșe înțepătoare. În acest caz, ținând cont de arhitectura produsului software, care nu implică implicit un mediu închis, ci o varietate de prize diferite, interceptoare, analizoare de trafic, este mai degrabă un gard de pichete, cu multe dintre benzi înșurubate. exteriorul cu șuruburi autofiletante și foarte ușor de deșurubat. Problema majorității acestor soluții este că, cu un număr atât de mare de potențiale găuri, există întotdeauna posibilitatea de a uita ceva, a pierde o relație sau a afecta stabilitatea prin implementarea fără succes a unuia dintre interceptori. Judecând după faptul că vulnerabilitățile prezentate în acest articol sunt pur și simplu la suprafață, produsul conține multe altele care vor dura câteva ore mai mult pentru a le căuta.
Mai mult, piața este plină de exemple de implementare competentă a protecției la oprire, de exemplu, produse antivirus autohtone, unde autoapărarea nu poate fi pur și simplu ocolită. Din câte știu eu, nu au fost prea leneși să se supună certificării FSTEC.
După ce au purtat mai multe conversații cu angajații Smart Line, au fost găsite mai multe locuri similare despre care nici măcar nu auziseră. Un exemplu este mecanismul AppInitDll.
Poate că nu este cel mai profund, dar în multe cazuri vă permite să faceți fără a intra în nucleul sistemului de operare și să nu îi afectați stabilitatea. Driverele nVidia folosesc pe deplin acest mecanism pentru a regla adaptorul video pentru un anumit joc.
Lipsa completă a unei abordări integrate pentru construirea unui sistem automatizat bazat pe DL 8.2 ridică întrebări. Se propune să se descrie clientului avantajele produsului, să se verifice puterea de calcul a computerelor și serverelor existente (analizoarele de context consumă foarte mult resurse, iar computerele de birou all-in-one la modă și netop-urile bazate pe Atom nu sunt potrivite). în acest caz) și pur și simplu întindeți produsul deasupra. În același timp, termeni precum „controlul accesului” și „mediu software închis” nici nu au fost menționați la seminar. S-a spus despre criptare că, pe lângă complexitate, va ridica întrebări din partea autorităților de reglementare, deși în realitate nu există probleme cu aceasta. Întrebările despre certificare, chiar și la FSTEC, sunt eliminate din cauza complexității și lungimii lor presupuse. În calitate de specialist în securitatea informațiilor, care a luat parte în mod repetat la astfel de proceduri, pot spune că în procesul de realizare a acestora sunt dezvăluite multe vulnerabilități similare celor descrise în acest material, deoarece specialiştii laboratoarelor de certificare au pregătire serioasă de specialitate.
Drept urmare, sistemul DLP prezentat poate îndeplini un set foarte mic de funcții care asigură de fapt securitatea informațiilor, generând în același timp o sarcină de calcul serioasă și creând un sentiment de securitate pentru datele corporative în rândul conducerii companiei care nu are experiență în probleme de securitate a informațiilor.
Poate proteja cu adevărat datele foarte mari de la un utilizator neprivilegiat, deoarece... administratorul este destul de capabil să dezactiveze complet protecția, iar pentru secrete mari, chiar și un manager junior de curățenie va putea să facă discret o fotografie a ecranului, sau chiar să-și amintească adresa sau numărul cărții de credit privind ecranul peste cel al unui coleg. umăr.
Mai mult, toate acestea sunt adevărate doar dacă este imposibil ca angajații să aibă acces fizic la interiorul PC-ului sau cel puțin la BIOS pentru a activa bootarea de pe medii externe. Apoi, chiar și BitLocker, care este puțin probabil să fie folosit în companiile care se gândesc doar la protejarea informațiilor, ar putea să nu ajute.
Concluzia, oricât de banală ar suna, este o abordare integrată a securității informațiilor, care include nu numai soluții software/hardware, ci și măsuri organizatorice și tehnice pentru a exclude filmările foto/video și pentru a preveni intrarea „băieților cu o memorie fenomenală” neautorizate. Site-ul. Nu ar trebui să vă bazați niciodată pe produsul miraculos DL 8.2, care este promovat ca o soluție într-un singur pas pentru majoritatea problemelor de securitate ale întreprinderii.
Sursa: www.habr.com