V októbri 2017 som mal možnosť zúčastniť sa propagačného seminára k systému DeviceLock DLP, kde okrem hlavnej funkcionality ochrany proti únikom ako je zatváranie USB portov, kontextová analýza pošty a schránky bola ochrana pred administrátorom. inzerované. Model je jednoduchý a krásny – do malej spoločnosti príde inštalátor, nainštaluje sadu programov, nastaví heslo systému BIOS, vytvorí účet správcu DeviceLock a ponechá iba práva na správu samotného systému Windows a zvyšku softvéru miestnemu admin. Aj keď existuje úmysel, tento správca nebude môcť nič ukradnúť. Ale to je všetko teória...
Pretože za 20+ rokov práce v oblasti vývoja nástrojov informačnej bezpečnosti som sa jednoznačne presvedčil, že administrátor môže robiť čokoľvek, hlavne s fyzickým prístupom k počítaču, potom hlavnou ochranou proti nemu môžu byť len organizačné opatrenia ako prísny reporting a fyzická ochrana počítačov obsahujúcich dôležité informácie, hneď potom vznikol nápad otestovať odolnosť navrhovaného produktu.
Pokus o to hneď po skončení seminára bol neúspešný, bola urobená ochrana pred zmazaním hlavnej služby DlService.exe a nezabudli ani na prístupové práva a výber poslednej úspešnej konfigurácie, v dôsledku čoho vyrúbali to, ako väčšina vírusov, odmietli systému prístup na čítanie a spustenie , Nefungovalo to.
Na všetky otázky týkajúce sa ochrany ovládačov, ktoré sú pravdepodobne súčasťou produktu, zástupca vývojára Smart Line s istotou uviedol, že „všetko je na rovnakej úrovni“.
O deň neskôr som sa rozhodol pokračovať vo výskume a stiahol som si skúšobnú verziu. Hneď ma prekvapila veľkosť distribúcie, takmer 2 GB! Som zvyknutý na to, že systémový softvér, ktorý je zvyčajne klasifikovaný ako nástroje informačnej bezpečnosti (ISIS), má zvyčajne oveľa kompaktnejšiu veľkosť.
Po inštalácii som bol druhýkrát prekvapený - veľkosť vyššie uvedeného spustiteľného súboru je tiež dosť veľká - 2 MB. Hneď mi napadlo, že pri takom objeme je sa čoho chytiť. Skúsil som vymeniť modul pomocou oneskoreného nahrávania - bol zatvorený. Prehrabal som sa v katalógoch programov a už tam bolo 13 ovládačov! Šťuchol som do oprávnení - kvôli zmenám nie sú zatvorené! Dobre, všetci sú zakázaní, preťažme sa!
Efekt je jednoducho očarujúci - všetky funkcie sú vypnuté, služba sa nespustí. Aká je tam sebaobrana, vezmi si a skopíruj čo chceš, aj na flashky, aj cez sieť. Objavila sa prvá vážna nevýhoda systému – príliš silné prepojenie komponentov. Áno, služba by mala komunikovať s vodičmi, ale prečo padá, ak nikto nereaguje? V dôsledku toho existuje jeden spôsob, ako ochranu obísť.
Keď som zistil, že zázračná služba je taká jemná a citlivá, rozhodol som sa skontrolovať jej závislosti na knižniciach tretích strán. Tu je to ešte jednoduchšie, zoznam je veľký, len náhodne vymažeme knižnicu WinSock_II a vidíme podobný obrázok - služba sa nespustila, systém je otvorený.
Vo výsledku máme to isté, čo na seminári opísal prednášajúci, mohutný plot, ktorý však pre nedostatok peňazí neohraničuje celý chránený obvod a v nekrytom priestore sú jednoducho ostnaté šípky. V tomto prípade, berúc do úvahy architektúru softvérového produktu, ktorá štandardne neznamená uzavreté prostredie, ale množstvo rôznych zástrčiek, zachytávačov, analyzátorov premávky, ide skôr o plot s mnohými priskrutkovanými pásikmi. vonkajšia strana pomocou samorezných skrutiek a veľmi ľahko sa odskrutkuje. Problém väčšiny týchto riešení je, že pri takom obrovskom počte potenciálnych dier je vždy možnosť na niečo zabudnúť, zmeškať vzťah alebo ovplyvniť stabilitu neúspešnou implementáciou jedného zo zachytávačov. Súdiac podľa skutočnosti, že zraniteľnosti uvedené v tomto článku sú len na povrchu, produkt obsahuje mnoho ďalších, ktorých hľadanie bude trvať o niekoľko hodín dlhšie.
Okrem toho je trh plný príkladov kompetentnej implementácie ochrany pred vypnutím, napríklad domácich antivírusových produktov, kde sa sebaobrana nedá jednoducho obísť. Pokiaľ viem, neboli príliš leniví podstúpiť certifikáciu FSTEC.
Po niekoľkých rozhovoroch so zamestnancami Smart Line sa našlo viacero podobných miest, o ktorých ani nepočuli. Jedným z príkladov je mechanizmus AppInitDll.
Možno nie je najhlbší, ale v mnohých prípadoch vám umožňuje zaobísť sa bez toho, aby ste sa dostali do jadra OS a neovplyvnili jeho stabilitu. Ovládače nVidia plne využívajú tento mechanizmus na nastavenie grafického adaptéra pre konkrétnu hru.
Absolútny nedostatok integrovaného prístupu k budovaniu automatizovaného systému založeného na DL 8.2 vyvoláva otázky. Navrhuje sa popísať zákazníkovi výhody produktu, skontrolovať výpočtový výkon existujúcich počítačov a serverov (kontextové analyzátory sú veľmi náročné na zdroje a v súčasnosti módne kancelárske počítače typu všetko v jednom a nettopy na báze Atom nie sú vhodné. v tomto prípade) a jednoducho vyvaľkajte výrobok navrch. Zároveň na seminári neboli ani spomenuté pojmy ako „kontrola prístupu“ a „uzavreté softvérové prostredie“. O šifrovaní sa hovorilo, že okrem zložitosti vyvolá u regulátorov aj otázky, hoci v skutočnosti s ním problémy nie sú. Otázky týkajúce sa certifikácie, dokonca aj na FSTEC, sú zavrhnuté kvôli ich údajnej zložitosti a zdĺhavosti. Ako špecialista na informačnú bezpečnosť, ktorý sa opakovane podieľal na takýchto postupoch, môžem povedať, že v procese ich vykonávania sa odhaľujú mnohé zraniteľnosti podobné tým, ktoré sú opísané v tomto materiáli, pretože špecialisti certifikačných laboratórií majú serióznu špecializovanú prípravu.
Výsledkom je, že prezentovaný systém DLP môže vykonávať veľmi malý súbor funkcií, ktoré skutočne zaisťujú informačnú bezpečnosť, pričom generujú vážnu výpočtovú záťaž a vytvárajú pocit bezpečia pre firemné dáta medzi manažmentom spoločnosti, ktorý nemá skúsenosti v záležitostiach informačnej bezpečnosti.
Skutočne veľké dáta dokáže ochrániť len pred neprivilegovaným používateľom, pretože... správca je celkom schopný úplne deaktivovať ochranu a pri veľkých tajomstvách si dokonca aj mladší manažér upratovania bude môcť diskrétne odfotiť obrazovku alebo si dokonca zapamätať adresu alebo číslo kreditnej karty pohľadom na obrazovku cez kolegovu rameno.
Navyše, toto všetko platí len vtedy, ak je pre zamestnancov nemožné mať fyzický prístup do vnútra PC alebo aspoň do BIOSu na aktiváciu bootovania z externého média. Potom nemusí pomôcť ani BitLocker, ktorý sa pravdepodobne nebude využívať vo firmách, ktoré o ochrane informácií len uvažujú.
Záver, akokoľvek banálne to môže znieť, je integrovaný prístup k informačnej bezpečnosti, ktorý zahŕňa nielen softvérové/hardvérové riešenia, ale aj organizačné a technické opatrenia na vylúčenie snímania fotografií/videí a zabránenie vstupu neoprávnených „chlapcov s fenomenálnou pamäťou“ stránka. Nikdy by ste sa nemali spoliehať na zázračný produkt DL 8.2, ktorý je propagovaný ako jednokrokové riešenie väčšiny bezpečnostných problémov podniku.
Zdroj: hab.com