Oktobra 2017 sem se imel priložnost udeležiti promocijskega seminarja za sistem DeviceLock DLP, kjer je bila poleg glavne funkcionalnosti zaščite pred uhajanjem, kot so zapiranje vrat USB, kontekstualna analiza pošte in odložišča, zaščita s strani skrbnika. oglaševano. Model je preprost in lep - namestitveni program pride v majhno podjetje, namesti nabor programov, nastavi geslo za BIOS, ustvari skrbniški račun DeviceLock in lokalnim uporabnikom prepusti samo pravice do upravljanja samega sistema Windows in ostale programske opreme. admin Tudi če obstaja naklep, ta admin ne bo mogel ničesar ukrasti. Ampak to je vse teorija...
Ker V več kot 20+ letih dela na področju razvoja orodij za informacijsko varnost sem bil jasno prepričan, da administrator zmore vse, še posebej s fizičnim dostopom do računalnika, potem pa so lahko glavna zaščita pred njim le organizacijski ukrepi, kot je strogo poročanje in fizična zaščita računalnikov, ki vsebujejo pomembne informacije, nato takoj Pojavila se je ideja, da bi preizkusili vzdržljivost predlaganega izdelka.
Poskus, da bi to storili takoj po koncu seminarja, je bil neuspešen, narejena je bila zaščita pred izbrisom glavne storitve DlService.exe, pozabili pa niso niti na dostopne pravice in izbiro zadnje uspešne konfiguracije, zaradi česar podrli so ga, tako kot večino virusov, sistemu onemogočili dostop do branja in izvajanja, Ni uspelo.
Na vsa vprašanja o zaščiti gonilnikov, ki so verjetno vključeni v izdelek, je predstavnik razvijalca Smart Line samozavestno izjavil, da je "vse na enaki ravni."
Dan kasneje sem se odločil nadaljevati raziskovanje in prenesel preizkusno različico. Takoj me je presenetila velikost distribucije, skoraj 2 GB! Navajen sem, da je sistemska programska oprema, ki jo običajno uvrščamo med orodja za informacijsko varnost (ISIS), običajno veliko bolj kompaktne velikosti.
Po namestitvi sem bil drugič presenečen - tudi velikost zgoraj omenjene izvršljive datoteke je precej velika - 2 MB. Takoj sem pomislil, da je pri takšnem volumnu nekaj za prijeti. Poskušal sem zamenjati modul z zakasnjenim snemanjem - bil je zaprt. Pobrskal sem po programskih katalogih in tam je bilo že 13 voznikov! Pokukal sem na dovoljenja - niso zaprta za spremembe! V redu, vsi so prepovedani, preobremenimo se!
Učinek je preprosto očarljiv - vse funkcije so onemogočene, storitev se ne zažene. Kakšna samoobramba je tam, vzemi in kopiraj kar hočeš, tudi na flash diske, tudi po omrežju. Pokazala se je prva resna pomanjkljivost sistema - premočna medsebojna povezanost komponent. Da, storitev bi morala komunicirati z vozniki, ampak zakaj bi se zrušil, če se nihče ne odzove? Posledično obstaja ena metoda za izogibanje zaščiti.
Ko sem ugotovil, da je čudežna storitev tako občutljiva in občutljiva, sem se odločil preveriti njeno odvisnost od knjižnic tretjih oseb. Tukaj je še preprosteje, seznam je velik, samo naključno izbrišemo knjižnico WinSock_II in vidimo podobno sliko - storitev se ni zagnala, sistem je odprt.
Posledično imamo isto, kot je govornik opisal na seminarju, močno ograjo, ki pa zaradi pomanjkanja denarja ne ogradi celotnega varovanega oboda, na nepokritem območju pa so preprosto bodeči šipek. V tem primeru, upoštevajoč arhitekturo programskega izdelka, ki privzeto ne pomeni zaprtega okolja, temveč vrsto različnih vtičev, prestreznikov, analizatorjev prometa, gre bolj za ograjo, na katero so priviti številni trakovi. zunaj s samoreznimi vijaki in jih je zelo enostavno odviti. Težava pri večini teh rešitev je, da pri tako velikem številu potencialnih lukenj vedno obstaja možnost, da kaj pozabimo, zgrešimo odnos ali vplivamo na stabilnost z neuspešno implementacijo enega od prestreznikov. Sodeč po dejstvu, da so ranljivosti, predstavljene v tem članku, preprosto na površini, izdelek vsebuje veliko drugih, ki bodo iskali nekaj ur dlje.
Poleg tega je trg poln primerov kompetentnega izvajanja zaščite pred zaustavitvijo, na primer domačih protivirusnih izdelkov, kjer samoobrambe ni mogoče preprosto zaobiti. Kolikor vem, niso bili preveč leni, da bi opravili certificiranje FSTEC.
Po več pogovorih z zaposlenimi v podjetju Smart Line so našli več podobnih krajev, za katere sploh niso slišali. En primer je mehanizem AppInitDll.
Morda ni najgloblji, vendar vam v mnogih primerih omogoča, da ne vstopite v jedro OS in ne vplivate na njegovo stabilnost. Gonilniki nVidia v celoti izkoristijo ta mehanizem za prilagoditev video kartice za določeno igro.
Popolno pomanjkanje integriranega pristopa k izgradnji avtomatiziranega sistema, ki temelji na DL 8.2, postavlja vprašanja. Predlaga se, da se stranki opišejo prednosti izdelka, preveri računalniška moč obstoječih osebnih računalnikov in strežnikov (kontekstni analizatorji zahtevajo zelo veliko virov in zdaj modni pisarniški računalniki vse-v-enem in nettop-ji na osnovi Atoma niso primerni v tem primeru) in preprosto razvaljajte izdelek na vrhu. Obenem pojma, kot sta »nadzor dostopa« in »zaprto programsko okolje« na seminarju sploh nista bila omenjena. O šifriranju je bilo rečeno, da bo poleg zapletenosti sprožilo vprašanja regulatorjev, čeprav v resnici z njim ni težav. Vprašanja o certificiranju, tudi pri FSTEC, so zanemarjena zaradi njihove domnevne zapletenosti in dolgotrajnosti. Kot strokovnjak za informacijsko varnost, ki je že večkrat sodeloval v tovrstnih postopkih, lahko rečem, da se v procesu njihovega izvajanja odkrijejo številne ranljivosti, podobne tistim, ki so opisane v tem gradivu, ker strokovnjaki certifikacijskih laboratorijev imajo resno specializirano usposabljanje.
Posledično lahko predstavljeni sistem DLP izvaja zelo majhen nabor funkcij, ki dejansko zagotavljajo informacijsko varnost, hkrati pa ustvarja resno računalniško obremenitev in ustvarja občutek varnosti korporativnih podatkov pri vodstvu podjetja, ki nima izkušenj z informacijsko varnostjo.
Zares velike podatke lahko resnično zaščiti le pred neprivilegiranim uporabnikom, ker ... skrbnik je povsem sposoben popolnoma deaktivirati zaščito, za velike skrivnosti pa bo lahko tudi nižji vodja čistilke diskretno fotografiral zaslon ali si celo zapomnil naslov ali številko kreditne kartice s pogledom na zaslon nad sodelavčevim ramo.
Poleg tega vse to velja le, če zaposlenim ni mogoče fizično dostopati do notranjosti računalnika ali vsaj do BIOS-a za aktiviranje zagona z zunanjega medija. Potem morda ne bo pomagal niti BitLocker, ki ga verjetno ne bodo uporabljali v podjetjih, ki šele razmišljajo o zaščiti podatkov.
Zaključek, pa naj se sliši še tako banalen, je celostni pristop k informacijski varnosti, ki vključuje ne le programsko/strojne rešitve, temveč tudi organizacijske in tehnične ukrepe za izključitev foto/video snemanja in nepooblaščenemu vstopu "fantov s fenomenalnim spominom". stran. Nikoli se ne zanašajte na čudežni izdelek DL 8.2, ki se oglašuje kot rešitev v enem koraku za večino varnostnih težav podjetij.
Vir: www.habr.com