Në tetor 2017, pata mundësinë të ndiqja një seminar promovues për sistemin DeviceLock DLP, ku përveç funksionalitetit kryesor të mbrojtjes nga rrjedhjet si mbyllja e porteve USB, analiza kontekstuale e postës dhe tabela e fragmenteve, ishte edhe mbrojtja nga administratori. reklamohen. Modeli është i thjeshtë dhe i bukur - një instalues vjen në një kompani të vogël, instalon një grup programesh, vendos një fjalëkalim BIOS, krijon një llogari administratori të DeviceLock dhe ia lë lokaleve vetëm të drejtat për të menaxhuar vetë Windows-in dhe pjesën tjetër të softuerit. admin. Edhe nëse ka qëllim, ky administrator nuk do të jetë në gjendje të vjedhë asgjë. Por kjo është e gjitha teori ...
Sepse mbi 20+ vjet punë në fushën e zhvillimit të mjeteve të sigurisë së informacionit, isha qartë i bindur se një administrator mund të bëjë gjithçka, veçanërisht me aksesin fizik në një kompjuter, atëherë mbrojtja kryesore kundër tij mund të jenë vetëm masat organizative si raportimi i rreptë dhe mbrojtja fizike e kompjuterëve që përmbajnë informacione të rëndësishme, atëherë menjëherë lindi ideja për të testuar qëndrueshmërinë e produktit të propozuar.
Një përpjekje për ta bërë këtë menjëherë pas përfundimit të seminarit ishte e pasuksesshme; u bë mbrojtja kundër fshirjes së shërbimit kryesor DlService.exe dhe ata madje nuk harruan të drejtat e hyrjes dhe zgjedhjen e konfigurimit të fundit të suksesshëm, si rezultat i të cilit ata e hoqën atë, si shumica e viruseve, duke mohuar aksesin e sistemit për të lexuar dhe ekzekutuar, Nuk funksionoi.
Për të gjitha pyetjet në lidhje me mbrojtjen e drejtuesve të përfshirë ndoshta në produkt, përfaqësuesi i zhvilluesit Smart Line deklaroi me besim se "gjithçka është në të njëjtin nivel".
Një ditë më vonë vendosa të vazhdoj kërkimin tim dhe shkarkova versionin e provës. Unë u befasova menjëherë nga madhësia e shpërndarjes, pothuajse 2 GB! Jam mësuar me faktin se softueri i sistemit, i cili zakonisht klasifikohet si mjete të sigurisë së informacionit (ISIS), zakonisht ka një madhësi shumë më kompakte.
Pas instalimit, u befasova për herë të dytë - madhësia e ekzekutuesit të lartpërmendur është gjithashtu mjaft e madhe - 2 MB. Menjëherë mendova se me një vëllim të tillë kishte diçka për të kapur. Unë u përpoqa të zëvendësoja modulin duke përdorur regjistrimin e vonuar - ai ishte i mbyllur. Unë gërmova në katalogët e programeve dhe tashmë kishte 13 shoferë! I kërkua lejet - ato nuk janë të mbyllura për ndryshime! Mirë, të gjithë janë të ndaluar, le të mbingarkojmë!
Efekti është thjesht magjepsës - të gjitha funksionet janë të çaktivizuara, shërbimi nuk fillon. Çfarë lloj vetëmbrojtjeje ka, merrni dhe kopjoni çfarë të doni, edhe në disqet flash, edhe në rrjet. Doli pengesa e parë serioze e sistemit - ndërlidhja e komponentëve ishte shumë e fortë. Po, shërbimi duhet të komunikojë me drejtuesit, por pse të rrëzohet nëse askush nuk përgjigjet? Si rezultat, ekziston një metodë e anashkalimit të mbrojtjes.
Pasi zbulova se shërbimi i mrekullisë është kaq delikat dhe i ndjeshëm, vendosa të kontrolloj varësitë e tij nga bibliotekat e palëve të treta. Është edhe më e thjeshtë këtu, lista është e madhe, ne thjesht fshijmë rastësisht bibliotekën WinSock_II dhe shohim një pamje të ngjashme - shërbimi nuk ka filluar, sistemi është i hapur.
Si rezultat, kemi të njëjtën gjë që folësi përshkroi në seminar, një gardh i fuqishëm, por që nuk e mbyll të gjithë perimetrin e mbrojtur për mungesë parash, dhe në zonën e pambuluar ka thjesht ijë trëndafili me gjemba. Në këtë rast, duke marrë parasysh arkitekturën e produktit softuer, i cili nuk nënkupton një mjedis të mbyllur si parazgjedhje, por një larmi prizash, interceptuesish, analizuesish trafiku të ndryshëm, është më tepër një gardh kunjash, me shumë nga shiritat e vidhosur. pjesa e jashtme me vida vetëpërgjimi dhe shumë e lehtë për t'u hequr. Problemi me shumicën e këtyre zgjidhjeve është se me një numër kaq të madh vrimash potenciale, ekziston gjithmonë mundësia për të harruar diçka, për të humbur një marrëdhënie ose për të ndikuar në stabilitet duke zbatuar pa sukses një nga përgjuesit. Duke gjykuar nga fakti se dobësitë e paraqitura në këtë artikull janë thjesht në sipërfaqe, produkti përmban shumë të tjera që do të duhen disa orë më shumë për t'i kërkuar.
Për më tepër, tregu është plot me shembuj të zbatimit kompetent të mbrojtjes nga mbyllja, për shembull, produkte vendase antivirus, ku vetëmbrojtja nuk mund të anashkalohet thjesht. Me sa di unë, ata nuk ishin shumë dembelë për t'iu nënshtruar certifikimit FSTEC.
Pas disa bisedave me punonjësit e Smart Line, u gjetën disa vende të ngjashme për të cilat ata as nuk kishin dëgjuar. Një shembull është mekanizmi AppInitDll.
Mund të mos jetë më e thella, por në shumë raste ju lejon të bëni pa hyrë në kernelin e OS dhe të mos ndikosh në stabilitetin e tij. Drejtuesit e nVidia e përdorin plotësisht këtë mekanizëm për të rregulluar përshtatësin e videos për një lojë specifike.
Mungesa e plotë e një qasjeje të integruar për ndërtimin e një sistemi të automatizuar të bazuar në DL 8.2 ngre pyetje. Propozohet t'i përshkruhen klientit avantazhet e produktit, të kontrollohet fuqia llogaritëse e PC-ve dhe serverëve ekzistues (analizuesit e kontekstit kërkojnë shumë burime dhe kompjuterët tani në modë të zyrës "gjithë-në-një" dhe rrjetat e bazuara në Atom nuk janë të përshtatshëm në këtë rast) dhe thjesht hidheni produktin sipër. Në të njëjtën kohë, termat si "kontrolli i aksesit" dhe "mjedisi i mbyllur i softuerit" nuk u përmendën as në seminar. Për enkriptimin u tha se, përveç kompleksitetit, do të ngrejë pyetje nga rregullatorët, megjithëse në realitet nuk ka probleme me të. Pyetjet në lidhje me certifikimin, edhe në FSTEC, janë lënë mënjanë për shkak të kompleksitetit dhe gjatësisë së tyre të supozuar. Si një specialist i sigurisë së informacionit që kam marrë pjesë në mënyrë të përsëritur në procedura të tilla, mund të them se në procesin e kryerjes së tyre, zbulohen shumë dobësi të ngjashme me ato të përshkruara në këtë material, sepse specialistët e laboratorëve të çertifikimit kanë një trajnim serioz të specializuar.
Si rezultat, sistemi i paraqitur DLP mund të kryejë një grup shumë të vogël funksionesh që sigurojnë në të vërtetë sigurinë e informacionit, duke gjeneruar një ngarkesë serioze llogaritëse dhe duke krijuar një ndjenjë sigurie për të dhënat e korporatës midis menaxhmentit të kompanisë që nuk ka përvojë në çështjet e sigurisë së informacionit.
Mund të mbrojë vërtet të dhëna vërtet të mëdha vetëm nga një përdorues i paprivilegjuar, sepse... administratori është mjaft i aftë të çaktivizojë plotësisht mbrojtjen, dhe për sekrete të mëdha, edhe një menaxher i ri pastrimi do të jetë në gjendje të bëjë një foto të ekranit në mënyrë diskrete ose madje të kujtojë adresën ose numrin e kartës së kreditit duke parë ekranin mbi atë të një kolegu. shpatullën.
Për më tepër, e gjithë kjo është e vërtetë vetëm nëse është e pamundur që punonjësit të kenë akses fizik në pjesët e brendshme të PC ose të paktën në BIOS për të aktivizuar nisjen nga mediat e jashtme. Atëherë edhe BitLocker, i cili nuk ka gjasa të përdoret në kompanitë që thjesht po mendojnë për mbrojtjen e informacionit, mund të mos ndihmojë.
Përfundimi, sado banal të duket, është një qasje e integruar për sigurinë e informacionit, duke përfshirë jo vetëm zgjidhjet softuerike/hardware, por edhe masat organizative dhe teknike për të përjashtuar shkrepjen e fotografive/video dhe për të parandaluar hyrjen e “djemve me kujtesë fenomenale” të paautorizuar. siti. Asnjëherë nuk duhet të mbështeteni te produkti i mrekullueshëm DL 8.2, i cili reklamohet si një zgjidhje me një hap për shumicën e problemeve të sigurisë së ndërmarrjes.
Burimi: www.habr.com