У октобру 2017. године имао сам прилику да присуствујем промотивном семинару за ДевицеЛоцк ДЛП систем, где је, поред основне функционалности заштите од цурења, као што су затварање УСБ портова, контекстуална анализа поште и клипборда, била и заштита од администратора. рекламирао. Модел је једноставан и леп - инсталатер долази у малу компанију, инсталира сет програма, поставља лозинку за БИОС, креира ДевицеЛоцк администраторски налог и оставља само права за управљање самим Виндовс-ом и остатком софтвера локалном админ. Чак и ако постоји намера, овај администратор неће моћи ништа да украде. Али ово је све теорија...
Јер преко 20+ година рада у области развоја алата за безбедност информација, јасно сам се уверио да администратор може све, посебно физичким приступом рачунару, онда главна заштита од тога могу бити само организационе мере као што су строго извештавање и физичку заштиту рачунара који садрже важне информације, тада се одмах јавила идеја да се тестира издржљивост предложеног производа.
Покушај да се то уради одмах по завршетку семинара је био неуспешан; направљена је заштита од брисања главне услуге ДлСервице.еке и чак нису заборавили на права приступа и избор последње успешне конфигурације, услед чега уништили су га, као и већину вируса, ускратили приступ систему за читање и извршавање, није успело.
На сва питања о заштити драјвера који су вероватно укључени у производ, представник програмера Смарт Лине је самоуверено изјавио да је „све на истом нивоу“.
Дан касније одлучио сам да наставим истраживање и преузео сам пробну верзију. Одмах сам био изненађен величином дистрибуције, скоро 2 ГБ! Навикао сам на чињеницу да системски софтвер, који се обично класификује као алати за безбедност информација (ИСИС), обично има много компактнију величину.
Након инсталације, по други пут сам био изненађен - величина горе поменутог извршног фајла је такође прилично велика - 2МБ. Одмах сам помислио да се са таквом запремином има за шта да се ухватим. Покушао сам да заменим модул коришћењем одложеног снимања - био је затворен. Копао сам по каталозима програма, а већ је било 13 драјвера! Пробао сам у дозволе - нису затворене за промене! Добро, сви су забрањени, хајде да преоптеретимо!
Ефекат је једноставно очаравајући - све функције су онемогућене, услуга се не покреће. Каква је ту самоодбрана, узми и копирај шта год хоћеш, па макар и на флеш дискове, макар и преко мреже. Појавио се први озбиљан недостатак система - међусобна повезаност компоненти била је прејака. Да, сервис треба да комуницира са возачима, али зашто пада ако нико не реагује? Као резултат тога, постоји један метод заобилажења заштите.
Пошто сам сазнао да је чудотворна услуга тако нежна и осетљива, одлучио сам да проверим њену зависност од библиотека трећих страна. Овде је још једноставније, листа је велика, само насумично избришемо библиотеку ВинСоцк_ИИ и видимо сличну слику - услуга није покренута, систем је отворен.
Као резултат тога, имамо исту ствар коју је говорник описао на семинару, моћну ограду, али не ограђује цео заштићени периметар због недостатка новца, а у непокривеном делу су једноставно бодљикави шипак. У овом случају, узимајући у обзир архитектуру софтверског производа, која подразумевано не подразумева затворено окружење, већ мноштво различитих утикача, пресретача, анализатора саобраћаја, то је пре ограда, са много ушрафљених трака. споља са саморезним вијцима и врло лако се одврћу. Проблем код већине ових решења је у томе што са тако великим бројем потенцијалних рупа увек постоји могућност да се нешто заборави, пропусте веза или да се утиче на стабилност неуспешном имплементацијом једног од пресретача. Судећи по чињеници да су рањивости представљене у овом чланку једноставно на површини, производ садржи многе друге за које ће бити потребно неколико сати дуже да се траже.
Штавише, тржиште је пуно примера компетентне примене заштите од искључивања, на пример, домаћих антивирусних производа, где се самоодбрана не може једноставно заобићи. Колико ја знам, нису били превише лијени да прођу ФСТЕЦ сертификацију.
Након неколико разговора са запосленима Смарт Лине-а, пронађено је неколико сличних места за која нису ни чули. Један пример је механизам АппИнитДлл.
Можда није најдубљи, али у многим случајевима вам омогућава да не улазите у језгро ОС-а и не утичете на његову стабилност. нВидиа драјвери у потпуности користе овај механизам за подешавање видео адаптера за одређену игру.
Потпуни недостатак интегрисаног приступа изградњи аутоматизованог система заснованог на ДЛ 8.2 поставља питања. Предлаже се да се купцу опише предности производа, провери рачунарска снага постојећих рачунара и сервера (анализатори контекста су веома интензивни, а сада модерни канцеларијски све-у-једном рачунари и неттопови засновани на Атом-у нису прикладни у овом случају) и једноставно развуците производ на врх. Истовремено, термини као што су „контрола приступа“ и „затворено софтверско окружење“ нису ни поменути на семинару. За енкрипцију је речено да ће, поред сложености, изазвати и питања регулатора, иако у стварности с тим нема проблема. Питања о сертификацији, чак и на ФСТЕЦ-у, су одбачена због њихове наводне сложености и дуготрајности. Као стручњак за безбедност информација који је више пута учествовао у оваквим процедурама, могу рећи да се у процесу њиховог спровођења откривају многе рањивости сличне онима описаним у овом материјалу, јер специјалисти сертификационих лабораторија имају озбиљну специјализовану обуку.
Као резултат тога, представљени ДЛП систем може да обавља веома мали скуп функција које заправо обезбеђују безбедност информација, истовремено стварајући озбиљно рачунарско оптерећење и стварајући осећај сигурности за корпоративне податке код менаџмента компаније који није искусан у питањима безбедности информација.
То може стварно да заштити заиста велике податке од непривилегованог корисника, јер... администратор је сасвим способан да потпуно деактивира заштиту, а за велике тајне, чак и млађи менаџер за чишћење ће моћи дискретно да фотографише екран, или чак да запамти адресу или број кредитне картице гледајући у екран преко екрана колеге рамена.
Штавише, све ово важи само ако је немогуће да запослени имају физички приступ унутрашњости рачунара или барем БИОС-у да би активирали покретање са спољног медија. Тада чак ни БитЛоцкер, који је мало вероватно да ће се користити у компанијама које само размишљају о заштити информација, можда неће помоћи.
Закључак, колико год баналан звучао, јесте интегрисани приступ информационој безбедности, који укључује не само софтверска/хардверска решења, већ и организационе и техничке мере за искључење фото/видео снимања и спречавање неовлашћеног уласка „дечака са феноменалним памћењем“ сајт. Никада се не треба ослањати на чудесни производ ДЛ 8.2, који се рекламира као решење у једном кораку за већину безбедносних проблема предузећа.
Извор: ввв.хабр.цом