I oktober 2017 fick jag möjlighet att delta i ett kampanjseminarium för DeviceLock DLP-systemet, där, förutom huvudfunktionaliteten för skydd mot läckor som att stänga USB-portar, kontextuell analys av e-post och urklipp, skydd från administratören var annonserade. Modellen är enkel och vacker - en installatör kommer till ett litet företag, installerar en uppsättning program, ställer in ett BIOS-lösenord, skapar ett DeviceLock-administratörskonto och lämnar endast rättigheterna att hantera själva Windows och resten av programvaran till den lokala administration. Även om det finns uppsåt kommer den här administratören inte att kunna stjäla någonting. Men detta är bara teori...
Därför att över 20+ års arbete inom området för att utveckla verktyg för informationssäkerhet var jag klart övertygad om att en administratör kan göra vad som helst, speciellt med fysisk åtkomst till en dator, då kan det främsta skyddet mot det bara vara organisatoriska åtgärder som strikt rapportering och fysiskt skydd av datorer som innehåller viktig information, sedan omedelbart uppstod idén att testa hållbarheten hos den föreslagna produkten.
Ett försök att göra detta omedelbart efter seminariets slut misslyckades; skydd mot radering av huvudtjänsten DlService.exe gjordes och de glömde till och med inte åtkomsträttigheterna och valet av den senaste framgångsrika konfigurationen, som ett resultat av vilket de fällde det, som de flesta virus, nekade systemet åtkomst att läsa och köra , Det gick inte.
Till alla frågor om skyddet av drivrutinerna som förmodligen ingår i produkten, sa representanten för Smart Line-utvecklaren med tillförsikt att "allt är på samma nivå."
En dag senare bestämde jag mig för att fortsätta min forskning och laddade ner testversionen. Jag blev direkt förvånad över storleken på distributionen, nästan 2 GB! Jag är van vid att systemprogramvara, som vanligtvis klassificeras som informationssäkerhetsverktyg (ISIS), vanligtvis har en mycket mer kompakt storlek.
Efter installationen blev jag förvånad för andra gången - storleken på den ovan nämnda körbara filen är också ganska stor - 2MB. Jag tänkte direkt att med en sådan volym fanns det något att ta tag i. Jag försökte byta ut modulen med fördröjd inspelning - den var stängd. Jag grävde i programkatalogerna och det fanns redan 13 förare! Jag petade i behörigheterna - de är inte stängda för ändringar! Okej, alla är förbjudna, låt oss överbelasta!
Effekten är helt enkelt förtrollande - alla funktioner är inaktiverade, tjänsten startar inte. Vilken typ av självförsvar finns det, ta och kopiera vad du vill, även på flash-enheter, även över nätverket. Den första allvarliga nackdelen med systemet dök upp - sammankopplingen av komponenterna var för stark. Ja, tjänsten ska kommunicera med förarna, men varför krascha om ingen svarar? Som ett resultat finns det en metod för att kringgå skyddet.
Efter att ha fått reda på att mirakeltjänsten är så känslig och känslig, bestämde jag mig för att kontrollera dess beroende av tredjepartsbibliotek. Det är ännu enklare här, listan är stor, vi raderar bara WinSock_II-biblioteket slumpmässigt och ser en liknande bild - tjänsten har inte startat, systemet är öppet.
Som ett resultat har vi samma sak som talaren beskrev vid seminariet, ett kraftfullt staket, men som inte omsluter hela den skyddade omkretsen på grund av brist på pengar, och i det avtäckta området finns helt enkelt taggiga nypon. I det här fallet, med hänsyn till mjukvaruproduktens arkitektur, som inte innebär en sluten miljö som standard, utan en mängd olika pluggar, interceptorer, trafikanalysatorer, är det snarare ett staket, med många av remsorna fastskruvade utsidan med självgängande skruvar och mycket lätt att skruva loss. Problemet med de flesta av dessa lösningar är att med ett så stort antal potentiella hål finns det alltid möjligheten att glömma något, missa en relation eller påverka stabiliteten genom att misslyckas med att implementera en av interceptorerna. Att döma av det faktum att sårbarheterna som presenteras i den här artikeln helt enkelt är på ytan, innehåller produkten många andra som kommer att ta ett par timmar längre att söka efter.
Dessutom är marknaden full av exempel på kompetent implementering av avstängningsskydd, till exempel inhemska antivirusprodukter, där självförsvar inte helt enkelt kan kringgås. Så vitt jag vet var de inte för lata för att genomgå FSTEC-certifiering.
Efter att ha fört flera samtal med Smart Line-anställda hittades flera liknande platser som de inte ens hört talas om. Ett exempel är AppInitDll-mekanismen.
Det kanske inte är det djupaste, men i många fall låter det dig göra utan att komma in i OS-kärnan och inte påverka dess stabilitet. nVidia-drivrutiner utnyttjar denna mekanism fullt ut för att justera videoadaptern för ett specifikt spel.
Den totala avsaknaden av ett integrerat tillvägagångssätt för att bygga ett automatiserat system baserat på DL 8.2 väcker frågor. Det föreslås att beskriva för kunden fördelarna med produkten, kontrollera datorkraften hos befintliga datorer och servrar (kontextanalysatorer är mycket resurskrävande och de nu fashionabla allt-i-ett-datorerna på kontoret och Atom-baserade nettops är inte lämpliga i detta fall) och rulla helt enkelt ut produkten ovanpå. Samtidigt nämndes inte ens termer som "åtkomstkontroll" och "sluten mjukvarumiljö" på seminariet. Det sades om kryptering att det, förutom komplexitet, kommer att väcka frågor från tillsynsmyndigheter, även om det i verkligheten inte finns några problem med det. Frågor om certifiering, även hos FSTEC, stryks åt sidan på grund av deras förmodade komplexitet och långa tid. Som en specialist på informationssäkerhet som upprepade gånger har deltagit i sådana procedurer kan jag säga att i processen att utföra dem avslöjas många sårbarheter som liknar de som beskrivs i detta material, eftersom specialister från certifieringslaboratorier har seriös specialiserad utbildning.
Som ett resultat kan det presenterade DLP-systemet utföra en mycket liten uppsättning funktioner som faktiskt säkerställer informationssäkerhet, samtidigt som den genererar en allvarlig datorbelastning och skapar en känsla av säkerhet för företagsdata bland företagsledningen som är oerfaren i informationssäkerhetsfrågor.
Det kan bara verkligen skydda riktigt stor data från en oprivilegierad användare, eftersom... administratören kan helt och hållet avaktivera skyddet, och för stora hemligheter kommer även en junior städchef att diskret kunna ta ett foto av skärmen, eller till och med komma ihåg adressen eller kreditkortsnumret genom att titta på skärmen över en kollegas axel.
Dessutom är allt detta sant endast om det är omöjligt för anställda att ha fysisk åtkomst till insidan av datorn eller åtminstone till BIOS för att aktivera uppstart från externa media. Då kanske inte ens BitLocker, som sannolikt kommer att användas i företag som bara funderar på att skydda information, inte hjälper.
Slutsatsen, hur banal den än låter, är ett integrerat tillvägagångssätt för informationssäkerhet, inklusive inte bara mjukvaru-/hårdvarulösningar, utan även organisatoriska och tekniska åtgärder för att utesluta foto-/videoinspelning och förhindra att obehöriga "pojkar med ett fenomenalt minne" kommer in platsen. Du bör aldrig lita på mirakelprodukten DL 8.2, som marknadsförs som en enstegslösning för de flesta företagssäkerhetsproblem.
Källa: will.com