Mnamo Oktoba 2017, nilipata fursa ya kuhudhuria semina ya uendelezaji wa mfumo wa DeviceLock DLP, ambapo, pamoja na utendaji kuu wa ulinzi dhidi ya uvujaji kama vile kufunga bandari za USB, uchanganuzi wa muktadha wa barua na ubao wa kunakili, ulinzi kutoka kwa msimamizi ulikuwa. kutangazwa. Mfano huo ni rahisi na mzuri - kisakinishi huja kwa kampuni ndogo, husanikisha seti ya programu, huweka nenosiri la BIOS, hutengeneza akaunti ya msimamizi wa Kifaa, na huacha tu haki za kusimamia Windows yenyewe na programu nyingine kwa wenyeji. admin. Hata kama kuna nia, msimamizi huyu hataweza kuiba chochote. Lakini hii yote ni nadharia ...
Kwa sababu zaidi ya miaka 20+ ya kazi katika uwanja wa kukuza zana za usalama wa habari, nilikuwa na hakika kabisa kuwa msimamizi anaweza kufanya chochote, haswa na ufikiaji wa mwili kwa kompyuta, basi ulinzi kuu dhidi yake unaweza tu kuwa hatua za shirika kama vile kuripoti madhubuti na. ulinzi wa kimwili wa kompyuta zilizo na taarifa muhimu, basi mara moja Wazo liliondoka ili kupima uimara wa bidhaa iliyopendekezwa.
Jaribio la kufanya hivyo mara baada ya kumalizika kwa semina halikufaulu; ulinzi dhidi ya kufutwa kwa huduma kuu ya DlService.exe ulifanywa na hata hawakusahau juu ya haki za ufikiaji na uteuzi wa usanidi uliofanikiwa wa mwisho, kama matokeo ya ambayo. waliikata, kama virusi vingi, wakinyima ufikiaji wa mfumo wa kusoma na kutekeleza , Haikufaulu.
Kwa maswali yote kuhusu ulinzi wa viendeshi ambavyo huenda vilijumuishwa kwenye bidhaa, mwakilishi wa Msanidi wa Smart Line alisema kwa ujasiri kwamba "kila kitu kiko katika kiwango sawa."
Siku moja baadaye niliamua kuendelea na utafiti wangu na kupakua toleo la majaribio. Mara moja nilishangaa na ukubwa wa usambazaji, karibu 2 GB! Nimezoea ukweli kwamba programu ya mfumo, ambayo kwa kawaida huainishwa kama zana za usalama wa habari (ISIS), kwa kawaida huwa na saizi ndogo zaidi.
Baada ya usakinishaji, nilishangaa kwa mara ya pili - saizi ya inayoweza kutekelezwa iliyotajwa hapo juu pia ni kubwa kabisa - 2MB. Mara moja nilifikiria kuwa kwa sauti kama hiyo kuna kitu cha kunyakua. Nilijaribu kubadilisha moduli kwa kutumia kurekodi kuchelewa - ilifungwa. Nilichimba kwenye katalogi za programu, na tayari kulikuwa na madereva 13! Nilitafuta ruhusa - hazijafungwa kwa mabadiliko! Sawa, kila mtu amepigwa marufuku, wacha tupakie kupita kiasi!
Athari ni ya kuvutia tu - kazi zote zimezimwa, huduma haianza. Ni aina gani ya kujilinda kuna, kuchukua na nakala chochote unachotaka, hata kwenye anatoa flash, hata kwenye mtandao. Upungufu mkubwa wa kwanza wa mfumo uliibuka - unganisho la vifaa lilikuwa na nguvu sana. Ndiyo, huduma inapaswa kuwasiliana na madereva, lakini kwa nini ajali ikiwa hakuna mtu anayejibu? Matokeo yake, kuna njia moja ya kupuuza ulinzi.
Baada ya kugundua kuwa huduma ya miujiza ni ya upole na nyeti, niliamua kuangalia utegemezi wake kwenye maktaba za watu wengine. Ni rahisi zaidi hapa, orodha ni kubwa, tunafuta tu maktaba ya WinSock_II bila mpangilio na kuona picha inayofanana - huduma haijaanza, mfumo umefunguliwa.
Kama matokeo, tunayo kitu kile kile ambacho msemaji alielezea kwenye semina, uzio wenye nguvu, lakini sio kufunga eneo lote la ulinzi kwa sababu ya ukosefu wa pesa, na katika eneo ambalo halijafunikwa kuna viuno vya rose tu. Katika kesi hii, kwa kuzingatia usanifu wa bidhaa ya programu, ambayo haimaanishi mazingira yaliyofungwa kwa chaguo-msingi, lakini aina mbalimbali za plugs, viunganishi, wachambuzi wa trafiki, ni badala ya uzio wa picket, na vipande vingi vimefungwa. nje na screws binafsi tapping na rahisi sana unscrew. Shida ya suluhisho nyingi hizi ni kwamba kwa idadi kubwa ya shimo zinazowezekana, kila wakati kuna uwezekano wa kusahau kitu, kukosa uhusiano, au kuathiri utulivu kwa kutekeleza bila mafanikio moja ya viingilia. Kwa kuzingatia ukweli kwamba udhaifu ulioonyeshwa katika nakala hii uko juu ya uso, bidhaa ina zingine nyingi ambazo zitachukua masaa kadhaa kutafuta.
Zaidi ya hayo, soko limejaa mifano ya utekelezaji mzuri wa ulinzi wa kuzima, kwa mfano, bidhaa za ndani za kupambana na virusi, ambapo ulinzi binafsi hauwezi tu kupitishwa. Kwa jinsi ninavyojua, hawakuwa wavivu sana kupata udhibitisho wa FSTEC.
Baada ya kufanya mazungumzo kadhaa na wafanyikazi wa Smart Line, sehemu kadhaa sawa ambazo hata hawakusikia zilipatikana. Mfano mmoja ni utaratibu wa AppInitDll.
Inaweza kuwa si ya kina zaidi, lakini katika hali nyingi inakuwezesha kufanya bila kuingia kwenye kernel ya OS na si kuathiri utulivu wake. Madereva ya nVidia hutumia kikamilifu utaratibu huu kurekebisha adapta ya video kwa mchezo maalum.
Ukosefu kamili wa mbinu jumuishi ya kujenga mfumo wa kiotomatiki kulingana na DL 8.2 huibua maswali. Inapendekezwa kuelezea kwa mteja faida za bidhaa, angalia nguvu ya kompyuta ya Kompyuta na seva zilizopo (vichanganuzi vya muktadha ni vya rasilimali sana na ofisi ya kisasa ya kompyuta zote kwa moja na netops za Atom hazifai. katika kesi hii) na toa tu bidhaa juu. Wakati huo huo, maneno kama vile "udhibiti wa ufikiaji" na "mazingira ya programu iliyofungwa" hayakutajwa hata kwenye semina. Ilisemekana juu ya usimbuaji kwamba, pamoja na ugumu, itaibua maswali kutoka kwa wasimamizi, ingawa kwa kweli hakuna shida nayo. Maswali kuhusu uidhinishaji, hata katika FSTEC, yamepuuzwa kutokana na ugumu na urefu unaodaiwa kuwa nao. Kama mtaalam wa usalama wa habari ambaye ameshiriki mara kwa mara katika taratibu kama hizo, naweza kusema kwamba katika mchakato wa kuzitekeleza, udhaifu mwingi sawa na ule ulioelezewa kwenye nyenzo hii unafunuliwa, kwa sababu. wataalam wa maabara za uthibitisho wana mafunzo maalum maalum.
Kwa hivyo, mfumo wa DLP uliowasilishwa unaweza kufanya seti ndogo sana ya kazi ambazo huhakikisha usalama wa habari, huku ukitoa mzigo mkubwa wa kompyuta na kuunda hisia ya usalama kwa data ya shirika kati ya usimamizi wa kampuni ambao hawana uzoefu katika maswala ya usalama wa habari.
Inaweza tu kulinda data kubwa kutoka kwa mtumiaji asiye na bahati, kwa sababu ... msimamizi ana uwezo wa kuzima kabisa ulinzi, na kwa siri kubwa, hata meneja mdogo wa kusafisha ataweza kuchukua picha ya skrini kwa busara, au hata kukumbuka anwani au nambari ya kadi ya mkopo kwa kuangalia skrini juu ya mwenzake. bega.
Zaidi ya hayo, yote haya ni kweli tu ikiwa haiwezekani kwa wafanyakazi kupata upatikanaji wa kimwili kwa ndani ya PC au angalau kwa BIOS ili kuamsha uanzishaji kutoka kwa vyombo vya habari vya nje. Kisha hata BitLocker, ambayo haiwezekani kutumika katika makampuni ambayo yanafikiri tu juu ya kulinda habari, inaweza kusaidia.
Hitimisho, kama inavyoweza kusikika, ni njia iliyojumuishwa ya usalama wa habari, ikijumuisha sio tu suluhisho za programu/vifaa, lakini pia hatua za shirika na kiufundi za kuwatenga upigaji picha/video na kuzuia "wavulana walio na kumbukumbu ya ajabu" wasioidhinishwa kuingia. tovuti. Hupaswi kamwe kutegemea bidhaa ya muujiza DL 8.2, ambayo inatangazwa kama suluhisho la hatua moja kwa matatizo mengi ya usalama wa biashara.
Chanzo: mapenzi.com