Noong Oktubre 2017, nagkaroon ako ng pagkakataong dumalo sa isang promotional seminar para sa DeviceLock DLP system, kung saan, bilang karagdagan sa pangunahing pag-andar ng proteksyon laban sa mga pagtagas tulad ng pagsasara ng mga USB port, pagsusuri sa konteksto ng mail at clipboard, ang proteksyon mula sa administrator ay na-advertise. Ang modelo ay simple at maganda - ang isang installer ay dumarating sa isang maliit na kumpanya, nag-install ng isang hanay ng mga programa, nagtatakda ng isang BIOS password, lumikha ng isang DeviceLock administrator account, at nag-iiwan lamang ng mga karapatan upang pamahalaan ang Windows mismo at ang natitirang software sa lokal. admin. Kahit may intensyon, walang magagawa ang admin na ito. Ngunit ito ay lahat ng teorya ...
kasi higit sa 20+ taon ng trabaho sa larangan ng pagbuo ng mga tool sa seguridad ng impormasyon, malinaw na kumbinsido ako na magagawa ng isang administrator ang anumang bagay, lalo na sa pisikal na pag-access sa isang computer, kung gayon ang pangunahing proteksyon laban dito ay maaari lamang na mga hakbang sa organisasyon tulad ng mahigpit na pag-uulat at pisikal na proteksyon ng mga computer na naglalaman ng mahalagang impormasyon, pagkatapos ay agad na lumitaw ang ideya upang subukan ang tibay ng iminungkahing produkto.
Ang isang pagtatangka na gawin ito kaagad pagkatapos ng pagtatapos ng seminar ay hindi matagumpay; ang proteksyon laban sa pagtanggal ng pangunahing serbisyo na DlService.exe ay ginawa at kahit na hindi nila nakalimutan ang tungkol sa mga karapatan sa pag-access at ang pagpili ng huling matagumpay na pagsasaayos, bilang isang resulta kung saan Pinutol nila ito, tulad ng karamihan sa mga virus, na tinatanggihan ang pag-access ng system upang basahin at isagawa , Hindi gumana.
Sa lahat ng mga katanungan tungkol sa proteksyon ng mga driver na malamang na kasama sa produkto, ang kinatawan ng developer ng Smart Line ay may kumpiyansa na sinabi na "lahat ay nasa parehong antas."
Pagkaraan ng isang araw, nagpasya akong ipagpatuloy ang aking pananaliksik at i-download ang trial na bersyon. Nagulat agad ako sa laki ng distribution, almost 2 GB! Sanay na ako sa katotohanan na ang software ng system, na karaniwang nauuri bilang mga tool sa seguridad ng impormasyon (ISIS), ay karaniwang may mas compact na laki.
Pagkatapos ng pag-install, nagulat ako sa pangalawang pagkakataon - ang laki ng nabanggit na executable ay medyo malaki din - 2MB. Naisip ko kaagad na sa sobrang lakas ng tunog ay may maaagaw. Sinubukan kong palitan ang module gamit ang naantalang pag-record - sarado ito. Naghukay ako sa mga katalogo ng programa, at mayroon nang 13 mga driver! Sinundot ko ang mga pahintulot - hindi sila sarado para sa mga pagbabago! Okay, lahat ay pinagbawalan, mag-overload tayo!
Ang epekto ay kaakit-akit lamang - lahat ng mga pag-andar ay hindi pinagana, ang serbisyo ay hindi nagsisimula. Anong uri ng pagtatanggol sa sarili ang mayroon, kunin at kopyahin ang anumang gusto mo, kahit sa mga flash drive, kahit sa network. Ang unang malubhang disbentaha ng system ay lumitaw - ang pagkakabit ng mga bahagi ay masyadong malakas. Oo, ang serbisyo ay dapat makipag-usap sa mga driver, ngunit bakit nag-crash kung walang tumugon? Bilang resulta, mayroong isang paraan ng pag-bypass sa proteksyon.
Nang malaman na ang serbisyo ng himala ay napakaamo at sensitibo, nagpasya akong suriin ang mga dependency nito sa mga third-party na aklatan. Ito ay mas simple dito, ang listahan ay malaki, binubura lang namin ang WinSock_II library nang random at makita ang isang katulad na larawan - ang serbisyo ay hindi nagsimula, ang system ay bukas.
Bilang isang resulta, mayroon kaming parehong bagay na inilarawan ng tagapagsalita sa seminar, isang malakas na bakod, ngunit hindi nakapaloob ang buong protektadong perimeter dahil sa kakulangan ng pera, at sa walang takip na lugar ay may simpleng mga butil ng rosas. Sa kasong ito, isinasaalang-alang ang arkitektura ng produkto ng software, na hindi nagpapahiwatig ng isang saradong kapaligiran bilang default, ngunit isang iba't ibang mga plug, interceptors, traffic analyzer, ito ay sa halip isang picket fence, na may maraming mga strips screwed on sa labas na may mga self-tapping screws at napakadaling i-unscrew. Ang problema sa karamihan ng mga solusyong ito ay na sa napakalaking bilang ng mga potensyal na butas, palaging may posibilidad na makalimutan ang isang bagay, nawawala ang isang relasyon, o maapektuhan ang katatagan sa pamamagitan ng hindi matagumpay na pagpapatupad ng isa sa mga interceptor. Sa paghusga sa katotohanan na ang mga kahinaan na ipinakita sa artikulong ito ay nasa ibabaw lamang, ang produkto ay naglalaman ng marami pang iba na tatagal ng ilang oras upang maghanap.
Bukod dito, ang merkado ay puno ng mga halimbawa ng karampatang pagpapatupad ng proteksyon sa pagsara, halimbawa, mga produktong anti-virus ng domestic, kung saan ang pagtatanggol sa sarili ay hindi basta-basta maiiwasan. Sa pagkakaalam ko, hindi sila tamad na sumailalim sa FSTEC certification.
Pagkatapos magsagawa ng ilang pakikipag-usap sa mga empleyado ng Smart Line, ilang mga katulad na lugar na hindi pa nila narinig ang natagpuan. Ang isang halimbawa ay ang mekanismo ng AppInitDll.
Maaaring hindi ito ang pinakamalalim, ngunit sa maraming mga kaso pinapayagan ka nitong gawin nang hindi nakapasok sa kernel ng OS at hindi nakakaapekto sa katatagan nito. Ganap na ginagamit ng mga driver ng nVidia ang mekanismong ito para isaayos ang video adapter para sa isang partikular na laro.
Ang kumpletong kakulangan ng pinagsama-samang diskarte sa pagbuo ng isang automated na sistema batay sa DL 8.2 ay nagtataas ng mga katanungan. Iminumungkahi na ilarawan sa customer ang mga pakinabang ng produkto, suriin ang kapangyarihan ng pag-compute ng mga umiiral nang PC at server (ang mga context analyzer ay napaka-resource-intensive at ang ngayon ay naka-istilong office all-in-one na mga computer at Atom-based nettops ay hindi angkop. sa kasong ito) at igulong lang ang produkto sa itaas. Kasabay nito, ang mga termino tulad ng "access control" at "closed software environment" ay hindi man lang binanggit sa seminar. Sinabi tungkol sa pag-encrypt na, bilang karagdagan sa pagiging kumplikado, magtataas ito ng mga katanungan mula sa mga regulator, bagaman sa katotohanan ay walang mga problema dito. Ang mga tanong tungkol sa sertipikasyon, kahit na sa FSTEC, ay isinasantabi dahil sa inaakalang pagiging kumplikado at haba ng mga ito. Bilang isang espesyalista sa seguridad ng impormasyon na paulit-ulit na nakibahagi sa mga naturang pamamaraan, masasabi kong sa proseso ng pagsasakatuparan ng mga ito, maraming mga kahinaan na katulad ng mga inilarawan sa materyal na ito ay ipinahayag, dahil ang mga espesyalista ng mga laboratoryo ng sertipikasyon ay may seryosong espesyal na pagsasanay.
Bilang resulta, ang ipinakitang DLP system ay maaaring magsagawa ng napakaliit na hanay ng mga function na aktwal na nagsisiguro ng seguridad ng impormasyon, habang bumubuo ng isang seryosong pag-load ng computing at lumilikha ng isang pakiramdam ng seguridad para sa corporate data sa pamamahala ng kumpanya na walang karanasan sa mga usapin sa seguridad ng impormasyon.
Mapoprotektahan lang talaga nito ang napakalaking data mula sa isang unprivileged user, dahil... ang administrator ay lubos na may kakayahang ganap na i-deactivate ang proteksyon, at para sa malalaking lihim, kahit na ang isang junior cleaning manager ay magagawang maingat na kumuha ng larawan ng screen, o kahit na matandaan ang address o numero ng credit card sa pamamagitan ng pagtingin sa screen sa ibabaw ng isang kasamahan. balikat.
Bukod dito, ang lahat ng ito ay totoo lamang kung imposible para sa mga empleyado na magkaroon ng pisikal na pag-access sa loob ng PC o hindi bababa sa BIOS upang maisaaktibo ang pag-boot mula sa panlabas na media. At kahit na ang BitLocker, na malamang na hindi gagamitin sa mga kumpanyang nag-iisip lamang tungkol sa pagprotekta sa impormasyon, ay maaaring hindi makatulong.
Ang konklusyon, bagaman ito ay maaaring tunog, ay isang pinagsama-samang diskarte sa seguridad ng impormasyon, kabilang ang hindi lamang mga solusyon sa software/hardware, kundi pati na rin sa organisasyon at teknikal na mga hakbang upang ibukod ang pagkuha ng larawan/video at maiwasan ang hindi awtorisadong "mga batang lalaki na may kahanga-hangang memorya" mula sa pagpasok ang site. Hindi ka dapat umasa sa miracle product na DL 8.2, na ina-advertise bilang isang hakbang na solusyon sa karamihan ng mga problema sa seguridad ng enterprise.
Pinagmulan: www.habr.com