Ekim 2017'de DeviceLock DLP sistemi için bir tanıtım seminerine katılma fırsatı buldum; burada USB bağlantı noktalarını kapatma, posta ve panonun bağlamsal analizi gibi sızıntılara karşı korumanın ana işlevselliğine ek olarak yöneticiden koruma da sağlandı. reklamı yapıldı. Model basit ve güzel - bir yükleyici küçük bir şirkete gelir, bir dizi program yükler, bir BIOS şifresi belirler, bir DeviceLock yönetici hesabı oluşturur ve yalnızca Windows'un kendisini ve yazılımın geri kalanını yönetme haklarını yerele bırakır. yönetici. Kasıt olsa bile bu admin hiçbir şey çalamayacaktır. Ama bunların hepsi teori...
Çünkü Bilgi güvenliği araçları geliştirme alanında 20 yılı aşkın bir süredir çalıştığım için, bir yöneticinin, özellikle bir bilgisayara fiziksel erişimle her şeyi yapabileceğine, o zaman buna karşı ana korumanın yalnızca katı raporlama gibi kurumsal önlemler olabileceğine açıkça ikna oldum ve Önemli bilgiler içeren bilgisayarların fiziksel olarak korunması, ardından hemen Önerilen ürünün dayanıklılığını test etme fikri ortaya çıktı.
Seminerin bitiminden hemen sonra bunu yapma girişimi başarısız oldu; DlService.exe ana hizmetinin silinmesine karşı koruma yapıldı ve hatta erişim haklarını ve son başarılı yapılandırmanın seçimini unutmadılar, bunun sonucunda çoğu virüs gibi onu da düşürdüler, sistemin okuma ve yürütme erişimini engellediler, işe yaramadı.
Smart Line geliştiricisinin temsilcisi, muhtemelen ürüne dahil olan sürücülerin korunmasına ilişkin tüm sorulara kendinden emin bir şekilde "her şeyin aynı seviyede olduğunu" belirtti.
Bir gün sonra araştırmama devam etmeye karar verdim ve deneme sürümünü indirdim. Neredeyse 2 GB olan dağıtımın boyutu beni hemen şaşırttı! Genellikle bilgi güvenliği araçları (ISIS) olarak sınıflandırılan sistem yazılımlarının genellikle çok daha kompakt bir boyuta sahip olmasına alışkınım.
Kurulumdan sonra ikinci kez şaşırdım - yukarıda belirtilen yürütülebilir dosyanın boyutu da oldukça büyük - 2MB. Hemen böyle bir hacimde tutunacak bir şey olduğunu düşündüm. Gecikmeli kaydı kullanarak modülü değiştirmeye çalıştım - kapalıydı. Program kataloglarına baktım ve zaten 13 sürücü vardı! İzinlere baktım; değişiklik nedeniyle kapalı değiller! Tamam, herkes yasaklandı, hadi aşırı yükleme yapalım!
Etkisi tek kelimeyle büyüleyici - tüm işlevler devre dışı bırakıldı, hizmet başlamıyor. Orada ne tür bir meşru müdafaa var, flash sürücülerde, hatta ağ üzerinden bile istediğinizi alın ve kopyalayın. Sistemin ilk ciddi dezavantajı ortaya çıktı: bileşenlerin ara bağlantısı çok güçlüydü. Evet, hizmetin sürücülerle iletişim kurması gerekiyor, ancak kimse yanıt vermiyorsa neden çöksün? Sonuç olarak, korumayı atlamanın bir yöntemi vardır.
Mucize hizmetin çok hassas ve duyarlı olduğunu öğrendikten sonra üçüncü taraf kütüphanelere olan bağımlılıklarını kontrol etmeye karar verdim. Burada daha da basit, liste büyük, sadece WinSock_II kütüphanesini rastgele siliyoruz ve benzer bir resim görüyoruz - hizmet başlamadı, sistem açık.
Sonuç olarak, konuşmacının seminerde anlattığı şeyin aynısına sahibiz, güçlü bir çit, ancak parasızlık nedeniyle korunan çevrenin tamamını kapatmıyor ve açıkta kalan alanda sadece dikenli kuşburnu var. Bu durumda, varsayılan olarak kapalı bir ortam anlamına gelmeyen, ancak çeşitli farklı fişler, önleyiciler, trafik analizörleri anlamına gelen yazılım ürününün mimarisi dikkate alındığında, bu daha çok şeritlerin çoğunun vidalandığı bir çittir. dıştan kendinden kılavuzlu vidalar bulunur ve sökülmesi çok kolaydır. Bu çözümlerin çoğundaki sorun, bu kadar çok sayıda potansiyel açıkla birlikte, her zaman bir şeyi unutma, bir ilişkiyi kaçırma veya engelleyicilerden birini başarısız bir şekilde uygulayarak istikrarı etkileme olasılığının bulunmasıdır. Bu makalede sunulan güvenlik açıklarının yalnızca yüzeyde olduğu gerçeğine bakılırsa ürün, aranması birkaç saat daha uzun sürecek birçok güvenlik açığını da içeriyor.
Dahası, pazar, örneğin kendini savunmanın kolayca atlanamayacağı yerli anti-virüs ürünleri gibi kapatma korumasının yetkin bir şekilde uygulanmasının örnekleriyle doludur. Bildiğim kadarıyla FSTEC sertifikasını alamayacak kadar tembel değillerdi.
Smart Line çalışanlarıyla yapılan birçok görüşme sonrasında adını bile duymadıkları birçok benzer yer bulundu. Bunun bir örneği AppInitDll mekanizmasıdır.
En derin olmayabilir, ancak çoğu durumda işletim sistemi çekirdeğine girmeden ve kararlılığını etkilemeden bunu yapmanıza olanak tanır. nVidia sürücüleri, video bağdaştırıcısını belirli bir oyuna ayarlamak için bu mekanizmadan tam olarak yararlanır.
DL 8.2'ye dayalı otomatik bir sistem oluşturmaya yönelik entegre bir yaklaşımın tamamen eksikliği, soruları gündeme getiriyor. Müşteriye ürünün avantajlarını açıklamak, mevcut bilgisayarların ve sunucuların bilgi işlem gücünü kontrol etmek önerilmektedir (bağlam analizörleri çok kaynak yoğundur ve artık moda olan ofis hepsi bir arada bilgisayarlar ve Atom tabanlı nettoplar uygun değildir) bu durumda) ve ürünü üste doğru yuvarlayın. Aynı zamanda seminerde “erişim kontrolü” ve “kapalı yazılım ortamı” gibi kavramlardan bile bahsedilmedi. Şifrelemeyle ilgili olarak, karmaşıklığın yanı sıra düzenleyicilerin sorularını da artıracağı söylendi, ancak gerçekte bununla ilgili bir sorun yok. Sertifikasyonla ilgili sorular, FSTEC'te bile, karmaşıklığı ve uzunluğu nedeniyle bir kenara atılıyor. Bu tür prosedürlerde defalarca yer almış bir bilgi güvenliği uzmanı olarak, bunların gerçekleştirilme sürecinde bu materyalde açıklananlara benzer birçok güvenlik açığının ortaya çıktığını söyleyebilirim çünkü Sertifikasyon laboratuvarlarının uzmanları ciddi uzmanlık eğitimine sahiptir.
Sonuç olarak, sunulan DLP sistemi, bilgi güvenliği konusunda tecrübesiz olan şirket yöneticileri arasında ciddi bir bilgi işlem yükü oluşturarak kurumsal veriler için güvenlik hissi yaratırken, aslında bilgi güvenliğini sağlayan çok küçük bir dizi işlevi yerine getirebilmektedir.
Gerçekten büyük verileri yalnızca ayrıcalıklı olmayan bir kullanıcıdan gerçekten koruyabilir, çünkü... Yönetici, korumayı tamamen devre dışı bırakma konusunda oldukça yeteneklidir ve büyük sırlar için, kıdemsiz bir temizlik müdürü bile ekranın fotoğrafını gizlice çekebilecek, hatta bir meslektaşının ekranına bakarak adresi veya kredi kartı numarasını hatırlayabilecektir. omuz.
Üstelik tüm bunlar, yalnızca çalışanların bilgisayarın iç kısımlarına veya en azından harici ortamdan önyüklemeyi etkinleştirmek için BIOS'a fiziksel erişiminin imkansız olması durumunda geçerlidir. O zaman sadece bilgiyi korumayı düşünen şirketlerde kullanılması pek mümkün olmayan BitLocker bile işe yaramayabilir.
Sonuç, kulağa ne kadar sıradan gelse de, yalnızca yazılım/donanım çözümlerini değil aynı zamanda fotoğraf/video çekimlerini ve yetkisiz "olağanüstü hafızaya sahip çocukların" girişini engellemek için organizasyonel ve teknik önlemleri de içeren entegre bir bilgi güvenliği yaklaşımıdır. site. Çoğu kurumsal güvenlik sorununa tek adımlı çözüm olarak tanıtılan mucize ürün DL 8.2'ye asla güvenmemelisiniz.
Kaynak: habr.com