У жовтні 2017 року довелося побувати на рекламному семінарі DLP-системи DeviceLock, де крім основного функціоналу захисту від витоків типу закриття USB-портів, контекстного аналізу пошти та буфера обміну рекламувався захист від адміністратора. Модель проста і красива - в маленьку фірму приходить установник, ставить комплекс програм, пароліт БІОС, створює адміністраторську облік DeviceLock, а місцевому адміну залишає лише права на управління власне Віндою та іншим софтом. Навіть у разі наміру цей адмін нічого вкрасти не зможе. Але це все теорія.
Т.к. за 20+ років роботи в галузі розробки засобів захисту інформації наочно переконався, що адміністратор може все, особливо маючи фізичний доступ до комп'ютера, то основним захистом від нього можуть бути виключно організаційні заходи типу суворої звітності та фізичного захисту комп'ютерів, що містять важливу інформацію, негайно з'явилася ідея перевірити стійкість запропонованого товару.
Спроба зробити відразу після завершення семінару не вдалася, в лоб захист від видалення основної служби DlService.exe зробили і навіть про права доступу та вибір останньої вдалої конфігурації не забули, внаслідок чого повалити її, як більшість вірусів, заборонивши системі доступ на читання та виконання , не вийшло.
На всі питання про захист, напевно, наявних у складі продукту драйверів представник фірми-розробника Смарт Лайн впевнено заявляв, що «все на тому ж рівні».
Через день вирішив продовжити пошуки, скачав пробну версію. Відразу ж здивував розмір дистрибутива майже в 2 Гб! Звикли, що системне ПЗ, до якого прийнято відносити засоби захисту інформації (СЗІ), зазвичай має набагато компактніший розмір.
Після установки здивувався вдруге - розмір вищезгаданого ехе-шника теж дуже великий - 2Мб. Відразу подумалося, що за такого обсягу є за що зачепитися. Спробував підмінити модуль за допомогою відкладеного запису закрито. Покопався у каталогах програми, а там одних драйверів аж 13 штук! Потикав у дозволи – не закриті для зміни! Ну гаразд, усім заборона, перевантажуємось!
Ефект просто феєричний – всі функції відключилися, служба не стартувала. Який там самозахист, бери та копіюй що хочеш хоч на флешки, хоч по мережі. Виліз перший серйозний недолік системи — надто сильний взаємозв'язок компонентів. Так, служба з драйверами має спілкуватися, але падати щось навіщо, якщо ніхто не відповідає? У результаті один спосіб обходу захисту є.
З'ясувавши, що чудо-служба така ніжна та чутлива, вирішив перевірити її залежність від сторонніх бібліотек. Тут ще простіше, список великий, просто навмання стираємо бібліотеку WinSock_II і спостерігаємо аналогічну картину - служба не стартувала, система відкрита.
У результаті маємо те саме, що живописував доповідач на семінарі, потужний паркан, але периметр, що обгороджує не весь, через брак грошей, а на незакритій ділянці просто колюча шипшина. В даному ж випадку, враховуючи архітектуру програмного виробу, що передбачає не закрите за умовчанням середовище, а безліч різноманітних затичок, перехоплювачів, аналізаторів трафіку, це швидше штакетник, причому багато планочок прикручені шурупами зовні і їх дуже легко відкрутити. Проблеми більшості подібних рішень у тому, що в такій величезній кількості потенційних дірок завжди є можливість забути щось, пропустити взаємозв'язок або вплинути на стабільність, невдало реалізувавши якийсь із перехоплювачів. Зважаючи на те, що наведені в цій статті вразливості просто лежать на поверхні, продукт містить ще безліч інших, шукати які треба на кілька годин довше.
Причому на ринку повно прикладів грамотної реалізації захисту від відключення, наприклад, вітчизняні антивірусні засоби, де самозахист просто так не об'їдеш. Наскільки мені відомо, вони не полінувалися пройти сертифікацію ФСТЕК.
Провівши кілька розмов зі співробітниками Смарт Лайн, кілька подібних місць, про які вони навіть не чули, було знайдено. Один із прикладів - механізм АррInitDll.
Нехай він не найглибший, натомість у багатьох випадках дозволяє обійтися без влазіння в ядро ОС і не впливати на її стабільність. Драйвера nVidia на всю використовують даний механізм для підстроювання відеодаптера під конкретну гру.
Викликає повну відсутність комплексного підходу до побудови автоматизованої системи на базі DL 8.2. Пропонується малювати замовнику переваги продукту, перевірити обчислювальну потужність наявних ПК і серверів (контекстні аналізатори дуже ресурсомісткі і модні офісні моноблоки і неттопи на базі Атом в даному випадку не підходять) і просто накотити зверху виріб. При цьому такі терміни як «розмежування доступу», «замкнене програмне середовище» навіть не прозвучали на семінарі. Про шифрування було сказано, що окрім складності воно викличе питання регуляторів, хоча реально жодних проблем із цим немає. Питання про сертифікацію навіть у ФСТЕК відкидаються через їхню нібито складність і затягнутість. Як фахівець з ІБ, що неодноразово брав участь у подібних процедурах, можу сказати, що в процесі їх проведення виявляється безліч вразливостей, подібних до описаних у цьому матеріалі, т.к. спеціалісти сертифікуючих лабораторій мають серйозну профільну підготовку.
У результаті представлена DLP-система може виконувати дуже малий набір функцій, що забезпечують інформаційну безпеку, генеруючи при цьому серйозне обчислювальне навантаження і створюючи у недосвідченого в питаннях ІБ керівництва компанії відчуття захищеності корпоративних даних.
Реально захистити може хіба що реально великі дані від непривілейованого користувача, т.к. адміністратор цілком здатний повністю деактивувати захист, а для необ'ємних секретів і молодший менеджер з клінінгу здогадається непомітно сфотографувати екран, а то й запам'ятати адресу чи номер кредитки, зазирнувши в екран через плече колеги.
Причому все це справедливо лише у разі неможливості фізичного доступу співробітників до нутрощів ПК або хоча б до БІОС для активації завантаження із зовнішніх носіїв. Тоді може не допомогти навіть БітЛокер, який навряд чи застосовується у фірмах, які лише замислились про захист інформації.
Висновок, як це не банально звучить, у комплексному підході до ІБ, включаючи не лише програмно/апаратні рішення, а й організаційно-технічні заходи для виключення фото/відеозйомки та недопуску на об'єкт сторонніх «хлопчиків із феноменальною пам'яттю». Покладатися на диво-продукт DL 8.2, що рекламується як однокрокове вирішення більшості проблем з безпекою підприємства, не можна в жодному разі.
Джерело: habr.com