Vào tháng 2017 năm XNUMX, tôi có cơ hội tham dự một hội thảo quảng cáo cho hệ thống DeviceLock DLP, tại đây, ngoài chức năng chính là bảo vệ chống rò rỉ như đóng cổng USB, phân tích theo ngữ cảnh của thư và bảng tạm, tính năng bảo vệ khỏi quản trị viên còn được cung cấp. được quảng cáo. Mô hình này đơn giản và đẹp mắt - một trình cài đặt đến một công ty nhỏ, cài đặt một bộ chương trình, đặt mật khẩu BIOS, tạo tài khoản quản trị viên DeviceLock và chỉ để lại quyền quản lý chính Windows và phần còn lại của phần mềm cho người dùng cục bộ. quản trị viên. Dù có cố ý thì quản trị viên này cũng sẽ không thể ăn trộm bất cứ thứ gì. Nhưng tất cả chỉ là lý thuyết...
Bởi vì Hơn 20 năm làm việc trong lĩnh vực phát triển các công cụ bảo mật thông tin, tôi tin chắc rằng quản trị viên có thể làm bất cứ điều gì, đặc biệt là với quyền truy cập vật lý vào máy tính, thì biện pháp bảo vệ chính chống lại nó chỉ có thể là các biện pháp tổ chức như báo cáo nghiêm ngặt và bảo vệ vật lý các máy tính chứa thông tin quan trọng thì ngay lập tức nảy sinh ý tưởng kiểm tra độ bền của sản phẩm được đề xuất.
Nỗ lực thực hiện việc này ngay sau khi kết thúc hội thảo đã không thành công; việc bảo vệ khỏi việc xóa dịch vụ chính DlService.exe đã được thực hiện và họ thậm chí còn không quên quyền truy cập cũng như việc lựa chọn cấu hình thành công cuối cùng, do đó họ đã đánh sập nó, giống như hầu hết các loại vi-rút, từ chối quyền truy cập của hệ thống để đọc và thực thi, Không thành công.
Đối với tất cả các câu hỏi về khả năng bảo vệ trình điều khiển có lẽ có trong sản phẩm, đại diện nhà phát triển Smart Line tự tin khẳng định rằng “mọi thứ đều ở mức độ như nhau”.
Một ngày sau tôi quyết định tiếp tục nghiên cứu và tải xuống phiên bản dùng thử. Tôi ngay lập tức ngạc nhiên bởi kích thước của bản phân phối, gần 2 GB! Tôi đã quen với thực tế là phần mềm hệ thống, thường được phân loại là công cụ bảo mật thông tin (ISIS), thường có kích thước nhỏ gọn hơn nhiều.
Sau khi cài đặt, tôi rất ngạc nhiên lần thứ hai - kích thước của tệp thực thi nói trên cũng khá lớn - 2MB. Tôi ngay lập tức nghĩ rằng với khối lượng như vậy thì có thứ gì đó để nắm bắt. Tôi đã cố gắng thay thế mô-đun bằng cách ghi chậm - nó đã bị đóng. Tôi đã xem kỹ danh mục chương trình và đã có 13 trình điều khiển! Tôi đã kiểm tra các quyền - chúng không bị đóng để thay đổi! Được rồi, mọi người đều bị cấm, hãy quá tải!
Hiệu ứng chỉ đơn giản là mê hoặc - tất cả các chức năng đều bị tắt, dịch vụ không bắt đầu. Có kiểu tự vệ nào, lấy và sao chép bất cứ thứ gì bạn muốn, ngay cả trên ổ đĩa flash, thậm chí qua mạng. Hạn chế nghiêm trọng đầu tiên của hệ thống xuất hiện - sự kết nối giữa các thành phần quá mạnh. Có, dịch vụ sẽ liên lạc với các trình điều khiển, nhưng tại sao lại gặp sự cố nếu không có ai phản hồi? Kết quả là có một phương pháp bỏ qua sự bảo vệ.
Khi phát hiện ra rằng dịch vụ thần kỳ rất tinh tế và nhạy cảm, tôi quyết định kiểm tra sự phụ thuộc của nó vào thư viện của bên thứ ba. Ở đây thậm chí còn đơn giản hơn, danh sách rất lớn, chúng tôi chỉ xóa ngẫu nhiên thư viện WinSock_II và thấy một hình ảnh tương tự - dịch vụ chưa bắt đầu, hệ thống đang mở.
Kết quả là, chúng ta có điều tương tự như diễn giả đã mô tả tại hội thảo, một hàng rào kiên cố nhưng không bao bọc toàn bộ chu vi được bảo vệ do thiếu tiền, và ở khu vực không có mái che chỉ đơn giản là những bông hoa hồng gai. Trong trường hợp này, có tính đến kiến trúc của sản phẩm phần mềm, theo mặc định, không ngụ ý một môi trường khép kín mà là nhiều loại phích cắm, bộ chặn, bộ phân tích lưu lượng truy cập khác nhau, nó giống như một hàng rào cọc, với nhiều dải được vặn vào bên ngoài bằng vít tự khai thác và rất dễ tháo ra. Vấn đề với hầu hết các giải pháp này là với số lượng lỗ hổng tiềm năng khổng lồ như vậy, luôn có khả năng quên điều gì đó, bỏ lỡ một mối quan hệ hoặc ảnh hưởng đến sự ổn định do triển khai không thành công một trong các thiết bị chặn. Đánh giá dựa trên thực tế là các lỗ hổng được trình bày trong bài viết này chỉ đơn giản là bề ngoài, sản phẩm còn chứa nhiều lỗ hổng khác mà sẽ mất thêm vài giờ để tìm kiếm.
Hơn nữa, thị trường có đầy đủ các ví dụ về việc thực hiện hiệu quả biện pháp bảo vệ tắt máy, chẳng hạn như các sản phẩm chống vi-rút trong nước, nơi mà khả năng tự vệ không thể bị bỏ qua. Theo tôi được biết, họ không hề lười biếng để thi lấy chứng chỉ FSTEC.
Sau khi tiến hành một số cuộc trò chuyện với nhân viên của Smart Line, một số địa điểm tương tự mà họ thậm chí chưa từng nghe đến đã được tìm thấy. Một ví dụ là cơ chế AppInitDll.
Nó có thể không phải là sâu nhất, nhưng trong nhiều trường hợp, nó cho phép bạn thực hiện mà không cần vào nhân hệ điều hành và không ảnh hưởng đến tính ổn định của nó. Trình điều khiển nVidia tận dụng triệt để cơ chế này để điều chỉnh bộ điều hợp video cho một trò chơi cụ thể.
Việc thiếu hoàn toàn phương pháp tiếp cận tích hợp để xây dựng hệ thống tự động dựa trên DL 8.2 đặt ra câu hỏi. Nó được đề xuất để mô tả cho khách hàng những ưu điểm của sản phẩm, kiểm tra sức mạnh tính toán của PC và máy chủ hiện có (máy phân tích ngữ cảnh rất tốn nhiều tài nguyên và máy tính văn phòng đa năng và nettop dựa trên Atom thời thượng hiện nay không phù hợp). trong trường hợp này) và chỉ cần tung sản phẩm lên trên. Đồng thời, các thuật ngữ như “kiểm soát truy cập” và “môi trường phần mềm đóng” thậm chí còn không được đề cập tại hội thảo. Người ta nói về mã hóa, ngoài sự phức tạp, nó sẽ đặt ra câu hỏi từ các cơ quan quản lý, mặc dù trên thực tế không có vấn đề gì với nó. Các câu hỏi về chứng nhận, ngay cả ở FSTEC, đều bị gạt sang một bên do tính phức tạp và dài dòng của chúng. Với tư cách là một chuyên gia bảo mật thông tin, người đã nhiều lần tham gia vào các quy trình như vậy, tôi có thể nói rằng trong quá trình thực hiện chúng, nhiều lỗ hổng tương tự như được mô tả trong tài liệu này đã lộ ra, bởi vì các chuyên gia của phòng thí nghiệm chứng nhận được đào tạo chuyên môn nghiêm túc.
Do đó, hệ thống DLP được trình bày có thể thực hiện một nhóm chức năng rất nhỏ thực sự đảm bảo an ninh thông tin, đồng thời tạo ra tải trọng tính toán nghiêm trọng và tạo cảm giác an toàn cho dữ liệu công ty đối với những người quản lý công ty còn thiếu kinh nghiệm trong các vấn đề bảo mật thông tin.
Nó chỉ có thể thực sự bảo vệ dữ liệu thực sự lớn khỏi người dùng không có đặc quyền, bởi vì... Quản trị viên hoàn toàn có khả năng vô hiệu hóa hoàn toàn tính năng bảo vệ và đối với những bí mật lớn, ngay cả người quản lý vệ sinh cấp dưới cũng có thể kín đáo chụp ảnh màn hình hoặc thậm chí nhớ địa chỉ hoặc số thẻ tín dụng bằng cách nhìn vào màn hình qua đồng nghiệp. vai.
Hơn nữa, tất cả điều này chỉ đúng nếu nhân viên không thể có quyền truy cập vật lý vào bên trong PC hoặc ít nhất là vào BIOS để kích hoạt khả năng khởi động từ phương tiện bên ngoài. Sau đó, ngay cả BitLocker, thứ khó có thể được sử dụng trong các công ty chỉ nghĩ đến việc bảo vệ thông tin, cũng có thể không giúp ích được gì.
Kết luận, nghe có vẻ tầm thường, là một cách tiếp cận tích hợp để bảo mật thông tin, bao gồm không chỉ các giải pháp phần mềm/phần cứng mà còn cả các biện pháp tổ chức và kỹ thuật để loại trừ việc chụp ảnh/quay phim và ngăn chặn “những chàng trai có trí nhớ phi thường” xâm nhập trái phép. trang web. Bạn không bao giờ nên dựa vào sản phẩm thần kỳ DL 8.2, sản phẩm được quảng cáo là giải pháp một bước cho hầu hết các vấn đề bảo mật doanh nghiệp.
Nguồn: www.habr.com