2017年XNUMX月,我有机会参加了DeviceLock DLP系统的推广研讨会,除了关闭USB端口、邮件和剪贴板的上下文分析等防泄密主要功能外,还增加了对管理员的保护。做了广告。 模型简单又美观——安装人员来到一家小公司,安装一套程序,设置BIOS密码,创建一个DeviceLock管理员帐户,只将管理Windows本身和其余软件的权限留给本地行政。 即使有意图,该管理员也无法窃取任何东西。 但这都是理论......
因为在开发信息安全工具领域工作了 20 多年,我清楚地相信管理员可以做任何事情,特别是对计算机进行物理访问,那么针对它的主要保护只能是组织措施,例如严格报告和包含重要信息的计算机的物理保护,然后立即产生了测试所提议产品的耐用性的想法。
研讨会结束后立即尝试执行此操作未成功;针对主服务 DlService.exe 的删除进行了保护,他们甚至没有忘记访问权限和最后一次成功配置的选择,因此他们像大多数病毒一样,拒绝系统读取和执行的权限,将其击倒,但没有成功。
对于产品中可能包含的有关驱动程序保护的所有问题,Smart Line 开发商的代表自信地表示,“一切都处于同一水平”。
一天后,我决定继续我的研究并下载了试用版。 我立即对发行版的大小感到惊讶,几乎有 2 GB! 我已经习惯了这样一个事实:系统软件通常被归类为信息安全工具(ISIS),通常具有更紧凑的尺寸。
安装后,我第二次感到惊讶——上述可执行文件的大小也相当大——2MB。 我立即想到,有这样一卷书,有一些值得抓住的东西。 我尝试使用延迟记录替换模块 - 它已关闭。 我查了一下程序目录,已经有13个驱动程序了! 我查看了权限 - 它们不会因更改而关闭! 好吧,大家都被禁止了,我们超载吧!
效果简直令人着迷——所有功能都被禁用,服务无法启动。 有什么自卫,想要什么就拿什么复制,甚至在闪存驱动器上,甚至通过网络。 该系统的第一个严重缺陷出现了——组件的互连性太强。 是的,服务应该与驱动程序通信,但如果没有人响应,为什么会崩溃呢? 因此,有一种绕过保护的方法。
发现奇迹服务是如此温和和敏感后,我决定检查它对第三方库的依赖关系。 这里就更简单了,列表很大,我们随便擦除WinSock_II库就可以看到类似的画面——服务还没有启动,系统是打开的。
结果,我们得到了演讲者在研讨会上描述的同样的东西,一个强大的围栏,但由于缺乏资金而没有包围整个受保护的边界,并且在未覆盖的区域中只有带刺的玫瑰果。 这样的话,考虑到软件产品的架构,默认情况下并不意味着封闭的环境,而是各种不同的插件、拦截器、流量分析器,它更像是一个尖桩篱笆,而且很多条带都是用自攻螺钉拧在外面,非常容易拧开。 大多数这些解决方案的问题在于,由于存在大量潜在漏洞,总是有可能忘记某些内容、丢失某种关系或因拦截器实施不成功而影响稳定性。 从本文中提出的漏洞仅停留在表面来看,该产品还包含许多其他漏洞,需要花费几个小时的时间来搜索。
而且,市场上还有很多能够有效实现关机保护的例子,比如国产杀毒产品,其自卫功能是无法简单绕过的。 据我所知,他们并没有懒得接受FSTEC认证。
在与Smart Line员工进行多次交谈后,发现了几个他们甚至没有听说过的类似地方。 AppInitDll 机制就是一个例子。
它可能不是最深的,但在许多情况下它允许您在不进入操作系统内核的情况下完成任务,并且不会影响其稳定性。 nVidia 驱动程序充分利用此机制来针对特定游戏调整视频适配器。
完全缺乏构建基于 DL 8.2 的自动化系统的集成方法引发了问题。 建议向客户描述产品的优点,检查现有PC和服务器的计算能力(上下文分析器非常占用资源,现在流行的办公一体机和基于Atom的上网本不适合在本例中),只需将产品铺在上面即可。 与此同时,研讨会上甚至没有提及“访问控制”和“封闭软件环境”等术语。 据说加密除了复杂性之外,还会引起监管机构的质疑,尽管实际上它没有任何问题。 有关认证的问题,即使在 FSTEC,也因其所谓的复杂性和冗长而被忽视。 作为一名多次参与此类程序的信息安全专家,我可以说,在执行这些程序的过程中,暴露了许多类似于本材料中描述的漏洞,因为认证实验室的专家都经过严格的专业培训。
因此,所提出的 DLP 系统可以执行实际上确保信息安全的非常小的功能集,同时产生严重的计算负载,并在信息安全问题上缺乏经验的公司管理层中为公司数据创造一种安全感。
它只能真正保护真正的大数据免受非特权用户的侵害,因为...... 管理员完全有能力完全解除保护,对于重大秘密,即使是初级清洁经理也可以偷偷地拍摄屏幕照片,甚至通过在同事的屏幕上看屏幕来记住地址或信用卡号肩膀。
此外,只有当员工无法物理访问 PC 内部或至少无法访问 BIOS 来激活从外部介质启动时,所有这一切才成立。 那么,即使是不太可能在只想保护信息的公司中使用的 BitLocker 也可能无济于事。
结论听起来很平庸,但它是一种综合的信息安全方法,不仅包括软件/硬件解决方案,还包括组织和技术措施,以排除照片/视频拍摄并防止未经授权的“记忆力惊人的男孩”进入网站。 您永远不应该依赖奇迹产品 DL 8.2,它被宣传为大多数企业安全问题的一步解决方案。
来源: habr.com