2017年XNUMX月,我有機會參加了DeviceLock DLP系統的推廣研討會,除了關閉USB埠、郵件和剪貼簿的上下文分析等防洩密主要功能外,還增加了對管理員的保護。做了廣告。 模型簡單又美觀——安裝人員來到一家小公司,安裝一套程序,設定BIOS密碼,創建一個DeviceLock管理員帳戶,只將管理Windows本身和其餘軟體的權限留給本地行政。 即使有意圖,該管理員也無法竊取任何東西。 但這都是理論......
因為在開發資訊安全工具領域工作了 20 多年,我清楚地相信管理員可以做任何事情,尤其是對計算機進行物理訪問,那麼針對它的主要保護只能是組織措施,例如嚴格報告和對包含重要信息的電腦進行物理保護,然後立即產生了測試所提議產品的耐用性的想法。
研討會結束後立即嘗試執行此操作未成功;針對主服務 DlService.exe 的刪除進行了保護,他們甚至沒有忘記訪問權限和最後一次成功配置的選擇,因此他們像大多數病毒一樣,拒絕系統讀取和執行的權限,將其擊倒,但沒有成功。
對於產品中可能包含的所有有關驅動程式保護的問題,Smart Line 開發商的代表自信地表示,「一切都處於同一水平」。
一天后,我決定繼續我的研究並下載了試用版。 我立即對發行版的大小感到驚訝,幾乎有 2 GB! 我已經習慣了這樣一個事實:系統軟體通常被歸類為資訊安全工具(ISIS),通常具有更緊湊的尺寸。
安裝後,我第二次感到驚訝——上述可執行檔的大小也相當大——2MB。 我立刻想到,有這樣一卷書,有一些值得抓住的東西。 我嘗試使用延遲記錄替換模組 - 它已關閉。 我查了一下程式目錄,已經有13個驅動程式了! 我查看了權限 - 它們不會因更改而關閉! 好吧,大家都被禁了,我們超載吧!
效果簡直令人著迷——所有功能都已停用,服務無法啟動。 有什麼自衛,想要什麼就拿什麼複製,甚至在隨身碟上,甚至透過網路。 這個系統的第一個嚴重缺陷出現了——組件的互連性太強。 是的,服務應該與驅動程式通信,但如果沒有人響應,為什麼會崩潰呢? 因此,有一種繞過保護的方法。
在發現奇蹟服務是如此溫和和敏感後,我決定檢查它對第三方庫的依賴。 這裡就更簡單了,清單很大,我們隨便擦除WinSock_II函式庫就可以看到類似的畫面-服務還沒啟動,系統是開啟的。
結果,我們得到了演講者在研討會上描述的同樣的東西,一道強大的柵欄,但由於缺乏資金而沒有圍住整個受保護的邊界,而在未覆蓋的區域,只有帶刺的玫瑰果。 在這種情況下,考慮到軟體產品的架構,預設並不意味著封閉的環境,而是各種不同的插頭、攔截器、流量分析器,它更像是一個尖樁籬笆,有許多條帶擰在上面外面有自攻螺絲,非常容易擰開。 大多數這些解決方案的問題在於,由於存在大量的潛在漏洞,總是有可能忘記某些內容、失去某種關係或因攔截器實施不成功而影響穩定性。 從本文中提出的漏洞僅停留在表面來看,該產品還包含許多其他漏洞,需要花費幾個小時的時間來搜尋。
而且,市面上還有很多能夠有效實現關機保護的例子,例如國產防毒產品,其自衛功能是無法簡單繞過的。 據我所知,他們並沒有懶得接受FSTEC認證。
在與Smart Line員工進行多次交談後,發現了幾個他們甚至沒有聽說過的類似地方。 AppInitDll 機制就是一個例子。
它可能不是最深的,但在許多情況下它允許您在不進入作業系統核心的情況下完成任務,並且不會影響其穩定性。 nVidia 驅動程式充分利用此機制來針對特定遊戲調整視訊適配器。
完全缺乏建構基於 DL 8.2 的自動化系統的整合方法引發了問題。 建議向客戶描述產品的優點,檢查現有PC和伺服器的運算能力(上下文分析器非常佔用資源,現在流行的辦公室一體機和基於Atom的上網本不適合在本例中),只需將產品鋪在上面即可。 同時,研討會上甚至沒有提及「存取控制」和「封閉軟體環境」等術語。 有人說,加密除了複雜性之外,還會引起監管機構的質疑,儘管實際上它沒有任何問題。 有關認證的問題,即使在 FSTEC,也因其所謂的複雜性和冗長而被忽視。 作為一名多次參與此類程序的資訊安全專家,我可以說,在執行這些程序的過程中,暴露了許多類似於本材料中描述的漏洞,因為認證實驗室的專家都經過嚴格的專業訓練。
因此,所提出的 DLP 系統可以執行實際上確保資訊安全的非常小的功能集,同時產生嚴重的計算負載,並在資訊安全問題上缺乏經驗的公司管理層中為公司資料創造一種安全感。
它只能真正保護真正的大數據免受非特權用戶的侵害,因為... 管理員完全有能力完全解除保護,對於重大秘密,即使是初級清潔經理也可以偷偷地拍攝螢幕照片,甚至透過在同事的螢幕上看螢幕來記住地址或信用卡號肩膀。
此外,只有當員工無法實際存取 PC 內部或至少無法存取 BIOS 來啟動從外部媒體啟動時,所有這一切才成立。 那麼,即使是不太可能在只想保護資訊的公司中使用的 BitLocker 也可能無濟於事。
結論聽起來很平庸,但它是一種綜合的資訊安全方法,不僅包括軟體/硬體解決方案,還包括組織和技術措施,以排除照片/影片拍攝並防止未經授權的“記憶力驚人的男孩”進入網站。 您永遠不應該依賴奇蹟產品 DL 8.2,它被宣傳為大多數企業安全問題的一步解決方案。
來源: www.habr.com