Контроль всей информации циркулирующей в организации является одной из главных задач при практической реализации организационно-распорядительных документов (политика информационной безопасности и иные внутренние документы нижних уровней) организации.
Системы предотвращения утечек конфиденциальной информации из информационной системы (Data Leak Prevention, DLP) в большей части способны разрешить данную проблему.

На современном рынке достаточно разновидностей данных систем, например таких как: SearchInform DLP, Infowatch Traffic Monitor DLP, Zecurion DLP, Symantec DLP и другие. Но сегодня данная статья будет о продукте компании ООО «СёрчИнформ».

Контур информационной безопасности SearchInform (КИБ Сёрчинформ) – это серьёзный и гибко настраиваемый программный комплекс, который по своему функционалу и обширным аналитическим инструментарием создает серьезную конкуренцию другим компаниям в данной сфере. Но как и у всех продуктов у КИБ Сёрчинформ имеется один из недостатков, о котором сейчас и пойдет речь.

image

Рисунок 1 – Логотип КИБ Сёрчинформ

В КИБ Сёрчинформ одним из источников сбора информации является агент (Windows/Linux). Агент для ОС Windows, как и для ОС Linux, имеет модульную систему сбора информации, при необходимости они включаются или отключаются. Мы рассмотрим модуль Device (контроль внешних устройств, сетевых устройств, процессов и т.п.). Демо-версию данного продукта можно получить официально через сайт разработчика (с полным функционалом). Дальнейшие действия будут реализованы с помощью полученного ключа лицензии — версия программы EndPointController 5.51.0.9 (версия агента 5.51.0.9).

Основной проблемой в работе данного модуля, является алгоритм шифрования информации на внешних съемных устройствах. Рассмотрим принцип работы алгоритма шифрования в КИБ Сёрчинформ.

Устанавливаем агент на рабочую станцию и выставляем для рабочей контроль внешних устройств (модуль Device) в разделе «Сетевое окружение» EndPointController 5.51.0.9

image
Рисунок 2 – Установка и включение модуля

Производим конфигурацию шифрования в настройках модуля Device вкладки «Шифрование»: генерируем ключ и включаем шифрование для всех носителей (возможно включение шифрования только для определенных носителей информации).

image
Рисунок 3 – Настройка белого списка

image
Рисунок 4 – Конфигурация шифрования

Теперь приступаем к разбору алгоритма шифрования файлов данным продуктом. Скопируем файлы «Install.exe» и «Основы права.rtf» с подконтрольной рабочей станции «WINOC» на внешний съемный носитель «Съемный диск (Е:)». Как видно на рисунке 5 в скрытой папке «System Volume Information» создались объекты «Install.exe» и «Основы права.rtf». Тем самым можно сделать вывод, что папка «System Volume Information» содержит в себе перечень зашифрованных объектов на съемном носителе.

image
Рисунок 5 – папка «System Volume Information»

image
Рисунок 6 – Корневая папка съемного носителя информации

Как известно, существуют три аспекта, на которых строится информационная безопасность – это целостность, доступность и конфиденциальность. Данные аспекты нарушаются с использованием данного подхода шифрования, так как системная информация о том зашифрован объект или нет должна находиться в самом заголовке объекта.

При текущем построении алгоритма возможны варианты случайной модификации/удаления объектов папки «System Volume Information» на съемном носителе с дальнейшей утери исходных зашифрованных объектов, а также модификация самих объектов на бесконтрольных станциях (например: переименование объекта «Install.exe» с сетевым путем «E:\Install.exe» на компьютере без агента, при этом информационный файл программного продукта КИБ Сёрчинформ в папке «System Volume Information» «Install.exe» сетевым путем «E:\System Volume Information\Install.exe» остается неизменным, так как отсутствует агент, который изменит служебную информацию, и открытие данного файла уже становится невозможным).

Будем надеяться, что разработчик примет к сведению данный недостаток в работе функции шифрования съемных носителей информации в продукте КИБ Сёрчинформ и изменит ее алгоритм.

Комментарии (6)


  1. LifeDJ
    23.03.2019 17:47

    Признаюсь, ожидал увидеть разбор собственно алгоритма шифрования файлов. Или подтверждение теории (например, демонстрация невозможности открытия файла при изменении файла в “System Volume Information” — вдруг метаданные есть и в заголовке и изменение файлов в “System Volume Information” не влияет на возможность доступа).


    1. W_Hacker Автор
      23.03.2019 20:38

      На практике все было подтверждено, просто не прикрепил скриншот, обычную ошибку в открытии файла и так многие уже видели.


  1. berez
    23.03.2019 17:59

    Как видно на рисунке 5 в скрытой папке «System Volume Information» создались объекты «Install.exe» и «Основы права.rtf». Тем самым можно сделать вывод, что папка «System Volume Information» содержит в себе перечень зашифрованных объектов на съемном носителе.

    Сделанный вывод неплохо было бы проверить на практике. Возможно, вы ошибаетесь, и файлы в system volume information для расшифровки не нужны.


    1. W_Hacker Автор
      23.03.2019 20:36
      +1

      Всё проверено, там хранится служебная информация, когда их переименовываешь (system volume information), то сам агент уже не может расшифровать исходный файл, так как он ищет необходимую информацию в служебной папке по имени объекта.


  1. Hard_Stas
    23.03.2019 22:29
    +2

    Правильно ли я понял, что уязвимость тут в том, что можно узнать имена файлов на флешке?


  1. SearchInform
    25.03.2019 10:42
    -1

    Спасибо за Ваше исследование.
    Указанная проблема нам известна, для ее решения мы выпустим шифрование на основе криптоконтейнеров — это полностью нивелируют проблему.
    Если же говорить о фактах — то уязвимости или ошибки нет, есть вероятность потерять данные, а не расшифровать их. Так что свою функцию шифрование выполняет. Вероятность сделать что-то не так и потерять данные, существует во многих продуктах и жизненных ситуациях. В нашем случае потерять данные не позволит теневое копирование.