Die Überwachung aller in der Organisation zirkulierenden Informationen ist eine der Hauptaufgaben bei der praktischen Umsetzung von Organisations- und Verwaltungsdokumenten (Informationssicherheitsrichtlinie und andere interne Dokumente der unteren Ebenen) der Organisation.
Systeme zur Verhinderung des Verlusts vertraulicher Informationen aus einem Informationssystem (Data Leak Prevention, DLP) können dieses Problem meist lösen.
Auf dem heutigen Markt gibt es genügend Varianten dieser Systeme, wie zum Beispiel: SearchInform DLP, Infowatch Traffic Monitor DLP, Zecurion DLP, Symantec DLP und andere. In diesem Artikel geht es jedoch heute um das Produkt der Firma SearchInform.
SearchInform Information Security Circuit (CIB Searchinform) ist ein seriöses und hochgradig anpassbares Softwarepaket, das durch seine Funktionalität und seine umfangreichen Analysetools einen ernsthaften Wettbewerb mit anderen Unternehmen in diesem Bereich schafft. Aber wie alle Produkte hat CIB Searchinform einen der Nachteile, die wir jetzt diskutieren werden.
Abbildung 1 - Logo CIB SearchinformIn CIB Searchinform ist eine der Quellen für die Informationserfassung ein Agent (Windows / Linux). Agent für Windows sowie für Linux verfügt über ein modulares System zum Sammeln von Informationen. Falls erforderlich, werden diese aktiviert oder deaktiviert. Wir betrachten das Gerätemodul (Steuerung externer Geräte, Netzwerkgeräte, Prozesse usw.). Eine Demoversion dieses Produkts kann offiziell über die Website des Entwicklers bezogen werden (mit voller Funktionalität). Weitere Aktionen werden mit dem erhaltenen Lizenzschlüssel - EndPointController Version 5.51.0.9 (Agent Version 5.51.0.9) - implementiert.
Das Hauptproblem beim Betrieb dieses Moduls ist der Informationsverschlüsselungsalgorithmus auf externen Wechseldatenträgern. Berücksichtigen Sie das Funktionsprinzip des Verschlüsselungsalgorithmus in CIB Searchinform.
Wir installieren den Agenten auf der Workstation und stellen die externen Geräte (Gerätemodul) im Abschnitt „Netzwerkorte“ von EndPointController 5.51.0.9 für die Arbeit ein
Abbildung 2 - Installation und Einbau des ModulsWir konfigurieren die Verschlüsselung in den Einstellungen des Gerätemoduls auf der Registerkarte Verschlüsselung: Generieren Sie einen Schlüssel und aktivieren Sie die Verschlüsselung für alle Medien (die Verschlüsselung kann nur für bestimmte Speichermedien aktiviert werden).
Abbildung 3 - Einstellen der Whitelist
Abbildung 4 - VerschlüsselungskonfigurationNun beginnen wir mit der Analyse des Dateiverschlüsselungsalgorithmus für dieses Produkt. Kopieren Sie die Dateien "Install.exe" und "Fundamentals of Rights.rtf" von der gesteuerten Workstation "WINOC" auf das externe Wechselmedium "Removable Disk (E :)". Wie Sie in Abbildung 5 sehen können, wurden die Objekte "Install.exe" und "Fundamentals of Rights.rtf" im versteckten Ordner "System Volume Information" erstellt. Wir können daher den Schluss ziehen, dass der Ordner „System Volume Information“ eine Liste verschlüsselter Objekte auf Wechselmedien enthält.
Abbildung 5 - Ordner „System Volume Information“
Abbildung 6 - Der Stammordner des WechselmediumsWie Sie wissen, basiert die Informationssicherheit auf drei Aspekten: Integrität, Zugänglichkeit und Vertraulichkeit. Diese Aspekte werden bei diesem Verschlüsselungsansatz verletzt, da sich die Systeminformationen darüber, ob das Objekt verschlüsselt ist oder nicht, im Objektheader selbst befinden sollten.
In der aktuellen Konstruktion des Algorithmus werden Varianten der zufälligen Änderung / Löschung von Objekten des Ordners "System Volume Information" auf Wechselmedien mit weiterem Verlust der ursprünglichen verschlüsselten Objekte sowie die Änderung der Objekte selbst auf unkontrollierten Stationen (z. B. Umbenennen des Objekts "Install.exe" mit dem Netzwerkpfad "E. : \ Install.exe "auf einem Computer ohne Agenten, während die Informationsdatei für das CIB Searchinform-Softwareprodukt im Ordner" System Volume Information "" Install.exe "über den Netzwerkpfad" E: \ System Volume Information \ Install.exe "unverändert bleibt fehlender Agent welcher von ENITA Service-Informationen und die Öffnung der Datei unmöglich geworden ist).
Hoffen wir, dass der Entwickler diesen Mangel bei der Verschlüsselung von Wechseldatenträgern im Produkt von CIB Searchinform berücksichtigt und seinen Algorithmus ändert.