Dalam jejak lebih dari
artikel tahun lalu, saya menyajikan kelanjutan yang menyedihkan.
Pada musim gugur 2018, saya menemukan komentar oleh salah satu pencipta produk dan memutuskan untuk melihat apakah lubang-lubang pada versi baru sudah diperbaiki dan mencoba mencari yang baru.
Akibatnya, berikut ini ditemukan:
1. Kemampuan untuk menghapus / mengganti nama driver dihilangkan dengan menginstal hak akses yang lebih ketat kepada mereka.
Keputusan ini jelas sekali. Ini adalah satu-satunya plus, diikuti oleh kontra:
2. Perlindungan file sistem dibiarkan "sebagaimana adanya", mungkin dengan tujuan untuk memastikan pengoperasian mekanisme pembaruan sistem operasi.
Akibatnya, menghapus / mengganti nama file sistem dan merobohkan layanan dengan cara ini dapat dilakukan dengan mudah.
Kami mencoba untuk menghapus winpool.drv yang tampaknya tidak berguna, yang bergantung pada dlservice.exe, dan reboot.
Kami memasuki sistem, kami melihat di task manager bahwa layanan tidak dimulai dan ... oppa! Layar biru!
Kami kelebihan beban, kami masuk dan lagi biru! Kami mengembalikan file ke tempat, kelebihan beban. Layanan sedang berjalan, tidak ada crash! Itu karena yang licik melakukan pembelaan! Bravo? - Jangan terburu-buru!
Hal pertama yang menarik perhatian Anda adalah adanya penundaan antara masuk dan jatuh ke layar biru.
Seorang penyerang dapat melakukan hal-hal gelap, tetapi sangat cepat.
Namun, pada kecepatan antarmuka USB3 dan Thunderbolt, Anda dapat mengatur untuk mentransfer seratus atau dua megabita ke drive yang dapat dilepas dalam beberapa detik antara masuk dan menabrak.
Yang kedua - sistem tidak macet jika Anda tidak masuk. Yaitu berpegang teguh pada jaringan dari laptop Anda, bagikan C $ dan dengan tenang ambil apa yang Anda butuhkan, karena semuanya ada, termasuk firewall! Yang utama ada di gigitan berduri ... Ugh !, jangan masuk ke remote desktop dan jangan login - itu akan jatuh lagi!
Dan akhirnya, yang ketiga - kami mencoba alih-alih sistem shell (secara default, tentu saja, Explorer), menyelipkan skrip menyalin sesuatu yang besar, seperti basis klien, ke USB flash drive (dan ya, kunci registri untuk mengedit tidak ditutup!).
Efeknya lucu - layar biru tidak muncul bahkan 10 menit setelah skrip berbahaya kami berfungsi!
Superproteksi bereaksi terhadap konduktor! Untuk memeriksanya, jalankan saja dan dapatkan layar biru! Yaitu itu sudah cukup untuk menonaktifkan shell standar, dan perlindungannya runtuh setelah menghapus file sistem!
Pengembang dari Smart Line, tampaknya, tidak menyadari bahwa dialog buka file standar memiliki hampir semua fungsi file explorer dan tersedia
segera setelah masuk dari task manager!
Hasilnya, kita memiliki apa yang diharapkan dalam artikel sebelumnya: mereka memasang sekrup tambahan ke piket, tetapi ini tidak terlalu memperkuat perlindungan.
Sangat mengejutkan bahwa solusi kikuk seperti itu ditawarkan oleh perusahaan yang memposisikan dirinya sebagai pengembang sistem perlindungan global!
Selain itu, mereka berpikir tentang pengguna biasa yang terakhir, karena jika terjadi kegagalan pada file sistem yang rusak, perlindungan ajaib ini hanya akan melumpuhkan operasi komputer yang biasa dan banyak waktu akan dihabiskan untuk pemulihan jika tidak ada personel yang berkualifikasi di dekatnya.
Sementara bermain-main dengan ini, saya tidak sengaja menemukan trik lain dalam gaya Apple: Anda dapat memasuki konsol manajemen atas nama pengguna biasa dengan kata sandi kosong! Ini dimungkinkan jika kata sandinya cocok dengan kata sandi salah satu admin DeviceLock yang dipilih.
Secara alami, pada mesin virtual pengujian saya semua memiliki 8 kata sandi.
Pendekatan pengembang sangat disambar - ini adalah bug Microsoft dan kami tidak akan memperbaikinya. Pertanyaannya, mengapa menggunakan komponen masalah, menggantung di udara.
Saya juga memperhatikan bahwa mekanisme untuk meningkatkan hak akses dibuat tidak kurang canggung: ketika menginstal peningkatan perlindungan diri, templat diterapkan tanpa memeriksa hasilnya. Jika entah bagaimana file tersebut dihapus atau hak-haknya ditetapkan sebelumnya sehingga installer tidak dapat mengubahnya, maka tidak akan ada reaksi. Kesalahan tidak akan muncul, dan setelah reboot, layanan tidak akan mulai atau file akan tetap tersedia untuk modifikasi / penghapusan. Dan ini adalah pekerjaan para profesional keamanan?
Sebagai hasilnya, kami mendapatkan bahwa alih-alih mengubah arsitektur produk yang sangat tidak berhasil, pengembang membatasi dirinya pada tambalan yang canggung dan tidak efektif dan melanjutkan pengembangan dalam gaya yang luas. Layanan telah menjadi lebih besar dan file exe sudah 18 MB, bukan 13!
Manajemen SmartLine bereaksi lamban terhadap tawaran kerja sama untuk menghilangkan penemuan, yang bahkan lebih mengejutkan. Saya tidak berpikir bahwa dalam perusahaan IT yang serius ada prinsip "mengapa meningkatkan, orang-orang memukul!".
Satu hanya bisa menebak berapa banyak lagi masalah yang dimiliki produk ini. Berkeliaran lebih jauh secara gratis hanya malas. Menggunakannya sangat tidak dianjurkan, seperti yang disebutkan lebih dari setahun yang lalu.