Перейти на Sec.Ru
Sec.Ru Интернет портал по безопасности
Мой Sec.Ru
Логин
или e-mail
Пароль
Забыли пароль?
Рейтинг@Mail.ru
Форум по безопасности на Sec.Ru


Популярные темы

О форуме
Регламент

Как пользоваться

Форум / Технические вопросы по безопасности / Информационная безопасность / Выявление нестандартного канала утечки данных
Выявление нестандартного канала утечки данных

подписаться · отослать другу

1
Никонов Василий (Никонов В. В.) 22.01.2013 01:17
Ответить Сообщить модератору

Добрый день! В статье "Инструменты инсайдера" ( http://daily.sec.ru/publication.cfm?pid=36485 ) описан нестандартный метод/канал утечки данных "достаточно проработанный в теоретическом плане и имеющий практические реализации".

Суть метода - преобразовать двоичные данные в аудиосигнал и использовать аудиовыход на компьютере для записи на внешний носитель.

Основываясь на обширной практике можно утверждать, что в подавляющем большинстве случаев на компьютерах аудиоканал не заблокирован и драйверы звуковой карты установлены, т.е. техническая возможность для метода/канала обеспечена.

Стандартные и наиболее распространённые системы защиты не рассматривают аудиоканал как канал утечки двоичных данных.

2
Никонов Василий (Никонов В. В.) 22.01.2013 01:27
Ответить Сообщить модератору

Недавно с коллегами обсуждали как именно можно выявить описанный канал. Пришли к выводу, что если заранее не знать что надо искать утечку по именно такому каналу - обнаружить утечку практически невозможно.

Аргумент, что в "правильных" системах все порты отключены или контролируются не выдерживает критики - обращались к системам, в которых работают коллеги, там аудиовыход не залит смолой и не отключен на аппаратном уровне, а вполне себе функционирует на большинстве машин, где-то даже колонки стоят.

Предложите идеи по выявлению канала (журналы ОС, DLP и др.)

3
Плотников Евгений (Евгений ГПИ) 22.01.2013 06:24
Ответить Написать личное сообщение Сообщить модератору

В крупных организациях с жесткой политикой в области ИБ часто используется система контроля за действиями сотрудников, выполняющая принт-скрин экрана с определенной периодичностью. 

Например раз в 10 минут, архив скринов сохраняется на сервер, периодически идет выборочный просмотр (вручную, конечно).  Осознание того, что любое действие может быть обнаружено имеет весьма сильное воздействие. Какие уж там написания скриптов.


4
Никонов Василий (Никонов В. В.) 23.01.2013 00:18
Ответить Сообщить модератору

В крупных организациях... и сколько человек надо задействовать для просмотра экранов, чтобы не пропустить, что один из сотрудников в течение 30 минут (1 раз за всё время "безупречной" работы) набирал скрипт?

Поясним откуда оценка в 30 минут. Офисный работник (+мотивированный как инсайдер) может набирать готовый текст со скоростью от 150 знаков в минуту, т.о. за 30 минут можно набрать VBA скрипт в Excel/Calc размером около 4500 знаков или более. Такого размера для скрипта достаточно, а работа в редакторе скриптов Excel/Calc не так сильно бросается в глаза. А ведь скрипт можно набирать в течение недели по 6 минут в день, тогда это выглядит как типичная ежедневная работа.

Тезис. За инсайдера думает (и, соответственно, инструктирует его, разрабатывает скрипты и т.д.) опытный человек, имеющий подготовку в сфере ИБ, владеющий полной информацией о типичных системах контроля и их обхода. Думаете таких нет? Есть! Сотрудник безопасности из конкурирующей фирмы, это наиболее вероятный "кукловод" для инсайдера. 

Пусть в небольшой организации - 100 компьютеров (в большой 500, а в очень большой от 1000). 100(компьютеров) * 8 (рабочих часов, без обеда и переработок) * 6 (снимков в час, каждые 10 минут) = 4800 изображений в сутки...

Опустим, что даже при размере около 0.5Мб на картинку это чуть больше 2Гб/день, дисковое простанство сейчас дешевое.

Предположим, что для того, чтобы осознанно контролировать действия сотрудника по снимку экрана (а не создавать видимость, пролистывая 3-5 изображений в секунду) на разбор одного снимка уходит 1.5-3 секунды. Тогда 4800 (изображений в сутки) * 1.5 (секунды на один снимок экрана) / 3600 (секунд в часе) = 2 часа

Для небольшой организации в 100 компьютеров нижняя оценка ежедневных трудозатрат только на просмотр не мене 2 часов. Более реальная оценка - учитывая обеды, сверхурочную работу, работу в праздники/выходные, очень заниженную оценку в 1.5 секунды на снимок - получим цифру в 4-5 часов непрерывного просмотра изображений. И это не учитвая звонков в подразделения для уточнений подозрительных моментов типа пасьянсов, сайтов знакомств, распечатке дипломов и сканирования личных документов и пр.

Кто искренне верит в то, что сам хотя бы 1 год способен ежедневно по 4-5 часов просматривать и честно анализировать изображения?

Пусть существуют такие уникальные люди, которые могут честно просматривать и анализировать снимки экрана в течение всего рабочего дня (непрерывно 4-5 часов не посмотришь, будет двоиться в глазах, поэтому всётаки целый рабочий день). Получается, что каждый сотый сотрудник, т.е. 1% от коллектива, имеющих компьютеры, занимается весь день только просмотром экранов (не проверяет заявки, не сканирует сеть, не борется с вирусами и сетевыми атаками, не генерирует ЭП и т.д., а только смотрит снимки экрана).

Сколько работодателей выделит такой штат (1%%% от сотруднников, имеющих компьютеры) для просмотра снимков экранов ? А в % от общего количества работодателей?

Полагаю, что большинство согласится,  снимки экрана это полезно, особенно когда знаешь что/где/когда ищещь. В остальных случаях - это "пугало" для сотрудников и самоуспокоение для безопасников


5
Никонов Василий (Никонов В. В.) 23.01.2013 00:24
Ответить Сообщить модератору

Источник:Евгений IRS
В крупных организациях с жесткой политикой в области ИБ часто используется система контроля за действиями сотрудников, выполняющая принт-скрин экрана с определенной периодичностью. 

Например раз в 10 минут, архив скринов сохраняется на сервер, периодически идет выборочный просмотр (вручную, конечно).  Осознание того, что любое действие может быть обнаружено имеет весьма сильное воздействие. Какие уж там написания скриптов.

Какова вероятность, что безопасник, выборочно просматривая снимки экранов, попадёт на момент ввода скрипта в систему и, что самое главное, узнает/угадает, что это именно ввод/создание вредного скрипта? Инсайдер вводит скрипт по 6 минут в день в течение одной недели в редакторе VBA скриптов в Excel/Calc.

Эта вероятность стремится к нулю, если не знать заранее что/где/когда искать.


Редактировал Никонов Василий В. (Никонов В. В.) (23.01.2013 00:25)
6
Плотников Евгений (Евгений ГПИ) 23.01.2013 08:54
Ответить Написать личное сообщение Сообщить модератору

Я не спец по ИБ и не могу спорить на вашем уровне, так же не утверждаю, что такая система идеальна.

Но она имеет серьезное психологическое значение. Если вы жулик (инсайдер по вашему) - вы не будете рисковать, даже на минимальный процент - ведь любое ваше действие может оказаться на скрине. Его может и не просмотрят сразу.

Может вы попадете под подозрение (в будущем) и СБ проверит вообще весь ваш архив. Или полная проверка по дисциплинарному поводу - низкое качество и скорость работы, чем это он занимается в рабочее время? И поставят на особый контроль с принт-скрином раз в 5 минут и периодическим дистанционным подключением к экрану напрямую. Каждый жулик - всегда параноик.

Ну а просмотр наверняка можно и автоматизировать, если уж "контрольки" могут отличить порнуху от приличных фото девушек, то распознать машинный язык вместо нормального русского текста или схем - проблем не составит, при пряморуких програматорах.


Редактировал Плотников Евгений С. (Евгений ГПИ) (23.01.2013 08:56)
7
Никонов Василий (Никонов В. В.) 25.01.2013 00:06
Ответить Сообщить модератору

Евгений, системы сохранения+анализа снимков экранов действительно имеют "серьезное психологическое значение", но стоит посчитать вероятность быть обнаруженным (условия описаны выше) - и увидим, что угроза для инсайдера/злоумышленника от такой системы минимальна.

Скорее даже наоборот, наличие такой системы и высокая вера в её "воспитательный" характер может сильно притупить бдительность безопасников.

Параноиком становятся, если не понимают как/что работает. Хорошо подготовленный кукловод объяснит засланному казачку что, как и когда надо делать, чтобы не попадаться и не привлекать лишнего внимания.


8
Плотников Евгений (Евгений ГПИ) 25.01.2013 06:44
Ответить Написать личное сообщение Сообщить модератору

Частично согласен, против хорошо подготовленного и наглого может и не помочь. Но шанс раскрытия есть, пусть даже с запозданием.

Кстати, разве нельзя просто блокировать запуск любых исполняемых файлов кроме определенного "белого списка"?


9
Никонов Василий (Никонов В. В.) 26.01.2013 23:41
Ответить Сообщить модератору

Запуск программ только из "белого" списка - такое ограничение мало где применяется на всех или почти компьютерах.

Это достаточно сложно в сопровождении при росте количества компьютеров + требует затрат на специфическое защитное ПО. Если "белый" или "черный" список построен на именах исполняемых файлов - он легко обходится переименованием исполняемого файла. Если есть доступ на запись в каталоги с разрешенными программами - могут перезаписать разрешенный исполняемый файл на свой. Спец.системы могут контролировать что запускается по хэш и/или электронной подписи, но таких систем не много и они дороги или, даже если куплены, не настроены, т.к. могут мешать работе.

Кстати, если программа-кодировщик реализована в виде VBA скрипта в Excel/Calc, то "белый" список не поможет, т.к. обычно офисные программы в списке разрешенных, а скрипт в документе. Разрешать запускать только подписанные скрипты - мало где применяется, т.к. мешает работать.


Редактировал Никонов Василий В. (Никонов В. В.) (26.01.2013 23:45)
10
Никонов Василий (Никонов В. В.) 26.01.2013 23:49
Ответить Сообщить модератору

Как выявить в реально действующей системе инсайдера, использующего аудиоканал, если появились подозрения? Используя доступные/распространённые системы/програмы.

Не в какой-то идеальной информационной системе, где честный персонал и инсайдера нет по определению, где все не используемые порты выпаяны, где безопасники отсмотривают 100% рабочего времени пользователей, где невозможно пронести в здание диктовон или телефон и т.д. Таких систем не бывает, а если и бывают, их слишком мало.

11
Гриценко Андрей (kolobok0) 09.04.2013 15:58
Ответить Сообщить модератору

Доброго времени суток.

На самом деле существуют программные продукты уменьшающие "неосознанную" утечку инфы с рабочих станций. Но, 100% результата никакая программа или тем более ручной просмотр экранов не даст. Это самообман. Более того, помимо звукового канала существуют и другие стандартные канала: экран, стандартный динамик, светодиоды на клаве и т.д.. сделать прожку и ответную "приёмную" часть - дело не сложной техники. При этом снимки с экрана _вообще_ идут мимо (технически можно обеспечить).

Как бороться - наверное комплекс мер. Уповать на что-то одно не стоит. Необходим и программный и аппаратный и административный подход в решении данной задачи.


12
Никонов Василий (Никонов В. В.) 09.04.2013 23:43
Ответить Сообщить модератору

Андрей Владимирович, назовите, пожалуйста, такой продукт и каким образом он выявит описанный канал. Общие рассуждения о DLP и орг.мерах предлагаю сразу опустить.

По предложенным Вами каналам:
- насколько сложно программу, управляющую диодами, создать/передать в изолированную систему, будет ли она работать без прав локального администратора?
- передавать через экран двоичные данные - как это реализовать, если одно из условий - фотографировать экран нельзя?
- внутренний динамик - вариация на тему аудиопорта - сильно привлекает внимание (+ больше помех, чем при использовании аудиовыхода).
Если возможно, оцените сложность передачи двоичной базы данных на 100Мб по предложенным Вами каналам.
Для аудио-порта это можно сделать за 1 раз, если использовать в диктофоне карту на 32Гб и исходить из пессимистичной оценки соотношения передаваемых данных к объему для хранения аудиоданных 1/300. Найти телефон/диктофон с 32Гб флэшкой - не проблема.

Новости
Дежурно-диспетчерские службы южных регионов Киргизии будут иметь единый номер телефона

Российские компании разработали типовой Микро-ЦОД

Информационная безопасность в банке «ТРАСТ» соответствует требованиям стандарта


 
--{ team void }-- Rambler's Top100 Рейтинг@Mail.ru