четверг, 16 сентября 2010 г.

Как обойти DeviceLock, или еще раз о пользе тестирования


Один мой институтский дипломник решил взять тему "внедрение системы контроля съемных носителей на предприятии". Проводя исследование проблематики вопроса, встал перед выбором программного продукта для технической реализации поставленной задачи и решил остановиться на ПО под названием DeviceLock компании SmartLine: продукт известнейший и обладающий массой регалий, включая всевозможные сертификаты (в том числе и ФСТЭК). Как полагается, развернул тестовую мини-лабораторию из 4 машин (три клиентских с разными версиями ОС Windows, одна - сервер управления), и скачал с сайта демонстрационную версию. Потратив время на изучение достаточно толстого мануала, начал разбираться в настройках, "развернул" ПО на всех четырех машинах и начал понемногу тестировать.

И вроде бы все работало хорошо: на стареньких машинах с Windows XP блокировались и принтеры, и флешки, и сидиромы, и весь остальной функционал проходил "на ура". Однако все резко изменилось, когда дело дошло до более мощной машины с Windows 7. При подключении к ней коммуникатора с Windows Mobile "на борту" система никаким образом не реагировала и свободно давала возможность подключить, синхронизировать контент, получить доступ к памяти устройства и даже запустить Internet Sharing. При этом, на других машинах с аналогичными устройствами, синхронизация и Internet Sharing тоже работали, однако доступ к внутренней памяти был заблокирован. Что он только не делал: и переустанавливал софт, и сто раз перепроверял настройки - бесполезно. Параллельно выяснилось, что доступ к принтеру на W7 ПО также не блокировало. И наконец, настало время обратиться в техподдержку...

Относительно недолго пробиваясь сквозь support1, просившей файлы с настройками и проверявшей ключи в реестре, проблема была передана на support2, приславшей ключ, разрешавший сбор логов. Дипломник провел еще несколько экспериментов, и эти логи были отправлены разработчику. Тот соображал несколько дольше, и, наконец, последовал ответ техподдержки:

Дело в том, что для корректной работы функции контроля, которая внедряется в приложения, работающие с такими устройствами как iPhone, WinMobile, Palm, Printers, Blackberry, требуется хотя бы 5 секунд после запуска приложения. Допустим, открыв документ WORD и сразу же отправив его на печать, при закрытом доступе для Всех печать пройдет и в аудит логе ничего не отобразится. Но если открыть документ и подождать5-7 секунд перед отправкой на печать, то печать запретится. То же самое и с WinMobile: если WMDC довольно таки быстро запускает все свои сервисы и начинает синхронизацию, то она проходит, если немного замедляется, то инжект успевает перехватить действия. В будущей новой версии задействован уже новый механизм контроля, благодаря которому такая проблема решится. Сейчас же, когда ожидается выход новой версии (7.0) кардинально изменять код под 6.4.1 не имеет смысла, на это уйдет еще больше времени, чем подождать когда выйдет 7.0.

На резонное замечание о том, что во-первых, как заставить пользователей "подождать 5-7 секунд перед печатью после запуска приложения" (на практике Windows Mobile не блокировался и через минуту, и через пять), и, во-вторых, как такой "баг" позволил получить сертификат ФСТЭК, или сертифицированная версия чем-то отличается он несертифицированной, было отвечено пожиманием плечами и словами о том, что "поиск багов и глюков в продукте процедура сертификации не включает".

Так что, уважаемые коллеги, внимательно относитесь к процедуре тестирования любого ПО перед принятием решения о его использовании. Сторонникам "сертифицированного" ПО, мне кажется, также стоит несколько пересмотреть свои взгляды...

16 комментариев :

  1. Редко пишу в твой блог, но тут не удержался. Статья отличная! Имеет практическое значение и написана интересно. Будут еще эксперименты, обязательно пиши

    ОтветитьУдалить
  2. to Евгений Царев: ну вообще-то первый раз сегодня - так что, как говорится, "с почином"! :)

    to pushkinist: я был "пацтулом" когда прочитал ответ саппорта :) Как мне сказали однажды в другом саппорте: "Вы знаете, мы все сделали, все проверили, но почему-то ничего не работает..." Это, по ходу, общероссийский принцип :)

    ОтветитьУдалить
  3. на прежней работе внедрял и админил девайслок, тогда еще не было семерок и на икспи вроде работал, но остались впечатления от продукта не ахти.
    крайне неудобный в реальном пользовании.

    ОтветитьУдалить
  4. to pushkinist: С точки зрения юзабилити лично я вижу в нем один очень-очень большой недостаток, связанный с отсутствием средств автоматизации контроля настроек политики безопасности. Остальное в принципе можно пережить.

    ОтветитьУдалить
  5. Я тоже тестировала этот продукт, когда 7к еще не было. Впечатление он оставил не очень. zlock мне понравился куда больше.

    ОтветитьУдалить
  6. Анонимный10.6.11

    Фуфел полный этот DeviceLock, перехватываешь ядерные функции к которым он обращается и убиваешь DLService все нет его вообще в системе :)
    а если эт слишком сложно, то грузишься с liveCD и затираешь папку С:\windows\system32\SHADOW и будет тебе счастье!

    ОтветитьУдалить
  7. Вообще, значение dlp в обеспечении иб сильно преувеличено, и уж тем более это не панацея. Все должно решаться в комплексе. И если пользователь имеет права перехватить функции ядра или возможность загрузиться с внешнего носителя, никакая dlp здесь не поможет.

    ОтветитьУдалить
  8. Прорекламируешь испытательную лабораторию ? Которая проводила испытания?

    ОтветитьУдалить
  9. У них в лицензии д.б. написано - я, честно сказать, не знаю. Да и не думаю, что с остальными испытателями какая-то принципиальная разница. Все решают бабки.

    ОтветитьУдалить
  10. Пардон - в сертификате или приложении к нему :)

    ОтветитьУдалить
  11. Посмотрел :)
    ООО "ЦБИ" (Юбилейный) :)

    ОтветитьУдалить
  12. Tomas28.7.11

    На Windows 7 поставил, все там работает! Что-то Вы, Алексей, кажется преувеличиваете проблему. Windows Mobile, Android, все Apple и прочее подключал - DeviceLock справился. Соберите стенд сами и попробуйте, а не полагайтесь на умозаключения студента!

    Просто ради интереса, что же Вам то нравится из средств подобного рода, наверно что-нибудь не сертифицированное, McAffe или Lumension?

    ОтветитьУдалить
  13. Так тестировалась сборка 6.41.23ххх, та, аналог которой был сертифицирован. Сейчас версия 7.01, несертифицированная. И значит баги эти они убрали :)

    ОтветитьУдалить
  14. Кроме того, студент работал под моим чутким руководством, и с техподдержкой вели диалог вместе. И сам разработчик проблему признал. Так что ничего я не преувеличиваю.

    ОтветитьУдалить