четверг, 16 сентября 2010 г.
Как обойти DeviceLock, или еще раз о пользе тестирования
Один мой институтский дипломник решил взять тему "внедрение системы контроля съемных носителей на предприятии". Проводя исследование проблематики вопроса, встал перед выбором программного продукта для технической реализации поставленной задачи и решил остановиться на ПО под названием DeviceLock компании SmartLine: продукт известнейший и обладающий массой регалий, включая всевозможные сертификаты (в том числе и ФСТЭК). Как полагается, развернул тестовую мини-лабораторию из 4 машин (три клиентских с разными версиями ОС Windows, одна - сервер управления), и скачал с сайта демонстрационную версию. Потратив время на изучение достаточно толстого мануала, начал разбираться в настройках, "развернул" ПО на всех четырех машинах и начал понемногу тестировать.
И вроде бы все работало хорошо: на стареньких машинах с Windows XP блокировались и принтеры, и флешки, и сидиромы, и весь остальной функционал проходил "на ура". Однако все резко изменилось, когда дело дошло до более мощной машины с Windows 7. При подключении к ней коммуникатора с Windows Mobile "на борту" система никаким образом не реагировала и свободно давала возможность подключить, синхронизировать контент, получить доступ к памяти устройства и даже запустить Internet Sharing. При этом, на других машинах с аналогичными устройствами, синхронизация и Internet Sharing тоже работали, однако доступ к внутренней памяти был заблокирован. Что он только не делал: и переустанавливал софт, и сто раз перепроверял настройки - бесполезно. Параллельно выяснилось, что доступ к принтеру на W7 ПО также не блокировало. И наконец, настало время обратиться в техподдержку...
Относительно недолго пробиваясь сквозь support1, просившей файлы с настройками и проверявшей ключи в реестре, проблема была передана на support2, приславшей ключ, разрешавший сбор логов. Дипломник провел еще несколько экспериментов, и эти логи были отправлены разработчику. Тот соображал несколько дольше, и, наконец, последовал ответ техподдержки:
Дело в том, что для корректной работы функции контроля, которая внедряется в приложения, работающие с такими устройствами как iPhone, WinMobile, Palm, Printers, Blackberry, требуется хотя бы 5 секунд после запуска приложения. Допустим, открыв документ WORD и сразу же отправив его на печать, при закрытом доступе для Всех печать пройдет и в аудит логе ничего не отобразится. Но если открыть документ и подождать5-7 секунд перед отправкой на печать, то печать запретится. То же самое и с WinMobile: если WMDC довольно таки быстро запускает все свои сервисы и начинает синхронизацию, то она проходит, если немного замедляется, то инжект успевает перехватить действия. В будущей новой версии задействован уже новый механизм контроля, благодаря которому такая проблема решится. Сейчас же, когда ожидается выход новой версии (7.0) кардинально изменять код под 6.4.1 не имеет смысла, на это уйдет еще больше времени, чем подождать когда выйдет 7.0.
На резонное замечание о том, что во-первых, как заставить пользователей "подождать 5-7 секунд перед печатью после запуска приложения" (на практике Windows Mobile не блокировался и через минуту, и через пять), и, во-вторых, как такой "баг" позволил получить сертификат ФСТЭК, или сертифицированная версия чем-то отличается он несертифицированной, было отвечено пожиманием плечами и словами о том, что "поиск багов и глюков в продукте процедура сертификации не включает".
Так что, уважаемые коллеги, внимательно относитесь к процедуре тестирования любого ПО перед принятием решения о его использовании. Сторонникам "сертифицированного" ПО, мне кажется, также стоит несколько пересмотреть свои взгляды...
Подписаться на:
Комментарии к сообщению
(
Atom
)
Редко пишу в твой блог, но тут не удержался. Статья отличная! Имеет практическое значение и написана интересно. Будут еще эксперименты, обязательно пиши
ОтветитьУдалитьхаха!
ОтветитьУдалитьepic fail
to Евгений Царев: ну вообще-то первый раз сегодня - так что, как говорится, "с почином"! :)
ОтветитьУдалитьto pushkinist: я был "пацтулом" когда прочитал ответ саппорта :) Как мне сказали однажды в другом саппорте: "Вы знаете, мы все сделали, все проверили, но почему-то ничего не работает..." Это, по ходу, общероссийский принцип :)
на прежней работе внедрял и админил девайслок, тогда еще не было семерок и на икспи вроде работал, но остались впечатления от продукта не ахти.
ОтветитьУдалитькрайне неудобный в реальном пользовании.
to pushkinist: С точки зрения юзабилити лично я вижу в нем один очень-очень большой недостаток, связанный с отсутствием средств автоматизации контроля настроек политики безопасности. Остальное в принципе можно пережить.
ОтветитьУдалитьЯ тоже тестировала этот продукт, когда 7к еще не было. Впечатление он оставил не очень. zlock мне понравился куда больше.
ОтветитьУдалитьФуфел полный этот DeviceLock, перехватываешь ядерные функции к которым он обращается и убиваешь DLService все нет его вообще в системе :)
ОтветитьУдалитьа если эт слишком сложно, то грузишься с liveCD и затираешь папку С:\windows\system32\SHADOW и будет тебе счастье!
Вообще, значение dlp в обеспечении иб сильно преувеличено, и уж тем более это не панацея. Все должно решаться в комплексе. И если пользователь имеет права перехватить функции ядра или возможность загрузиться с внешнего носителя, никакая dlp здесь не поможет.
ОтветитьУдалитьПрорекламируешь испытательную лабораторию ? Которая проводила испытания?
ОтветитьУдалитьУ них в лицензии д.б. написано - я, честно сказать, не знаю. Да и не думаю, что с остальными испытателями какая-то принципиальная разница. Все решают бабки.
ОтветитьУдалитьПардон - в сертификате или приложении к нему :)
ОтветитьУдалитьПосмотрел :)
ОтветитьУдалитьООО "ЦБИ" (Юбилейный) :)
И в рамочку (с) swan
ОтветитьУдалитьНа Windows 7 поставил, все там работает! Что-то Вы, Алексей, кажется преувеличиваете проблему. Windows Mobile, Android, все Apple и прочее подключал - DeviceLock справился. Соберите стенд сами и попробуйте, а не полагайтесь на умозаключения студента!
ОтветитьУдалитьПросто ради интереса, что же Вам то нравится из средств подобного рода, наверно что-нибудь не сертифицированное, McAffe или Lumension?
Так тестировалась сборка 6.41.23ххх, та, аналог которой был сертифицирован. Сейчас версия 7.01, несертифицированная. И значит баги эти они убрали :)
ОтветитьУдалитьКроме того, студент работал под моим чутким руководством, и с техподдержкой вели диалог вместе. И сам разработчик проблему признал. Так что ничего я не преувеличиваю.
ОтветитьУдалить