Контакты
Подписка
МЕНЮ
Контакты
Подписка

Новое – хорошо забытое старое:USB все еще "лучший выбор" для хищения информации

Новое – хорошо забытое старое:USB все еще "лучший выбор" для хищения информации

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Новое – хорошо забытое старое:USB все еще "лучший выбор" для хищения информации

Сергей Вахонин
Директор по решениям АО “Смарт Лайн Инк"
Ровно 14 лет назад, в августе 2003 г., на рынке средств ИБ был представлен программный продукт DeviceLock 5.5, быстро набравший популярность во всем мире. До этого с 1995 г., когда появилась первая бесплатная версия DeviceLock, решением уже контролировались CD-ROM'ы, дисководы, COM и LPT-порты. В данной версии добавился контроль портов USB и FireWire. На тот момент это было значительным шагом вперед и в развитии продукта, и в мировой практике контроля периферийных устройств, поскольку именно в этой версии продукта появился драйвер уровня ядра ОС. Версия DeviceLock 6, получившая еще больше возможностей контроля устройств, портов и интерфейсов, стала во всем мире стандартом де-факто в сегменте решений Endpoint Data Port Control и до сих пор благодаря своей надежности, простоте и качеству эксплуатируется в ряде организаций, несмотря на огромный скачок вперед с тех времен в развитии продукта.

Одной из главных тем, сопутствовавших президентским выборам 2016 г. в США, был взлом почтового сервера Демократической партии США (DNC) с хищением переписки огромного объема. Как утверждают демократы и чиновники, взлом был произведен из Румынии и в деле участвовали российские хакеры или спецслужбы. Однако эксперты и аналитики с многолетним опытом теперь приводят аргументы, опровергающие официальную версию ключевых событий прошлого года: никакого удаленного взлома серверов ни россиянами, ни кем бы то ни было попросту не было. Банальная утечка через флешку или другой USB-накопитель и ничего более, а приведенные ранее "доказательства" взлома являются сфабрикованными.

USB выдала скорость

Альтернативное исследование технической подоплеки скандала проводилось независимыми группами квалифицированных экспертов с опытом работы в разведке, судебной экспертизе и форензике, а результаты и доводы были опубликованы на независимых ресурсах consortiumnews.com и www.disobedient-media.com. Выводы экспертов были построены на оценке объема предположительно взломанного материала и скорости передачи данных. Анализ метаданных показал, что вечером 5 июля 2016 г. с сервера DNC было загружено 1976 Мбайт данных. Операция заняла 87 секунд, что означает скорость передачи данных 22,7 Мбит/с. При этом нет ни одного поставщика интернет-услуг, которого мог бы использовать хакер 2016 г., т.е. поставщика, имевшего возможность передавать данные с такой скоростью, да еще и посредством трансатлантической передачи в Румынию. Самые высокие средние скорости ISP в первом полугодии 2016 г. были достигнуты провайдерами Xfinity и Cox Communications и составляли в среднем 15,6 и 14,7 Мбит/с соответственно. Пиковые, более высокие, скорости регистрировались с перерывами, но до сих пор не достигли требуемых 22,7 Мбит/с. Это означает, что требуемая для внешнего взлома скорость все еще недостижима, что опровергает теорию взлома почтового сервера снаружи.

В то же время скорость в 23 Мбит/с является типичной скоростью передачи при использовании флэш-накопителя стандарта USB 2! Кроме того, эксперты полагают, что объем похищенных данных слишком велик для передачи через Интернет. Все это позволяет сделать вывод: хищение данных с почтового сервера DNC было произведено лицом, имевшим физический доступ к серверу, посредством переноса данных на внешний USB-накопитель.

Анализ утечки почтовой переписки с сервера DNC прямо говорит о том, что тенденция последних лет – забывать и занижать уровень угрозы утечки данных, связанной с использованием USB-устройств, – категорически ошибочна и даже вредна. Сегодня в ходу мессенджеры и облачные хранилища, но старый добрый интерфейс USB и примитивная флешка на пару гигабайт по-прежнему доступны каждому потенциальному злоумышленнику в любой организации. Их использование для хищения конфиденциальной информации все еще актуально, и более того, намного проще и эффективнее, чем атака через внешний периметр или слив данных через облака и почту.

В нашей российской действительности даже беглый анализ маркетинговых материалов, листовок и сайтов большинства российских разработчиков, прямо или косвенно позиционирующих себя в сегменте DLP, показывает, что фокус в развитии решений, предназначенных для защиты информации от несанкционированной утечки, делается на чем угодно, но не на предотвращении утечки, а скорее на мониторинге и использовании психологической "защиты" вместо технических мер. При этом, как ни удивительно, контроль порта USB, по-прежнему являющегося "лучшим выбором" для случайной или предумышленной утечки, реализован на откровенно слабом уровне.

Защитит ли DLP?

Многие решения, продаваемые как DLP, до сих пор работают с интерфейсом USB и подключаемыми через него на уровне Device Manager, просто отключая устройство на прикладном уровне или препятствуя старту драйвера устройства. Такая "защита" является не только откровенно слабой, но и потенциально опасной, поскольку создает ложное ощущение обеспечения безопасности. Для пользователя отключение такого контроля – задача на несколько секунд, не требующая особой квалификации.

Ключевым показателем для полнофункциональной DLP-системы должно быть качество решения ключевой для DLP задачи – предотвратить утечку данных техническим способом. Это означает, что решение должно в первую очередь обеспечивать нейтрализацию наиболее опасных векторов угроз утечки информации, исходящих от обычных пользователей и доступных на большинстве компьютеров. Нейтрализация достигается посредством гибкого сочетания функций мониторинга и контроля доступа ко всем потенциальным каналам утечки информации, и в том числе обязательно – для устройств, подключаемых через интерфейс USB, и контроля самого интерфейса USB в целях контроля устройств, не классифицируемых ОС как устройства хранения данных, но теоретически и практически являющихся каналом утечки данных.

Среди представленных на мировом рынке продуктов одним из лучших и единственным российским решением класса Endpoint DLP, обладающим полным функционалом, является DeviceLock DLP. Благодаря использованию DeviceLock DLP предотвращаются хищения информации внутренними нарушителями через съемные накопители, диски и другие подключаемые внешние устройства, а также каналы печати, электронную почту, мессенджеры, файлообменные сервисы и т.д. Кроме того, поддержка DeviceLock DLP событийного протоколирования и теневого копирования обеспечивает юридическую документируемость и доказательность попыток доступа и фактов копирования конкретных данных.

СМАРТ ЛАЙН ИНК, АО
107140, Москва,
1-й Красносельский пер., 3,
пом. 1, ком. 17
Тел.: (495) 647-9937
Факс: (495) 647-9938
E-mail: ru.sales@devicelock.com
devicelock.com/ru
www.smartline.ru

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2017

Приобрести этот номер или подписаться

Статьи про теме