Comments 20
Любой компьютер с доступом к админскому аккаунту/физическим доступом не бывает защищенным по определению. Авторы статьи на это намекают?
Лайвсд с линуксом понадежнее будет, или уж виртуалка с своей системой на переносном диске. а так если честно не понял где это возможно использовать.
ИМХО, _любое_ решение, призванное обеспечить надежную защиту в недоверенной программно-аппаратной среде автоматически обречено на провал.
Дело в том, что недоверенная программно-аппаратная среда на то и недоверенная, чтобы ей ни в чем нельзя было доверять.
К примеру: вы приходите в интернет-кафе, садитесь за ПК, втыкаете свою чудо-флешку, и начинаете работать в вашей «виртуальной машине»; вам и невдомек, что ОС, которую видите вы (и ваша вундер-флешка) на самом деле «крутится» внутри виртуальной машины, память которой отлично дампится, все устройства ввода подключены к аппаратным логгерам, а за спиной стоит небольшая камера, «пишущая» изображение с экрана (на случай, если вы решите воспользоваться виртуальной клавиатурой).
Какой из этого всего вывод? Подумайте хорошенько, ЗАЧЕМ реально вашему сотруднику может понадобиться доступаться к критической информации из интернет-кафе
(вы вообще много интернет-кафе видели последнее время?), в котором к тому-же позволяют посетителям совать что-попало в USB-порты? Может проще/дешевле такому сотруднику смартфон выдать?
решение направлено на защиту мобильного клиента, который может работать с недоверенных ПК, Интернет-кафе (если ему позволит установить отделяемый носитель) и других злачных мест.
Дело в том, что недоверенная программно-аппаратная среда на то и недоверенная, чтобы ей ни в чем нельзя было доверять.
К примеру: вы приходите в интернет-кафе, садитесь за ПК, втыкаете свою чудо-флешку, и начинаете работать в вашей «виртуальной машине»; вам и невдомек, что ОС, которую видите вы (и ваша вундер-флешка) на самом деле «крутится» внутри виртуальной машины, память которой отлично дампится, все устройства ввода подключены к аппаратным логгерам, а за спиной стоит небольшая камера, «пишущая» изображение с экрана (на случай, если вы решите воспользоваться виртуальной клавиатурой).
Какой из этого всего вывод? Подумайте хорошенько, ЗАЧЕМ реально вашему сотруднику может понадобиться доступаться к критической информации из интернет-кафе
(вы вообще много интернет-кафе видели последнее время?), в котором к тому-же позволяют посетителям совать что-попало в USB-порты? Может проще/дешевле такому сотруднику смартфон выдать?
Абсолютно с Вами согласен, вообще технологии подобных флэшек активно используются зарубежными государствами в других целях, идейно — человек ходит по разным местам со своей специальной флэшкой, работает с неё, после чего выкидывает, либо идет в другие места «по-работать». Естественно, разработчик заинтересован обосновать, что в таком формате — никаких рисков нет, данные хранятся безопасно и сам клиент в полной безопасности, где бы он не находился.
Совсем не уверен, что подобные решения имеет смысл выдавать в корпоративном секторе, это действительно бессмысленно. Касательно назначения и реального применения таких устройств — на мой взгляд, разработчики были сосредоточены немного на другом секторе потребителей, а именно — секторе обычных пользователей, для которых такая флэшка значит нечто больше, чем простой антивирус.
Со смартфонами — отдельная тема :)
Совсем не уверен, что подобные решения имеет смысл выдавать в корпоративном секторе, это действительно бессмысленно. Касательно назначения и реального применения таких устройств — на мой взгляд, разработчики были сосредоточены немного на другом секторе потребителей, а именно — секторе обычных пользователей, для которых такая флэшка значит нечто больше, чем простой антивирус.
Со смартфонами — отдельная тема :)
Абсолютно с Вами согласен, вообще технологии подобных флэшек активно используются зарубежными государствами в других целях, идейно — человек ходит по разным местам со своей специальной флэшкой, работает с неё, после чего выкидывает, либо идет в другие места «по-работать».
Ничего не понял. Кем они активно используются? Зачем потом выкидывать?
израильская армия использует подобные решения, сама Checkpoint имеет к ним очень тесное отношение, говорю с хорошей точки зрения, так как многие из их аппаратных решений используются в этом секторе.
И опять ничего не понял. Для чего армии подобные решения? Чтобы солдаты из интернет-кафе в Газе могли законнектиться и прочитать приказ командира? Или чтобы заразить вирусом иранскую АЭС (а флешку потом выкинуть, как вы писали выше)? Может тогда не армия, а разведка? И что такое «с хорошей точки зрения»? :)
Честно говоря, здесь можно было ограничиться скриншотом про
<Execute OriginalName=«calc.exe» PathName="\calc.exe" AppName=«Microsoft Calculator» UIDescription=«Microsoft Calculator» id=«134»/>
(подписи бинарников? не, не слышали)
и тем, что трафик идет через хостовую машину — есть возможность, как проникнуть в песочницу, так и передать из нее все, что угодно.
Интересно, эта задача в принципе решаема? Только загрузкой с флешки (да еще и при обязательном Secure Boot), запуском хостовой OS в качестве виртуальной машины под собой, и туннелированием всего трафика до доверенного сервера? Или все-таки как-нибудь проще?
<Execute OriginalName=«calc.exe» PathName="\calc.exe" AppName=«Microsoft Calculator» UIDescription=«Microsoft Calculator» id=«134»/>
(подписи бинарников? не, не слышали)
и тем, что трафик идет через хостовую машину — есть возможность, как проникнуть в песочницу, так и передать из нее все, что угодно.
Интересно, эта задача в принципе решаема? Только загрузкой с флешки (да еще и при обязательном Secure Boot), запуском хостовой OS в качестве виртуальной машины под собой, и туннелированием всего трафика до доверенного сервера? Или все-таки как-нибудь проще?
По поводу загрузочная флешка + виртуализация + VPN.
Это ведь предполагает определенное переконфигурирование настроек ПК (смена приоритета загрузки) и перезагрузку, а устройства класса ABRA рассчитаны на «встравил-и-работай», везде, хоть в Интернет-клубе, хоть на режимном объекте, где просто так копаться в настройках и менять что-то не будет возможности.
«Виртуальной машины под собой» — в средствах виртуализации тоже существуют уязвимости.
Кстати, формулировка «запуском хостовой OS в качестве виртуальной машины под собой» корректна?
Очевидно, что доверенной средой в недоверенном окружении может быть только отдельное мобильное или автономное устройство, но если использоваться «флешка» будет на машинах, где можно конфигурировать, что хочешь (например, на небольшом парке своего предприятия), то действительно хорошая идея использоваться флеш/предварительно подготовленные образы диска с заранее настроенной политикой безопасности + виртуализация + контроль подписей загрузчика.
Хотя практически и по быстроте развертывания это решение выливается скорее в установку отдельного рабочего места, чем на мобильную флешку «вставил-и-работай». Отсюда напрашивается вывод о выборе некой границы для удобства развертывания / простоты и предоставляемого уровня безопасности, который стоит выбирать, исходя из задач которые выполняются.
Это ведь предполагает определенное переконфигурирование настроек ПК (смена приоритета загрузки) и перезагрузку, а устройства класса ABRA рассчитаны на «встравил-и-работай», везде, хоть в Интернет-клубе, хоть на режимном объекте, где просто так копаться в настройках и менять что-то не будет возможности.
«Виртуальной машины под собой» — в средствах виртуализации тоже существуют уязвимости.
Кстати, формулировка «запуском хостовой OS в качестве виртуальной машины под собой» корректна?
Очевидно, что доверенной средой в недоверенном окружении может быть только отдельное мобильное или автономное устройство, но если использоваться «флешка» будет на машинах, где можно конфигурировать, что хочешь (например, на небольшом парке своего предприятия), то действительно хорошая идея использоваться флеш/предварительно подготовленные образы диска с заранее настроенной политикой безопасности + виртуализация + контроль подписей загрузчика.
Хотя практически и по быстроте развертывания это решение выливается скорее в установку отдельного рабочего места, чем на мобильную флешку «вставил-и-работай». Отсюда напрашивается вывод о выборе некой границы для удобства развертывания / простоты и предоставляемого уровня безопасности, который стоит выбирать, исходя из задач которые выполняются.
Подмена приложений это конечно хорошо, но топикстартер не упоминает, что в Абре при использовании опции «Enable Program Advisor to validate the integrity of allowed application in Application Table» с параметром «Allow Trusted only» подмена будет невозможна. Не упоминается возможность тонкой настройки приложений с использованием MD5 хеша. Не раскрыты все возможности функционала Абры и описан метод подмены при использовании «Low Level» политики безопасности.
Фишинг? Для этого в Абру встроен VPN-клиент и весь трафик терминируется на шлюзах.
Какое-то субьективное мнение выраженно в отчете.
Фишинг? Для этого в Абру встроен VPN-клиент и весь трафик терминируется на шлюзах.
Какое-то субьективное мнение выраженно в отчете.
Вообще тестирование проводилось на устройстве as is: то есть в штатной поставке и конфигурации политик по умолчанию, в которых уже запрещен запуск любых приложений, кроме разрешенных. Что касается не раскрытости всего функционала Абры, так это лишь потому, что статья носит не описательный характер функциональных возможностей, а отображает примеры брешей в «критических участках» защиты.
Что есть AS IS для устройство, для которого должна быть определена политика безопасности в соответствии с задачами, для решения которых будет использоваться это устройство. Рядовому пользователю хватит и того, что данные хранятся в зашифрованном контейнере, а вот для корпоративного пользователя служба ИБ определит политику безопасности в меру своей параноидальности.
Говорить о том, что данный продукт имеет уязвимости после проведения такого «исследования» это в большей степени непонимание принципов работы данного решения.
Говорить о том, что данный продукт имеет уязвимости после проведения такого «исследования» это в большей степени непонимание принципов работы данного решения.
вы — сотрудник Checkpoint практически всем обликом :)
«Рядовому пользователю хватит и того, что данные хранятся в зашифрованном контейнере», в качестве рядового пользователя может оказать в том числе и клиент систем ДБО, который будет использовать это устройство «из коробки», как оно обычно и бывает. В таком случае ему тоже к службе ИБ обращаться? Да и более того, даже в корпоративном секторе, она не везде есть для реализации процедур ИБ.
«Рядовому пользователю хватит и того, что данные хранятся в зашифрованном контейнере», в качестве рядового пользователя может оказать в том числе и клиент систем ДБО, который будет использовать это устройство «из коробки», как оно обычно и бывает. В таком случае ему тоже к службе ИБ обращаться? Да и более того, даже в корпоративном секторе, она не везде есть для реализации процедур ИБ.
Не сотрудник и не евангелист, если Вас это успокоит.
«Из коробки» вы можете купить флешку в переходе и пользоваться ей. Данный продукт, как и любой другой в области обеспечения ИБ, должен быть сконфигурирован предварительно в соответствии с требованиями ИБ. То же самое что купить автомат Калашникова и не вставить в него рожок с патронами, вроде и оружие, но не стреляет.
«Из коробки» вы можете купить флешку в переходе и пользоваться ей. Данный продукт, как и любой другой в области обеспечения ИБ, должен быть сконфигурирован предварительно в соответствии с требованиями ИБ. То же самое что купить автомат Калашникова и не вставить в него рожок с патронами, вроде и оружие, но не стреляет.
Sign up to leave a comment.
Checkpoint Abra — бреши в «доверенных» флэшках