Как пояснил эксперт-исследователь из «Перспективного мониторинга» Василий Кравец, в компании разработано устройство, демонстрирующее возможность скрытного на сегодняшний день от DLP-систем скачивания данных из оснащенного клавиатурой компьютера (или сервера). [spoiler]
Устройство размером со спичечный коробок (что далеко не предел в смысле миниатюризации) работает как proxi USB. Оно включается в разрыв между клавиатурой и USB-портом атакуемого компьютера, распознается им как клавиатура и не мешает ее штатному использованию.
На атакуемый компьютер устанавливается некая вредоносная программа, для доставки которой может использоваться и само устройство. Будучи установленной на компьютер, она, эмулируя нажатия клавиш Num Lock, Caps Lock и Scroll Lock (т.е используя легальный канал передачи), со скоростью до 800 Б/с неподконтрольно передает в устройство те данные, на которые указал программе атакующий.
По мнению Василия Кравца, новым каналом ранее других могут заинтересоваться злонамеренные инсайдеры, которые заранее знают, какие данные и откуда можно выкрасть.
“На ZeroNights 2016 мы специально продемонстрировали возможность использования нового канала нелегитимной передачи данных, чтобы предупредить об этом разработчиков средств защиты, прежде всего разработчиков систем DLP, в которых я на сегодняшний день не вижу готовой защиты от таких утечек. Более того, хочу обратить внимание на принципиальную техническую возможность нелегального использования других легальных каналов передачи данных, по которым данные выводятся из компьютера, и которые пока еще не контролируются DLP, например, канал вывода звука”, - сказал Василий Кравец.
Фото:
После некоторых размышлений сделан он в самой простой форме, ибо машина будет использоваться отдельно от корпоративной структуры и, соответственно, корпоративных политик. Наша главная задача проверить работу SRP, как базовой защиты.
На машине профиль администратора и обычного пользователя. Имеется ввиду, что в корпоративной среде силами ИТ-отдела рабочее место подготовлено. Сотрудник приходит на рабочее место, включает компьютер, выполняет задачи в соответствии со своими обязанностями, выключает компьютер (если не предусмотрено обратного), уходит. Программное обеспечение упорядочено, оборудование настроено для каждого рабочего места.
Не стал настраивать MS Office через групповые политики. Ограничился возможностями настройки в самих приложениях, в том числе для возможности, для свободы манёвра. Если у вас есть, чем проверить, воздействие на систему и данные через зараженный документ, то есть возможность отключить соответствующие настройки в самом приложении.
Повторюсь, нет важной составляющей, локального (не стандартного) брандмауэра.
Данные по получению образа сообщу в личку. Размер 10Гб (формат OVF 2.0) от VirtualBox. Заводится через Импорт конфигурации.