A dlp-ügynök megtalálása a rendszerben
Kedves nappali!
Meg szeretném osztani a megfigyeléseimet - talán valaki jön hasznosnak.
Az alábbiak mindegyike a Falcongaze SecureTower-ra vonatkozik.
Annak ellenére, hogy az ügyfél bármely eszközzel elrejti jelenlétét, minden titok előbb-utóbb nyilvánvalóvá válik.
1. A bizonyítvány helyettesítése.
Távolítunk el minden erőforrást a böngészőben. amely https-et használ és nézze meg a tanúsítványadatokat. A DLP ügyfél telepítésekor a "Tanúsítási útvonal" részben a Falcongaze SecureTower által aláírt tanúsítvány lesz.
Telepítéskor a SecureTower ügyfél hozzáadja a tanúsítványt a Trusted Root Certification Authority-hez.
Általánosságban minden gyanúval ez az adattár rendszeresen megtekinthető - hirtelen valami érdekeset találsz.
2. A fájlok elhelyezkedése.
Ha vizuálisan keresi az ügyfelek telepítéséhez szükséges fájlokat és könyvtárakat, vagy használja a keresési mechanizmust az Explorerben (bármely más fájlkezelő), akkor valószínűleg semmit nem talál.
De van kiút, minden sokkal könnyebbé válik - az utat választjuk:
Ezt a módszert Windows 7 és újabb operációs rendszereken tesztelik.
4. Hálózat.
Alapértelmezés szerint. kommunikálni a szerverrel, a Secure Tower a 10500-as portot használja.
5. Eljárások.
Mint a könyvtárak és fájlok esetében, az ügyfél tökéletesen maszkolja a folyamatokat (ha szükséges) a Windows Feladatkezelőben.
Az alábbiakban felsoroljuk a legvalószínűbb folyamatokat:
Annak érdekében, hogy "csípje" őket, meg kell futtatnia a jó régi Process Monitorot, és megnyitnia a Process Tree-et - senki sem hagyta el.
6. Skype
Mint tudják, sok DLP-rendszer képes fogadni az üzeneteket (néhány, különösen fejlett - még rekordbeszélgetések is). Valószínűleg azt szeretné megkérdezni: hogyan csinálják? Végül is a Skype protokoll biztonságosan titkosítva van, és senki sem (gyakorlatilag) közelebb tudna titkosítani.
Tény, hogy a lezárt protokollokon keresztül továbbított adatok visszafejtése előtt az ügy csak egyáltalán nem érhető el. A Secure Tower kliens közvetlenül adatokat kér a Skype-tól.
Az első módszer. az ügyfél (az ügyfél) az egyik modulját megbízható Skype alkalmazásként regisztrálja. Az utóbbi az adatokat dokumentált és nyitott API segítségével kivonja.
A Skype-ot a nem hívott vendégek számára az Eszközök -> Beállítások menüpont kiválasztásával ellenőrizheti. -> Speciális -> Speciális beállítások -> Más programok vezérlése - hozzáférés a Skype-hoz (Check for Skype 6.20.0.104).
A "Program Access Control" ablak felsorolja azokat az alkalmazásokat, amelyek hozzáférhetnek az Ön adataihoz a Skype-nál. Talán, magadban, miután megnyitotta ezt az ablakot, sok új és érdekes dolgot talál!
Jelenleg ezt a módszert gyakorlatilag nem használják, mert mindegyikük (az álnokság szélén) a második módszerhez ment.
A második módszer. A Skype az SQLite DB levelezés történetét tárolja a műfaj legjobb hagyományaiban - egyértelműen.
Az adatbázis fájl helye:
Ez a fájl, amelyet a DLP kliens rendszeresen húz.
Kihúzunk
Indítsa el a folyamatfigyelőt és hozzon létre új szűrőt:
Nyomja meg az OK gombot, és várja meg, hogy működjön. Egy tökéletesen tiszta rendszerben, kivéve magát a Skype-t, senki nem férhet hozzá ehhez a fájlhoz. Ha a rendszerben van egy "élő lény" - a várakozás nem lesz hosszú.
következtetés
Érdemes mindig figyelembe venni azt a tényt, hogy a fejlesztők nem üresednek, a DLP rendszerek folyamatosan javulnak (bonyolultabbá válnak, több új hibát generálnak), és a fent leírt módszerek esetleg nem működnek új verziók esetén.
Ezenkívül nagymértékben függ a biztonsági házirendtől, amely szerint az ügyfél konfigurálva van. Külön modulok (a Skype üzenetek lehallgatása, a forgalom https ellenőrzése stb.) Letilthatók, és ennek megfelelően minden egyes tétel 100% -os eredményt nem adhat.
Az ilyen típusú szoftverek felismerése érdekében mindig integrált megközelítést kell alkalmazni, amely tartalmazza az összes elem ellenőrzését. Emellett ezeknek a módszereknek a használatával nemcsak a Secure Tower, hanem a "versenytársaik" is nyomon követhetők.