Новый канал утечек, не закрытый DLP

23 ноября 2016
Об этом на форуме ZeroNights 2016 сообщили специалисты компании «Перспективный мониторинг». 
 
Как пояснил эксперт-исследователь из «Перспективного мониторинга» Василий Кравец, в компании разработано устройство, демонстрирующее возможность скрытного на сегодняшний день от DLP-систем скачивания данных из оснащенного клавиатурой компьютера (или сервера). 
 
Устройство размером со спичечный коробок (что далеко не предел в смысле миниатюризации) работает как proxi USB. Оно включается в разрыв между клавиатурой и USB-портом атакуемого компьютера, распознается им как клавиатура и не мешает ее штатному использованию. 
 
На атакуемый компьютер устанавливается некая вредоносная программа, для доставки которой может использоваться и само устройство. Будучи установленной на компьютер, она, эмулируя нажатия клавиш Num Lock, Caps Lock и Scroll Lock (т.е используя легальный канал передачи), со скоростью до 800 Б/с неподконтрольно передает в устройство те данные, на которые указал программе атакующий. 
 
По мнению Василия Кравца, новым каналом ранее других могут заинтересоваться злонамеренные инсайдеры, которые заранее знают, какие данные и откуда можно выкрасть. 
 
“На ZeroNights 2016 мы специально продемонстрировали возможность использования нового канала нелегитимной передачи данных, чтобы предупредить об этом разработчиков средств защиты, прежде всего разработчиков систем DLP, в которых я на сегодняшний день не вижу готовой защиты от таких утечек. Более того, хочу обратить внимание на принципиальную техническую возможность нелегального использования других легальных каналов передачи данных, по которым данные выводятся из компьютера, и которые пока еще не контролируются DLP, например, канал вывода звука”, - сказал Василий Кравец.

 

Защита от утечки данных в Алматы

Источник: pcweek.ru