Существует великое множество путей ограничения доступа к съёмным устройствах на рабочих местах. Рассмотрим возможности продукции Kaspersky Lab и обнаруженные мною дыры в защите, которые возможно упростят кому-то жизнь.
Называть это взломом Касперского не совсем корректно, ибо основной задачей антивируса является защита от вирусов, а не корпоративная защита документов.
Статья написана по мотивам темы на форуме USBDev – Как сделать из USB Flash DVD-RW(RAM) . Ничего принципиально нового здесь не напишу, лишь более подробно расскажу и покажу на картинках этот процесс.
ПРЕДИСЛОВИЕ
СТАТЬЯ АКТУАЛЬНА НА МОМЕНТ ПУБЛИКАЦИИ – АВГУСТ 2016 ГОДА.
Возможно, через определённое время, сотрудники антивирусной лаборатории имени Касперского научатся перехватывать такой вид трафика между компьютером и флешкой. Бог им в помощь! Да и я может покажу им что к чему и протестирую их заплатки, если они обратятся.
Моя миссия не украсть конфиденциальные данные или срубить бабло на продаже темы, а показать возможности, которые нам открывает производственные утилиты для прошивки флешек.
Kaspersky Security Cloud 2021 — передовые защитные функции и приложения в единой учетной записи
ЧТО ИЗ СЕБЯ ПРЕДСТАВЛЯЕТ СОБОЙ МЕХАНИЗМ КОНТРОЛЯ УСТРОЙСТВ
Сам механизм КОНТРОЛЯ УСТРОЙСТВ, как заявляет это производитель, позволяет блокировать почти все периферийные девайсы. Их можно блокировать как по:
– ТИПУ УСТРОЙСТВА (CD/DVD-диски, флешки, жесткие диски, дискеты, стримеры, модемы, принтеры, Bluetooth, Wi-Fi, цифровые камеры, сканеры и многое другое).
– ШИНЕ ПОДКЛЮЧЕНИЯ (Infra Red, Serial Port, Parallel Port, USB, FireWire, PCMCIA).
При любом раскладе, мыши и клавиатуры не будут заблокированы, т.к. являются исключением из правил.
Если заблокировать флешки, то при подключении доступа к ней не будет, хотя буква присвоится.
Попутно Kaspersky EndPoint Security выводит сообщения на подобие:
Операция с устройством запрещена
Доступ к устройству или операция Чтение с содержимым устройства Съемные диски запрещены в соответствии с правилом доступа к устройствам.
В случае ошибочной блокировки вы можете обратиться к администратору локальной сети организации.
КОРОТКО О ВСЕХ ПРИЕМАХ
Все они так или иначе связанные с прошивкой флешек, т.к. я флеш-маньяк и меня интересует только эта тематика.
1] ПОДМЕНА ИДЕНТИФИКАЦИОННЫХ ДАННЫХ ДЛЯ СООТВЕТСТВИЯ СПИСКУ ДОВЕРЕННЫХ УСТРОЙСТВ.
2] ПРЕВРАЩЕНИЕ ФЛЕШКИ В FLOPPY-УСТРОЙСТВО.
3] ПРЕВРАЩЕНИЕ ФЛЕШКИ В CDROM-УСТРОЙСТВО.
4] ИСПОЛЬЗОВАНИЕ ФУНКЦИИ PRELOAD, ДЛЯ ЗАГРУЗКИ ФАЙЛОВ НА ДИСК.
Первые три перечисленные способа жизнеспособны от случая к случаю или просто не слишком удобны, а вот последний как раз тот, из-за которого я и решился потратить время на данную статью.
Как удалить плагин управления программой из Kaspersky Security Center / удаление плагина касперского
Во всех ситуациях будем экспериментировать с контроллерами Silicon Motion (SMI), в частности с USB3.0-чипом SM3261.
Если говорить о программном обеспечении, то это:
– Операционная система Windows 7 x64 Максимальная
– Kaspersky Endpoint Security 10 для Windows v10.2.4.674
– SMI MPTool V2.5.36 v7 N0725v1 [54AE,55AB,55AC,55ENA1,57AA,57ENAA,57ENBA,57ENLT,60AB,60AD,61AB,63AB,67AB]
– UltraISO Premium Edition v9.6.2.3059
Но обо всём по порядку.
ПОДМЕНА ИДЕНТИФИКАЦИОННЫХ ДАННЫХ
Способ актуален только при существовании такого списка и наличии на руках подходящей флешки.
Дело в том, что в зависимости от модели контроллера флешки, нам предоставляется возможность сменить определённый перечень параметров.
Для полного счастья, а вернее для механизма контроля устройств антивируса от Касперского, список выглядит следующим образом:
– VENDOR (VEN)
– PRODUCT (PROD)
– REVISION (REV)
– SERIAL NUMBER
На первый взгляд ничего экзотического, но с серийником и ревизией могут возникнуть реальные проблемы.
Приведу всего лишь два примера, из которых станет ясен масштаб вопроса с совместимостью.
1] INNOSTOR – номер ревизии не отредактировать. Значение будет барахтаться в зависимости от применяемой утилиты.
2] PHISON – для прошиваемых через Phison MPALL и CTOOL флешек, невозможно выставить нужный серийный номер. С Phison UPTool такой проблемы не наблюдается, но и область его применения не такая уж и широкая, как это диктует нам ситуация.
А среди наиболее беспроблемных можно выделить:
1] SMI – безусловно лучший вариант, который можно было только рассматривать.
2] ALCOR – тоже очень неплохой вариантик, но придётся сделать побольше телодвижений.
Итак, теоретическую часть мы немного разобрали, теперь обращаемся к Касперскому. На вкладке НАСТРОЙКА выбираем пункт КОНТРОЛЬ УСТРОЙСТВ.
На странице ДОВЕРЕННЫЕ УСТРОЙСТВА хранится перечень записей о флешках, на которые не распространяются общие правила ограничения доступа.
Ограничение можно задавать как по уже рассмотренным параметрам (VEN, PROD, REV, SN), так и по просто названию флешки (имя вендора и продукта в полном виде). Как это у вас, зависит от того куда конкретно установили галочку.
1] KINGSTON USBDEVFLASH USB Device
2] USBSTORDISKPROD_USBDEVFLASH0
, где:
– KINGSTON – Vendor
– USBDEVFLASH – Product
– 1100 – Revision
– AA00000000001707 – Serial Number
В любом случае, лично мне проще сменить все 4 переменные и не заниматься гаданием на кофейной гуще.
Вот в принципе и всё, разбирать подробно процесс прошивки для смены идентификационной информации мы не будем.
Приведу лишь скриншот с настройками прошивальщика для рассматриваемой в статье флешки.
Как видно из картинки выше, PRETEST и прочее можно оставить выключенным, главное это птички:
– Write CID
– Download ISP
Такие нестандартные параметры позволят сохранить файлы на флеш-диске в нетронутом состоянии. Хотя и не исключаю, что в редких проблемных случаях, придётся прибегнуть к полной перепрошивке согласно ИНСТРУКЦИИ ПО РЕМОНТУ В SMIMPTOOL .
Ну и сами строки с данными:
– Vendor
– Product
– Serial Mask (серийный номер)
– bcdDevice (номер ревизии)
FLOPPY-УСТРОЙСТВО
Вариант явно не очень, т.к. предельный объём отформатированной дискеты это 1,38МБ пространства. Как вы понимаете, на таком носителе не много унести в эпоху терабайтных жестких дисков.
Суть метода заключается в перепрошивке флешки в FDD-устройство. Пример того как это сделать, показан на скрине ниже, на той же флешке от Silicon Motion.
Ещё одной слабой стороной данной методы, возможность заблокировать флоппи через того же Касперского, для этого нужно запретить Дискеты в списке устройств.
Можно конечно пойти путем описанным ниже для CD-раздела, но такие заморочки с девайсом объёмом не многим больше 1 мегабайта это извращение.
CDROM-УСТРОЙСТВО
Другая программа имеет монопольный доступ касперский удаление
Проблема с Kaspersky Endpoint Security KES 10.2.1.23 и модулем «Контроль устройств» существует, но специалисты Касперского всячески уходят от ответа, хотя исправление было сделано. Здесь представлена копия переписки на официальном форуме, которая была удалена с сайта поддержки компании Касперский.
Если у кого-либо наблюдается утечка памяти на рабочих станциях при включении компонента «Контроль устройств», и версия клиента в районе 10.2.1.23, тут ничего не поделать, а только закупать новый пак Касперского. Другого официального решения нет. Касперский не выдает исправления бесплатно, тем более на сертифицированные версии. Либо жрите что дают, либо по нескольку раз платите за одно и то же.
Э то версия страницы https://forum.kaspersky.com/lofiversion/index.php/t352046.html из кеша Google. Она представляет собой снимок страницы по состоянию на 17 май 2017 02:45:05 GMT.
I van Kudryavin
Добрый день! аналогичная проблема возникла, в парке из 350 машин почти треть уходит в синий экран (отказывают драйвера видеокарты, все резко чернеет и остается один курсор, перестают отвечать приложения типа аутлука или любой другой простой софтины с ошибкой «недостаточно памяти»)и постоянно переполнена оперативная память, после выгрузки приложений память не освобождается. Если перезапустить компьютер и на ночь оставить его без запущенных приложений, просто свежезапущенный, с утра память израсходована на 100% опять. ОС на всех станциях Windows 7, по статистике чуть более подвержены х32 битные. Проблема появилась внезапно, никаких работ или обновлений не производилось. В KES10 отключено все кроме файлового антивируса и почтового, полное отключение не помогает, помогает только выгрузка целиком касперского (редко помогает), удаление касперского (помогает в 95% случаев)
Используемое ПО:
KSC – 10.2.275
Агент Касперского — 10.2.434
На рабочих станциях Касперский — 10.2.1.23. Пробовали версии с диска (ФСТЭК) и с сайта.
ОС Windows 7 x32/x64
Добрый день! аналогичная проблема возникла, в парке из 350 машин почти треть уходит в синий экран (отказывают драйвера видеокарты, все резко чернеет и остается один курсор, перестают отвечать приложения типа аутлука или любой другой простой софтины с ошибкой «недостаточно памяти»)и постоянно переполнена оперативная память, после выгрузки приложений память не освобождается. Если перезапустить компьютер и на ночь оставить его без запущенных приложений, просто свежезапущенный, с утра память израсходована на 100% опять. ОС на всех станциях Windows 7, по статистике чуть более подвержены х32 битные. Проблема появилась внезапно, никаких работ или обновлений не производилось. В KES10 отключено все кроме файлового антивируса и почтового, полное отключение не помогает, помогает только выгрузка целиком касперского (редко помогает), удаление касперского (помогает в 95% случаев)
Используемое ПО:
KSC – 10.2.275
Агент Касперского — 10.2.434
На рабочих станциях Касперский — 10.2.1.23. Пробовали версии с диска (ФСТЭК) и с сайта.
ОС Windows 7 x32/x64
Пожалуйста, опишите точный сценарий воспроизведения проблемы.
Изначально описанная в теме проблема имела другие симптомы и относилась к другой версии KES.
Я правильно понимаю, что удаление KES не всегда решает проблему, т.е. проблема не связана напрямую с нашим продуктом? Из описания неясно, какой именно процесс вызывает утечку памяти и BSOD.
Добрый день! аналогичная проблема возникла, в парке из 350 машин почти треть уходит в синий экран (отказывают драйвера видеокарты, все резко чернеет и остается один курсор, перестают отвечать приложения типа аутлука или любой другой простой софтины с ошибкой «недостаточно памяти»)и постоянно переполнена оперативная память, после выгрузки приложений память не освобождается. Если перезапустить компьютер и на ночь оставить его без запущенных приложений, просто свежезапущенный, с утра память израсходована на 100% опять. ОС на всех станциях Windows 7, по статистике чуть более подвержены х32 битные. Проблема появилась внезапно, никаких работ или обновлений не производилось. В KES10 отключено все кроме файлового антивируса и почтового, полное отключение не помогает, помогает только выгрузка целиком касперского (редко помогает), удаление касперского (помогает в 95% случаев)
Используемое ПО:
KSC – 10.2.275
Агент Касперского — 10.2.434
На рабочих станциях Касперский — 10.2.1.23. Пробовали версии с диска (ФСТЭК) и с сайта.
ОС Windows 7 x32/x64
Судя по описанию и версии Касперского (10.2.1.23) проблема очень похожа на утечку памяти в компоненте «Контроль устройств». Тут поможет только патч(название пачта я не помню) на данный компонент.
Но раз у Вас отключены всё компоненты, включая «Контроль устройств», то у Вас проблема в чём-то другом.
Раз удаление Касперского решает проблему лишь в 95%, то возможно, 5% относятся к агенту администрирования Касперского(если Вы его не удаляли) или к самой ОС с программами. Тут прояснить может только программа PoolMon.
P.S. А почему вы используете именно эту версию Касперского (10.2.1.23), а не более свежую?
P.S.S. Вот тут была переписка по поводу того злополучного компонента: https://forum.kaspersky.com/index.php?act=f. amp;pid=2396098
This is a «lo-fi» version of our main content. To view the full version with more information, formatting and images, please click here .
- Удаление винлокера
- Windows: где в реестре прописывается автозапуск программ
- Windows: Удаляем вирус из системы вручную
- Восстановление работоспособности Windows 7 после вирусного заражения
- Куда прописывает свои ключи антивирус Касперского
- Веб-интерфейс Metasploit, URL для доступа из веб-браузера
- Касперский — KES 10.2.1.23, утечка памяти [В процессе]
Источник: webhamster.ru
Антивирусы Касперского хотят знать о вашем компьютере все!
Какие программы у вас установлены, какие процессы запущены, какие сайты запущены, пользуетесь ли вы VPN-соединением, имена компьютера, беспроводной сети и т. п. Список того, что будет автоматически передаваться в «Лабораторию Касперского» впечатляет. В компании заявляют, что эти данные нужны для улучшений нашей же безопасности.
Сегодня утром у меня обновился бесплатный антивирус Касперского. После перезагрузки компьютера выскочило обновленное положение о Kaspersky Security Network (облачный элемент защиты антивирусов). Как и большинство людей, я хотел сразу же нажать на кнопку «Принять» и заняться другими делами. Но не спешите — лучше познакомьтесь с положением. Хотя бы краем глаза.
Чтобы не быть как Кайл в 1 серии 15 сезона «Южного парка» (шутка).
Итак, пользователь соглашается в автоматическом режиме предоставлять следующие данные
1. Версию ОС, включая пакеты обновлений, и большой пакет информации: разрядность, объекты ядра, драйверы, сервисы, расширения Microsoft Internet Explorer, расширения системы печати, расширения Windows Explorer, загруженные объекты, элементы Active Setup, апплеты панели управления, записи файла hosts и системного реестра, имя компьютера в сети (локальное и доменные имена), региональные настройки ОС (данные о часовом поясе, раскладке клавиатуры по умолчанию, языках интерфейса) и так далее.
2. Список всех установленных программ: название, версия, версии установленных обновлений, название издателя, дату и полный путь установки на компьютере.
3. Полную информацию об антивирусе Касперского.
4. Имя беспроводной сети (если используется), контрольную сумму MAC-адреса точки доступа, признак работы компьютера от батареи или стационарной электросети, признак наличия DNS, тип компьютера, данные о типе и защищенности беспроводной сети, местное время начала и окончания подключения компьютера к беспроводной сети, список доступных точек доступа беспроводной сети и их параметры и так далее.
5. Активности на компьютере: данные о запущенных процессах в системе, имя процесса, данные об учетной записи, от которой запущен процесс, полный путь к файлам процесса и командная строка запуска, указатель нахождения файла процесса в автозапуске, URL-адреса посещаемых веб-сайтов и время посещения, ответ от DNS-сервера и длительность хранения ответа в буфере, IP-адреса (IPv4 или IPv6) DNS-сервера и домена веб-сайта, поисковые запросы, параметры HTTP-запросов и так далее.
6. Подробные данные обо всех проверяемых объектах и действиях.
Далее идут пункты, связанные с работой антивируса (7-17). Мы их опускаем. И продолжаем.
18. Информацию о событиях в системных журналах: время события, название журнала, в котором обнаружено событие, тип и категория события, название источника события и его описание.
19. Информацию о сетевых соединениях: версию и контрольные суммы файла процесса, открывшего порт, путь к файлу процесса и т.п.
20. Информацию о запущенном файле: его контрольную сумму, формат, количество запусков файла, версия пакета статистики, информация о ПО.
21. Информацию о выполнении отката деятельности вредоносной программы.
22. Информацию об использовании VPN-соединений: IP-адрес VPN-сервера, с которым устанавливается соединение, уникальный идентификатор установки ПО на компьютер.
Кстати, для дополнительной проверки в «Лабораторию Касперского» могут отправляться файлы, в отношении которых существует риск использования их злоумышленником с целью нанесения вреда компьютеру. И не только файлы: исполняемые и неисполняемые доверенные файлы, участки оперативной памяти компьютера, загрузочные сектора операционной системы.
«Лаборатории Касперского» также нужно знать информацию об установленном на компьютере «железе»: данные об объеме ОЗУ, марке процессора и количестве ядер, модели жесткого диска, версии прошивки, характеристики встроенных и подключенных устройств.
Какие программы подпадают под новое положение?
Все. Kaspersky Anti-Virus («Антивирус Касперского»), Kaspersky Internet Security, Kaspersky Total Security, Kaspersky Free и Kaspersky Security Cloud для Windows. При условии использования облачной защиты Kaspersky Security Network.
Для чего «Лаборатории Касперского» столько данных?
«В целях выявления новых и сложных для обнаружения угроз информационной безопасности и их источников, угроз вторжения, а также оперативного принятия мер по повышению уровня защиты информации».
Кстати, на официальном сайте до сих пор можно найти следующую информацию: «Также Kaspersky Free не собирает ваши персональные данные. Мы ценим приватность и конфиденциальность, о чем не устаем периодически повторять».
Можно ли отказаться от нововведения?
Да, нужно отключить облачную защиту (Kaspersky Security Network), либо после обновления отказаться от нового положения. Это пока можно сделать даже в бесплатной версии. Но уровень защиты антивируса понизится. Как поступать — решать вам. Альтернативные бесплатные версии антивирусов найти еще можно.
Источник: itblog21.ru