Kõik referentsid
Turvalisus

Riistvaralise USB-puhastusseadme klienditarkvara arendamine

Lõpp-punkti agent ja haldusserver, mis laseb riistvaralisel USB-puhastusseadmel end kogu seadmepargis jõustada – ühtegi kontrollimata mälupulka ei avata.

100%USB-meediast kontrollitud enne avamist

Ülevaade

  • Valdkond: Turvalisus — irdkandjate (USB) kontroll
  • Meie roll: Ehitasime lõpp-punkti agendi ja keskhaldusserveri riistvaralisele USB-puhastusseadmele
  • Tehnoloogia: Windowsi teenus + ASP.NET Core haldusserver (gRPC, TLS), X.509-põhine — täielikult auditeeritav, kliendile kuuluv

Väljakutse

USB-port on üks vanimaid viise, kuidas pahavara turvalisse võrku jõuab: üksainus kontrollimata mälupulk, mis on ühendatud ühte masinasse, võib kanda nakkuse läbi iga tulemüüri. Spetsiaalne riistvara suudab mälupulga kioskis üle kontrollida ja puhastada – aga see aitab ainult siis, kui inimesed seda tegelikult kasutavad. Miski ei takista kedagi kioskist mööda minemast ja kontrollimata mälupulga otse tööjaama ühendamast.

Selle lünga sulgemiseks ei saa puhastamine olla valikuline. Seda tuleb jõustada igas lõpp-punktis – ja hallata kogu masinapargis, mitte konfigureerida üks arvuti korraga.

Lahendus

RaulWalter lõi tarkvara, mis muudab eraldiseisva puhastusseadme kogu seadmepargi hõlmavaks jõustamiseks:

  • lõpp-punkti agent — Windowsi teenus igas kaitstud arvutis, mis vahendab iga USB-mäluseadme kohe selle ühendamisel, haagib selle esmalt privaatselt ega ava seda kasutajale enne, kui on kontrollinud seadme eraldiseisva allkirja ja võrrelnud iga faili allkirjastatud SHA-512 manifestiga — midagi pole lisatud, muudetud ega kustutatud. Kõik allkirjastamata, tundmatu või muudetud haagitakse kohe lahti;
  • keskhaldusserver — ASP.NET Core teenus veebikonsooli ja gRPC-liidesega, mis haldab agentide parki ja kogub nende logisid üle TLS-i, igale seadmele tema enda X.509 sertifikaadi alusel;
  • ehitatud kliendi tingimustel: kood on täielikult auditeeritav, kuulub kliendile ega sõltu millestki muust patenteeritust peale Windowsi.

Tulemus

Kaitstud arvutis USB-mälupulk lihtsalt ei avane enne, kui seade pole seda puhastanud ja allkirjastanud — ja see on endiselt täpselt selline, nagu allkirjastati.

  • 100% ühendatud USB-mälupulkadest kontrollitakse enne ühendamist
  • Allkirjastamata, tundmatud või manipuleeritud andmekandjad blokeeritakse pordis automaatselt
  • Failipõhine terviklikkus – iga faili kontrollitakse allkirjastatud SHA-512 manifesti suhtes ning ühendamine toimub privaatselt ja seejärel avalikult, nii et kasutaja ei puuduta kunagi kontrollimata andmekandjaid
  • Tsentraalselt hallatav ja logitav kogu seadmepargi ulatuses ühest serverist
  • Auditeeritav, kliendile kuuluv kood, millel pole Windowsi-väliseid omandilisi sõltuvusi
Järgmine projekt

Digitaalse usalduse piiriüleseks muutmine Lääne-Balkanil

Kuue Lääne-Balkani riigi majanduse suunamine usaldusteenuste vastastikuse tunnustamise suunas – eIDASe mudeli alusel, ühe regioonina ELi suunas.