Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Fyzická (ne)bezpečnost, aneb čeho se opravdu bojím
listopad 13
Fyzická (ne)bezpečnost, aneb čeho se opravdu bojím

Nebo lépe podtitul - pracujeme na domain controllerech (DC) bez přihlášení.

V poslední době jsem se tu už několikrát vyjadřoval o nebezpečích, která na nás číhají uvnitř firemní sítě. To jsou totiž ta skutečná nebezpečí, kterých je potřeba se bát. Nebojím se vnějších útočníků. To jsou jen dětičky, co někde stáhnout nějaký skriptík a pustí ho a ono to "samo" něco udělá. A přitom ani neví, jak a proč to vlastně funguje.

Já se bojím internistů. Tím myslím kohokoliv, kdo má fyzický přístup do vnitřního prostředí. Zaměstnanci, brigádníci, různí partneři a dodavatelé, ale i servisáci, technici od telekomu a siláci, co nosí barely s vodou, Iránci a Číňani. A hlavně uklízečky. To jsou speciálně ty, které jste nikdy neviděli. A přitom mají přístup skoro do celé firmy.

Chodí tam v noci a nikdo je obvykle nehlídá. I ti opraváři elektriky si mohou obvykle dělat skoro cokoliv. A to je právě to riziko pro bezpečnost dat a vůbec celé firmy.

Říkáte si, proč by je to asi tak zajímalo? Ony ty útoky jsou tak jednoduché, že to může zajímat jen prostě vaši konkurenci. Nebo někdo toho zaměstnance naštval. Nebo se chce prostě jen podívat, kolik vydělává kolega, nebo ředitel, a chce se naštvat sám :-)

Hlavní nebezpečí, které každý zanedbává

Všichni se brání pomocí firewallů, různých intrussion prevention technologií, antivirů a obecně antimalware. Jenže tyhle nástroje zachytí jen známé signatury. Právě těch útoků z venku. Těch útoků, kdy si někdo stáhne programák, co používá tisíc různých útočníků.

Jenže pokud se najde nějaký šikulka, co to myslí vážně, a umí si naprogramovat něco jednoduchého, tak není obrana. Zrovna před dvěma týdny jsem řešil audit po takovéhle události a není to nic příjemného. Prostě nikdy nevíte, kde na vás co dalšího čeká.

Hlavní nebezpečí je fyzická (ne)bezpečnost.

Co je fyzická bezpečnost?

No jde o to, že jestli se vám někdo dostane fyzicky k počítači, tak ho má v moci. Jestli si může přijít k desktopu a být u něho pár minut, je jeho pánem. Jestli si může na chvilku nepozorvaně vzít zálohy, image operačních systémů, instalačky, nebo router, ztrácíte svoji vládu nad tím zařízením nebo daty.

Poznámka: fyzicky k počítači znamená i k virtuálce. Ano, ti lidé, co vám dělají virtualizaci, jsou stejně nebezpeční!

Nějaké příklady?

Tak tu je jeden za všechny

Myslím, že je to hodně známé. Ale protože se pořád setkávám s tím, že to někdo ještě neviděl a akorát se o tom někde šuškalo, tak tady jsou screenshoty. A to i z Windows 8, aby vás to trošku vyděsilo. A raději jste si všechno zašifrovali BitLockerem. Ten nástroj tam není jen tak pro srandu králíkům.

Takže úkol zní: stát se lokálním adminem na počítači. Nebo třeba udělat reset hesla lokálnímu adminovi.

Pokročilý úkol je: stát se doménovým administrátorem. Nebo vyresetovat heslo domain adminovi, nebo si dokonce založit nový účet domain admina.

Co k tomu potřebujeme? Stačí fyzický přístup k danému stroji, který nemá zašifravný systémový oddíl. A nabootovat ho z Windows 7 a novějšího instalačního média (DVD, USB, ...). Jestliže má BIOS heslo, tak počítejte, že uklízečka umí vytáhnout baterku:

A stiskne SHIFT-F10. Tohle jí spustí plnohodnotnou příkazovou řádku:

No a může se přepnout na disk toho pevného počítače a udělat na něm úpravy v operačním systému. Offline. Takže žádná ochrana proti téhle uklízečce. Pokud ten oddíl není zašifrován BitLockerem, může si dělat co chce. Na DVDčku má dokonce regedit a notepad.

Ale co by mohla udělat? Stačí jí, když nahradí vhodný systémový soubor jednoduše příkazovou řádkou CMD. Na Windows 7/2008/R2 je pěkné nahradit UTILMAN.EXE. Zatímco na Windows 8 a Windows 2012 je efektnější nahradit OSK.EXE. Bude nahrazovat systémový soubor jiným systémovým. To žádný antimalware nezajímá.

A jaký to má efekt? Jsou to součásti usnadnění, které máte k dispozici i před přihlášením. A co víc, ono to běží pod účtem SYSTEM. Takže si to může dělat co chce. Následující obrázky jsou doufám dostatečně názorné:

Prostě si ještě před přihlášením spustí cokoliv. Dokonce jde spustit i Internet Explorer a mohou internetit bez přihlášení.

Jak se proti tomu bránit?

Fyzicky omezit přístup. Nemít open space, ale kanceláře. Zamykat počítače do stolů a servery do racků. Mít notebooky pořád u sebe, nenechávat je na parkovišti ani v kanceláři. Zamykat serverovny, zamykat jednotlivá patra. Nepouštět uklízečky do celé budovy.

A samozřejmě všechno šifrovat. Proti útoku na počítač musíte mít šifrované celé systémové oddíly. Na to máte buď BitLocker (od Windows 8 k dispozici i v Pro verzi), nebo třeba TrueCrypt. Šifrovat síťové komunikace pomocí IPSec, nebo TLS.

Další články na toto téma

Mám tu ještě několik starších věcí, na tato témata:

Zkouška Certified Ethical Hacker - CEHv7
Proč je dobré nemít výchozí bránu a ještě lepší mít Windows Firewall
Naplánované úlohy, které nejsou vidět
Prezentace z přednášky Kyberkriminálníkem snadno a rychle
Porovnání edicí Windows 8 z pohledu bezpečnostních a podnikových vlastností

Comments

Když ale šifruji

Zdá se mi, že když zašifruji systémové oddíly, tak už nepotřebuji např omezovat open space na kanceláře (finančně náročné) protože už je fyzický přístup na počítač k ničemu ?

Jura on 18.6.2014 11:24

Re: Fyzická (ne)bezpečnost, aneb čeho se opravdu bojím

Máte v principu pravdu, ale jde o provedení:

a) pokud ten zaměstnanec zná „BitLocker heslo“ ke svému počítači, tak si to pořád může sám sobě hacknout. Ano, nemůže to heknout nikdo jiný, ale on sám ano
b) ani BitLocker není úplně neprůstřelný – to heslo je během běhu počítače v paměti – takže jde samozřejmě nějak vykrást. viděl jsem článek o tom, že se pečne bios, aby nenuloval paměť při startu a potom se to prostě přebootuje do jiného OS. Ano, tohle vyžaduje trošku lepší přístup a lepší znalosti a delší dobu, ale zase bych na to nechtěl spoléhat v případě důležitějších serverů
c) taky je potřeba si uvědomit třeba virtualizaci, tzn. borce, kteří vám spravují virtuální počítače – tam se BitLocker použít nedá a přitom tihle maníci mohou v klidu ty počítače restartovat.

takže máte pravdu, ale stejně potřeba se nad tím zamýšlet.
ondass on 18.6.2014 12:25

Re: Fyzická (ne)bezpečnost, aneb čeho se opravdu bojím

ondass on 29.4.2015 21:08

Re: Fyzická (ne)bezpečnost, aneb čeho se opravdu bojím

případné vytvoření bootovacího instalačního USB flash média/disku je popsáno zde: http://www.sevecek.com/Lists/Posts/Post.aspx?ID=434
ondass on 27.8.2015 8:28

Domain Admin?

Tohle ovšem dovolí založit jen účet lokálního admina, že? Na reset hesla domain adminovi, nebo na založení účtu domain admina bude potřeba fyzický přístup k serveru - a nevím jak kde, ale u nás se tam dostanou pouze pověření lidé, uklízečka ne.

Nebo se pletu?

Ladislav Zezula
Ladislav Zezula on 25.11.2015 20:28

Domain Admin?

Tohle ovšem dovolí založit jen účet lokálního admina, že? Na reset hesla domain adminovi, nebo na založení účtu domain admina bude potřeba fyzický přístup k serveru - a nevím jak kde, ale u nás se tam dostanou pouze pověření lidé, uklízečka ne.

Nebo se pletu?

Ladislav Zezula
Ladislav Zezula on 25.11.2015 22:14

Domain Admin?

Tohle ovšem dovolí založit jen účet lokálního admina, že? Na reset hesla domain adminovi, nebo na založení účtu domain admina bude potřeba fyzický přístup k serveru - a nevím jak kde, ale u nás se tam dostanou pouze pověření lidé, uklízečka ne.

Nebo se pletu?

Ladislav Zezula
Ladislav Zezula on 25.11.2015 22:28

Domain Admin?

Tohle ovšem dovolí založit jen účet lokálního admina, že? Na reset hesla domain adminovi, nebo na založení účtu domain admina bude potřeba fyzický přístup k serveru - a nevím jak kde, ale u nás se tam dostanou pouze pověření lidé, uklízečka ne.

Nebo se pletu?

Ladislav Zezula
Ladislav Zezula on 25.11.2015 22:28

Re: Fyzická (ne)bezpečnost, aneb čeho se opravdu bojím

jasně, to potom máte dobře :-) jenže proč jsem to psal, protože to je právě důvod, proč ty servery musí být fyzicky zabezpečené. 80% prostředí, kde já dělám audity prostě tohle nemají moc striktní. Možná v centrále, ale potom mají plno poboček, kde je bezpečnost úplně nulová.

jenže to je jenom jedna část. stanice jsou z definice bezpečnostně prokleté. takže zabezpečit fyzicky servery je pěkné, ale pokud potom člověk nedodržuje základní bezpečné postupy, tak třeba tohle:

http://www.sevecek.com/Lists/Posts/Post.aspx?ID=360
http://www.sevecek.com/Lists/Posts/Post.aspx?ID=357
ondass on 26.11.2015 9:19

Re: Fyzická (ne)bezpečnost, aneb čeho se opravdu bojím

další související článeček zde: https://www.sevecek.com/Lists/Posts/Post.aspx?ID=595
ondass on 1.3.2017 6:53

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments