Nebo lépe podtitul - pracujeme na domain controllerech (DC) bez přihlášení.
V poslední době jsem se tu už několikrát vyjadřoval o nebezpečích, která na nás číhají uvnitř firemní sítě. To jsou totiž ta skutečná nebezpečí, kterých je potřeba se bát. Nebojím se vnějších útočníků. To jsou jen dětičky, co někde stáhnout nějaký skriptík a pustí ho a ono to "samo" něco udělá. A přitom ani neví, jak a proč to vlastně funguje.
Já se bojím internistů. Tím myslím kohokoliv, kdo má fyzický přístup do vnitřního prostředí. Zaměstnanci, brigádníci, různí partneři a dodavatelé, ale i servisáci, technici od telekomu a siláci, co nosí barely s vodou, Iránci a Číňani. A hlavně uklízečky. To jsou speciálně ty, které jste nikdy neviděli. A přitom mají přístup skoro do celé firmy.
Chodí tam v noci a nikdo je obvykle nehlídá. I ti opraváři elektriky si mohou obvykle dělat skoro cokoliv. A to je právě to riziko pro bezpečnost dat a vůbec celé firmy.
Říkáte si, proč by je to asi tak zajímalo? Ony ty útoky jsou tak jednoduché, že to může zajímat jen prostě vaši konkurenci. Nebo někdo toho zaměstnance naštval. Nebo se chce prostě jen podívat, kolik vydělává kolega, nebo ředitel, a chce se naštvat sám :-)
Hlavní nebezpečí, které každý zanedbává
Všichni se brání pomocí firewallů, různých intrussion prevention technologií, antivirů a obecně antimalware. Jenže tyhle nástroje zachytí jen známé signatury. Právě těch útoků z venku. Těch útoků, kdy si někdo stáhne programák, co používá tisíc různých útočníků.
Jenže pokud se najde nějaký šikulka, co to myslí vážně, a umí si naprogramovat něco jednoduchého, tak není obrana. Zrovna před dvěma týdny jsem řešil audit po takovéhle události a není to nic příjemného. Prostě nikdy nevíte, kde na vás co dalšího čeká.
Hlavní nebezpečí je fyzická (ne)bezpečnost.
Co je fyzická bezpečnost?
No jde o to, že jestli se vám někdo dostane fyzicky k počítači, tak ho má v moci. Jestli si může přijít k desktopu a být u něho pár minut, je jeho pánem. Jestli si může na chvilku nepozorvaně vzít zálohy, image operačních systémů, instalačky, nebo router, ztrácíte svoji vládu nad tím zařízením nebo daty.
Poznámka: fyzicky k počítači znamená i k virtuálce. Ano, ti lidé, co vám dělají virtualizaci, jsou stejně nebezpeční!
Nějaké příklady?
Tak tu je jeden za všechny
Myslím, že je to hodně známé. Ale protože se pořád setkávám s tím, že to někdo ještě neviděl a akorát se o tom někde šuškalo, tak tady jsou screenshoty. A to i z Windows 8, aby vás to trošku vyděsilo. A raději jste si všechno zašifrovali BitLockerem. Ten nástroj tam není jen tak pro srandu králíkům.
Takže úkol zní: stát se lokálním adminem na počítači. Nebo třeba udělat reset hesla lokálnímu adminovi.
Pokročilý úkol je: stát se doménovým administrátorem. Nebo vyresetovat heslo domain adminovi, nebo si dokonce založit nový účet domain admina.
Co k tomu potřebujeme? Stačí fyzický přístup k danému stroji, který nemá zašifravný systémový oddíl. A nabootovat ho z Windows 7 a novějšího instalačního média (DVD, USB, ...). Jestliže má BIOS heslo, tak počítejte, že uklízečka umí vytáhnout baterku:
A stiskne SHIFT-F10. Tohle jí spustí plnohodnotnou příkazovou řádku:
No a může se přepnout na disk toho pevného počítače a udělat na něm úpravy v operačním systému. Offline. Takže žádná ochrana proti téhle uklízečce. Pokud ten oddíl není zašifrován BitLockerem, může si dělat co chce. Na DVDčku má dokonce regedit a notepad.
Ale co by mohla udělat? Stačí jí, když nahradí vhodný systémový soubor jednoduše příkazovou řádkou CMD. Na Windows 7/2008/R2 je pěkné nahradit UTILMAN.EXE. Zatímco na Windows 8 a Windows 2012 je efektnější nahradit OSK.EXE. Bude nahrazovat systémový soubor jiným systémovým. To žádný antimalware nezajímá.
A jaký to má efekt? Jsou to součásti usnadnění, které máte k dispozici i před přihlášením. A co víc, ono to běží pod účtem SYSTEM. Takže si to může dělat co chce. Následující obrázky jsou doufám dostatečně názorné:
Prostě si ještě před přihlášením spustí cokoliv. Dokonce jde spustit i Internet Explorer a mohou internetit bez přihlášení.
Jak se proti tomu bránit?
Fyzicky omezit přístup. Nemít open space, ale kanceláře. Zamykat počítače do stolů a servery do racků. Mít notebooky pořád u sebe, nenechávat je na parkovišti ani v kanceláři. Zamykat serverovny, zamykat jednotlivá patra. Nepouštět uklízečky do celé budovy.
A samozřejmě všechno šifrovat. Proti útoku na počítač musíte mít šifrované celé systémové oddíly. Na to máte buď BitLocker (od Windows 8 k dispozici i v Pro verzi), nebo třeba TrueCrypt. Šifrovat síťové komunikace pomocí IPSec, nebo TLS.
Další články na toto téma
Mám tu ještě několik starších věcí, na tato témata:
Zkouška Certified Ethical Hacker - CEHv7
Proč je dobré nemít výchozí bránu a ještě lepší mít Windows Firewall
Naplánované úlohy, které nejsou vidět
Prezentace z přednášky Kyberkriminálníkem snadno a rychle
Porovnání edicí Windows 8 z pohledu bezpečnostních a podnikových vlastností