Takaisin etusivulle
Esimerkki tietoturvaominaisuuden käyttömahdollisuudesta
Lisätietoa:
Kimmo Rousku
kimmo.rousku@ict-tuki.fi
Päivitetty 17.6.2007:
Osaltaan yhteenvetona käydyistä kommenteista ja keskusteluista voisin tiivistää asiat seuraaviin neljään kohtaan:
- tämä ei ole tosiaan mikään *uusi* ominaisuus tai asia, olen itsekin kokeillut 90-luvulla lukuisia eri keinoja Windows NT:n ja
myöhemmin 2000/XP/2003-käyttöjärjestelmien suojausten murtamiseen ja samat teknologiat toimivat tänä päivänä täydennettynä
Línux-puolen työvälineillä.
- sen sijaan tämä on kaikista levinnein ja helpoin tapa murtaa tietoturva ilman sen suurempaa teknistä osaamista tai erikseen
netistä ladattavia apuohjelmia, mikäli käyttäjällä sattuu olemaan Windows Vistan asennusmedia.
- jos joku haluaa tehdä vieläkin helpommaksu murtautumisen, suosittelen tutustumaan Windows PE-käynnistyslevyihin, koska tekemällä
buuttaava Windows PE-usb-muisti, käyttäjän ei tarvitse kuin laittaa usb-muisti asemaan ja odottaa, kunnes cmd-tason komentokehote
putkahtaa esiin. Kaikki mahdolliset oikeudet käytettävissä. Ei edellytä yhtään hiiren tai näppiksen napautusta!
- Kuten alla olevassakin on mainittu, bios-asetukset ovat vain hidaste, ne voidaan murtaa. Valitettavasti osa bioseista on
toteutettu sen verran tietoturvattomasti, että esimerkiksi koneen bios-asetuksista ei voida lainkaan estää käyttäjää valitsemasta
käytettävää buutti-mediaa, vaikka tietokone muuten varustettaisiin bios-salasanalla.
Yhteenveto ja tiivistys:
Jos todella haluat suojata tietokoneesi, huolehdi tietokoneen riittävästä fyysisestä suojauksesta
siten,
että koneen ääreen ei pääse kuin toivotut henkilöt sekä tämän lisäksi: käytä kiintolevyjen salakirjoitusohjelmia!
Aiheeseen liittyviä hyödyllisiä linkkejä:
KB818200 - An attacker with physical access to a computer may be able to access files and other data
http://support.microsoft.com/kb/818200/en-us
- julkaistu 31.5.2007 rev 10.
Reduce Your Risk: 10 Security Rules To Live By
http://www.microsoft.com/technet/technetmag/issues/2006/05/ReduceRisk/May
- June 2006 TechNet Magazine / Wes Miller
10 Immutable Laws of Security
http://www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx?mfr=true
10 Immutable Laws of Security Administration
http://www.microsoft.com/technet/archive/community/columns/security/essays/10salaws.mspx?mfr=true
Alla esimerkki siitä, kuinka Vistan asennusmedian Järjestelmän palautusasetusten
(System Recovery options) Komentorivi-toimintoon (Command Prompt) liittyvää
ominaisuutta voidaan hyödyntää.
Esimerkkitietokoneelle tehdään kaksi kansiota, joihin tehdään kolme tiedostoa, tiedostoista yksi
jätetään oletusoikeuksille,
toisesta tiedostosta poistetaan kaikki käyttöoikeudet paitsi system-oikeus,
kolmannesta tiedostosta poistetaan myös system-oikeus.
Tämän jälkeen tiedostot kopioidaan toiseen kansioon, joka suojataan EFS-salauksella.
Tämän jälkeen tietokone käynnistetään Korjaa tietokone -ominaisuuden kautta komentokehotetilaan ja katsotaan,
voidaanko kyseiset tiedostot
a) kopioida usb-muistille tai
b) poistaa tiedostot. Tämän jälkeen
c) tietokone tuhotaan formatoimalla sen kiintolevy.
Esimerkkikoneen C:-asemalle on tehty kaksi kansiota nimeltään Data1 ja Data2, joista Data2 on suojattu
käyttäen EFS-salausta. Se näkyy normaalisti vihreästä kansioväristä.
Kansioista löytyy kolme tiedostoa, jotka ovat nimeltään file1.txt, file2.txt ja file3.txt.
File1.txt-tiedoston acl-käyttöoikeudet on jätetty oletukseksi eli niitä ei ole muutettu millään tavalla.
File2.txt-tiedoston acl-käyttöoikeuksista on poistettu kaikki käyttöoikeudet, ainoastaan
sisäänrakennetulle
System- eli järjestelmätunnukselle on jätetty oletusoikeus. Tiedostoon ei ole siis
yhdelläkään
tietokoneen tavallisella käyttäjätunnuksella käyttöoikeutta.
File3.txt-tiedostosta on poistettu kaikki oikeudet, mukaan luettuna system-oikeus, josta järjestelmä
antaakin huomautuksen.
Tietokone käynnistetään asennus-dvd-levyltä napsauttamalla jotain näppäintä kyseisen ilmoituksen
kohdalla,
jotta tietokone buuttaa dvd-asemassa olevalta asennuslevyltä normaalin C:-kiintolevyn sijaan.
Jos et ole tarkka napsautuksessasi, tietokone saattaakin lähteä liikkeelle C:-asemalta eli käynnistää
Windowsin aivan normaalisti.
Mikäli sinulle käy näin, odota rauhassa, että Vista käynnistyy normaalisti,
kirjaudu järjestelmään ja käynnistä sen jälkeen Vista uudelleen
Käynnistä | Käynnistä uudelleen -
valinnalla.
Tarkistetaan, että maa-asetukset ovat oikein eli suomi/suomalainen ja napsautetaan Seuraava-
painiketta.
Emme asenna Vistaa, vaan valitsemme vasemmasta alakulmasta Korjaa tietokone.
Jos tietokoneessa ei ole standardinmukaista levyjärjestelmää, pitää tässä kohdassa ladata käyttöön
Vista-yhteensopiva levyjärjestelmän laiteohjain valinnasta Lataa ohjaimet. Omissa testeissäni olen
päässyt ilman ongelmia myös useisiin RAID-levyjärjestelmillä varustettuihin 2003-palvelimiin suoraan
Vistan mukana tulevilla laiteohjaimilla. Hätätilassa voit kokeilla myös vanhempia laiteohjaimia,
ainoastaan 64-bittinen Vista edellyttää 64-bittiset Vista-ohjaimet, muut 32-bittiset versiot hyväksyvät
myös vanhempia laiteohjaimia.
Tämän jälkeen tulee tämän tietoturvaominaisuuden kaikista keskeisin näyttö. Valitaan alin vaihtoehto
Komentorivi.
Huomaa, ettet tarvitse toimintoa varten mitään käyttäjätunnusta tai salasanaa!
Oletuksena olet X:\Sources-kansiossa. Normaalisti siirtyisit C:-asemalle, mutta tässä kuvan tapauksessa
järjestelmätiedostot
eli Vista sijaitseekin D:-asemalla. Omissa kokeiluissasi kokeile ensin C:-asemaa,
jolloin komento on C: eikä D: kuten kuvan tapauksessa.
Kuten näet, voidaan sekä file1.txt- että file2.txt-tiedostojen sisältöä katsoa aivan normaalisti!
Muistathan, että file2.txt-tiedoston ainoa käyttöoikeus oli system-käyttäjällä, jolloin tämä osoittaa sen,
että toimit nyt tietokoneella korkeimmalla mahdollisella eli system-käyttöoikeustasolla. Sen sijaan
file3.txt ei oletuksena aukea, koska sille ei ole annettu kenellekään käyttöoikeuksia, ei edes system-
tasolle.
Kuten edellisessä kuvassa huomattiin, File3.txt-tiedoston suojaus kesti, koska siihen ei ole annettu
kenellekään oikeuksia.
Jotta ei jää epäselvää se, kuinka vaarallisesta ominaisuudesta on kyse, tämän kuvan kahdella komennolla
eli takeown ja icacls otetaan kyseinen tiedosto järjestelmänvalvojat-ryhmän omistajuuteen ja sen jälkeen
annetaan sille tarvittavat oikeudet. Tiedosto voidaan avata ja käsitellä.
Data1-kansion tiedostojen kopiointi usb-muistille (F:kopsatut) onnistui.
Sen sijaan data-kansion tiedostot pitävät salaisuutensa, koska kansio ja tiedostot ovat suojattuja EFS-
salaustekniikalla.
Mikäli väärinkäyttäjä haluaisi aiheuttaa tuhoa, helppo tapa olisi formatoida eli alustaa tietokoneen
kiintolevy.
|
Sivun alkuun
Takaisin