Разблокировка компьютера с O/S Windows
Когда на компьютере смонтированы зашифрованные тома, и он включен вся безопасность налагается на встроенную блокировку O/S. В Windows допустим CTRL+L, или по истечению определенного промежутка времени.
Если разблокировать блокировку O/S, то можно получить доступ к конфеденциальной информации, т.к. зашифрованные тома остаются смонтированы.
Ранее в Windows 2000/XP был баг. Если включен autorun на сменных носителях, например FlashDrive, то было возможен запуск произвольного кода при заблокированном компьютере, и помоему (точно не помню) можно было осуществить снятие блокировки.
Дыру залатали, а вот в надежности блокировки O/S, остается сомневаться.
Существуют ли альтернативные пути блокировки сеанса?
Как оцениваете степень защиты блокировки O/S Windows?
Ссылки
[link1] https://www.pgpru.com/comment90508
[link2] https://en.wikipedia.org/wiki/X_Window_System
[link3] https://en.wikipedia.org/wiki/XQuartz
[link4] https://en.wikipedia.org/wiki/EXodus
[link5] https://www.pgpru.com/comment11417
[link6] http://hmarco.org/bugs/CVE-2015-8370-Grub2-authentication-bypass.html
Мне кажется, что если необходим высокий уровень безопасности, то надо перед уходом делать logoff и размонтировать диски. Кроме того надо побеспокоиться о физической безопасности машины. А если это все не очень серьезно, то штатной безопасности заблокированной и пропатченной системы хватит.
А если речь касается Сервера который защищен TC? Тогда вся защита налагается на безопасность Windows блокировки.
К серверу по определению не должно быть физического доступа для посторонних лиц и залогиненный сеанс там совершенно ни к чему.
Думаю злоумышленнику будет проще найти уязвимый сетевой сервис на этом сервер.
Как оцениваете степень защиты блокировки O/S Windows?
Есть такая аналогия: во всех хранительях экрана под юникс-подобные системы находили хотя бы раз баги, позволяющие снримать блокировку экрана. И нет в общем-то гарантий, что завтра не найдут ещё несколько подобных жуков. Думаю, с виндэус ситуация не сильно отличается :-)
Неужели во всех?
Штатная блокировка ОС может быть усилена средствами программы шифрования дисков. Например, DriveCrypt Plus Pack http://www.ixbt.com/soft/drivecrypt-pluspack-3.shtml
"подхватывает" эту штатную блокировку и подменяет её своей. http://www.securstar.com/products_drivecryptpp.php
Из опыта: компьютер с такой программой входит в локальную сеть. Когда комп в режиме блокировки и требует на экране ввод пароля, со второго компьютера я получил к нему полный доступ (от имени админа заблокированного компа). Собственно, я и не предполагал, что это серьёзная защита – она лишь для того, чтобы любопытные не смотрели в период кратковременного отсутствия владельца... 2-5 минут (пописать отошёл). Для более продолжительных отлучек должно использоваться "усыпление" методом закрытия крышки ноутбука (переход в спящий режим). В этом случае комп через 34 секунды обесточивается, т.е. переходит в режим полного закрытия всех дисков (в режиме блокировки диски открыты). При последующем запуске нужно активировать ключ (что откроет диски) и система восстановится через 1 минуту.
Резюме: всё сводится к деактивации/активации ключа шифрования.
кстати, интересное наблюдение:
если в системе онбордное REaltek-аудио и установлен соответствующий софт от производителя, то при втыкании/вытыкании штекеров в аудио входы/выходы активизируется реалтековское приложение .. конечно вызвать этим запуск произвольного кода вряд ли получится, но все же =)
так что залогиненные сеансы – зло =)
Еще я думал, что можно как-нибудь исхитриться и сделать так, чтобы винда при втыкании флешки пыталась с нее что-нибудь считать и запустить. Какой нибудь загрузочный сектор на ней ..
Вот бы это получилась бомба! =)
С флэшкой такое уже есть. Как раз у меня такая флэшка при "втыкании" запускало своё приложение, которое сразу пряталось в трей и предлагала несколько опций работы с ней. Форматирование флэшки избавило меня от этого щася.
Кроме этого, в моей локальной сети в расшаренную на запись папку регулярно падают вирусы. Так вот, "комплект" вируса состоит из двух файлов:
autorun.inf
setup.exe
Подробней о работе autorun.inf можно найти в сети.
В xlockmore – были, xtrlock – были, в xscreebsaver (самый популярный и возможно потому самый надёжный) – тоже были. Если найдёте те, где никогда не было – сообщите мне – возьму на заметку. В частности, я сам читал как можно было снять пароль с xtrlock – что-то типа "нажать такую-то клавишу и удерживать её втечение стольки-то секунд".
Всё-таки блокировщики экрана — зло. Даю 0day на xscreensaver + openbox:
Интересно, в других box'ах (типа fluxbox'а) и тому подобных wm с контекстными меню всё работает так же, или нет?
UPD: Баг-репорт отправлен.
Автор подтвердил наличие проблемы, написал патч, в будущих версиях будет исправлено. Как я понял, внутренности иксов таковы, что они не позволяют принудительно блокировать экран, если какая-то программа его «не отдаёт». Соответственно, патч позволяет лишь оставлять программу в консистентом состоянии, если такое случается, и выдавать предупреждение в лог о том, что экран не может быть заблокирован. В скрипте xkbd.sh[link1] можно отлавливать такие предупреждения и выводить какую-то нотификацию на экран.
Дальше — больше. Автор признался в том, что, по его мнению, иксы — кусок говна, поэтому проблемы подобного рода неустранимы. Он посоветовал использовать... Mac, типа «там всё хорошо в этом плане». Мало того, что на Mac'е, насколько мне известно, те же самые иксы, а Mac — проприетарщина, это поднимает ещё и глобальный вопрос: security critical софтины, которым мы вынуждены доверять, пишут люди, далёкие от понимания безопасности, а других security critical софтин у нас нет.
Что мы делаем не так?Нет, они там своё написали уже довольно давно.
Nobody cares :(
С учётом лицензии иксов красть оттуда код и закрывать его можно беспрепятственно. Как я понимаю, внутренности там всё равно иксовые, и протокол тот же. Это, в т.ч., обеспечивает лёгкость портируемости разного линуксового софта на Mac.
Лёгкость портируемости обеспечивает Qt. В наше время мало кто использует графическую среду напрямую (именно из-за невозможности переноса кода), всё абстрагируется через библиотеки графических интерфейсов.
У всего перечисленного да. Но это всё побочные вещи, которые не устанавливаются в os x из коробки.