למה אסור לך לרוץ כ Administrator על המחשב שלך

31 באוגוסט 2016

אין תגובות

החיים נורא קלים כשאתה מנהל מערכת (Administrator) על המחשב שלך. ועוד יותר קלים אם אתה מוריד את ה UAC לאפס. אתה יכול לעשות מה שאתה רוצה, אף פעם לא יופיע לך מסך שחור כזה ששואל אם אתה מאשר כל מיני פעולות, החיים סבבה.

הבעיה היא שהחיים סבבה לא רק לך אלא גם לכל האקר מתחיל. לא סתם מיקרוסופט הגדירה שני סוגי משתמשים, משתמש רגיל ומשתמש שהוא מנהל מערכת. משתמש רגיל חסום מלבצע המון פעולות שמסכנות את מנגנוני ההגנה של המחשב בעוד שמנהל מערכת יכול לעשות מה שהוא רוצה. מילות המפתח כאן הם permissions ו priviladges ששתיהן מתורגמות משום מה למונח העברי הרשאות למרות שמדובר בשני דברים שונים לחלוטין.

אז אני אעשה את זה הכי פשוט וברור שאפשר. מחשב שהמשתמש שלו רץ עם הרשאות של מנהל מערכת הוא מחשב פרוץ לחלוטין לתקיפה ולחדירה. יש מסלול מתועד, פשוט וברור לכל האקר מתחיל, כיצד ממשתמש שהוא מנהל מערכת, ניתן לשדרג את עצמך ל Domain Admin של הארגון (כולל מנהל סכמה של ה AD) ולקצור (זה המונח המקצועי) את כל שמות המשתמש והסיסמאות שלך ושל הארגון שלך.

אבל זה רק ההתחלה, השלב הבא הוא לקצור את כל שמות המשתמש והסיסמאות שלך (ושל כל שאר עובדי הארגון) לכל אתרי האינטרנט שאתה פונה אליהם. החל מהבנק, דרך כל הרשתות החברתיות וכלה באתרים שאתה לא רוצה שידעו שיש לך גישה אליהם. מסתבר שזה הרבה יותר פשוט ממה שחשבו הודות לעבודה מעניינת בתחום שעשתה Paula והצוות שלה מ Cqure בנושא ניצול סמכויות מנהל מערכת על מנת לפרוץ את ה”כספת” שנמצאת בכל מחשב ושומרת על הסיסמאות שלך (כולל אלה של האתרים שאליהם אתה פונה. והכל מתחיל בזה שאתה רץ על המחשב שלך כמנהל מערכת.

d809620

למי שרוצה לשמוע פרטים נוספים על המחקר הזה ועל טכניקות חדירה מודרניות, אז ב 08/09/16 מגיעה לביקור חוזר בארצנו המומחית העולמית לאבטחה ופריצת מערכות מחשב Paula Januszkiewicz. פאולה תעביר יום הדרכה שכותרתו Lessons from the field: useful hacker techniques for administrators. זה יום מרוכז ודחוס שעוסק ב Practical security techniques for protecting against insiders (and outsiders) threats. מי שמעוניין להצטרף ליום ההדרכה המרוכז הזה מתבקש לפנות לסיגל בחברת האם שלי ומי שלא מעוניין, מתבקש להעביר את המידע הזה למישהו שכן מעוניין, בארגון שלו או במעגל הקרוב שלו.

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *