Home

People get hacked, not machines

2007/05/04

Το μεσημέρι μίλησα λίγο πιο έντονα σε ένα φίλο. Το σκέφτηκα λίγο αργότερα και (επειδή κανείς δεν χαίρεται με το να φωνάζει σε φίλους του) είπα να κατασκευάσω μια ιστορία για να καταλάβει το point μου:

Έστω ο administrator Χ. ο οποίος έχει ένα μηχάνημα με XP σπίτι του για να συνδέεται στο Internet από το σπίτι. Όπως είναι (ίσως) λογικό ο administrator της ιστορίας μας έχει στήσει και την υποδομή του έτσι ώστε να μπορεί να συνδέεται και στο εταιρικό του δίκτυο για να “κοιτάζει τι δεν πάει καλά”.

Επειδή κανείς δεν είναι μόνος σε αυτή τη ζωή ο administrator παραχωρεί (όχι με ιδιαίτερη ευχαρίστηση) δικαιώματα χρήσης και σε τρίτους στο (οικογενειακό) desktop. Φυσικά και έχει πάρει κάθε (δυνατό) μέτρο ώστε να προστατεύει το μηχάνημα από λάθη και “λάθη”. Ξέρει όμως πως οι χρήστες είναι ανίκητοι: Και όταν χρειάζονται ένα πρόγραμμα, θα το εγκαταστήσουν και χωρίς την άδειά του. Ακόμα κι αν είναι “παράνομο” και κατεβάσουν το άγνωστης προέλευσης binary crack από το Internet (“Μα αφού δουλεύει, τι με νοιάζει αν κάνει και κάτι άλλο;”).

Αν σε αυτό προσθέσει κανείς πως τα XP δεν έχουν ένα αξιοπρεπές sudo, και πως πολύς κόσμος μετά το SP2 σχεδόν άφοβα μπορεί να έχει τον λογαριασμό του administrator passwordless για να τρέχει το runas χωρίς να δίνει password (για να κάψει ένα CD για παράδειγμα*), οι δυνατότητες που δίνονται στον binary patcher είναι πάρα πολλές. Όπως και το εταιρικό δίκτυο που διαχειρίζεται ο Χ.

Ο administrator της ιστορίας μας μπορεί να την πατήσει και όχι γιατί δεν ήταν αυτός προσεκτικός+.

Στη χειρότερη εκδοχή του παραπάνω σεναρίου αυτά συμβαίνουν όχι στον υπολογιστή του administrator, αλλά σε αυτόν του CEO, ο οποίος απαιτεί να έχει και remote access στο εταιρικό δίκτυο, και ένα κάρο προγράμματα που κατέβασε από το Internet γιατί είναι “cool”.

Αν με βρίσκετε υπερβολικό, you are entitled your own level of paranoia.

Και αν φτάσατε μέχρι εδώ, ρίξτε μια ματιά στο “Malware on the fly” και στο “Would You Install Pirated Software at Work?“.

Update: Μερικές φορές η πραγματικότητα επιβεβαιώνει καλύτερα από οποιοδήποτε σενάριο.


[*] – Καλύτερο παράδειγμα: Εγκαταστήστε το Office 2000 (complete installation) σε XP. Μετά κάντε login σε limited account και προσπαθήστε να εκτελέσετε μια εφαρμογή για πρώτη φορά. Για να υπερβείτε το πρόβλημα που θα παρουσιαστεί, προσωρινά κάντε το limited account -> computer administrator και εκτελέστε όλα τα προγράμματα του Office που σας ενδιαφέρουν μία φορά. Μετά αλλάξτε το λογαριασμό πάλι σε limited account και είστε OK. Το πρόβλημα προκύπτει γιατί το O2K θέλει administrator rights για να γράψει κάποια keys στο registry όταν εκτελείται πρώτη φορά.

[+] – Η ιστορία αυτή είναι ισοδύναμη με το να σπαταλάς χρόνο, χρήμα και ενέργεια για να μπεις σε ένα ασφαλή χώρο, ενώ την ίδια στιγμή μπορεί να καταφέρεις το ίδιο πράγμα δίνοντας λιγότερα χρήματα στην καθαρίστρια ή κάνοντας σωστό social engineering.

Advertisements

7 Responses to “People get hacked, not machines”

  1. Titanas Says:

    Δυστυχώς είναι η πικρή αλήθεια και δυστυχώς τα προγράμματα είναι κάτι παλιο “freeware” παιχνίδια που πρακτικά καταλήγουν να είναι malware.

    Αν δεν είναι CEO είναι manager και έχει παιδιά που χρησιμοποιούν το laptop του. Χειρότερη ηλικία αυτή των 15+

  2. adamo Says:

    @Titanas:
    Αν δεν είναι CEO είναι manager και έχει παιδιά που χρησιμοποιούν το laptop του.

    Με full administrator rights φυσικά!

  3. Titanas Says:

    Εννοείται αυτό! Γιατί ο γιος [σχεδόν πάντα είναι γιος] θέλει να γράψει DVD και να εγκαταστήσει παιχνίδια και P2P εφαρμογές.

  4. adamo Says:

    Το βασικό πρόβλημα είναι πως ο “κόσμος” αδυνατεί να αντιλληφθεί πως ο υπολογιστής-εργαλείο για τη δουλειά του δεν μπορεί να ταυτίζεται με τον υπολογιστή-μηχάνημα-αναψυχής.

  5. Titanas Says:

    Δεν θέλουν να το καταλάβουν. Ο manager πάει στον CEO και παραπονιέται ενώ ο δημόσιος υπάλληλος στον διευθυντή ή προιστάμενο.

    Μια καλή λύση είναι η επίδειξη των αποτελεσμάτων μετά από κάποιο καθάρισμα με AV, Antispyware [προσοχή εδώ γιατί μπορεί να αφαιρεθούν διάφορα και να μην λειτουργεί το Kazaa του γιου.]

    Αυτό που πιάνει πάντα είναι η εύρεση πορνό στο μηχάνημα. Βίντεο και φωτογραφίες δίνουν στον μπαμπά να καταλάβει κάτι έστω και για μερικές μέρες.

    Δύο λόγοι που υπολογιστής-εργαλείο δεν ενοχλεί να είναι ο υπολογιστής-μηχάνημα-αναψυχής είναι οι εξής:

    1. Είναι δωρεάν για τον γιο ή άλλον συγγενή

    2. Συνήθως έχει καλές επιδόσεις ώστε να μπορεί να υποστηρίξει παιχνίδια κλπ

  6. Unique Fish Says:

    Δεν είναι παράνοια! Σωστά τα λες. Θα έλεγα – people get hacked & processes and policies are insecure or non-existent. Πολλές φορές βλέπω “αυστηρά” τεχνικά μέτρα για ασφάλεια ενώ οι διαδικασίες είναι τρύπιες σαν κεφαλοτύρι και οι πολιτικές ασφαλείας είναι ανύπαρκτες.

  7. amanous Says:

    “Όταν συνδέεσαι στο ιντερνετ, συνδέεται και αυτό επάνω σου”. Αυτό που κάνω εγώ είναι να μην δίνω admin rights σε κανένα μέλος της οικογένειας, όυτε καν στα δικά τους laptop που στήνω (όταν περνάει απο το χέρι μου). Αν χρειαστούν κάτι, θα το βάλω εγώ όταν μπορέσω.

    Πάντως βρίσκω τα lame hacks στα windows, εξαιρετικά διδακτική εμπειρία για εναν computer semi-illiterate. Είναι ένα μονοπάτι που πρέπει να διαβεί για να γίνει ενας σωστός χρήστης. Για να είμαι ειλικρινής το χαίρομαι και λίγο οταν συμβαίνει και τα χάνει όλα ενώ εχω προειδοποιήσει πολλές φορές “μην εκτελείς ότι βρίσκεις στο internet”. Μετά απο αυτό συνήθως μαθαίνει (the hard way) οτι πρέπει να προσέχει.


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: