17. feb2011

Fingeravtrykk på pcen min!

imageI tråd med hverdagen som “vanlig pc-bruker” som likevel OFTE gjør handlinger og operasjoner som krever administrator-tilgang, måtte jeg i første omgang lære meg å leve med at jeg måtte taste lokalt brukernavn og passord hver gang jeg skulle ha forhøyede rettigheter. Jeg har imidlertid funnet en løsning som fungerer glimrende og ikke bremser meg nevneverdig i det daglige. Jeg skal her redegjøre for oppsettet…

Lokal administratorbruker

Brukeren “Administrator” er default deaktivert på Windows 7. Greit nok det, når denne er aktivert er det en utmerket fotfeste for den/de som ønsker å komme seg inn på pcen, av flere grunner:

  • At det finnes en bruker som heter “Administrator” på alle Windows-pcer er forventet. Dette er det første man prøver på.
  • Administrator-brukeren har ikke lock-out policy, så man kan prøve passord så mange ganger man vil. Den interaktive påloggingen bremser riktignok kraftig opp etter noen feilede forsøk, men dette kommer de seg utenom og kan teste så mange passord de vil.

Hvis Administrator er deaktivert, må den potensielle inntrengeren også gjette brukernavnet. Man kan være ekstra ekkel og lage en gjestekonto som heter Administrator – så selv om inntrengeren gjetter passordet, har hun bare gjestetilgang til systemet!

Jeg la inn en lokal bruker på min pc med det korte og greie navnet “root” også velkjent, men kanskje ikke forventet på en Windows-pc? Passordet måtte selvsagt være sterkt, så det ble en ganske hard jobb å logge på når jeg skulle forhøyes:

 

Brukernavn: .\root ( “.\” brukes for å angi lokal pc, genialt når du ikke husker hva den heter!)

Passord: **************** (må være minst 12-15 tegn. Alle fire karaktergruppene – STORE bokstaver, små bokstaver, tall og spesialtegn som [+ – @] og sånt..)

 

Jeg har fra før aktivert fingeravtrykksleseren til å brukes med domenepåloggingen, og da har jeg registrert to fingre på hver hånd til det. Sånn i tilfelle.

 

Det jeg oppdaget her, var at ved å logge på interaktivt med lokal root-bruker, kunne jeg registrere lillefingeren som “admin-finger”! Dermed slipper jeg å taste hele regla hver gang jeg skal forhøyes, og er i gang med oppgaven etter et raskt fingersvipp… Gotta love that.. Hot smile

 

Så nå er det bare EN ting jeg lurer på – fingeravtrykkslesere er, etter hva jeg har hørt, i stand til å føle om fingeren er “død” eller “levende”, for å stoppe onde mennesker fra å kappe av fingrene dine for å kunne bryte seg inn på pcen din… Men når de lager slike fingeravtrykkslesere:

Hvordan tester de at de fungerer…?


Published: 17.02.2011 | 0  Comments | 0  Links to this post
Tagged as:

17. feb2011

Begrenset tilgang ingen begrensning…

Problemet

Å bruke en PC på internett kan sammenlignes med en skrekkfilm – man vet aldri hva som plutselig dukker opp rundt neste hjørne, og ofte er det noe heslig og forskrekkelig som overgår dine villeste fantasier om ondskap og nedrighet. Djevelskapen sniker seg inn på deg, bakfra, ovenfra, fra undersiden og forfra, forkledde varulver i Lambi-klær.

Det høres kanskje litt klisjè-aktig ut, men det er faktisk ikke så langt fra virkeligheten. Virus, ormer, trojanske hester, botnet og rookit – alle disse er såkalt “ondsinnet programvare” – og får de fotfeste på PCen din kan de like gjerne utføre sine udåder i skjul på PCen din, uten at du merker at det er der, som at de sletter og/eller ødelegger. PCen blir en zombie som lystrer sin herre (ikke deg!) blindt og uten forbehold.

Hvis du tror det bare er ødeleggelse de er ute etter, må du tro om igjen. Økonomisk vinning er i dag nummer 1 årsak til hacking og angrep. Et botnet med 100,000 velvillige PCer til rådighet gir uante muligheter og slike ferdig oppsatte botnet skifter hender for millioner av kroner.

Utfordringen

For at et virus skal kunne få fotfeste på pcen, må det kunne nå inn i systemet. Da trengs det “forhøyede rettigheter” slik at viruset kan endre systemfiler og –innstillinger. Hvis pålogget bruker allerede ER administrator, og nettleseren (som stadig oftere er inngangsporten) har administrator-rettigheter på pcen, ja da har viruset en veldig enkel jobb. Det kan vandre uhindret gjennom hele systemet, og infisere hva som helst – det har samme rettigheter som brukeren!

Løsningen

Løsningen på dette problemet, er å sørge for at pålogget bruker har minimalt med tillatelser og rettigheter han trenger for å få gjort det han trenger, og ikke mer. Ingen applikasjoner må skrives sånn at de krever administratortilgang for å utføre sine vanlige oppgaver. Brukerne skal heller ikke behøve slike rettigheter i det daglige.

Da Microsoft lanserte sin vakre operativsystem-symfoni Windows Vista, hadde de faktisk gjort noe smart under panseret. Løsningen heter brukerkontokontroll (User Account Control = UAC) som gjør at når en vanlig bruker forsøker å utføre en handling som krever forhøyelse, spør operativsystemet etter brukernavn og passord på en brukerkonto som har slike rettigheter. Her vil man også oppnå det at virus eller andre uhumskheter også er pent nødt til å spørre etter rettighetene. Hvis brukeren ikke gir rettighetene, stopper det opp.

Internet Explorer var ett av de første programmene som fra og med Windows Vista default kjører i “Protected Mode”, i praksis uten Administrator-rettigheter, uavhengig av hva brukeren ellers har av rettigheter.

UAC og Protected Mode har redusert antall infeksjoner av Windows-pcer dramatisk.

Nå har jo *NIX variantene hatt dette i mange år – root-pålogging med sudo og whatnot. Derfor var det jo litt rart at Apple gjorde narr av Microsoft da de lanserte UAC… Jaja, samma det.

Nå var det bare det at Windows-brukere var vant til å være administrator og få lov til å gjøre hva som helst på pcen. Etter ny installasjon gjør man jo mange installasjoner og andre systemendringer, og mange mente UAC var altfor mye hassle. De opphøyde sin standard bruker til Administrator og slo AV UAC. Veldig lite lurt, men forståelig – Windows Vista var nemlig *svært* masete og ville ha tillatelse til nesten alt. I tillegg var mange applikasjoner skrevet for Windows XP laget på en slik måte at de skriver til System32 (FY!), til HKLM i registry (FY!) og andre ting som bryter med retningslinjene for god programmering. Se sertifiseringen “Designed for Windows”.

Windows 7 endret dette. UAC ble “tunet” slik at den bare spør når det virkelig er noe som må gjøres. Applikasjonene er blitt mer modne og gjør sine ting på stuerent vis, uten å skrive filer til plasser som ikke er lov og sånt.

Egne erfaringer

Jeg gjør antagelig flere systemendringer pr dag på egen enn de fleste databrukere gjør i løpet av et år. Jeg installerer, tweaker, tester, endrer, avinstallerer og kroter rundt på pcen som en hyperaktiv seksåring med sukker-iv i en godtebutikk. Derfor kommer jeg ikke sjelden ut for krav om forhøyelse, og jeg må skrive brukernavn og passord til lokal administratorbruker.

Likevel har jeg valgt å kjøre mine daglige oppgaver som en “vanlig bruker”, for å kjenne litt på smerten. Det er ikke lett, men gjennomførbart.

Konklusjon

Ikke slå av UAC. UAC er din venn. Tenk deg om to ganger før du melder deg inn i den lokale Administrator-gruppen – trenger du EGENTLIG å være administrator hele dagen? Lag heller en lokal bruker som bare du kjenner navnet på, og gi den et sterkt passord. Kanskje hindrer dette en dag et virus fra å få fotfeste, eller kanskje blir det dette som hindrer deg i å knote til pcen med en driver du EGENTLIG ikke skulle installert? Smile

Jeg skal skrive litt mer om hva du kan gjøre for at forenkle hverdagen i dette scenariet.


Published: 17.02.2011 | 0  Comments | 0  Links to this post
Tagged as: Sikkerhet