¿Cómo probar una máquina física?

9

Dentro de dos semanas, tendré que probar un par de computadoras que un cliente le gustaría proporcionar a sus empleados. La principal preocupación es asegurarse de que los empleados no puedan usar esas computadoras para cualquier cosa que no esté realmente permitida.

No tendré ninguna información en estas computadoras hasta que llegue allí, pero puedo pensar en algunas medidas que probablemente se implementarán:

  • No hay unidad de CD / DVD
  • Puertos USB deshabilitados
  • No hay acceso a Internet (no estoy seguro de si las máquinas tendrán o no una tarjeta de red)

Ahora, lo primero que me vino a la mente fue tratar de usar un CD en vivo y ver si puedo pasar por alto algunas de las medidas, pero como nunca hice una prueba como esta ...

¿Qué otras cosas puedo probar en esas máquinas?

    
pregunta Gurzo 02.12.2011 - 11:12
fuente

4 respuestas

6

Dependiendo de qué tipo de amenazas le preocupen a su cliente, hay diferentes cosas que querrá probar.

Si les preocupa que los usuarios finales obtengan o abusen de privilegios elevados no autorizados en la máquina, debe buscar formas de obtener o modificar la contraseña de administrador en el sistema. Las formas más fáciles de hacer esto generalmente involucran el arranque del sistema desde medios alternativos.

  • Primero, intente simplemente insertando un CD o unidad USB de arranque y vea si se carga.
  • Si eso no funciona, intente acceder al menú de inicio del sistema (si tiene uno) para forzar la selección de los medios de inicio.
  • Si eso no funciona, intente acceder al BIOS para cambiar el orden de inicio predeterminado. Además, aproveche esta oportunidad para verificar que la (s) unidad (es) de CD y / o el (los) puerto (s) USB (s) están realmente habilitados, y habilítelos, si no.
  • Si la configuración del BIOS o el orden de inicio están protegidos por contraseña, probablemente haya una manera de restablecer esto a través de un puente en la placa base. Mira eso y pruébalo.
  • Una vez que haya cargado el sistema con su propia unidad / disco de arranque, vea si puede leer el disco duro. Si puede, debería poder descubrir o cambiar las contraseñas en cualquier cuenta local (incluido el Administrador integrado) con las herramientas adecuadas. Después de eso, el sistema es efectivamente pwned.

Los métodos alternativos de escalamiento de privilegios involucran explotaciones del lado del cliente. Puede intentar esto si no puede iniciar medios alternativos, o no puede leer el disco duro después de un inicio de medios alternativo, o si desea cubrir este territorio además de esas pruebas. Para verificar esto, como mínimo, querrá acceder a una cuenta de usuario limitado en el sistema. Luego, use herramientas como Metasploit y / o Nessus (y, en su caso, Google) para descubrir y probar las vulnerabilidades que podría aprovechar para actualizar el acceso de sus usuarios limitados. Aquí, también querrá comprobar cómo el sistema maneja las funciones de reproducción automática / ejecución automática para medios extraíbles.

Si el cliente está más preocupado por el robo de datos, probaría la susceptibilidad del sistema a las vulnerabilidades basadas en la red como si no tuviera acceso físico. Una vez hecho esto, también puedes extraer el disco duro y ver qué puedes leer desde otro sistema.

Con respecto a la defensa contra los vectores de ataque físico, aquí hay algunos otros hilos que puede leer:

¿Cómo puedo evitar que mis hijos pasen por alto las restricciones de mi computadora?

¿Cómo puedo evitar que alguien acceda a un sistema Windows XP a través del disco de arranque?

enlace

    
respondido por el Iszi 02.12.2011 - 15:33
fuente
14

Lo principal a entender es que su cliente está tratando de resolver un problema imposible. Tratar de evitar que alguien con acceso físico a la máquina acceda a ella es como intentar que el agua no se moje. No va a funcionar.

Si desea hacer lo mejor que pueda, puede seguir los pasos que menciona, y también le sugiero que investigue el "modo kiosco". Pero fundamentalmente, aún será relativamente fácil para los empleados usar las computadoras para actividades que no les gustan a los clientes. Será tan fácil como insertar un LiveCD de Linux, o un millón de otros métodos. Nunca los cerrará a todos (ni dejará a los empleados con una computadora útil) y, en términos realistas, ni siquiera podrá hacer que sea muy difícil vencer las medidas de seguridad.

Por lo tanto, diría que hay dos conclusiones importantes: (1) mantener bajas sus expectativas; solo hay tanto que los métodos técnicos pueden proporcionar, así que no pierda demasiado tiempo o energía intentando inventar una defensa infalible, (2) esto es principalmente una cuestión de política y métodos sociales, en lugar de métodos técnicos, por ejemplo. , es posible que su cliente desee adoptar y promulgar una política clara de la compañía con respecto al uso aceptable de las computadoras de la compañía y ser explícito sobre la sanción por violaciones.

    
respondido por el D.W. 02.12.2011 - 11:20
fuente
7

Para agregar a la respuesta de D.W.: después de hacer que la máquina sea lo más segura posible, use las medidas para detectar manipulación. Por ejemplo:

  • Pegatinas / sellos anti-manipulación en el estuche. No impiden que nadie entre en el caso, pero dejan claro que el caso ha sido abierto.
  • Si están habilitados para la red, use el monitoreo / registro de la red. Notifique a los empleados que la actividad de la red está monitoreada / registrada.

Cualesquiera que sean las medidas que use, asegúrese de revisarlas . De lo contrario son inútiles.

    
respondido por el bstpierre 02.12.2011 - 14:03
fuente
1

O para una seguridad mucho mejor que las PC de pleno derecho pueden ofrecer alguna vez, sugiera el uso de Jack PC's o Chip PC's y servicios de terminal, Citrix u otra herramienta de escritorio remoto.

    
respondido por el Paul Ackerman 03.12.2011 - 03:48
fuente

Lea otras preguntas en las etiquetas