2004-12-03

Miért nem jó, ha adminként üzemeltetem a gépemet?

BB kolléga írja:

"Van egy rég piszkáló vmi: adminként vagyok a gépemen (enterspájz überallesz jogokkal). Még soha nem szoptam emiatt (kopp-kopp), mert jól managelem a tűzfalat és nem klikkelek mindenre, ami kék... Most akkor érezzem magam rosszul, mert admin vagyok...? Vagy maradinak, aki nem tredni...?"

Nos, mázlid volt. Aaron Margosis papesz mesél erről:

"But if you’re running as admin, an exploit can:
  • install kernel-mode rootkits and/or keyloggers (which can be close to impossible to detect)
  • install and start services
  • install ActiveX controls, including IE and shell add-ins (common with spyware and adware)
  • access data belonging to other users
  • cause code to run whenever anybody else logs on (including capturing passwords entered into the Ctrl-Alt-Del logon dialog)
  • replace OS and other program files with trojan horses
  • access LSA Secrets, including other sensitive account information, possibly including account info for domain accounts
  • disable/uninstall anti-virus
  • cover its tracks in the event log
  • render your machine unbootable
  • if your account is an administrator on other computers on the network, the malware gains admin control over those computers as well
  • and lots more"
Hát ezért. Nem hiszem, hogy bárki informatikusnak problémát kéne hogy okozzon a cmd.exe használata, vagy az a néhány runas.

bejegyezte: Varánusz @ 14:13  
3 megjegyzés

3 megjegyzés:

Időpont: 23:28 , Anonymous Névtelen írta...

"running as admin, an exploit can:"
A probléma ott kezdődik, hogy jut el az exploit a gépedre...? Esetleg egy frissitett nyomtatódriverrel...? Amit aztán runas-al ugyanúgy telepíthetsz... Félreértés ne essék, nem tartom teljesen hülyeségnek a non admin módot... De nem érzem azt, hogy az lenne a legnagyobb probléma...
Tehát nem az az alapgond szvsz, hogy admin/non admin, hanem hogy mire figyelsz oda... Ahogy azt techneten mondták, átlagjuzer mindenre kattint, ami kék... Admim nem átlagjuzer... (bár ahogy a technetklubos listákat mostanában olvasom... hát nem biztos). Ha már nem átlagjuzer, már tudja, hogyan védekezhet az exploit ellen...
Tehát nem győztél meg...

BB

 
Időpont: 17:34 , Blogger Kurbli írta...

A Security TechnetKlub levlistára Hofi készített egy megoldást:
"Hello Mindenki!

Termeszetesen megint a legjobbkor sikerult nektek beigernem a shell
bovitmenyt ;) Loptam ma ejszaka magamnak 1 kis idot es az elso teljesen
alap allapotot sikerult osszehoznom, itt
HShellExtPack.zip
letoltheto.

Amit most tud
- a peldaban meglevo 3 szinten probalhatod inditani a kivalasztott fajlt
- barmilyen asszocialt fajl tipust kezel, amelyek nincsenek hozzarendelve
azokra a szokasos modon rakerdez, hogy mi legyen veluk
- pluszkent, ezt mar ugy is reg meg akartam csinalni, adott prioritassal
indithatsz taszkot.

Ahogy mondani szoktak, known limitations:
- ez a verzio ido hiany es lustasag miatt a cmd.exe-t hasznalja az
inditashoz
- ebbol adodoan az inditasi prioritas jelenleg csak lefele valtoztathato
(csak azok oroklodnek a child processzben)
- a cmd futtasarol sikertelensegerol van hibauzentem, de az altala
inditott program futasarol nem (hatterben indul, start-tal), ezert nincs
hibauzenet sikertelenseg eseten, egyszeruen nem indul a kivalsztott file
mind 3 hibat orvosolja majd remenyeim szerint egy shellexecuteex-et
vegrehajto kis exe hasznalata.

- a tobbi kivansagra sajnos nem volt mar idom, energiam, de igerem nem
lesz elfelejtve, csak turelmet kerek, most tenyleg el vagyok havazva :(


Teszteljetek legyetek szivesek, minden visszajelzest szivesen veszek.

Jo inditgatast...
By(t)e
Hofi
"

 
Időpont: 13:27 , Blogger Varánusz írta...

Nem figyelsz és véletlenül rákattintasz. Én egy csomószor észreveszem, hogy -- bár tiltogatom a reklámokat meg az adserveres képmegjelenítést a Firefoxban rendesen -- mégis soxor találom magam reklámozott site-okon.

Ahogy a konyhakés is veszélyes fegyver, az admin-mode is.

 

Megjegyzés küldése

Feliratkozás Megjegyzések küldése [Atom]

<< Főoldal