Come testare una macchina fisica?

Naviga le tue risposte
9

Tra due settimane dovrò testare un paio di computer che un cliente vorrebbe fornire ai propri dipendenti. La preoccupazione principale è fare in modo che i dipendenti non siano in grado di utilizzare quei computer per tutto ciò che non è effettivamente consentito.

Non avrò nessuna informazione su questi computer finché non arriverò lì, ma posso pensare ad alcune misure che probabilmente saranno probabilmente implementate:

  • Nessuna unità CD / DVD
  • Porte USB disabilitate
  • Nessun accesso a Internet (non sono sicuro se le macchine avranno o non avranno una scheda di rete)

Ora, la prima cosa che mi è venuta in mente è stata provare ad usare un CD live e vedere se riuscirò a bypassare alcune delle misure, ma poiché non ho mai fatto un test come questo ...

Quali altre cose posso testare su quelle macchine?

    
posta Gurzo 02.12.2011 - 11:12
fonte

4 risposte

6

A seconda del tipo di minacce a cui il tuo cliente è preoccupato, ci sono diverse cose che vorrete testare.

Se sono preoccupati per gli utenti finali che ottengono o abusano di privilegi elevati non autorizzati sulla macchina, è necessario cercare i modi per ottenere o modificare la password dell'amministratore sul sistema. I modi più semplici per farlo in genere riguardano l'avvio del sistema da supporti alternativi.

  • Innanzitutto, prova semplicemente a inserire un CD o un'unità USB avviabile e verifica se carica.
  • Se ciò non funziona, prova ad accedere al menu di avvio del sistema (se ne ha uno) per forzare la selezione del supporto di avvio.
  • Se ciò non funziona, prova ad accedere al BIOS per modificare da solo l'ordine di avvio predefinito. Inoltre, usa questa opportunità per verificare che le unità CD e / o le porte USB siano effettivamente abilitate e abilitalo, in caso contrario.
  • Se la configurazione del BIOS o l'ordine di avvio è protetto da password, probabilmente c'è un modo per resettare questo tramite un ponticello sulla scheda madre. Guarda e provalo.
  • Una volta caricato il sistema con il proprio disco di avvio / unità, verificare se è possibile leggere l'HDD. Se è possibile, dovresti essere in grado di scoprire o modificare le password su qualsiasi account locale (incluso l'amministratore integrato) con gli strumenti giusti. Dopodiché, il sistema viene effettivamente bloccato.

I metodi alternativi di escalation dei privilegi coinvolgono gli exploit sul lato client. Potresti provare a farlo se non riesci ad avviare il supporto alternativo o non riesci a leggere l'HDD dopo l'avvio di un altro supporto multimediale o se desideri coprire questo territorio in aggiunta a questi test. Per verificare questi, è necessario almeno l'accesso a un account utente limitato sul sistema. Quindi, utilizza strumenti come Metasploit e / o Nessus (e, in mancanza di quelli, Google) per scoprire e testare le vulnerabilità che potresti sfruttare per aggiornare l'accesso dell'utente con limitazioni. Qui, dovrai anche controllare come il sistema gestisce le funzioni AutoPlay / AutoRun per i supporti rimovibili.

Se il cliente è più preoccupato per il furto di dati, testerei il sistema per la predisposizione agli exploit di rete proprio come se non avessi accesso fisico. Una volta terminato, puoi anche estrarre l'HDD e vedere che cosa puoi leggere da un altro sistema.

Per quanto riguarda la difesa dai vettori di attacco fisico, ecco alcuni altri thread che potresti voler leggere:

Come posso impedire ai miei figli di aggirare le restrizioni del mio computer?

Come posso impedire a qualcuno di accedere a un sistema Windows XP tramite il disco di avvio?

link

    
risposta data 02.12.2011 - 15:33
fonte
14

La cosa principale da capire è che il tuo cliente sta cercando di risolvere un problema impossibile. Cercare di impedire a qualcuno che ha accesso fisico alla macchina di accedervi è come cercare di rendere l'acqua non bagnata. Non funzionerà.

Se vuoi fare il meglio che puoi, puoi seguire i passi che menzioni e ti suggerisco anche di cercare "modalità kiosk". Tuttavia, fondamentalmente, sarà ancora relativamente facile per i dipendenti utilizzare i computer per attività che il cliente non gradisce. Sarà facile come inserire un LiveCD di Linux, o un gazillion altri metodi. Non le chiuderai mai tutte (no e lascerai i dipendenti con un computer utile), e realisticamente parlando, non sarai nemmeno in grado di rendere terribilmente difficile sconfiggere le misure di sicurezza.

Quindi vorrei dire che ci sono due importanti takeaway: (1) mantenere basse le aspettative; c'è solo così tanto che i metodi tecnici possono fornire, quindi non sprecare troppo tempo o energia cercando di inventare una difesa infallibile, (2) questo è principalmente una questione di metodi politici e sociali, piuttosto che metodi tecnici - per esempio , il tuo cliente potrebbe voler adottare e promulgare una chiara politica aziendale in merito all'uso accettabile dei computer aziendali, ed essere esplicito sulla sanzione per le violazioni.

    
risposta data 02.12.2011 - 11:20
fonte
7

Per aggiungere alla risposta di D.W.: dopo aver reso la macchina più sicura possibile, utilizzare le misure per rilevare manomissione. Ad esempio:

  • Adesivi anti-manomissione / sigilli sulla custodia. Non impediscono a nessuno di entrare nel caso, ma rendono evidente che il caso è stato aperto.
  • Se sono abilitati per la rete, utilizzare il monitoraggio / registrazione della rete. Notifica ai dipendenti che l'attività di rete è monitorata / registrata.

Indipendentemente dalle misure che usi, assicurati di controllarle ! Altrimenti sono inutili.

    
risposta data 02.12.2011 - 14:03
fonte
1

O per una sicurezza di gran lunga migliore che i PC completi possano offrire, suggerisci l'uso di jack PC o PC e servizi terminal, Citrix o altri strumenti desktop remoti.

    
risposta data 03.12.2011 - 03:48
fonte

Leggi altre domande sui tag

In che modo le piccole imprese gestiscono la sicurezza delle app Web? Le future versioni di TLS impediranno l'ispezione del traffico?