La chiave di attenzione sicura aumenta davvero la sicurezza?

Il sistema-attenzione-chiave è per lo più un residuo storico dei tempi della gioventù degli ingegneri che hanno progettato il SAK. Questi ingegneri, quando pensano alla sicurezza, in realtà pensano ai tempi in cui si dilettavano in sicurezza, e quello era quando erano studenti. Più precisamente, quando erano studenti negli anni '90. Quest'ultimo elemento è importante: negli anni '90, gli studenti di solito non avevano computer in rete, in particolare computer portatili; più comunemente, gli studenti condividevano una dozzina di postazioni di lavoro in una stanza dedicata. Gli studenti, essendo studenti, sono coinvolti nel tipo di cose che gli studenti fanno, in particolare impostando trappole e battute l'una sull'altra. "Rubare" la password di un co-studente era un gioco comune.

E gioco qui è una parola importante. Il punto non era proprio quello di avere la password per mettere in atto malizia, ma di dimostrare abilità tecniche a scopo vanitoso (la maggior parte delle attività umane, almeno da parte di persone di sesso maschile, sono fondamentali per ottenere o mantenere lo status maschile di Alpha, fino al punto di assurdità perché le stanze dei computer degli anni '90 erano singolarmente prive di qualsiasi femmina che avrebbe potuto essere corteggiata da una simile dimostrazione di abilità tecnica). Pertanto, il "furto della password" non deve essere efficiente ma elegante . Ciò includeva sistemi divertenti con cui un utente avrebbe mantenuto un'immagine della schermata di accesso come applicazione di base con il proprio nome, imitando quella vera e afferrando la password di altre persone - l'eleganza derivante dal fatto che l'attaccante non anche bisogno di diritti amministrativi locali ("privilegi di root"). Noterai che il SAK impedisce esattamente quell'attacco.

Gli attaccanti di vita reale non giocano così bene. Quando hanno accesso fisico a una macchina, prima ottengono l'accesso a livello di kernel, possibilmente danneggiando fisicamente la macchina (un'eresia impensabile per uno studente di computer), e se vogliono registrare le chiavi, lo fanno, indipendentemente dal SAK. Ma gli ingegneri che progettano i sistemi operativi ora pensano ancora in termini di giorni d'oro dei loro primi vent'anni; cercano di contrastare non gli attacchi pratici della vita reale, ma gli eleganti imbrogli di un'età più civilizzata.

Quindi il SAK è lì, soprattutto per dare una sensazione di sicurezza alle persone che immaginano attacchi e key logging come un gioco che hanno suonato due decenni fa e che ancora ricordano con affetto. Come la maggior parte delle cose nei computer, è lì per una questione di tradizione.

(Si noti che alcuni di questi ingegneri non hanno ottenuto incarichi nella progettazione di sistemi operativi, ma scrivendo specifiche di "regole di sicurezza" alle quali le organizzazioni devono conformarsi - per un effetto esageratamente esteso della tradizione persistente. perché ne hanno bisogno per rispettare alcuni regolamenti, anche se sanno che non ha molto senso.)

Ora, nella pratica , a che serve il SAK? Non molto. Si può ancora dire che la password di accesso di un utente sono dati sensibili - non perché concede l'accesso alla rete locale (un accesso che l'utente malintenzionato ha già, in virtù del dirottamento di una macchina che gira su quella rete), ma perché gli utenti avere l'abitudine di riutilizzare le password, direttamente o tramite una "regola" trasparente (se la password dell'utente sul server QZ982 è "PasswordQZ982", indovina quale sarà la password dell'utente sul server YH455?). Ma il SAK non è sufficiente per resistere alla registrazione dei tasti comunque.

La sicurezza è davvero aumentata, non da tentativi simil-SAK, ma da (come al solito) educare gli utenti, in particolare alla necessità di non riutilizzare le password.

Le credenziali possono essere condivise per l'intera rete (ad esempio credenziali LDAP), consentendo l'accesso al computer locale, alla posta, all'accesso remoto ...

Nota inoltre che le credenziali del sistema operativo di phishing sono molto diverse rispetto al phishing di un sito web. Non si torna al computer e si riempie un messaggio di posta elettronica senza nemmeno accedere (in realtà, non credo che molti utenti della società inseriscano la propria password sul proprio PC ad eccezione della schermata di accesso, nemmeno per la configurazione della propria e-mail). / p>

Se hai accesso all'edificio, porta una macchina compromessa con lo stesso aspetto di quella bersaglio, e sei lasciato da solo a scambiarli allora sì, potresti superare la richiesta SAK. E anche allora, potresti non essere in grado di impersonare realmente la macchina originale sulla rete, mostrando così un comportamento strano per l'utente phishing.

Non sono affatto d'accordo con la dichiarazione di Tom secondo cui "l'attaccante ha già accesso alla rete locale". Le credenziali rubate possono essere usate per nascondere l'account dell'attaccante in un attacco successivo (potresti rubare usando il tuo vero id?), O semplicemente elevare i privilegi.

«L'operatore di base va al computer utilizzato dal soldato Bradley Manning per installare il nuovo Adobe Reader necessario per il documento X. Ha già firmato, quindi l'operatore inserisce semplicemente il nome utente e la password di amministratore. Sputa un errore "Password errata". Tuttavia, ha tranquillamente registrato la password di gestione. »

Sì, è la stessa storia del gioco per studenti . Ma con i segreti e le spie della nazione, invece. 2

Non penso che questi tipi di immagine siano comuni (e probabilmente poche persone stanno premendo Ctrl-Alt-Canc di fronte allo schermo che apparirà dopo che è stato premuto). Ma sono davvero una possibilità e SAK, se usato in modo errato, li evita.

D'altra parte, se sono macchine con un solo utente e nessun altro può accedervi, non penso che valga la pena di attivare SAK.

¹ È meglio installare un keylogger hardware, però.

² Nota che se c'è sempre un altro nella stanza del computer, questo soldato non sarebbe in grado di aprire il computer, resettare il BIOS e avviare da un CD per compromettere il sistema. Né potrebbe sostituirlo con il proprio computer.