Quanto è sicuro fornire la password del mio account amministratore per un software di terze parti: EasyUS Todo Backup?

1

Recentemente ho cercato una soluzione di backup per il mio desktop di Windows. Questo è il momento in cui mi sono imbattuto in questo software gratuito chiamato EasyUS Todo Backup . (So che è un boccone ma l'inglese non sembra essere la loro prima lingua.) Così ho scaricato una copia e l'ho provata nella mia VM prima di distribuirla sul computer reale.

Ciò che mi ha colpito immediatamente è che il software mi ha richiesto di fornire la password del mio account amministratore di Windows durante la pianificazione del backup. Avevo di fronte la seguente schermata e il messaggio di errore se non inserivo le credenziali di amministratore:

Quindi sono curioso, dal punto di vista della sicurezza, quanto è sicuro fornire queste credenziali a un software di terze parti come questo?

    
posta MikeF 22.10.2013 - 04:23
fonte

3 risposte

7

Da un lato, è pazzesco pericoloso. Non c'è nulla di più pericoloso che si possa fare su un computer che fornire un accesso amministrativo al programma non affidabile al tuo computer. Non ci sono limiti a ciò che il programma potrebbe fare; installare i rootkit, eliminare i file, aggiungere il computer a una botnet. Qualsiasi cosa.

D'altra parte, questo è esattamente ciò che fai ogni volta che esegui un programma come amministratore. Quindi, se il programma sta per fare qualcosa di nefasto, non ha bisogno di salvare la tua password . Ha solo bisogno di te (l'amministratore) per eseguire il programma con privilegi elevati. Che probabilmente hai già fatto prima di arrivare a questo punto.

Per quanto riguarda il pericolo aggiuntivo che consente al programma di salvare la password: Windows memorizza internamente la password come hash unidirezionale. Niente, nemmeno Windows, può recuperare la tua password finché non la digiti tu stesso. Tuttavia, fornendo la password a questo programma, ora lo memorizzi anche come testo normale o crittografia reversibile . Quindi hai ridotto il tuo livello di sicurezza di una tacca. Non una tonnellata, ma è indiscutibilmente inferiore ora. E se lo fanno un po 'male, allora è peggio per te.

Successivamente, Windows effettivamente crittografa alcuni bit chiave del tuo profilo di sicurezza usando la tua password di accesso. Questi bit non sono accessibili a nessuno o a nulla finché non hai fornito la tua password per accedere. Questo è meraviglioso e super e tutto questo, ma significa anche che nulla può impersonare te (nemmeno questo programma di backup) senza la tua password. E in particolare, le attività pianificate non possono essere eseguite come te senza la tua password. Questo è esattamente il modo in cui è stato progettato Windows; non ha nulla a che fare con questo programma di backup.

E infine, poiché questo problema con le attività di pianificazione da eseguire come utente è un problema noto in Windows, esiste in realtà una funzione di sistema principale per l'archiviazione delle credenziali di accesso specifiche per l'utilizzo delle attività pianificate. Ciò significa che il programma di backup non deve memorizzare la password, deve solo dire a Windows di farlo. Quindi è improbabile che questo programma di backup stia facendo direttamente qualcosa con la tua password, probabilmente lo stanno semplicemente consegnando a Windows per usarlo con il suo programmatore di attività incorporato.

Quindi in questo caso, la sicurezza della tua password sarebbe più una funzione della sicurezza del programmatore di attività di Windows, non di questo programma di backup.

    
risposta data 22.10.2013 - 08:41
fonte
2

Quando scegli di installare il software, assegni una certa quantità di fiducia ad esso. Ti fidi che il software non farebbe nulla di malevolo sul tuo computer o sui tuoi dati, come ad esempio inviarlo a un server remoto senza la tua autorizzazione.

A questo punto nel tempo, non importa se il software richiede le credenziali di amministratore, specialmente se lo hai installato con i diritti di amministratore. Se fosse malevolo, il software può semplicemente usare quei diritti di amministrazione per sovvertire qualsiasi componente nel tuo computer. Tuttavia, il software potrebbe legittimamente richiedere le credenziali di amministratore per i backup offline, in quanto potresti non essere connesso quando esegue un backup di sistema e ha bisogno dei diritti di amministratore per accedere ai file di sistema.

TLDR: ti fidi del software, sai veramente cosa fa dietro la tua schiena e hai già dato più autorizzazioni durante l'installazione di quanto pensi che dovrebbe avere?

    
risposta data 22.10.2013 - 04:44
fonte
0

Ciò dipenderebbe dal modo in cui questo software memorizza queste credenziali. Se il software è stato installato con diritti di amministratore (e in quanto tale sarebbe già in grado di fare quasi tutti i danni che potrebbe - vedere la risposta @Nasrus) quindi accedere al file / database / qualunque sia la password (o alcuni dati equivalenti a password) uno memorizzato avrebbe bisogno di essere già registrato come amministratore. In questo caso non è davvero un problema, finché ti fidi del software. Altrimenti, e se il computer è condiviso da più persone, potrebbe essere un potenziale enabler per escalation di privilegi .

Es .: Alice lascia il computer incustodito e Mallory accede al suo account. In linea di principio, Mallory può danneggiare solo i file di Alice, dal momento che non ha le credenziali di amministratore. Tuttavia, se Alice ha installato questo software, deve esserci un file accessibile dal software (e quindi da Alice) contenente la password dell'amministratore. Quindi, Mallory può cercare questo file e procedere all'accesso come amministratore.

(naturalmente, se Mallory ha accesso fisico al computer è molto peggio che possa fare, ma qui sto parlando della frutta bassa appesa)

In breve, dovrebbe essere più sicuro installarlo ed eseguirlo come amministratore allora come utente comune (stavo per suggerire di creare un account separato esclusivamente per questo software, ma penso che sarebbe inutile - dal momento che ha già accesso alle credenziali dell'amministratore una volta dato ...).

    
risposta data 22.10.2013 - 05:48
fonte