Mi pregunta es sobre los permisos del sistema de archivos (específicamente los permisos de estilo Unix) y cómo se relacionan con la seguridad.
Digamos que tengo acceso a una computadora con una cuenta de usuario invitado y un usuario llamado Bob. No sé la contraseña de Bob, pero puedo usar la cuenta de invitado. La cuenta de invitado no tiene ningún permiso de lectura para todos los archivos de Bob, por lo que no puedo leer ninguno de los archivos de Bob mientras estoy conectado como invitado.
Sin embargo, desde una verdadera perspectiva de "adversario", tengo acceso completo a este disco no cifrado. Podría crear una imagen, guardarlo para más tarde, ejecutar algún otro sistema operativo para simplemente leer los archivos de Bob ignorando la configuración de permisos del sistema de archivos.
De esto llego a la pregunta:
- Una configuración de permiso del sistema de archivos en un disco no cifrado es solo una bandera, ¿correcto? Y lo único que me impide leer archivos para los que no tengo permiso es el hecho de que el sistema operativo dirá "Oh, no puedes leer eso, no tienes permiso". Ese archivo todavía está en el disco en formato sin formato y podría leerlo simplemente ignorando las banderas del sistema de archivos (por ejemplo, a través de algún sistema operativo de arranque sospechoso que simplemente ignora los permisos). ¿Es todo esto correcto?
Ahora digamos que no tengo acceso directo al disco y que simplemente estoy ingresando a una máquina. No tengo permiso para leer ninguno de los archivos de Bob. Realmente no hay nada que pueda hacer al respecto, ¿verdad?
- Dados mis permisos limitados, simplemente no puedo acceder a los archivos de Bob por mucho que lo intente, ¿no? ¿Qué pasa si uso algún exploit para obtener acceso root? ¿Puedo ahora omitir los indicadores de permiso del sistema operativo? ¿Es esto algo que sucede alguna vez?
Respuesta1
Respuesta más corta.
Si tiene acceso físico a un sistema informático (PC o sistema de almacenamiento de datos) y la única “protección” disponible son los permisos de archivos, no tiene ninguna protección al 100%.
Esos datos no cifrados se pueden copiar y clonar con un mínimo esfuerzo y casi sin herramientas más que tener otro dispositivo que pueda conectar a la unidad del sistema para hacer una copia de los datos.
Y si,potencialmentees posible que sea necesario tener en cuenta algunos aspectos probatorios de la penetración física en el acceso a nivel físico; como asegurarse de que no queden huellas dactilares y que también se solucionen los sellos "a prueba de manipulación". Pero, sinceramente, a la gran mayoría de los sistemas se les pueden quitar físicamente las unidades para obtener una copia física de los datos sin que el usuario final sepa nada mejor. Si tiene la unidad, tiene la unidad y luego tiene los datos si no están cifrados.
Esta es la razón por la que el cifrado por usuario o el cifrado de disco completo es tan importante hoy en día; Las computadoras portátiles y otros dispositivos informáticos portátiles representan una parte tan importante del mercado hoy en día que el riesgo de pérdida de datos por robo de dispositivos o por el préstamo casual de una PC es mucho mayor que nunca en el pasado.
Si el disco no está cifrado, los datos que contiene son un libro abierto listo para ser leído. Este concepto no se limita a máquinas Linux/Unix sino a cualquier sistema operativo en cualquier lugar; si tiene acceso físico a un sistema no cifrado, tiene el sistema.
Dicho esto, permisos de archivos.sonuna medida de seguridad útil para servidores remotos de todo tipo.
Respuesta más larga.
Mi pregunta es sobre los permisos del sistema de archivos (específicamente los permisos de estilo Unix) y cómo se relacionan con la seguridad.
En primer lugar, tenga en cuenta que la seguridad en las computadoras (y en todo) es en realidad solo un elemento disuasivo que ralentiza las cosas y no necesariamente proporciona una seguridad absoluta.
Por ejemplo, la pieza de seguridad más débil en cualquier edificio físico es la puerta que debe abrir al entrar o salir o la ventana que debe abrir para permitir la entrada de aire. Sí, puede cerrar puertas y ventanas y configurar alarmas, pero si alguien realmentequiereSi tienen acceso a algo (y tienen el tiempo, los recursos, la riqueza y el esfuerzo para lograrlo), tendrán acceso a ello.
Digamos que tengo acceso a una computadora con una cuenta de usuario invitado y un usuario llamado Bob. No sé la contraseña de Bob, pero puedo usar la cuenta de invitado. La cuenta de invitado no tiene ningún permiso de lectura para todos los archivos de Bob, por lo que no puedo leer ninguno de los archivos de Bob mientras estoy conectado como invitado.
La cuestión aquí es el contexto del acceso. Si usted tieneacceso físicoa una computadora, prácticamentecualquier cosaes posible. Pero si sólo está conectado a través de una conexión remota (a través de una red de algún tipo), entonces la propiedad del sistema de archivos esdefinitivamenteun método eficaz de seguridad. Y en el caso de los servidores Linux/Unix, los permisos y la propiedad son formas efectivas de seguridad para disuadir la intrusión remota.
Es por eso que en el mundo Linux/Unix obtener rootacceso a un sistema remoto se considera un gran premio. Acceda roota un sistema remoto y entonces realmente habrá hecho algo que le brindará un mayor acceso sin necesidad de ingresar a un centro de datos y clonar una unidad.
Sin embargo, desde una verdadera perspectiva de "adversario", tengo acceso completo a este disco no cifrado. Podría crear una imagen, guardarlo para más tarde, ejecutar algún otro sistema operativo para simplemente leer los archivos de Bob ignorando la configuración de permisos del sistema de archivos.
Sí. Exactamente. Si tiene acceso físico a la máquina, entonces, como se explicó al principio, todas las apuestas están canceladas. Puede obtener acceso a los archivos y directorios de otras personas creando una imagen del disco (o incluso simplemente buscando el contenido sin procesar de la propia unidad) con poco o ningún esfuerzo técnico profundo.
Cualquiera que, por ejemplo, le preste su computadora personal y configure una nueva cuenta solo para usted sin pensar en este escenario, básicamente está regalando cualquier información personal que tenga en su máquina sin saberlo realmente.
Ligeramente tangente, pero creo que es por eso que tantos usuarios ocasionales donan PC viejas sin hacer el más mínimo esfuerzo para borrar los datos del disco. Configuran una contraseña de usuario y asumen que eso mantiene sus datos seguros hasta el punto de que pueden simplemente tirar el disco a la basura y no pensarlo dos veces. Cuando la realidad es que no hay cifrado verdadero ni borrado de datos, cualquier unidad que se tire a la basura o se venda usada puede ser leída por cualquier persona en cualquier lugar sin mucho trabajo pesado ni esfuerzo técnico profundo.
Respuesta2
Tus tres puntos:
Si está utilizando SSH como usuario normal, no tiene acceso al dispositivo de disco sin formato. Por lo general, necesita
rootpermiso para acceder a los dispositivos de disco lógicos y sin formato.Si lo consiguesraíza través de un exploit, entonces usted es el usuario más poderoso del sistema y tiene acceso a casi cualquier cosa, incluido el dispositivo. Como eres root, puedes acceder directamente a los archivos de Bob, por lo que no es necesario acceder al dispositivo de disco.
El acceso físico es mejor
root. La raíz es una capa lógica. Puede ignorarlo con acceso físico al disco. Esto incluye cargar dicho disco en un sistema operativo separado donde usted es root.
Por supuesto, se supone que los sistemas deben estar protegidos contra rootexploits, pero cada día aparecen nuevos exploits. Ningún sistema es 100% seguro, pero puedes hacerlo seguro a efectos prácticos limitando el acceso.
Se espera que los permisos del sistema de archivos solo funcionen en situaciones de acceso de usuario limitado, donde el sistema operativo no está comprometido. Es un sistema para "mantener honestos a los usuarios honestos (y típicos)", como los candados para bicicletas. Trabaja para prevenir "delitos de oportunidad" más que para una protección total a prueba de fallos.