Minha pergunta é sobre permissões do sistema de arquivos (especificamente as permissões no estilo Unix) e como elas se relacionam com a segurança.
Digamos que eu tenha acesso a um computador com uma conta de usuário convidado e um usuário chamado Bob. Não sei a senha de Bob, mas posso usar a conta de convidado. A conta de convidado não tem absolutamente nenhuma permissão de leitura para todos os arquivos de Bob, portanto, não consigo ler nenhum dos arquivos de Bob enquanto estiver conectado como convidado.
No entanto, de uma perspectiva verdadeiramente “adversária”, tenho acesso total a este disco não criptografado. Eu poderia imaginá-lo, salvá-lo para mais tarde, executar outro sistema operacional para simplesmente ler os arquivos de Bob, ignorando as configurações de permissão do sistema de arquivos.
A partir disso, chego à pergunta:
- Uma configuração de permissão do sistema de arquivos em um disco não criptografado é apenas um sinalizador, correto? E a única coisa que me impede de ler arquivos para os quais não tenho permissão é o fato de o sistema operacional dizer “Ah, você não pode ler isso, você não tem permissão”. Esse arquivo ainda está no disco em formato bruto e eu poderia lê-lo simplesmente ignorando os sinalizadores do sistema de arquivos (digamos, por meio de algum sistema operacional inicializável obscuro que simplesmente ignora as permissões). Tudo isso está correto?
Agora digamos que não tenho acesso direto ao disco e estou apenas conectando-me a uma máquina. Não tenho permissão para ler nenhum dos arquivos de Bob. Não há realmente nada que eu possa fazer sobre isso, correto?
- Dadas as minhas permissões limitadas, simplesmente não consigo acessar os arquivos de Bob, não importa o quanto eu tente, não? E se eu usar algum exploit para obter acesso root? Posso agora ignorar os sinalizadores de permissão do sistema operacional? Isso é algo que acontece?
Responder1
Resposta mais curta.
Se você tiver acesso físico a um sistema de computador – PC ou sistema de armazenamento de dados – e a única “proteção” em vigor forem as permissões de arquivo, você não terá 100% de proteção.
Esses dados não criptografados podem ser copiados e clonados com esforço mínimo, quase sem nenhuma ferramenta além de outro dispositivo que você possa conectar à unidade do sistema para fazer uma cópia dos dados.
E sim,potencialmentealguns aspectos probatórios da penetração física poderão ter de ser tidos em conta no acesso a nível físico; como garantir que nenhuma impressão digital seja deixada para trás e que quaisquer selos “invioláveis” também sejam tratados. Mas, honestamente, a grande maioria dos sistemas existentes pode ter suas unidades removidas fisicamente para uma cópia física dos dados, sem que o usuário final saiba nada melhor. Se você tiver a unidade, você terá a unidade e os dados, se não estiverem criptografados.
É por isso que a criptografia por usuário ou a criptografia de disco completo é tão importante hoje em dia; laptops e outros dispositivos de computação portáteis são uma parte tão grande do mercado hoje em dia que o risco de perda de dados devido ao roubo de dispositivos ou ao empréstimo ocasional de um PC é muito maior do que nunca no passado.
Se o disco não estiver criptografado, os dados contidos nele serão um livro aberto pronto para ser lido. Este conceito não se limita a máquinas Linux/Unix, mas a qualquer sistema operacional em qualquer lugar; se você tiver acesso físico a um sistema não criptografado, você possui o sistema.
Dito isto, permissões de arquivosãouma medida de segurança útil para servidores remotos de todos os tipos.
Resposta mais longa.
Minha pergunta é sobre permissões do sistema de arquivos (especificamente as permissões no estilo Unix) e como elas se relacionam com a segurança.
Primeiro, tenha em mente que a segurança nos computadores – e em tudo mais – é apenas um impedimento que retarda as coisas e não fornece necessariamente segurança absoluta.
Por exemplo, a peça de segurança mais fraca em qualquer edifício físico é a porta que você deve abrir ao entrar/sair ou a janela que você deve abrir para permitir a entrada de ar. Sim, você pode trancar portas e janelas e configurar alarmes, mas se alguém verdadeiramentequeracesso a algo - e eles têm tempo, recursos, riqueza e esforço para persegui-lo - eles terão acesso a isso.
Digamos que eu tenha acesso a um computador com uma conta de usuário convidado e um usuário chamado Bob. Não sei a senha de Bob, mas posso usar a conta de convidado. A conta de convidado não tem absolutamente nenhuma permissão de leitura para todos os arquivos de Bob, portanto, não consigo ler nenhum dos arquivos de Bob enquanto estiver conectado como convidado.
A questão aqui é o contexto do acesso. Se você temacesso físicopara um computador, praticamentequalquer coisaé possível. Mas se você estiver conectado apenas via conexão remota - através de algum tipo de rede - então a propriedade do sistema de arquivos édefinitivamenteum método eficaz de segurança. E no caso de servidores Linux/Unix, permissões e propriedade são formas eficazes de segurança para impedir invasões remotas.
É por isso que no mundo Linux/Unix obter rootacesso a um sistema remoto é considerado um grande prêmio. Acesse rootum sistema remoto e você realmente terá feito algo que lhe dará maior acesso sem a necessidade de entrar em um data center e clonar uma unidade.
No entanto, de uma perspectiva verdadeiramente “adversária”, tenho acesso total a este disco não criptografado. Eu poderia imaginá-lo, salvá-lo para mais tarde, executar outro sistema operacional para simplesmente ler os arquivos de Bob, ignorando as configurações de permissão do sistema de arquivos.
Sim. Exatamente. Se você tiver acesso físico à máquina, então – conforme explicado no início – todas as apostas serão canceladas. Você pode obter acesso aos arquivos e diretórios de propriedade de terceiros criando uma imagem do disco — ou mesmo apenas pesquisando o conteúdo bruto da própria unidade — com pouco ou nenhum esforço técnico profundo.
Qualquer pessoa que, por exemplo, lhe empresta seu computador pessoal e cria uma nova conta só para você, sem pensar nesse cenário, está basicamente doando quaisquer dados pessoais que tenha em sua máquina, sem realmente saber disso.
Uma ligeira tangente, mas acho que é por isso que tantos usuários casuais doam PCs antigos sem fazer o menor esforço para limpar os dados da unidade. Eles configuram uma senha de usuário e presumem que isso manteve seus dados seguros a ponto de simplesmente jogar a unidade no lixo e não pensar duas vezes. Quando a realidade é sem criptografia verdadeira ou limpeza de dados, qualquer unidade jogada no lixo ou vendida usada pode ser lida por qualquer pessoa em qualquer lugar, sem muito trabalho pesado ou esforço técnico profundo.
Responder2
Seus três pontos:
Se você estiver usando SSH como um usuário normal, não terá acesso ao dispositivo de disco bruto. Normalmente, você precisa
rootde permissão para acessar os dispositivos de disco bruto e lógico.Se você pegarraizatravés de uma exploração, então você é o usuário mais poderoso do sistema e tem acesso a quase tudo, incluindo o dispositivo. Como você é root, você pode acessar diretamente os arquivos de Bob, portanto não há necessidade de acessar o dispositivo de disco.
O acesso físico supera
root. Root é uma camada lógica. Você pode ignorá-lo com acesso físico ao disco. Isso inclui carregar o disco em um sistema operacional separado onde você é root.
É claro que os sistemas devem ser protegidos contra rootexplorações, mas novas explorações surgem diariamente. Nenhum sistema é 100% seguro, mas você pode torná-lo seguro para fins práticos, limitando o acesso.
Espera-se que as permissões do sistema de arquivos funcionem apenas em situações de acesso de usuário limitado, onde o sistema operacional não está comprometido. É um sistema para “manter honestos (e típicos) os usuários honestos”, como travas de bicicleta. Ele funciona mais para prevenir “crimes de oportunidades” do que para proteção total contra falhas.