Viimasel ajal on meedias suurt kajastust saanud mitmed turvaprobleemid Windowsis ja Windows platvormi rakendustes. Ühed enim räägitutest on haavatavus Windowsi serveri teenuses (bülletään MS08-067) ning haavatavus Internet Exploreris (bülletään MS08-078). Mõlemad neist on märgitud kui kriitilised turvaprobleemid, kuid kumbki neist ei ole kasutatav rünnakute läbi viimiseks korrektselt seadistatud arvutite vastu. Veelgi enam, uuema riistvara ja Windows Vista x64 puhul võib vaikimisi seadistus juba pakkuda vajalikku kaitset. Järgnevalt vaatame, miks see on nii ning kuidas seadistada Windows platvormi nii, et see oleks turvaline.
Autor: Siim Karus
DMA põhistest rünnetest
Minu eelmine artikkel kettakrüpto lahti muukimise teemal tuletas lugejatele meelde, et tegelikult on võimalik mälus ja ketastel olevatele andmetele ligi pääseda ka arvuti töö ajal. Ning seda lausa nii, et operatsioonisüsteem sellest midagi ei tea. See tähendab, et arvutist andmetele ligipääsu saamiseks tuleb ründajal ühendada oma arvuti (või spetsiaalselt programmeeritud kettaseade) rünnatava arvutiga näiteks FireWire või eSata liidese vahendusel (või ühendada Express Card, PCI card, vms.) rünnatava arvutiga.
Rünnak põhineb teadmisel, et FireWire, eSata ja Express Card saavad otse rääkida mälukontrolleriga, mis annab neile võimaluse teha pöördusi mäluseadmete poole kesksest protsessorist (CPU) ja/või operatsioonisüsteemist mööda minnes (sellest ka nimetus Direct Memory Access ehk DMA). Seega on tegemist operatsioonisüsteemist sõltumatu ründega (vaata ka Adam Boileau esitlust siinipõhiste rünnete kohta), peaaegu.
Kettakrüpto lahti mõne minutiga
Princetoni ülikooli teadlased on teinud videoklipi, mis demonstreerib, kui lihtne on ligi pääseda krüpteeritud ketastel olevatele andmetele. Rünnatavad on enamikud levinud ketta krüpteerimise lahendusi nagu TrueCrypt, BitLocker (Windows kettakrüpto) ja FileVault (Mac OS kettakrüpto). Rünne kasutab ära asjaolu, et ketta krüpteerimiseks kasutatav krüptovõti on arvuti kasutamise ajal loetud muutmällu (RAM) ning muutmälus ei kustu andmed koheselt pärast voolu kadumist. Videos demonstreeritakse, et muutmälus olevad andmed püsivad taastatavad minuteid ning andmete säilimisaeg pikeneb mälu jahutamisel kiiresti.
video://www.youtube.com/watch?v=JDaicPIgn9U
Sellise ründe vastu saab end kaitsta nõudes arvuti käivitamisel parooli juba BIOS-e laadimisel (parooli saab seada arvuti BIOS Setup programmist). Oluline on siinkohal märkida, et sarnased ründed on võimalikud kasutades operatsioonisüsteemide võimalust automaatselt käivitada sisestatud plaatidel või ühendatud välistel seadmetel olevaid programme (nn. AutoPlay).
Andmete taastamisest
Oma eelmises juhendis kirjutasin, kuidas kaitsta andmeid kadumise eest. Kuid mõnikord juhtub ikka nii, et mõni fail on kaduma läinud, kogemata üle kirjutatud või on ketas või mälupulk lihtsalt katki läinud (või viiruse poolt kahjustada saanud). Seega tuleb ikkagi tegeleda ka andmete taastamisega. Järgnevalt annan ülevaate lihtsamatest võtetest oma andmete taastamiseks.
EFS failide taastamine
EFS ehk Encrypted File System on NTFS failisüsteemi lisavõimalus, mis võimaldab kasutajatel krüpteerida oma faile, salastades nii nende sisu. Tegemist on avaliku võtme krüptograafiaga ehk failide krüpteerimiseks kasutatakse avalikult teada olevat võtit. See tähendab, et sinu võtmega saavad faile krüpteerida ka teised kasutajad, kuid lugeda saad vaid sina ise kasutades oma salajast võtit. EFS-i võimaldavad kasutada Windowsi ärikasutajatele suunatud versioonid (XP Professional, Vista Business, Vista Enterprise, Vista Ultimate, Windows Server).
Andmete varundamisest kodus ja kodukontoris
Peaaegu igal arvutikasutajal on ette tulnud olukordi, kus kaduma on läinud arvutiga tehtud töö tulemus – failid. Põhjuseks võib olla kõvaketta rike, voolukatkestus, viirus või lihtsalt inimlik eksimus. Mõnikord oskab tuttav arvutispetsialist kaotatud failid taastada, kuid mõnikord on need jäävalt kadunud ja töö tuleb uuesti teha. Parimal juhul olete tuttavad andmete varundamisega ja saate oma andmed taastada varukoopialt vaid mõne minutiga.
Andmete varundamine on probleem, millega tuleb tegeleda kõigil, kes ei soovi oma faile (ja neis asuvaid andmeid) kaotada. Suuremates ettevõtetes tegelevad sellega IT spetsialistid, kes kasutavad tihti ka eritarkvara (klastrite tagavarakoopiate loomine on päris keeruline). Väiksemates ettevõtetes kasutatakse varundamisel tihtipeale lihtsaid skripte, mida vähemal Unix ja Linux platvormidele on saadaval hulganisti (ja ega ka teistel platvormidel neist puudust pole). Samas tegeletakse varundamisega peamiselt serverites, kus hoitakse olulist informatsiooni, töölauaarvutite faile reeglina ei varundata või tegeleb sellega kasutaja ise omal soovil. Loe edasi: Andmete varundamisest kodus ja kodukontoris