Dyski komputerów zawierają nie tylko lokalne pliki, ale niekiedy także zbuforowane kopie plików z dysków sieciowych, a nawet hasła i inne cenne informacje. Aby je odczytać, wcale nie trzeba przezwyciężać systemów zabezpieczeń.

Zabezpieczanie danych stało się samodzielną gałęzią informatyki. Narzędzia temu służące są coraz doskonalsze, ale jednocześnie coraz bardziej skomplikowane i wysublimowane. W swoich wysiłkach projektanci zabezpieczeń skupiają się prawie wyłącznie na bezpieczeństwie środowiska systemowego zarządzającego dostępem do danych, a także bezpieczeństwem oprogramowania bezpośrednio przetwarzającego dane. To, co dzieje się "poniżej", w szczególności w systemie plików i w samym sprzęcie, jest zazwyczaj traktowane po macoszemu. W rezultacie, przekonanie o bezpieczeństwie danych znajdujących się na komputerach użytkowników, a szczególnie na laptopach, jest często bardzo złudne.

Komputer wypatroszony

W biurach wykorzystuje się przeważnie komputery klasy PC. Te relatywnie tanie urządzenia można - dzięki oprogramowaniu - scalić w jedną spójną infrastrukturę. Nowoczesne systemy operacyjne stosowane na stacjach roboczych mają wbudowane mechanizmy zabezpieczeń. Można je scalić z mechanizmami uwierzytelnienia sieciowego, uzyskując w ten sposób jednolite rozwiązanie, znacznie łatwiejsze do kontrolowania i zarządzania niż zbiór rozproszonych stacji roboczych. Upilnowanie jednego serwera wraz ze spójnym systemem zabezpieczeń jest na pewno łatwiejsze niż dwudziestu rozproszonych stacji.

Włamywacz raczej nie będzie atakował serwera, nie będzie też próbować przezwyciężyć zabezpieczeń dobrze chronionego systemu operacyjnego. Podstawą skutecznego włamania jest bowiem znalezienie takiej luki w zabezpieczeniach, która wymaga relatywnie niewielkiego wysiłku. Zamiast łamać rozliczne zabezpieczenia serwerów, można uciec się do próby odczytania danych z pominięciem zabezpieczeń. Idealnym punktem do takiego ataku jest stacja robocza. Na jej dysku twardym jak na tacy, a raczej talerzu, leżą sobie dane, dzięki którym włamywacz z dużym prawdopodobieństwem jest w stanie infiltrować całą sieć!

Cóż to za problem dobrać się do komputera? Bezpieczeństwa sprzętu, oprócz śrub i ewentualnych plomb, strzeże jedynie BIOS. Gdy zostaje włączone zasilanie, BIOS dokonuje testu obecności i sprawności poszczególnych elementów sprzętu. Gdy wszystko jest w porządku, rozpoczyna się proces ładowania systemu operacyjnego. I tu właśnie jest sedno problemu. W typowej sytuacji BIOS komputera nie jest chroniony w żaden sposób - zabezpieczenie w postaci hasła, jakkolwiek dostępne, w praktyce - z lenistwa - nigdy nie jest stosowane. Ponadto, w środowisku administratorów znane są hasła serwisowe do BIOS-ów. Niektóre komputery posiadają łatwo dostępną zworkę serwisową wyłączającą sprawdzanie hasła podczas startu.

Jeśli BIOS nie jest chroniony, każdy może zmienić jego konfigurację, w tym właśnie ustawienia związane ze startem systemu operacyjnego. Często wcale nie musi tego robić - w wielu komputerach kolejność sprawdzania napędów jest ustawiona tak, aby BIOS szukał systemu najpierw na nośnikach wymiennych, jak dyskietki czy płyty CD. Jeśli go tam znajdzie, system znajdujący się na twardym dysku, a więc także zawarte w nim zabezpieczenia nie zostaną uruchomione.

Nawet jeśli dysk jest sformatowany jako partycja NTFS i ma odpowiednio ustawione opcje zabezpieczeń, dane nie są bezpieczne. Obecne oprogramowanie potrafi bez problemów uzyskać dostęp do partycji NTFS i odczytać zawarte tam dane. Nie jest to nic nowego, stworzony w 1996 r. właśnie w tym celu program NTFSDOS Marka Russinovicha do dziś jest w powszechnym użyciu.

Płyta zamiast wytrycha

Znacznie więcej można dziś jednak osiągnąć za pomocą specjalnie przygotowanej dystrybucji systemu Linux uruchamianej z płyty CD i zwykle w ogóle nie wymagającej obecności dysku twardego. Najsławniejsza z nich to Knoppix, stworzona przez Klausa Knoppera.

Inną ciekawą dystrybucją jest System Rescue CD. To podstawowe narzędzie doświadczonych administratorów, gdyż pośród wielu innych opcji umożliwia zmianę rozmiarów partycji NTFS bez konieczności jej ponownego formatowania, a jednocześnie bez utraty danych. Pozwala także zapisać obraz partycji do pliku lub przesłać go siecią na zdalny dysk za pomocą programu Partimage (działającego tak jak znany program Norton Ghost). Posiada bardzo dobry graficzny menedżer partycjonowania Qtparted i całą gamę narzędzi administracyjnych.

W rękach zdeterminowanego ciekawskiego System Rescue CD z powodzeniem może posłużyć do uzyskania dostępu do komputera, a być może do całej sieci. Po starcie systemu z napędu CD-ROM wystarczy skopiować odpowiedni plik hive rejestru zawierający zaszyfrowane hasła. Można to zrobić przez sieć albo lokalnie - do pamięci Flash/USB. Wyłączenie obsługi USB w systemie operacyjnym nic nie zmienia, bo Windows w ogóle nie startuje, a całą obsługę zapewnia system Linux uruchomiony z płyty CD lub z pamięci Flash.

Plik z hasłami jest zaszyfrowany, ale nie stanowi to wielkiego problemu. Zajmie się tym program LC3 - dedykowany program do łamania haseł lub jego klon dla systemu Linux. Jeśli hasło administratora jest zwykłym słowem obecnym w słowniku, "odgadywanie" hasła trwa krótką chwilę. Gdy jest bardziej skomplikowane, może trwać długo - dni lub nawet tygodnie, ale czasami włamywacze mają dużo czasu. Nierzadko włamywacz ma możliwość pójścia na skróty - gdy administrator zapomniał wyłączyć w systemie opcję lokalnego przechowywanie haseł LANMAN. Te hasła są szyfrowane bardzo słabo - LC3 radzi sobie z nimi bardzo szybko.