Windows Vista a nové Sedmičky mají zajímavou vlastnost. Jednoduchým přejmenováním programu vám umožní vstoupit do systému, aniž byste se přihlásili pod jakoukoliv identitou.
Právě jste se odhlásili z Windows Vista nebo nových Sedmiček, na monitoru bledě září textové pole pro vložení hesla, nebo ikona otisku prstu pro přihlášení pomocí biometrické čtečky, a vy spokojeně odcházíte v době polední pauzy na oběd s vědomím, že během příští hodinky se k vašim dokumentům jednoduše nikdo nedostane.
Od verze Vista však Windows skýtá kouzelná zadní vrátka, která otevřou cestu do systému komukoliv bez jakéhokoliv přihlášení, bez identity, bez jakýchkoliv stop. Ačkoliv to zní dramaticky, nejedná se o chybu, ale o vlastnost, která Windows provází již několik let. Je vlastně z principu stejně nebezpečná jako připojení k systémovému disku třeba z živé linuxové distribuce, kdy se také dostanete k obsahu disku bez jediného přihlášení – tedy pokud není zašifrovaný.
Zneužitá lupa
Naše zadní vrátka však nevyžadují restart počítače, pouze přepsání jediného chráněného souboru ve složce System32. Zajímalo nás, jestli lze tato vrátka použít i v nových Sedmičkách a skutečně vše fungovalo i zde bez jediného problému.
Teď už ale k věci. Pokud spustíte Windows Vista/7, v přihlašovacím okně najdete možnost spuštění dialogu Usnadnění přístupu, ve kterém ještě před samotným přihlášením můžete aktivovat některé pomocné nástroje jako lupu, předčítání textu na obrazovce, můžete také zvýšit kontrast, zobrazit softwarovou klávesnici aj. Vtip spočívá v tom, že se ve většině případů jedná o zcela běžné EXE programy. Nabízí se tedy otázka, co by se stalo, kdybyste vyhledali některý z těchto programů a nahradili ho něčím jiným, třeba příkazovou řádkou cmd.exe, kterou pouze přejmenujete na správnou podobu.
Přihlašovací obrazovka Windows 7 a aktivace dialogu Usnadnění přístupu
Je to prosté a jednoduché a je to zároveň celé kouzlo, které skutečně bez problému funguje na Windows Vista. A Sedmičky? Rozhodli jsme se „cracknout“ lupu, což je vlastně zcela běžný program Magnify.exe, který se nachází ve chráněném adresáři System32. Běžným způsobem jej ani jako správce nepřepíšete, stačí ale jako administrátor pozměnit práva k přístupu k souboru a případně i vlastníka ve vlastnostech souboru (prosté odškrtnutí atributu „pouze ke čtení“ nepomůže). Druhou cestou může být použití oné živé linuxové distribuce na optickém disku nebo klíčence a změna programu lupy odtud, kam práva ze světa Windows nesahají.
Změnou práv jsem smazal původní Magnify.exe a nahradil jej programem příkazové řádky
Pak už to jde ráz na ráz. Soubor Magnify.exe jsme tedy přepsali programem příkazové řádky a je hotovo. Když se nyní odhlásíte ze svého účtu, nebo se přepnete na jiného uživatele, a na přihlašovací obrazovce spustíte dialog Usnadnění přístupu, stačí zaškrtnout volbu „Zvětšit položky na obrazovce (Lupa)“, volbu potvrdit a ejhle, namísto lupy se zobrazí černé okno s blikajícím kurzorem.
Opět v přihlašovací obrazovce, tentokráte se však namísto lupy spustí cmd.exe, dveře do systému otevřeny
Taková malá systémová schizofrenie
Rázem získáte přístup do celého souborového systému a to aniž byste byli přihlášeni. Nemáte identitu – jste nad systémem a ten o vás vlastně neví, neumí vás identifikovat (tváříte se jako hybrid uživatele SYSTEM a čehosi neidentifikovatelného). Aby toho nebylo málo, i bez identity můžete spouštět některé programy, které nejsou navázané na uživatelský účet. Pokud se pokusíte spustit desktop příkazem explorer.exe, zobrazí se vám po kratší pomlce, během které se bude systém pokoušet zavést neexistující účet, alespoň hlavní panel bez spuštěného Aera. Plocha ovšem nikoliv. Stejně tak programy z nabídky start včetně zobrazení složek s dokumenty vykouzlí netradiční chybové hlášení, podle kterého neexistujete a tudíž nemůžete spouštět uživatelská data. S programy třetích stran včetně Total Commanderu či jiného správce souborů ale můžete operovat dle libosti, můžete číst, zobrazovat a měnit libovolné soubory a v hloučku kamarádů či kolegů z práce jistě vzbudíte dojem hackera a systémového inženýra.
Poznámkový blok, spuštěný explorer.exe s hlavní lištou a nabídkou Start a BSOD, který na vás po několikaminutovém studiu možností a chování nepřihlášeného systému zaručeně vyskočí
Po čase, pokud budete mít tu trpělivost a štěstí, uvedete logiku systému v takové poblouznění, že raději sama kapituluje a na obrazovce vykouzlí „Modrou obrazovku smrti“, jejíž vyvolání je verze od verze stále složitější a o nových Sedmičkách to platí dvojnásob.
Než si s začnete hrát
Podobné hrátky se systém slouží především k jeho lepšímu pochopení. Nedoporučujeme tyto techniky zkoušet na živém systému, který používáte doma nebo v práci. Druhou možností, jak si tato zadní vrátka bezpečně vyzkoušet, je virtualizace. VMware nabízí ke stažení zkušební verzi Workstationu 7, alternativou mu pak může být bezplatný VirtualBox nebo Virtual PC od Microsoftu.
Samotné spuštění zamaskovaných programů není chyba v pravém slova smyslu. Jedná se spíše o bezpečnostní riziko, které mohl Microsoft omezit přinejmenším tím, že by se nespouštěly klasické EXE programy, ale třeba složitější procesy schované v DLL knihovně – případně by pomohla bezpečnostní kontrola formou kontrolních součtů. Systém by znal od výroby digitální otisk programu Magnify.exe a dalších a při jeho spuštění ještě před přihlášením do systému by tuto kontrolu rychle provedl. Pokud by se změnil jediný bit informace, pokud by neodpovídal jeden jediný bajt, systém by ohlásil riziko zneužití. Kontrolní součty však zaberou několik sekund i v případě těchto jednoduchých programů a k systémovému oddílu se může kdokoliv přihlásit z jiného systému (živá linuxová distribuce aj.). Nejlepším a ultimativním řešením tak bude skutečně jen šifrovaný disk (nejlépe nativně), který k němu znemožní přístup i z jiných operačních systémů, kdy bezpečnost nemůže zaručit spuštěný Windows.
Vřelé díky Ondrovi Bittovi z webu Jak na počítač, jemuž jako pokusný systém posloužil můj notebook.
