BIOS+HASŁO=BEZPIECZEŃSTWO.pdf

Wystarczy nacisnĢę wþĢcznik, a komputer udostħpnia dane kaŇdemu, kto uruchomi

system. MoŇesz temu zapobiec, definiujĢc hasþo w BIOS-ie, czyli fundamentalnym

systemie wejĻcia/wyjĻcia (Basic Input/Output System). Element ten gromadzi wiele

ustawieı konfiguracyjnych podzespoþw sprzħtowych komputera i zawiera podstawowe

procedury ich obsþugi. PoniŇszy materiaþ podaje wszystko, co trzeba wiedzieę, na temat

wspomnianych haseþ - jak je ustawiaę, dobieraę i usuwaę. Opisujemy, jak zwiħkszyę

ochronħ dodatkowymi zabezpieczeniami i co robię, gdy hasþo wyleci z pamiħci...

Wielka trjka producentw BIOS-w - AMI, Award i Phoenix - oferuje swoim klientom,

czyli producentom pþyt gþwnych i gotowych pecetw, po kilka moduþw hasþowych. Ci z

kolei dowolnie wybierajĢ moduþy do zaimplementowania w BIOS-ie pþyt gþwnych,

dlatego w Twoim BIOS-ie moŇe brakowaę pewnych opcji, o ktrych mowa w tym

artykule. Oprcz tego nazwy poszczeglnych opcji i ich lokalizacja w obrħbie struktury

menu moŇe siħ rŇnię zaleŇnie od wersji BIOS-u. Na pewno jednak kaŇdy komputer

powinien byę wyposaŇony w co najmniej jedno zabezpieczenie hasþowe.

BIOS komputera moŇe dysponowaę dwoma rodzajami haseþ: hasþem uŇytkownika (User

Password) i hasþem administratora (Supervisor Password). Hasþo uŇytkownika ma

uniemoŇliwiaę uruchamianie systemu wszystkim nieznajĢcym "magicznego sþwka".

Jedno z zaþoŇeı polega na tym, Ňe osoba nieupowaŇniona (nieznajĢca hasþa) nie moŇe

wczytaę systemu nawet z dyskietki startowej. Hasþo administratora broni dostħpu nie

tylko do systemu operacyjnego, lecz rwnieŇ do ustawieı BIOS-u.

W niektrych wersjach BIOS-u Phoenixa hasþo uŇytkownika nosi miano System Password,

a hasþo administratora Setup Password. Pierwsze z nich reguluje dostħp do systemu, a

drugie wyþĢcznie dostħp do ustawieı BIOS-u.

W BIOS-ach AMI i Awarda opcja konfigurowania hasþa znajduje siħ zazwyczaj na ekranie

startowym. W BIOS-ie Phoenixa jest umieszczona w menu Security.

A oto sposb uaktywniania zabezpieczenia hasþowego. JeĻli blokada ma uniemoŇliwiaę

tylko wczytywanie systemu operacyjnego, przejdŅ do punktu User Password. Na ekranie

pojawi siħ okno z proĻbĢ o wpisanie hasþa. Po potwierdzeniu klawiszem [Enter] musisz

ponownie wpisaę hasþo. Dziħki takiej weryfikacji unikniesz kþopotw zwiĢzanych z

pomyþkĢ podczas wpisywania hasþa. Od tej pory BIOS bħdzie przerywaę wczytywanie

systemu. Kontynuacja bħdzie moŇliwa tylko po wpisaniu poprawnego hasþa. Hasþo

administratora (blokuje rwnieŇ dostħp do ustawieı BIOS-u) definiuje siħ w analogiczny

sposb.

W niektrych wersjach BIOS-u producenci komputerw lub pþyt gþwnych dajĢ

uŇytkownikowi moŇliwoĻę wybrania zakresu, ktry ma byę zabezpieczony hasþem. W tym

przypadku jest do dyspozycji tylko hasþo administratora (punkt Supervisor Password). W

oddzielnym punkcie ustalasz, czy hasþo obejmuje dostħp do BIOS-u i do systemu

operacyjnego, czy tylko dostħp do BIOS-u.

Przykþadem pþyty gþwnej wyposaŇonej w opisany mechanizm jest Shuttle AE 22. W

BIOS-ie AMI tej pþyty naleŇy przejĻę do menu Advanced CMOS Setup i znaleŅę punkt

Password Check. Do wyboru sĢ opcje Setup i Always. Gdy uaktywnisz opcjħ Setup,

musisz wpisywaę hasþo tylko podczas prby dostania siħ do ustawieı BIOS-u. W

przypadku wybrania opcji Always hasþo bħdzie wymagane zarwno podczas

przywoþywania ustawieı BIOS-u, jak i uruchomienia systemu operacyjnego. Obu

opisanych ustawieı moŇna dokonaę oddzielnie dla hasþa administratora i hasþa

uŇytkownika.

W BIOS-ie Awarda naleŇy przejĻę do menu Bios Features Setup lub Advanced BIOS

Features. Znajdziesz tu punkt Security Option z opcjami Setup i System. Opcja Setup

ŇĢda hasþa tylko podczas prby dostħpu do BIOS-u, opcja System - podczas

uruchamiania systemu. Hasþo administratora pozwala w tym przypadku modyfikowaę

wszystkie ustawienia konfiguracyjne w BIOS-ie. DysponujĢc hasþem uŇytkownika, moŇesz

jedynie zmienię swoje hasþo. JeŇeli wybraþeĻ opcjħ System w punkcie Security Option, na

ekranie pojawia siħ okno z pytaniem o hasþo, ktre wstrzymuje wczytywanie systemu

operacyjnego i uniemoŇliwia przywoþanie ustawieı BIOS-u. Uruchomienie systemu

wznawia siħ po wpisaniu hasþa administratora lub hasþa uŇytkownika, ale zmiany w

konfiguracji BIOS-u dokona tylko ten, kto zna hasþo administratora.

W BIOS-ie Phoenixa zabezpieczenie hasþowe ustawia siħ w menu Security. Odpowiedni

punkt nosi nazwħ Password on boot i zawiera jeden z dwch zestaww opcji. Pierwszy

zestaw to Disabled i Enabled, drugi skþada siħ z opcji Disabled, On Boot i Always.

JeĻli wþĢczona zostaþa opcja Disabled, system wczytuje siħ bez pytania o hasþo. Jest ono

wymagane zazwyczaj tylko do przywoþania konfiguracji BIOS-u. Opcje Enabled i Always

sþuŇĢ przewaŇnie do wþĢczenia zabezpieczenia ustawieı BIOS-u i systemu operacyjnego.

Opcja On Boot pozwala kontrolowaę wyþĢcznie dostħp do systemu operacyjnego.

Niekiedy trzeba zmienię hasþo. Przywoþaj wwczas ustawienia BIOS-u i wybierz opcjħ, za

pomocĢ ktrej ustawiaþeĻ hasþo, np. Supervisor Password. Na ekranie pojawi siħ okno z

pytaniem o hasþo. Podaj w nim nowe hasþo i potwierdŅ, wpisujĢc ponownie. Niektre

wersje BIOS-u, przede wszystkim Phoenixa, akceptujĢ nowe hasþo dopiero po

poprawnym podaniu dotychczasowego.

Oprcz tego moŇesz anulowaę zabezpieczenie hasþowe. Wystarczy nacisnĢę klawisz

[Enter], gdy pojawi siħ okno z pytaniem o hasþo. Niektre wersje BIOS-u sygnalizujĢ

usuniħcie hasþa komunikatem Password disabled.

Maksymalna dþugoĻę hasþa i minimalna liczba liter w haĻle zaleŇĢ od wersji BIOS-u.

Niektrzy producenci komputerw i pþyt gþwnych dopuszczajĢ hasþa skþadajĢce siħ z

jednego znaku, inni nie akceptujĢ haseþ krtszych od trzech czy czterech znakw. Ze

wzglħdw bezpieczeıstwa zalecamy dobieraę hasþa o maksymalnej dþugoĻci. Dziħki temu

nikt go þatwo nie ustali, wyprbowujĢc dowolne kombinacje. Ponadto utrudnisz

odgadniħcie hasþa osobom, ktre (przypadkowo lub nie) zajrzĢ Ci przez ramiħ podczas

wpisywania.

JeĻli wykorzystaþeĻ maksymalnĢ liczbħ liter, definiujĢc hasþo, to mimo Ňe wpiszesz je

poprawnie, w niektrych przypadkach BIOS odmawia dostħpu do systemu. Oznacza to,

Ňe nie zapisaþ hasþa w caþoĻci, choę nie przekroczyþeĻ dopuszczalnej dþugoĻci. W

niektrych pþytach gþwnych (np. w wybranych modelach MSI) BIOS akceptuje

maksymalnie osiem znakw, ale zapisuje tylko szeĻę pierwszych.

PoprawnoĻę hasþa BIOS ocenia, analizujĢc wszystkie znaki wpisane przez uŇytkownika.

Gdy wprowadzone hasþo rŇni siħ od zapisanego w ukþadzie CMOS, uparcie odmawia

dostħpu. JeĻli jesteĻ pewien, Ňe nie popeþniþeĻ bþħdu podczas wpisywania, podaj pierwsze

szeĻę czy siedem znakw. Nie obawiaj siħ, Ňe po kilku prbach na staþe zablokujesz

system.

Staraj siħ dobraę hasþo trudne do odgadniħcia. Nie uŇywaj do tego celu swojego imienia

ani imion czþonkw rodziny. Nie szukaj inspiracji w danych osobowych i osobistych

preferencjach. Na hasþo nie nadajĢ siħ: data urodzin, przydomek, marka samochodu,

tytuþ ulubionego serialu czy nazwa miejscowoĻci, w ktrej corocznie spħdzasz urlop. To

samo dotyczy pojħę, ktre majĢ coĻ wsplnego ze sþowem "hasþo" (np. "haslo").

Szwedzka firma Defcom, ktra zajmuje siħ bezpieczeıstwem w branŇy komputerowej,

przeprowadziþa badania w 500 firmach. Okazaþo siħ, Ňe wielu uŇytkownikw obiera za

hasþa nazwy pr roku. Nazbyt þatwe do odgadniħcia (choę na pierwszy rzut oka nie

sprawiajĢ takiego wraŇenia) okazujĢ siħ popularne sþowa wpisywane od tyþu, np.

"retupmok" zamiast "komputer".

Prywatne hasþo powinno byę unikatowe. Najlepiej, jeĻli oprcz liter i cyfr zawiera znaki

specjalne, np. &, £ czy #. SprawdŅ, czy Twoja wersja BIOS-u dopuszcza stosowanie

takich znakw. W instrukcji obsþugi raczej nie znajdziesz tej informacji. JeĻli masz sþabĢ

pamiħę do cyfr i wolisz popularne sþowa, utrudnij zþamanie zabezpieczenia, uŇywajĢc

wielkich i maþych liter (np. "laKotA") - pod warunkiem, Ňe Twj BIOS je rozrŇnia.

Zamiast sþowa moŇesz obraę akronim dowolnego powiedzenia lub sloganu. Przykþadowo

KoWDrTeC to akronim powiedzenia "Komu w drogħ, temu czas", a DlChNiTr -

powiedzenia "Dla chcĢcego nic trudnego".

Pod Ňadnym pozorem nie uŇywaj tego samego hasþa w kilku rŇnych zabezpieczeniach,

np. w BIOS-ie, w sieci lokalnej, dostħpie do Internetu czy w bankowym rachunku

internetowym. Wprawdzie jest to bardzo wygodne, ale zbyt ryzykowne. Gdy komuĻ uda

siħ wykryę hasþo generalne, bħdzie miaþ dostħp nie tylko do Twoich danych, lecz rwnieŇ

do konta bankowego i firmowej sieci.

Zmieniaj hasþo w regularnych odstħpach czasu, np. na poczĢtku kaŇdego miesiĢca. JeŇeli

ktoĻ je rozszyfruje lub podejrzy podczas wpisywania, krtko bħdzie mgþ z niego

korzystaę. Ponadto nie zapisuj haseþ na twardym dysku. W ten sposb na pewno bardzo

szybko padnĢ ofiarĢ nieprzychylnych Ci osb. JeĻli masz krtkĢ pamiħę, zanotuj je i

przechowuj w bezpiecznym miejscu.

Zabezpieczeı nigdy nie za wiele. DefiniujĢc hasþo administratora i/lub uŇytkownika,

moŇesz zapobiec uruchomieniu systemu lub manipulacji ustawieniami BIOS-u przez

osoby niepowoþane. Jednak gdy opuĻcisz stanowisko pracy po wczytaniu systemu

operacyjnego, praktycznie kaŇdy ma nieograniczony dostħp do Twoich danych. ņeby

temu zapobiec, uaktywnij wygaszacz ekranu i zabezpiecz go dodatkowym hasþem. JeŇeli

uŇywasz systemu Windows 95/98/Me, przywoþaj Panel sterowania i kliknij dwukrotnie

ikonħ Ekran. WskaŇ kartħ Wygaszacz ekranu. Wybierz dowolny wygaszacz i w polu

Czekaj ustal czas bezczynnoĻci, po ktrym wygaszacz ma byę wþĢczany. Nastħpnie

zaznacz pole wyboru Ochrona hasþem i kliknij przycisk Zmieı. Po wpisaniu hasþa

potwierdŅ je i opuĻę menu. W momencie uaktywnienia siħ wygaszacza ekranu

zabezpieczenie hasþowe zacznie chronię Twoje zasoby dyskowe przed prbami dostħpu ze

strony osb trzecich.

JeĻli chcesz mieę moŇliwoĻę natychmiastowego wþĢczania wygaszacza, a tym samym

zabezpieczenia hasþowego, przejdŅ do folderu C:\Windows\Menu Start i utwrz w nim

skrt do skonfigurowanego uprzednio (patrz wyŇej) wygaszacza, np.

C:\WINDOWS\SYSTEM\LATAJġC W PRZESTRZENI.SCR. Wygaszacze sĢ zgromadzone

domyĻlnie w katalogu \Windows\System i zapisywane w plikach z rozszerzeniem SCR.

Jednak nawet stosujĢc oba mechanizmy (hasþo w BIOS-ie i hasþo wygaszacza), nie

uzyskasz stuprocentowego bezpieczeıstwa (patrz dalej).

JeĻli zaleŇy Ci na jeszcze wiħkszym bezpieczeıstwie, nie uruchamiaj peceta wþĢcznikiem,

lecz za pomocĢ kodu klawiaturowego. W BIOS-ie Awarda moŇesz nawet zdefiniowaę

hasþo klawiaturowe zamiast zwyczajnego skrtu. BIOS zapisuje kody w kontrolerze

klawiatury. W odrŇnieniu od ukþadu CMOS (w nim gromadzone sĢ hasþa BIOS-u) moduþ

ten nie staþ siħ jeszcze celem atakw.

Zabezpieczenie przez klawiaturħ jest moŇliwe wyþĢcznie w systemach z pþytĢ gþwnĢ ATX.

Tylko pþyty tego typu zapewniajĢ (w poþĢczeniu z zasilaczem ATX) odpowiednie zasilanie

klawiatury po wyþĢczeniu komputera. Komputery wyposaŇone w pþytħ gþwnĢ ATX

dysponujĢ zazwyczaj zasilaczem ATX. JeĻli Twj pecet speþnia wspomniane wymagania,

wyszukaj w BIOS-ie opcjħ uaktywniajĢcĢ blokadħ klawiatury. W BIOS-ie AMI przejdŅ do

menu Advanced Chipset Setup i ustaw opcjħ Enabled w punkcie Keyboard Power ON.

JeĻli masz BIOS Awarda, przywoþaj menu Integrated Peripherals. Gdy ustawisz opcjħ

Password w punkcie Power ON Function, pojawi siħ nowy wiersz KB Power ON Password.

MoŇesz wpisaę w nim hasþo umoŇliwiajĢce uruchamianie komputera. W BIOS-ie Phoenixa

blokadħ klawiatury uaktywnia siħ w menu Advanced | Power On/Off. Ustaw w tym celu

opcjħ Enabled w wierszu Power on Source: Keyboard.

W niektrych przypadkach uaktywnienie opisanego zabezpieczenia blokuje nie tylko

wyþĢcznik komputera. Przed wprowadzeniem zmian koniecznie sprawdŅ w instrukcji

obsþugi pþyty gþwnej, czy trzeba przestawię zworkħ klawiatury. W wiħkszoĻci pþyt

wyposaŇonych w tħ zworkħ jest ona ustawiona w pozycji wyþĢczona, dlatego wyþĢczenie

komputera odcina zasilanie klawiatury. JeĻli ustawisz blokadħ klawiatury przed

przeþoŇeniem zworki, nie wþĢczysz komputera bez pomocy producenta.

Czy w Twoim pececie sĢ zainstalowane wymienne twarde dyski? JeĻli tak, ktoĻ moŇe

uzyskaę dostħp do Twoich danych, podþĢczajĢc je do swojego systemu. Nie pomogĢ

wwczas hasþa w BIOS-ie, w wygaszaczu ani blokada klawiatury. Aby mieę

stuprocentowĢ pewnoĻę, musisz zabieraę ze sobĢ dysk(i) za kaŇdym razem, gdy

opuszczasz miejsce pracy. JeŇeli masz zwykþy dysk bez szufladki i obawiasz siħ, Ňe moŇe

paĻę ofiarĢ zþodzieja, rozejrzyj siħ za obudowĢ wyposaŇonĢ w specjalny zamek.

PoustawiaþeĻ jak najwiħcej haseþ, aby zabezpieczyę wszystkie moŇliwe elementy. Teraz

zastanawiasz siħ, czy Twj komputer jest niedostħpny dla osb niepowoþanych. Hasþo

BIOS-u moŇna przyrwnaę do pþotu: wprawdzie trzyma na dystans ciekawskich, jednak

kaŇdy, komu na tym bardzo zaleŇy, moŇe przez niego przejĻę. Producenci komputerw i

pþyt gþwnych pozostawiajĢ zazwyczaj coĻ w rodzaju tylnego wejĻcia, aby umoŇliwię

zapominalskim uŇytkownikom þatwy i szybki powrt do systemu. Z tego wzglħdu hasþo

BIOS-u nie daje stuprocentowego bezpieczeıstwa. Lukħ moŇna przecieŇ wykorzystaę w

nieuczciwych zamiarach.

Hasþo generalne peþni funkcjħ klucza, ktry otwiera wszystkie drzwi w budynku.

DysponujĢc nim, moŇna siħ dostaę niemal do kaŇdego peceta z odpowiedniĢ wersjĢ

BIOS-u. Dotyczy to przede wszystkim komputerw sprzed dwch lat, bo do tego czasu

producenci BIOS-w wyposaŇali je standardowo w bezwarunkowĢ moŇliwoĻę uzyskania

dostħpu do systemu za poĻrednictwem haseþ generalnych. Od okoþo dwch lat juŇ siħ

tego nie robi. Czasem hasþa generalne sĢ implementowane lub uaktywniane przez

producentw pþyt gþwnych lub komputerw. Niektrzy producenci (m.in. Asus i MSI)

informujĢ, Ňe z nich rezygnujĢ w swoich pþytach.

DobraþeĻ hasþo tak, aby byþo nie do zþamania, lecz nigdzie go nie zanotowaþeĻ, a wypadþo

Ci z pamiħci. Co robię? Sprbuj siħ dostaę do systemu za pomocĢ hasþa generalnego

(patrz wyŇej). Jak wykazaþy nasze poszukiwania w Internecie, najlepiej znany pod tym

kĢtem wydaje siħ BIOS Awarda. Wystarczy przywoþaę wyszukiwarkħ (np.

www.google.com ) i wpisaę sþowo "master" lub "password". Wyprbuj na przykþad hasþa:

alfarome, alf Arome, ally, awkward, biostar, biosstar, HLT, 589721 i 589589.

JeŇeli zapomniaþeĻ hasþa w BIOS-ie AMI, szukaj ratunku, wpisujĢc nastħpujĢce hasþa

generalne: AMI, ami, AMIAMI, A.M.I., amipswd, AMIPSWD i password. W przypadku

BIOS-u Phoenixa wybr jest bardzo skromny, m.in.: bios, BIOS, CMOS, phoenix i

PHOENIX.

Wiħcej informacji na temat haseþ generalnych znajdziesz pod internetowymi

adresami:

www.securityparadigm.com/defaultpw.htm

www.11a.nu/FILES/!BIOS/SRC/DOS/unpacked/DOCS/BIOSDEF1.LST

www.bios-info.de

Na wielu listach haseþ generalnych pojawiajĢ siħ - caþkiem niesþusznie - pozycje: Bios310,

Cmospwd i Killcmos. Nie sĢ to hasþa, lecz nazwy programw do þamania zabezpieczeı

hasþowych (patrz dalej). WpisujĢc hasþa, pamiħtaj, Ňe BIOS zazwyczaj rozrŇnia maþe i

wielkie litery. KorzystajĢcy z ukþadu klawiatury "polska - maszynistki" (polskie litery

znajdujĢ siħ po prawej stronie klawiszy [P] i [L], a nie sĢ przywoþywane w poþĢczeniu z

klawiszem [Alt]), muszĢ wprowadzaę hasþa wedþug amerykaıskiego ukþadu klawiatury.

Przykþadowo naciĻniħcie klawisza [_] powoduje wyĻwietlenie pytajnika, wiħc np.

AWARD_SW i AWARD?SW wystħpujĢce na niektrych listach to nie dwa oddzielne hasþa,

lecz jedno, zapisane raz dla ukþadu amerykaıskiego i polskiego - programisty, a za

drugim razem dla ukþadu polskiego-maszynistki. Pamiħtaj o odwrotnym uþoŇeniu klawiszy

z literami Y i Z w wymienionych ukþadach klawiatury.

Zasadħ dziaþania haseþ generalnych zilustrujemy na przykþadzie BIOS-u Awarda. BIOS

oblicza z hasþa sumħ kontrolnĢ na podstawie specjalnego algorytmu. Dlatego, aby

uzyskaę dostħp do systemu, nie trzeba wpisywaę identycznego ciĢgu znakw, lecz

wystarczy uzyskaę takĢ samĢ sumħ kontrolnĢ. StĢd bardzo duŇa liczba haseþ

generalnych.

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: