Password di cracking di account di Windows


35

Al lavoro abbiamo laptop con hard disk crittografati. La maggior parte degli sviluppatori qui (a volte anche io ne sono stato colpevole) lasciano i loro laptop in modalità ibernazione quando li portano a casa la sera. Ovviamente, Windows (cioè c'è un programma in esecuzione in background che lo fa per Windows) deve avere un metodo per decodificare i dati sul disco, altrimenti non sarebbe in grado di accedervi. Detto questo, ho sempre pensato che lasciare una macchina Windows accesa in modalità ibernazione in un luogo non sicuro (non al lavoro su un lucchetto) è una minaccia alla sicurezza, perché qualcuno potrebbe prendere la macchina, lasciarla in esecuzione, hackerare gli account di Windows e usarlo per crittografare i dati e rubare le informazioni. Quando ho avuto modo di pensare a come avrei fatto a entrare nel sistema Windows senza riavviarlo, non sono riuscito a capire se fosse possibile.

So che è possibile scrivere un programma per decifrare le password di Windows una volta che si ha accesso ai file appropriati. Ma è possibile eseguire un programma da un sistema Windows bloccato che lo farebbe? Non conosco un modo per farlo, ma non sono un esperto di Windows. Se è così, c'è un modo per prevenirlo? Non voglio esporre vulnerabilità di sicurezza su come farlo, quindi chiederei a qualcuno di non pubblicare i passaggi necessari in dettaglio, ma se qualcuno potesse dire qualcosa del tipo "Sì, è possibile che l'unità USB consenta l'esecuzione arbitraria, " sarebbe grandioso!

EDIT: L'idea di essere con la crittografia è che non è possibile riavviare il sistema, perché una volta fatto, la crittografia del disco sul sistema richiede un accesso prima di poter avviare Windows. Con la macchina in letargo, il proprietario del sistema ha già ignorato la crittografia per l'attaccante, lasciando Windows come unica linea di difesa per proteggere i dati.


Al momento non riesco ad accedervi, ma ho letto il lavoro di mu-b sull'interruzione della crittografia del disco completo: www.digit-labs.org/files/presentations/sec-t-2010.pdf
Rory Alsop,

Risposte:


13

Lasciare la macchina in letargo non è sicuramente sicuro, è stata rilevata una vulnerabilità in cui la RAM contiene ancora la chiave per il bitlocker (e altri) nella memoria in letargo. Esiste già una prova del concetto di attacco là fuori per questa vulnerabilità.

Il metodo di attacco è riavviare rapidamente il PC e leggere il contenuto della RAM (che non si perde quando si interrompe l'alimentazione), quindi un programma può cercare la chiave nel dump.

http://www.eweek.com/c/a/Security/Researchers-Crack-BitLocker-FileVault/

Microsoft potrebbe aver già risolto questo problema.

ps la normale modifica della password non influisce sulla crittografia, poiché il contenuto crittografato non è accessibile senza la password corretta, quindi i dischi di avvio che cambiano password non sono rischi per la sicurezza.


1
+1 Penso che questo sia ciò che viene chiamato un attacco di avvio a freddo .
Jonas Heidelberg,

4

Come menzionato da workmad3 , il modo migliore per attaccare una macchina bloccata senza riavviare è vedere quanto sia vulnerabile da una connessione di rete.

Ciò dipenderà dalle politiche di sicurezza in atto sulla tua rete. Ad esempio, tutti gli account di dominio hanno accesso amministrativo a questi PC? In tal caso, controlla la condivisione predefinita (\ pc-name \ c $). Se la condivisione predefinita è stata attivata per qualsiasi motivo, è possibile accedere a tutti i contenuti del PC tramite la rete con il proprio account. Non sono sicuro che funzioni con un disco rigido crittografato, ma sarebbe abbastanza facile testarlo.

Dopo aver effettuato l'accesso al PC in remoto, è possibile utilizzare strumenti come lo strumento Sysinternals PsExec per eseguire i programmi in remoto.

Ovviamente, questo è solo un vettore di attacco e potrebbe non funzionare con dischi rigidi crittografati, ma ti dà un'idea di cosa si potrebbe fare.

EDIT: se i laptop hanno una porta Firewire attiva, puoi dare un'occhiata a questa vulnerabilità . Ancora una volta, non so se ciò aiuterebbe con una macchina crittografata, poiché si basa sull'accesso diretto alla memoria (che dovrebbe essere crittografato).


Esiste un exploit Firewire che consente di sbloccare una finestra di Windows senza immettere una password valida. Non importa se il disco rigido è crittografato.

@Alexander Non ne ero a conoscenza. Buono a sapersi.
Marc Reside,

Dai un'occhiata a storm.net.nz/projects/16 per uno degli strumenti.

Non è solo Firewire, ma qualsiasi porta di espansione con DMA. Ciò include PCMCIA, PCCard, ExpressCard, ecc. L'unica differenza rispetto al vettore Firewire è il protocollo per accedere al bus.

4

Ovviamente, se qualcuno ha accesso fisico alla macchina, tutte le credenziali archiviate possono essere considerate compromesse.

Se è possibile, ad esempio, avviare da un dispositivo USB o un'unità ottica, è possibile utilizzare strumenti punta e clicca come Ophcrack per recuperare tutte le password. Istruzioni qui: USB Ophcrack | Cracker password di accesso a Windows

Modifica: Sì, sono consapevole che teoricamente non è possibile tornare in un "disco rigido crittografato" se il computer viene riavviato. La validità di tale reclamo dipende interamente dal software utilizzato per accedere alle partizioni crittografate. BitLocker sembra fare un lavoro decente, ma molte implementazioni precedenti erano fondamentalmente uno scherzo - e se riesci ad accedere alla macchina è banalmente facile scaricare il database SAM sulla chiavetta USB ed eseguire il cracking offline.


2

Bene, il mio primo pensiero sarebbe di svegliarlo dall'ibernazione, arrivare alla schermata della password e quindi iniziare a vedere ciò che è vulnerabile attraverso la connessione di rete. Se la sicurezza della rete delle macchine reali non è all'altezza, è possibile accedere a molte informazioni in questo modo.


1

Mi chiedo cosa succederebbe se si masterizzasse un CD-ROM con un autoplay.ini adatto agli scopi dell'esperimento, quindi si fa svegliare la macchina dalla modalità di ibernazione. In realtà non so cosa succederebbe, ma quel tipo di metodologia è ciò che esplorerei se provassi ad attaccare una macchina in letargo: farlo svegliare e introdurre un eseguibile in una delle sue porte. Ha una porta firewire? In teoria è quindi hackerabile da quell'interfaccia.


0

Che tipo di crittografia stai usando? BitLocker? File system crittografato? Senza saperlo, non posso rispondere direttamente alla tua domanda.

In ogni caso, la tua sicurezza sarebbe buona come il collegamento più debole. È necessario assicurarsi che tutte le ultime patch di sicurezza siano installate prontamente. Altrimenti, strumenti come MetaSploit possono essere utilizzati per testare vulnerabilità note e ottenere l'accesso dell'utente o dell'amministratore .


È un file system crittografato
kemiller2002,

EFS fornirà solo il requisito che solo l'utente proprietario o eventualmente l'amministratore locale possano accedere ai file. Se il PC viene compromesso, sarebbe banale aggirare. Vedi: en.wikipedia.org/wiki/Encrypting_File_System
spoulson

scusa mio male, ho confuso la terminologia. I file sono crittografati su disco.
kemiller2002,

0

Vista e XP-sp3 sono molto meno votabili dei sistemi operativi precedenti che memorizzavano una password semplicemente crittografata per la compatibilità LANMAN. Puoi comunque decifrare password facili usando alcuni tavoli arcobaleno molto grandi, ma per il resto è abbastanza sicuro da strumenti come ophcrack.


0

Sul mio sistema di crittografia hard disk (PGP) mi viene richiesto di inserire la password di crittografia quando si ritorna dall'ibernazione.

Da una sospensione, non è permesso.


0

Se si utilizza il file di ibernazione EFS NON è crittografato e si presume che contenga materiale di codifica sensibile necessario per decrittografare i file EFS su disco.

Se si utilizza la crittografia completa del disco, il file di ibernazione viene crittografato con tutto il resto e questo rischio viene mitigato.

Esistono numerosi vettori di attacco per bitlocker / TPM, inclusi numerosi snooping del bus e attacchi in stile tempesta. TPM non è stato progettato per proteggere le tue informazioni da un determinato TLA ma è ancora abbastanza efficace nel caso di utilizzo generale del mondo reale.

EFS può essere aggirato decifrando la password di un utente a meno che non siano abilitate opzioni di syskey significative per mitigare questo rischio. EFS è meglio di niente, ma a meno che non si utilizzi syskey e una password resistente alla tabella Ub3r ra1nb0w, non si presenta in realtà una barriera significativa al compromesso dei dati EFS.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.