Łamanie haseł Konta Windows

35

W pracy mamy laptopy z szyfrowanymi dyskami twardymi. Większość programistów tutaj (czasami też jestem tego winna) pozostawia swoje laptopy w trybie hibernacji, gdy zabierają je do domu w nocy. Oczywiście system Windows (tzn. W tle działa program, który robi to dla systemu Windows) musi mieć metodę odblokowania danych na dysku, inaczej nie będzie mógł uzyskać do niego dostępu. To powiedziawszy, zawsze myślałem, że pozostawienie maszyny Windows w trybie hibernacji w niezabezpieczonym miejscu (nie w pracy na zamku) jest zagrożeniem bezpieczeństwa, ponieważ ktoś może wziąć maszynę, pozostawić ją uruchomioną, zhakować konta systemu Windows i użyj go do szyfrowania danych i kradzieży informacji. Kiedy pomyślałem o tym, jak przejść do włamania się do systemu Windows bez ponownego uruchamiania go, nie mogłem dowiedzieć się, czy to możliwe.

Wiem, że można napisać program do łamania haseł systemu Windows, gdy tylko uzyskasz dostęp do odpowiednich plików. Ale czy można wykonać program z zablokowanego systemu Windows, który by to zrobił? Nie wiem, jak to zrobić, ale nie jestem ekspertem od systemu Windows. Jeśli tak, to czy można temu zapobiec? Nie chcę ujawniać luk w zabezpieczeniach dotyczących tego, jak to zrobić, więc prosiłbym, aby ktoś nie opublikował niezbędnych kroków w szczegółach, ale jeśli ktoś mógłby powiedzieć coś takiego: „Tak, możliwe, że dysk USB umożliwia dowolne wykonanie, " byłoby świetnie!

EDYCJA: Idea szyfrowania polega na tym, że nie można zrestartować systemu, ponieważ gdy to zrobisz, szyfrowanie dysku w systemie wymaga zalogowania przed uruchomieniem systemu Windows. Gdy komputer jest w stanie hibernacji, właściciel systemu ominął już szyfrowanie atakującego, pozostawiając system Windows jako jedyną linię obrony chroniącą dane.

kemiller2002
źródło
Nie mogę teraz uzyskać do niego dostępu, ale przeczytałem o pracy mu-b nad zerwaniem pełnego szyfrowania dysku: www.digit-labs.org/files/presentations/sec-t-2010.pdf
Rory Alsop

Odpowiedzi:

13

Pozostawienie maszyny w stanie hibernacji na pewno nie jest bezpieczne, znaleziono lukę w zabezpieczeniach, w której pamięć RAM nadal zawiera klucz do programu blokującego (i innych) w hibernującej pamięci. Istnieje już dowód ataku koncepcyjnego na tę lukę.

Metodą ataku jest szybkie ponowne uruchomienie komputera i odczytanie zawartości pamięci RAM (która nie jest tracona po odcięciu zasilania), a następnie program może przeszukać zrzut w poszukiwaniu klucza.

http://www.eweek.com/c/a/Security/Researchers-Crack-BitLocker-FileVault/

Microsoft mógł już to naprawić.

ps normalna zmiana hasła nie wpływa jednak na szyfrowanie, ponieważ zaszyfrowana treść nie jest dostępna bez prawidłowego hasła, więc proste zmiany hasła dysków rozruchowych nie stanowią zagrożenia bezpieczeństwa.


źródło
1
+1 Myślę, że jest to tak zwany atak zimnego rozruchu .
Jonas Heidelberg,
4

Jak wspomniano w workmad3 , najlepszym sposobem na atak na komputer, który jest zablokowany bez ponownego uruchamiania, jest sprawdzenie, jak podatny jest na połączenie sieciowe.

Będzie to zależeć od zasad bezpieczeństwa obowiązujących w twojej sieci. Na przykład, czy wszystkie konta domeny mają dostęp administracyjny do tych komputerów? Jeśli tak, sprawdź domyślny udział (\ pc-name \ c $). Jeśli z jakiegokolwiek powodu domyślny udział został włączony, masz dostęp do całej zawartości komputera przez sieć z własnym kontem. Nie jestem pewien, czy działa to z zaszyfrowanym dyskiem twardym, ale testowanie byłoby dość łatwe.

Po uzyskaniu dostępu do komputera zdalnego, można użyć narzędzi, takich jak Sysinternals PsExec narzędzie do realizacji programów zdalnie.

Oczywiście jest to tylko jeden wektor ataku i może nawet nie działać z zaszyfrowanymi dyskami twardymi, ale daje wyobrażenie o tym, co można zrobić.

EDYCJA: Jeśli laptopy mają aktywny port Firewire, możesz spojrzeć na tę lukę . Ponownie nie wiem, czy to pomogłoby w przypadku zaszyfrowanej maszyny, ponieważ jest ona oparta na bezpośrednim dostępie do pamięci (która powinna być zaszyfrowana).

Marc Reside
źródło
Istnieje exploit Firewire, który pozwala odblokować okno systemu Windows bez podawania prawidłowego hasła. Nie ma znaczenia, czy dysk twardy jest zaszyfrowany.
@Alexander Nie wiedziałem o tym. Dobrze wiedzieć.
Marc Reside
Spójrz na storm.net.nz/projects/16 na jedno z narzędzi.
To nie tylko Firewire, ale każdy port rozszerzeń z DMA. Obejmuje to PCMCIA, PCCard, ExpressCard itp. Jedyną różnicą w stosunku do wektora Firewire jest protokół dostępu do magistrali.
4

Oczywiście, jeśli ktoś ma fizyczny dostęp do komputera, wszystkie przechowywane poświadczenia można uznać za zagrożone.

Jeśli można na przykład uruchomić komputer z urządzenia USB lub napędu optycznego, można użyć narzędzi typu wskaż i kliknij, takich jak Ophcrack, aby odzyskać wszystkie hasła. Instrukcje tutaj: USB Ophcrack | Narzędzie do łamania haseł logowania do systemu Windows

Edycja: Tak, wiem, że teoretycznie nie można wrócić do „zaszyfrowanego dysku twardego”, jeśli komputer zostanie ponownie uruchomiony. To, czy roszczenie to dotyczy, zależy wyłącznie od oprogramowania używanego do uzyskania dostępu do zaszyfrowanych partycji. BitLocker wydaje się wykonywać przyzwoitą robotę, ale wiele wcześniejszych implementacji było w zasadzie żartem - a jeśli masz dostęp do maszyny, łatwo jest zrzucić bazę danych SAM na pamięć USB i wykonać crack w trybie offline.

Mihai Limbăşan
źródło
2

Cóż, moją pierwszą myślą byłoby obudzenie go ze stanu hibernacji, przejście do ekranu z hasłem, a następnie rozpoczęcie sprawdzania, na co narażone jest połączenie sieciowe. Jeśli rzeczywiste bezpieczeństwo sieci maszyn nie jest do zera, możesz uzyskać dostęp do wielu informacji w ten sposób.

workmad3
źródło
1

Zastanawiam się, co by się stało, gdybyś nagrał płytę CD-ROM z plikiem autoplay.ini odpowiednim do celów eksperymentu, a następnie spowodował, że maszyna wybudziła się z trybu hibernacji. Właściwie nie wiem, co by się stało, ale tego rodzaju metodologię zbadałbym, próbując zaatakować maszynę hibernującą - niech się obudzi i wprowadzi plik wykonywalny w jednym z portów. Czy ma port FireWire? Teoretycznie można go zhakować z tego interfejsu.

Heath Hunnicutt
źródło
0

Jakiego rodzaju szyfrowania używasz? BitLocker? Zaszyfrowany system plików? Nie wiedząc, nie mogę bezpośrednio odpowiedzieć na twoje pytanie.

W każdym razie twoje bezpieczeństwo będzie tak dobre, jak najsłabsze łącze. Musisz upewnić się, że wszystkie najnowsze łatki bezpieczeństwa zostaną zainstalowane natychmiast. W przeciwnym razie narzędzia takie jak MetaSploit mogą być używane do testowania znanych luk w zabezpieczeniach i uzyskiwania dostępu użytkownika lub administratora.

spoulson
źródło
To zaszyfrowany system plików
kemiller2002
EFS zapewni jedynie wymóg, aby tylko użytkownik będący właścicielem lub ewentualnie lokalny administrator miał dostęp do plików. Jeśli komputer zostanie zagrożony, obejście go byłoby trywialne. Zobacz: en.wikipedia.org/wiki/Encrypting_File_System
spoulson
przepraszam mój zły, pomieszałem terminologię. Pliki są szyfrowane na dysku.
kemiller2002
0

Vista i XP-sp3 są znacznie mniej podatne na awarie niż wcześniejsze systemy operacyjne, w których przechowywane jest po prostu zaszyfrowane hasło dla kompatybilności LANMAN. Nadal możesz łamać proste hasła przy użyciu bardzo dużych tęczowych tabel, ale poza tym jest całkiem bezpieczne od narzędzi takich jak ophcrack.

Martin Beckett
źródło
0

W moim systemie szyfrowania dysku twardego (PGP) muszę wprowadzić hasło szyfrowania podczas powrotu ze stanu hibernacji.

Od zawieszenia nie jest dozwolone.

GvS
źródło
0

Jeśli używasz pliku hibernacji EFS, NIE jest on zaszyfrowany i należy założyć, że zawiera on wrażliwy materiał kluczowy potrzebny do odszyfrowania plików EFS na dysku.

Jeśli używasz pełnego szyfrowania dysku, plik hibernacji jest szyfrowany za pomocą wszystkiego innego i ryzyko to jest zmniejszone.

Istnieje wiele wektorów ataku dla Bitlocker / TPM, w tym szereg szpiegowania magistrali i ataków typu burza. TPM nie został zaprojektowany w celu ochrony twoich informacji przed określoną TLA, ale nadal jest dość skuteczny w przypadku powszechnego użytku w świecie rzeczywistym.

EFS można obejść, łamiąc hasło użytkownika, chyba że włączono znaczące opcje syskey w celu ograniczenia tego ryzyka. EFS jest lepszy niż nic, ale jeśli nie używasz syskey i hasła odpornego na tabelę Ub3r ra1nb0w, to tak naprawdę nie stanowi to istotnej bariery dla naruszenia bezpieczeństwa danych EFS.


źródło