Kennwort, das Windows-Konten knackt

35

Bei der Arbeit haben wir Laptops mit verschlüsselten Festplatten. Die meisten Entwickler hier (gelegentlich habe ich mich auch schuldig gemacht) lassen ihre Laptops im Ruhezustand, wenn sie sie nachts nach Hause bringen. Offensichtlich muss Windows (dh es wird ein Programm im Hintergrund ausgeführt, das dies für Windows ausführt) über eine Methode zum Entschlüsseln der Daten auf dem Laufwerk verfügen, sonst kann es nicht darauf zugreifen. Abgesehen davon dachte ich immer, dass es eine Sicherheitsbedrohung ist, einen Windows-Computer im Ruhezustand an einem nicht sicheren Ort (nicht bei der Arbeit an einem Schloss) zu lassen, da jemand den Computer nehmen, laufen lassen und die Windows-Konten hacken könnte und verwenden Sie es, um die Daten zu verschlüsseln und die Informationen zu stehlen. Als ich darüber nachdachte, wie ich in das Windows-System eindringen würde, ohne es neu zu starten, konnte ich nicht herausfinden, ob es möglich war.

Ich weiß, dass es möglich ist, ein Programm zum Knacken von Windows-Passwörtern zu schreiben, sobald Sie Zugriff auf die entsprechenden Dateien haben. Aber ist es möglich, ein Programm von einem gesperrten Windows-System auszuführen, das dies tun würde? Ich kenne keine Möglichkeit, aber ich bin kein Windows-Experte. Wenn ja, gibt es eine Möglichkeit, dies zu verhindern? Ich möchte keine Sicherheitslücken in Bezug auf die Vorgehensweise aufdecken, daher würde ich jemanden bitten, die erforderlichen Schritte nicht im Detail zu veröffentlichen. Wenn jemand jedoch etwas wie "Ja, es ist möglich, dass das USB-Laufwerk eine willkürliche Ausführung zulässt." "das wäre toll!

BEARBEITEN: Die Idee bei der Verschlüsselung ist, dass Sie das System nicht neu starten können, da die Festplattenverschlüsselung auf dem System eine Anmeldung erfordert, bevor Windows gestartet werden kann. Da sich der Computer im Ruhezustand befindet, hat der Systembesitzer die Verschlüsselung für den Angreifer bereits umgangen und Windows als einzige Verteidigungslinie zum Schutz der Daten gelassen.

kemiller2002
quelle
Ich kann gerade nicht darauf zugreifen, aber ich habe die Arbeiten von mu-b zur Aufhebung der Festplattenverschlüsselung gelesen: www.digit-labs.org/files/presentations/sec-t-2010.pdf
Rory Alsop

Antworten:

13

Es ist definitiv nicht sicher, den Computer im Ruhezustand zu belassen. Es wurde eine Sicherheitslücke gefunden, bei der der RAM noch den Schlüssel für den Bitlocker (und andere) im Ruhezustand enthält. Für diese Sicherheitsanfälligkeit gibt es bereits einen Proof-of-Concept-Angriff.

Die Angriffsmethode besteht darin, den PC schnell neu zu starten und den Inhalt des Arbeitsspeichers (der bei Stromausfall nicht verloren geht) zu lesen. Anschließend kann ein Programm den Dump nach dem Schlüssel durchsuchen.

http://www.eweek.com/c/a/Security/Researchers-Crack-BitLocker-FileVault/

Microsoft hat dies möglicherweise bereits behoben.

Die normale Kennwortänderung hat jedoch keinen Einfluss auf die Verschlüsselung, da der verschlüsselte Inhalt ohne das richtige Kennwort nicht zugänglich ist. Einfache Startdisketten zum Ändern des Kennworts sind daher kein Sicherheitsrisiko.


quelle
1
+1 Ich denke, dies wird als Kaltstart-Angriff bezeichnet .
Jonas Heidelberg
4

Wie von workmad3 erwähnt , ist der beste Weg, einen Computer anzugreifen, der gesperrt ist, ohne neu zu starten , zu sehen, wie anfällig er über eine Netzwerkverbindung ist.

Dies hängt von den Sicherheitsrichtlinien in Ihrem Netzwerk ab. Haben beispielsweise alle Domänenkonten Administratorzugriff auf diese PCs? Wenn ja, überprüfen Sie die Standardfreigabe (\ pc-name \ c $). Wenn die Standardfreigabe aus irgendeinem Grund aktiviert wurde, können Sie mit Ihrem eigenen Konto über das Netzwerk auf den gesamten Inhalt des PCs zugreifen. Ich bin nicht sicher, ob dies mit einer verschlüsselten Festplatte funktioniert, aber es wäre ziemlich einfach zu testen.

Sobald Sie remote auf den PC zugreifen können, können Sie Tools wie das Sysinternals PsExec- Tool verwenden, um Programme remote auszuführen.

Natürlich ist dies nur ein Angriffsvektor, und es funktioniert möglicherweise nicht einmal mit verschlüsselten Festplatten, aber es gibt Ihnen eine Vorstellung davon, was getan werden könnte.

BEARBEITEN: Wenn die Laptops über einen aktiven Firewire-Anschluss verfügen, können Sie sich diese Sicherheitsanfälligkeit ansehen . Wiederum weiß ich nicht, ob dies bei einem verschlüsselten Computer helfen würde, da es auf einem direkten Speicherzugriff basiert (der verschlüsselt werden sollte).

Marc wohnen
quelle
Es gibt einen Firewire-Exploit, mit dem Sie eine Windows-Box entsperren können, ohne ein gültiges Passwort einzugeben. Es spielt keine Rolle, ob die Festplatte verschlüsselt ist.
@Alexander Das war mir nicht bewusst. Gut zu wissen.
Marc Reside
Schauen Sie sich storm.net.nz/projects/16 für eines der Tools an.
Es ist nicht nur Firewire, sondern jeder Erweiterungsport mit DMA. Dies umfasst PCMCIA, PCCard, ExpressCard usw. Der einzige Unterschied zum Firewire-Vektor ist das Protokoll für den Buszugriff.
4

Wenn jemand physischen Zugriff auf den Computer hat, können alle gespeicherten Anmeldeinformationen als gefährdet angesehen werden.

Wenn Sie beispielsweise von einem USB-Gerät oder einem optischen Laufwerk booten können, können Sie mit Point-and-Click-Tools wie Ophcrack alle Kennwörter wiederherstellen. Anleitung hier: USB Ophcrack | Windows Login Passwort-Cracker

Bearbeiten: Ja, mir ist bewusst, dass Sie theoretisch nicht auf eine "verschlüsselte Festplatte" zurückkehren können, wenn der Computer neu gestartet wird. Ob diese Behauptung gilt oder nicht, hängt vollständig von der Software ab, die für den Zugriff auf die verschlüsselten Partitionen verwendet wird. BitLocker scheint einen anständigen Job zu machen, aber viele frühere Implementierungen waren im Grunde genommen ein Witz - und wenn Sie auf den Computer zugreifen können, ist es trivial einfach, die SAM-Datenbank auf den USB-Stick zu sichern und das Cracken offline durchzuführen.

Mihai Limbăşan
quelle
2

Nun, mein erster Gedanke wäre, es aus dem Ruhezustand zu aktivieren, zum Kennwortbildschirm zu gelangen und dann zu sehen, was über die Netzwerkverbindung anfällig ist. Wenn die tatsächliche Netzwerksicherheit des Computers nicht auf dem neuesten Stand ist, können Sie auf diese Weise auf viele Informationen zugreifen.

workmad3
quelle
1

Ich frage mich, was passieren würde, wenn Sie eine CD-ROM mit einer autoplay.ini brennen , die für die Zwecke Ihres Experiments geeignet ist, und die Maschine dann aus dem Ruhezustand aufwachen lassen. Eigentlich weiß ich nicht, was passieren würde, aber diese Art von Methodik würde ich untersuchen, wenn ich versuche, einen Computer im Ruhezustand anzugreifen. Lassen Sie ihn aufwachen und eine ausführbare Datei in einen seiner Ports einführen. Hat es einen Firewire-Anschluss? Theoretisch ist es dann von dieser Schnittstelle aus hackbar.

Heath Hunnicutt
quelle
0

Welche Art von Verschlüsselung verwenden Sie? BitLocker? Verschlüsseltes Dateisystem? Ohne es zu wissen, kann ich Ihre Frage nicht direkt beantworten.

In jedem Fall wäre Ihre Sicherheit so gut wie das schwächste Glied. Sie müssen sicherstellen, dass alle aktuellen Sicherheitspatches umgehend installiert werden. Ansonsten können Tools wie MetaSploit verwendet werden, um bekannte Sicherheitslücken zu testen und Benutzer- oder Administratorzugriff zu erhalten.

Spoulson
quelle
Es ist ein verschlüsseltes Dateisystem
kemiller2002
EFS setzt lediglich voraus, dass nur der Eigentümer oder möglicherweise der lokale Administrator auf die Dateien zugreifen kann. Wenn der PC kompromittiert wird, ist dies trivial zu umgehen. Siehe: en.wikipedia.org/wiki/Encrypting_File_System
Spoulson
Tut mir leid, ich habe die Terminologie durcheinander gebracht. Die Dateien werden auf der Festplatte verschlüsselt.
kemiller2002
0

Vista und XP-sp3 sind weitaus weniger gefährlich als frühere Betriebssysteme, die ein einfach verschlüsseltes Kennwort für die LANMAN-Kompatibilität gespeichert haben. Sie können immer noch einfache Passwörter knacken, indem Sie einige sehr große Regenbogentabellen verwenden, aber es ist ansonsten ziemlich sicher vor Tools wie ophcrack.

Martin Beckett
quelle
0

Auf meinem Festplattenverschlüsselungssystem (PGP) muss ich das Verschlüsselungskennwort eingeben, wenn ich aus dem Ruhezustand zurückkomme.

Aus einem Suspend ist es nicht erlaubt.

GvS
quelle
0

Wenn Sie den EFS-Ruhezustand verwenden, ist die Datei NICHT verschlüsselt und sollte vertrauliches Schlüsselmaterial enthalten, das zum Entschlüsseln von EFS-Dateien auf der Festplatte erforderlich ist.

Wenn Sie die Festplattenverschlüsselung verwenden, wird die Ruhezustandsdatei mit allen anderen Daten verschlüsselt, und dieses Risiko wird gemindert.

Es gibt eine Reihe von Angriffsvektoren für Bitlocker / TPM, einschließlich einer Reihe von Bus-Snooping- und Sturmangriffen. TPM wurde nicht entwickelt, um Ihre Informationen vor einer bestimmten TLA zu schützen, ist jedoch im allgemeinen Anwendungsfall der realen Welt noch immer recht effektiv.

EFS kann durch das Knacken eines Benutzerkennworts umgangen werden, sofern keine sinnvollen Syskey-Optionen aktiviert sind, um dieses Risiko zu minimieren. EFS ist besser als nichts, aber es sei denn, Sie verwenden syskey und ein tabellenresistentes Ub3r ra1nb0w-Passwort, so dass Sie in erster Linie keine nennenswerte Barriere für die Beeinträchtigung Ihrer EFS-Daten darstellen.


quelle