Parola Kırma Windows Hesapları


35

İş yerinde şifreli harddri ile dizüstü bilgisayarlar var. Buradaki geliştiricilerin çoğu (bazen ben de suçlu oluyorum), dizüstü bilgisayarlarını hazırda bekleme modunda bırakıp gece eve götürüyorlar. Açıkçası, Windows (yani, Windows için arka planda çalışan bir program var) sürücüdeki verilerin şifresini çözmek için bir metoda sahip olmalı, yoksa ona erişemez. Her zaman, bir windows makinesini hazırda bekleme modundayken güvenli olmayan bir yerde (iş başında değil) açıkta bırakmanın bir güvenlik tehdidi olduğunu düşündüm, çünkü biri makineyi alıp çalıştırabilir, pencereleri kesebilirdi ve verileri şifrelemek ve bilgileri çalmak için kullanın. Yeniden başlatmadan Windows sistemine nasıl gireceğimi düşünmeye başladığımda, bunun mümkün olup olmadığını anlayamadım.

Uygun dosyalara eriştikten sonra, Windows parolalarını kırmak için bir program yazmanın mümkün olduğunu biliyorum. Ancak bunu yapacak kilitli bir Windows sisteminden bir program yürütmek mümkün mü? Bunu yapmanın bir yolunu bilmiyorum ama ben bir Windows uzmanı değilim. Eğer öyleyse, bunu önlemenin bir yolu var mı? Bunun nasıl yapılacağı ile ilgili güvenlik açıklarını açığa çıkarmak istemiyorum, bu yüzden birisinin gerekli adımları ayrıntılı bir şekilde kaydetmemesini rica ediyorum, ancak eğer birisi "Evet, USB sürücünün keyfi yürütmeye izin vermesi mümkün " bu harika olurdu!

EDIT: Şifrelemeyle ilgili fikir, sistemi yeniden başlatamayacağınızdır, çünkü bir kez yaptığınızda, sistemdeki disk şifrelemesi, pencereleri açmadan önce bir oturum açma gerektirir. Makine hazırda bekletme modundayken, sistem sahibi zaten saldırganın şifrelemesini atlattı ve verileri korumak için pencereleri tek savunma hattı olarak bıraktı.


Şu anda erişemiyorum, ancak mu-b'nin tam disk şifrelemesini kırma konusundaki çalışmalarını okudum: www.digit-labs.org/files/presentations/sec-t-2010.pdf
Rory Alsop

Yanıtlar:


13

Makineyi hazırda bekletme modunda bırakmak kesinlikle güvenli değildir, RAM'in hazırda bekletme belleğindeki bitlocker'ın (ve diğerlerinin) anahtarını hala elinde bulundurduğu bir güvenlik açığı bulunmuştur. Bu güvenlik açığı için ortaya çıkmış bir konsept saldırı kanıtı zaten var.

Saldırı yöntemi, bilgisayarı hızlı bir şekilde yeniden başlatmak ve RAM'in içeriğini okumaktır (güç kesildiğinde kaybolmaz), daha sonra bir program, anahtar için dökümü arayabilir.

http://www.eweek.com/c/a/Security/Researchers-Crack-BitLocker-FileVault/

Microsoft bu sorunu çözmüş olabilir.

ps normal şifre değiştirme şifrelemeyi etkilemez, çünkü şifreli içerik doğru şifre olmadan erişilemez, bu nedenle basit şifre değiştirme açılış diskleri güvenlik riski oluşturmaz.


1
+1 Sanırım buna soğuk önyükleme saldırısı denir .
Jonas Heidelberg

4

Workmad3 tarafından belirtildiği gibi, yeniden başlatmadan kilitlenmiş bir makineye saldırmanın en iyi yolu, bunun bir ağ bağlantısından ne kadar savunmasız olduğunu görmektir.

Bu, ağınızdaki yürürlükteki güvenlik politikalarına bağlı olacaktır. Örneğin, tüm etki alanı hesaplarının bu bilgisayarlara idari erişimi var mı? Öyleyse, varsayılan paylaşımı kontrol edin (\ pc-name \ c $). Varsayılan paylaşım herhangi bir nedenle açılmışsa, PC'nin tüm içeriğine ağ üzerinden kendi hesabınızla erişebilirsiniz. Bunun şifreli bir sabit diskle çalışıp çalışmadığından emin değilim, ancak test edilmesi oldukça kolay olacaktır.

PC'ye uzaktan eriştikten sonra, programları uzaktan çalıştırmak için Sysinternals PsExec aracı gibi araçları kullanabilirsiniz .

Tabii ki, bu sadece bir saldırı vektörü ve şifreli sabit disklerle bile çalışmayabilir, ama size neler yapılabileceği hakkında bir fikir veriyor.

EDIT: Dizüstü bilgisayarların etkin bir Firewire Portu varsa, bu güvenlik açığına bakabilirsiniz . Yine, bunun şifreli bir makineye yardımcı olup olmayacağını bilmiyorum, çünkü doğrudan bellek erişimine dayanıyor (şifrelenmesi gerekiyor).


Geçerli bir parola girmeden bir Windows kutusunun kilidini açmanıza izin veren bir Firewire kullanımıdır. Sabit diskin şifreli olup olmadığı önemli değil.

@Alexander Bunun farkında değildim. Bilmek güzel.
Marc Reside

Göz at storm.net.nz/projects/16 araçlarından biri için.

Sadece Firewire değil, DMA ile herhangi bir genişletme portu. Bu PCMCIA, PCCard, ExpressCard, vb. İçerir. Firewire vektöründen tek fark veriyoluna erişim protokolüdür.

4

Açıkçası, eğer biri makineye fiziksel olarak erişebiliyorsa, depolanan tüm kimlik bilgilerinin tehlikeye girdiği kabul edilebilir.

Örneğin, bir USB aygıtından veya optik sürücüden önyükleme yapabiliyorsanız, tüm şifreleri kurtarmak için işaretlemek ve Ophcrack gibi araçlar kullanabilirsiniz. Talimatlar burada: USB Ophcrack | Windows Giriş şifresi kırıcı

Düzenleme: Evet, makine yeniden başlatıldığında teorik olarak "şifrelenmiş bir sabit sürücüye" geri dönemeyeceğinizi biliyorum. Bu iddianın geçerli olup olmadığı tamamen şifreli bölümlere erişmek için kullanılan yazılıma bağlıdır. BitLocker iyi bir iş yapıyor gibi görünüyor, ancak daha önceki birçok uygulama temelde bir şakaydı - ve makineye erişebiliyorsanız, SAM veritabanını USB çubuğuna dökmek ve çevrimdışı kırma işlemini gerçekleştirmek oldukça kolaydır.


2

Benim ilk düşüncem kış uykusundan uyandırmak, şifre ekranına ulaşmak ve daha sonra ağ bağlantısı yoluyla savunmasız olanları görmeye başlamak olacaktır. Gerçek makinelerin ağ güvenliği çizilmezse, bu şekilde birçok bilgiye erişebilirsiniz.


1

Bir CD-ROM'u denemenizin amaçlarına uygun bir autoplay.ini ile yazdıysanız, neyin geçeceğini merak ediyorum , sonra makinenin hazırda bekletme modundan uyanmasına neden oldu. Gerçekten ne olacağını bilmiyorum, ama bu tür bir metodoloji, hazırda bekletme yapan bir makineye saldırmaya çalışırken keşfedilecekleri şeydi - uyandırmak ve çalıştırılabilir bir portuna tanıtmak. Bir firewire limanı var mı? Teoride o zaman bu arayüzden kesilebilir.


0

Ne tür şifreleme kullanıyorsunuz? BitLocker? Şifreli dosya sistemi? Bilmeden soruna doğrudan cevap veremem.

Her durumda, güvenliğiniz en zayıf halka kadar iyi olacaktır. En son güvenlik düzeltme eklerinin derhal yüklendiğinden emin olmanız gerekir. Aksi takdirde, bilinen güvenlik açıklarını test etmek ve kullanıcı veya yönetici erişimi kazanmak için MetaSploit gibi araçlar kullanılabilir.


Bu şifreli bir dosya sistemi
kemiller2002 13

EFS, yalnızca sahip olan kullanıcının veya muhtemelen yerel yöneticinin dosyalara erişebilmesi için bir gereksinim sağlayacaktır. Eğer PC tehlikeye girerse, bu durumun üstesinden gelmek çok önemlidir. Bakınız: en.wikipedia.org/wiki/Encrypting_File_System
spoulson

üzgünüm kötüyüm, terminolojiyi karıştırdım. Dosyalar diskte şifrelenir.
kemiller2002

0

Vista ve XP-sp3, LANMAN uyumluluğu için basit bir şekilde şifrelenmiş bir parola depolayan önceki işletim sistemlerinden çok daha az güvenilirdir. Bazı çok büyük gökkuşağı tablolarını kullanarak hala kolay şifreleri kırabilirsin, ancak ophcrack gibi araçlardan oldukça güvenlidir.


0

Sabit disk şifreleme sistemimde (PGP) hazırda bekletme modundan dönerken şifreleme şifresini girmem gerekiyor.

Bir Askıya Al, izin verilmiyor.


0

Kullanıyorsanız, EFS hazırda bekleme dosyası şifreli DEĞİLDİR ve diskteki EFS dosyalarının şifresini çözmek için gereken hassas anahtarlama malzemesini içerdiği varsayılmalıdır.

Tam disk şifrelemesi kullanıyorsanız, hazırda bekletilen dosya başka her şeyle şifrelenir ve bu risk hafifletilir.

Çok sayıda veri yolu taraması ve en ateşli stil saldırıları dahil olmak üzere bitlocker / TPM için çok sayıda saldırı vektörü vardır. TPM, bilgilerinizi belirlenmiş bir TLA'dan korumak için tasarlanmamıştır, ancak gerçek dünya genel kullanım durumunda oldukça etkilidir.

EFS, bu riski azaltmak için anlamlı syskey seçenekleri etkinleştirilmedikçe, bir kullanıcı şifresinin kırılmasıyla çözülebilir. EFS, hiçbir şeyden iyidir, ancak syskey ve Ub3r ra1nb0w tabloya dayanıklı bir şifre kullanmıyorsanız, EFS verilerinizden ödün vermeden önce önemli bir engel oluşturmuyorsunuz.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.