Kennwort, das Windows-Konten knackt

2098
kemiller2002

Bei der Arbeit haben wir Laptops mit verschlüsselten Festplatten. Die meisten Entwickler hier (gelegentlich habe ich mich auch schuldig gemacht) verlassen ihre Laptops im Ruhezustand, wenn sie sie nachts mit nach Hause nehmen. Offensichtlich muss Windows (dh es läuft ein Programm, das für Windows ausgeführt wird) eine Methode haben, um die Daten auf dem Laufwerk zu entschlüsseln, oder es kann nicht darauf zugegriffen werden. Trotzdem dachte ich immer, dass es eine Sicherheitsbedrohung ist, eine Windows-Maschine im Ruhezustand an einem nicht sicheren Ort zu lassen (nicht bei einer Sperre), da jemand die Maschine übernehmen, laufen lassen und die Windows-Konten hacken kann und verwenden Sie es, um die Daten zu verschlüsseln und die Informationen zu stehlen. Als ich darüber nachdachte, wie ich in das Windows-System einsteigen könnte, ohne es neu zu starten, konnte ich nicht herausfinden, ob es möglich war.

Ich weiß, dass es möglich ist, ein Programm zu schreiben, um Windows-Passwörter zu knacken, sobald Sie Zugriff auf die entsprechenden Dateien haben. Aber ist es möglich, ein Programm von einem gesperrten Windows-System auszuführen, das dies tun würde? Ich kenne keinen Weg, es zu tun, aber ich bin kein Windows-Experte. Wenn ja, gibt es eine Möglichkeit, dies zu verhindern? Ich möchte keine Sicherheitslücken in Bezug auf die Vorgehensweise aufdecken. Daher würde ich bitten, dass jemand die erforderlichen Schritte nicht im Detail veröffentlicht, aber wenn jemand etwas wie "Ja" sagen könnte, "Ja, es ist möglich, dass das USB-Laufwerk eine willkürliche Ausführung erlaubt." "das wäre toll!

BEARBEITEN: Die Idee der Verschlüsselung besteht darin, dass Sie das System nicht neu starten können. Wenn Sie dies getan haben, erfordert die Festplattenverschlüsselung auf dem System eine Anmeldung, bevor Sie Windows starten können. Da sich der Computer im Ruhezustand befindet, hat der Systembesitzer die Verschlüsselung für den Angreifer bereits umgangen, wobei Windows die einzige Verteidigungslinie zum Schutz der Daten ist.

34
Ich kann jetzt noch nicht darauf zugreifen, aber ich habe eine Lektüre der Arbeit von mu-b beim Durchbrechen der vollständigen Festplattenverschlüsselung: www.digit-labs.org/files/presentations/sec-t-2010.pdf Rory Alsop vor 13 Jahren 0

9 Antworten auf die Frage

13

Das Beenden des Computers im Ruhezustand ist definitiv nicht sicher. Es wurde eine Sicherheitslücke gefunden, bei der der RAM noch den Schlüssel für den Bitlocker (und andere) im Ruhezustand des Speichers enthält. Es gibt bereits einen Proof-of-Concept-Angriff für diese Sicherheitsanfälligkeit.

Die Angriffsmethode besteht darin, den PC schnell neu zu starten und den Inhalt des RAM zu lesen (der bei einem Stromausfall nicht verloren geht). Anschließend kann ein Programm den Speicherauszug nach dem Schlüssel durchsuchen.

http://www.eweek.com/c/a/Security/Researchers-Crack-BitLocker-FileVault/

Microsoft hat dies jedoch möglicherweise bereits behoben.

Das normale Ändern von Kennwörtern wirkt sich jedoch nicht auf die Verschlüsselung aus, da der verschlüsselte Inhalt ohne das richtige Kennwort nicht zugänglich ist. Daher ist das Wechseln von Startdisketten mit einfachen Kennwörtern kein Sicherheitsrisiko.

+1 Ich denke, das ist ein sogenannter [Kaltstart-Angriff] (http://en.wikipedia.org/wiki/Cold_boot_attack). Jonas Heidelberg vor 13 Jahren 1
4
Marc Reside

Wie von workmad3 bereits erwähnt, besteht die beste Möglichkeit, einen gesperrten Computer ohne Neustart anzugreifen, darin, zu sehen, wie anfällig eine Netzwerkverbindung ist.

Dies hängt von den Sicherheitsrichtlinien in Ihrem Netzwerk ab. Haben beispielsweise alle Domänenkonten Administratorzugriff auf diese PCs? Wenn ja, überprüfen Sie die Standardfreigabe (\ pc-name \ c $). Wenn die Standardfreigabe aus irgendeinem Grund aktiviert wurde, haben Sie über Ihr Netzwerk Zugriff auf den gesamten Inhalt des PCs mit Ihrem eigenen Konto. Ich bin mir nicht sicher, ob dies mit einer verschlüsselten Festplatte funktioniert, aber es wäre ziemlich einfach zu testen.

Sobald Sie aus der Ferne auf den PC zugreifen können, können Sie Tools wie das Sysinternals PsExec- Tool verwenden, um Programme remote auszuführen.

Natürlich handelt es sich dabei nur um einen Angriffsmechanismus, der möglicherweise nicht einmal mit verschlüsselten Festplatten funktioniert, aber er gibt Ihnen eine Vorstellung davon, was getan werden könnte.

BEARBEITEN: Wenn die Laptops über einen aktiven Firewire-Port verfügen, können Sie diese Sicherheitsanfälligkeit überprüfen . Ich weiß auch nicht, ob dies bei einer verschlüsselten Maschine helfen würde, da sie auf direktem Speicherzugriff (der verschlüsselt werden sollte) basiert.

Es gibt einen Firewire-Exploit, mit dem Sie eine Windows-Box ohne Eingabe eines gültigen Kennworts entsperren können. Es spielt keine Rolle, ob die Festplatte verschlüsselt ist. vor 16 Jahren 0
@Alexander Das wusste ich nicht. Gut zu wissen. Marc Reside vor 16 Jahren 0
Schauen Sie sich http://storm.net.nz/projects/16 für eines der Tools an. vor 16 Jahren 0
Es ist nicht nur Firewire, sondern jeder Erweiterungsport mit DMA. Dazu gehören PCMCIA, PCCard, ExpressCard usw. Der einzige Unterschied zum Firewire-Vektor ist das Protokoll für den Zugriff auf den Bus. vor 14 Jahren 0
4
Mihai Limbăşan

Wenn jemand physischen Zugriff auf den Computer hat, können alle gespeicherten Anmeldeinformationen als gefährdet angesehen werden.

Wenn Sie zum Beispiel von einem USB-Gerät oder einem optischen Laufwerk booten können, können Sie Point & Click-Tools wie Ophcrack verwenden, um alle Kennwörter wiederherzustellen. Anleitung hier: USB Ophcrack | Kennwort für die Windows-Anmeldung

Edit: Ja, mir ist bewusst, dass Sie theoretisch nicht wieder auf eine "verschlüsselte Festplatte" gelangen können, wenn die Maschine neu gestartet wird. Ob dieser Anspruch zutrifft oder nicht, hängt vollständig von der Software ab, die für den Zugriff auf die verschlüsselten Partitionen verwendet wird. BitLocker scheint eine anständige Arbeit zu leisten, aber viele frühere Implementierungen waren im Grunde ein Witz - und wenn Sie auf die Maschine zugreifen können, ist es ganz einfach, die SAM-Datenbank auf den USB-Stick zu laden und das Cracken offline durchzuführen.

2
workmad3

Nun, mein erster Gedanke wäre, ihn aus dem Ruhezustand aufzuwecken, zum Passwort-Bildschirm zu gelangen und dann zu sehen, was durch die Netzwerkverbindung anfällig ist. Wenn die Netzwerksicherheit der Computer nicht ausreicht, können Sie auf diese Weise auf viele Informationen zugreifen.

1
Heath Hunnicutt

Ich frage mich, was passieren würde, wenn Sie eine CD-ROM mit einer für die Zwecke Ihres Experiments geeigneten autoplay.ini brennen und dann den Computer aus dem Ruhezustand aufwecken würden. Ich weiß eigentlich nicht, was passieren würde, aber diese Art von Methodik würde ich untersuchen, wenn ich versuche, eine Maschine im Ruhezustand anzugreifen. Lassen Sie sie aufwachen und eine ausführbare Datei in einen ihrer Ports einführen. Hat es einen Firewire-Port? Theoretisch ist es dann von dieser Schnittstelle aus zu hacken.

0
spoulson

Welche Art von Verschlüsselung verwenden Sie? BitLocker? Verschlüsseltes Dateisystem? Ohne zu wissen, kann ich Ihre Frage nicht direkt beantworten.

In jedem Fall wäre Ihre Sicherheit so gut wie das schwächste Glied. Sie müssen sicherstellen, dass alle aktuellen Sicherheitspatches umgehend installiert werden. Ansonsten können Tools wie MetaSploit verwendet werden, um bekannte Sicherheitslücken zu testen und Benutzer- oder Administratorzugriff zu erhalten.

Es ist ein verschlüsseltes Dateisystem kemiller2002 vor 16 Jahren 0
EFS stellt nur die Anforderung, dass nur der Eigentümer oder möglicherweise der lokale Administrator auf die Dateien zugreifen kann. Wenn der PC kompromittiert wird, wäre dies nicht zu umgehen. Siehe: http://en.wikipedia.org/wiki/Encrypting_File_System spoulson vor 16 Jahren 0
Entschuldigung, mein Schlechter, ich habe die Terminologie durcheinander gebracht. Die Dateien werden auf der Festplatte verschlüsselt. kemiller2002 vor 16 Jahren 0
0
Martin Beckett

Vista und XP-sp3 sind viel weniger kompatibel als frühere Betriebssysteme, in denen ein einfach verschlüsseltes Kennwort für die LANMAN-Kompatibilität gespeichert ist. Mit einigen sehr großen Regenbogentabellen können Sie immer noch einfache Passwörter knacken, ansonsten ist es jedoch vor Tools wie ophcrack ziemlich sicher.

0
GvS

Bei meinem Festplattenverschlüsselungssystem (PGP) muss ich bei der Rückkehr aus dem Ruhezustand das Verschlüsselungskennwort eingeben.

Aus einem Suspend ist es nicht erlaubt.

0

Wenn Ihre EFS-Ruhezustandsdatei NICHT verschlüsselt ist, sollte davon ausgegangen werden, dass sie vertrauliches Schlüsselmaterial enthält, das zum Entschlüsseln von EFS-Dateien auf der Festplatte erforderlich ist.

Wenn Sie die vollständige Festplattenverschlüsselung verwenden, wird die Hibernate-Datei mit allem anderen verschlüsselt, und dieses Risiko wird verringert.

Es gibt eine Reihe von Angriffsvektoren für Bitlocker / TPM, einschließlich einer Anzahl von Bus-Snooping- und Tempest-Angriffen. TPM wurde nicht dafür entwickelt, Ihre Informationen vor einer bestimmten TLA zu schützen, ist jedoch im allgemeinen Anwendungsfall der realen Welt immer noch sehr effektiv.

EFS kann durch Knacken eines Benutzerkennworts umgangen werden, sofern nicht sinnvolle syskey-Optionen aktiviert sind, um dieses Risiko zu verringern. EFS ist besser als nichts, es sei denn, Sie verwenden syskey und ein tabellenfestes Kennwort für Ub3r ra1nb0w, und Sie sind nicht wirklich ein wesentliches Hindernis für die Beeinträchtigung Ihrer EFS-Daten.