Švýcarský kryptograf prolomí heslo ve Windows za 14 sekund

http://www.oxid.it/cain.html

Situacia:

Vsetky PC rovnake security, sucastou w2k domeny. Useri nemozu zapisovat na disk, menit security.
Useri sa hlasia Domenovym kontom do PC
Ku vsetkym PC mam local admin pristup.
Ku serveru nemam sietovy pristup. Fyzicky pristup je logovany cez HID kartu a strazeny kamerou.
Vypnut server nemozem.

Ako teraz mam zistit DOMENOVE heslo ??????

Pokud muzes monitorovat provoz na siti, nemas problem a to muze kazdy, kdo ma pristup na router, switch nebo si muze k siti pripojit komp.

A akym softom ?

Nemyslím, že by sa sieťou posielali priamo LM hashe...

Je to zcela jiste off topic, ale zatim nemohu stale najit zadnou diskusi popr. ochotneho cloveka, ktery by poradil:<br><br>
Zprovoznujeme ucebnu (jsme skola) na W2k jako
workstationy, server je Novell. Pres ZENWorks se
zaci prihlasi a Novell jim zalozi na W2k ucet a
soupne je hned do skupiny "users". A ted ten
problem. Studenti jsou hloubavi, zvlaste kluci,
kteri se snazi vsemozne obejit bezp. politiku a
restrikce v nastaveni, W98 a W95 nam tu drbali
jak to slo, poledit z diskety tu byla bezna vec.<br><br>
Tak jsme pri prechodu na Windows 2000 presli na
radikalni NTFS, upravili prava na testovacim
uctu. Jenze nevime, jak to dat do nejake sablony,
aby se podle toho automaticky konfigurovali
rovnou nove ucty. Je tam i takova vychytavka, ze
v Documents and Settings\%userprofile% mame
odebrano pravo "plne rizeni" a zakaz spoustet
soubory (opatreni proti mailpriloham a ruznym
hram, co se vejdou na disketu a daji
zkopirovat...)<br><br>
Jak mam zmenit ty pravidla na zalozeni noveho
uzivatele tak, aby se braly ty moje pravidla na
vsechny domovske adresare clenu skupiny "Users"?<br><br>
Predem diky za
pomoc.

Proc proboha takovy debility jako "zabezpeceni" stanic ? Zabezpecte si server a udelejte si program pro obnoveni celeho obsahu HDD stanic pres sit, ktery spoustejte kazdy patek odpoledne (za ten tyden se tam jiste objevi dost her, viru a pochybneho sharewaru) a nebo kdykoli, kdyz se nekomu "povede" sestrelit instalaci Windows. To, co tam chces udelat, je akorat buzerace studentu, kteri budou nasrany, ze jim nic nejde spustit, budou se vam v tom stejne stourat a kdyz vam to shodi (vzdycky se nekdo cas od casu najde), budete mit pakarnu to dat doporadku. Vemte si priklad z nekterych univerzit - studenti si na stanicich muzou spoustet co chteji, treba si muzou smazat cely disk vcetne OS a spravce pak vse napravi jednim stisknutim tlacitka, kterym se implicitni instalace vseho potrebneho pro vyuku prehraje na disk, takze se nic nedeje, kdyz na stanici cokoli lehne.

Venujte se radeji zabezpeceni serveru a ne buzeraci studentu.

Bud si jisty, ze tim, ze dovolis studentum spoustet Pascal a Word zadne pocitacove odborniky nevyskolite a ze skoly budou odchazet dementni a tupi uzivatele "klikacu na ikonky". Vsichni (myslim tim UPLNE VSICHNI) znami, co jsou v pocitacich aspon trochu dobri, neziskali sve vedomosti tim, ze poslouchali nudny vyklad ucitelu, ale prave tim, ze zatimco ucitel vykladal nejake blbosti o Wordu, tak si zkouseli ruzne veci, co si prinesli na diskete nebo stahli z netu a treba i zkouseli proniknout do adresare ucitelu, a postupne ziskavali zkusenosti. Pokud studenty v tomhle vezmete u huby, tak ze spousty z nich nic nebude, ackoli by mohli byt dobri odbornici, kdyby meli moznost delat blbosti pri nudnem vykladu.

To je zajimava myslenka.

Pracoval jsem driv ve skole se 6ti ucebnami a s podobnymi problemy jsme se potykali stale. Mam tam mezi byvalimi kolegy velke kamarady, tak bych jim rad nejak pomohl. Muzes se mi prosim ozvat, anebo trosku vic popsat to reseni instalace. Pouzivali jsme ghosta ale jen lokalne pri instalaci jednotlivych stanic.

Diky Jirka

Fungovalo to pres bootovani ze site - bootROM nejprve (zcela standardne) nabidla boot z disku/ze serveru a pri vyberu bootu ze serveru naskocila nabidka, kterou uz vytvorili spravci site. Polozek tam bylo vic, ale jednou z nich bylo uplne prehrani pevneho disku po sektorech z image, kde byl predem nainstalovan OS. Takto jde rekonstruovat Linux i Windows, jen aby se usetrilo misto na serveru a nemuselo byt vice image disku, je dobre, aby vsechny stanice mely stejne velke disky. Pokud by nemely, tak by musely byt alespon stejne velke prvni partition oddily (napr. 1Gb pro OS a zbytek pro data a prehraval by se jen prvni partition a samozrejme bootkod v MBR).

Nevim, jaky soft se pouzival na obnovu disku, ale tuto funkci zastane jednoduchy programek v DOSu, ktery pomoci IPX sluzeb posle zadost o sektor a prijaty packet ulozi na disk. Neni treba tedy ani zadna draha multilicence zvlavlastnich archivacnich programu.

Myslim si, ze je dobre, kdyz studenti maji moznost delat si na stanici cokoli, protoze kdyz pak prijdou nekam do firmy a budou zvykli, ze neco, cemu nerozumi, skonci hlaskou Access denied, tak se pak snadno muze stat, ze na nezabezpecenem pocitaci v zamestnani smazou neco duleziteho a protoze uz nepujde o "cvicny" pocitac jako ve skole, muzou zpusobit i velkou skodu podniku. Nekdy staci jen neco omylem soupnout do kose a uz je treba nova instalace (co kdyz se ale smaze nearchivovana databaze?). I takove chyby, at uz nahodne nebo umyslne, by si meli ve skole studenti vyzkouset. Na dokonale zabezpecene stanice by se melo prejit az v zamestnani, kde uzivatelova chyba nebo vir muze narusit pracovni cinnost a zpusobit skodu.

Jinak jednorazovou obnovu OS bez nutnosti vse znovu instalovat a konfigurovat doporucuji nejen do skol, ale komukoli. Doma sice nemam sit, ale i tak zhruba jednou mesicne zabalim kompletni instalaci RARem a vypalim na CD. Kdyz neco lehne, staci smazat poskozenou instalaci, rozbalit novou a jede se dal, aniz bych musel vzpominat, jake bylo vubec heslo k postovnimu uctu a jake adresy mel primarni a sekundarni DNS server pro pripojeni na internet (i dialup cislo na Volny bych musel nekde hledat).

Kolikrat nekde slysim, ze nekdo zpusobil "desnou skodu", ze nekde neco smazal, nebo ze museli platit vyjezd technika na odvirovani. Pritom staci jen archivovat, archivovat a jeste jednou archivovat. A rozdelit si od sebe OS s aplikacemi a data. Driv jsem se divil, proc ve skole porad vyhazujou prachy za pasky do streameru. Ale co by ne ? Lehne server (napriklad se kolikrat opotreboval nonstop bezici disk), tak se jen vymeni hardware, obnovi zaloha a jede se dal.

Děkuji za vyčerpávající odpověď.

J. Novák

Kdo bude chtít, povím Vám adresu gymnázia, kde už několik let provozují síť Novell s připojenými bezdiskovými PC s implementovanými Windows a "chudáci" děcka si ještě ani neškrtli. Přes Linux-server (staré PC) připojili Internet. Levné a vysoce účinné. Ikdyž jsem jim radil ať přímo provozují Linux, ale Novell je kvalita. V rámci výuky provozují MS-Office, školní programy atd.

UPOZORŇUJI, nejde o zpackaný projekt Internet do škol.

Vzpomínám si dodatečně, že už je to 11 let. Samozřejmě Novell upgradován atd. Školní verze Novellu je v podstatě za manipulační poplatek, nutno sepsat smlouvu na pražském zastoupení.

Ja chci.

Pak mi muzete mi psat na muj mail. Verejne zde nic neuvadim za druhe osoby neuvadim.

P.S.  - k Novellu ve skole.

tak takovych je u nas naprosta mensina. S tema, co o to maji hlubsi zajem, se da diskutovat a popr. jim pridat prava (server je pomerne slusne "vychytany", co se tyka teto politiky). Pochybuju, ze se nekdo nauci neco "parenim" StarCraft po siti, DynaBlastrem, Pampuchem a Bombermanem. Meli jsme tu par "expertu", co si sli pro deasemblery a odkryvace skrytych sluzeb, ale to byli uplne jine mozky, pokud pristoupili na politiku "neskodit, dostanu bonbonek", tak byli v pohode. Byli to kluci co se zajimali i o programovani a byli v tom dobri. Ale byl tu i jeden radoby "chytry", ktery mel stejne reci typu: "je to opruz, buzerace, sikana". Zkusil si se svymi zkusenostmi s programovanim v siti netware udelat "vir" - 500kB hovado, ktere sejmulo server a na cca 300 uctu v skolni siti. Ten server lehnul tim, ze diky programove chybe generoval jisty balast, a obri maily doslova sezraly behem 1 dne cca 2GB na svazku s postovni frontou. Obnova hlavniho fileserveru je pracna i pri vsech zalohach a i vypadek 1 dne je znat, kdy se pouziva server i behem ruznych predmetu pro vyukove programy.

Mohu potvrdit, ze poniceni instalace serveru je docela problem, ale jinak vice mene souhlasim s clovekem, ktery doporucuje jen omezene nastaveni prav a ne zakazat jim uplne vse. Kdysi na stredni nas take spravce site vyzval, abychom se pokusili nabourat na server (myslel si, ze je opravdu dobre zabezpeceny). Bohuzel se se svym Novelem prepoctal. Byli jsme dva a server s celou siti sel do kytek behem nekolika minut. A nemel zalohu. Instalovat server i se 600 konty vyzadovalo asi opravdu moc prace, ale od te doby se to uz nikomu nepodarilo (server jiz zamezpecil o neco lepe). My jsme se popravde receno o Novelu a bindery dozvedeli vice, nez jakoukoliv jinou cestou. Ted pracuji docasne jako spravce site na jine skole a i predchazejici zkusenost me naucila, ze je daleko dulezitejsi udelat poradek na serveru nez na stanicich. Mimochodem jednotlive stanice pri uplnem vypadku opravujeme pres zalohy image a tak kdyz se neco stane, je stanice behem asi 12 minut v uplne stejnem stavu, jako po instalaci. Presto samozrejme studenti nemaji prava adminu. Jsou jako standardni users, s nekterymi vyhodami navic pripadne s drobnymi omezenimy v jinych oblastech. Podle meho nazoru je to lepsi, nez jim dat naprosto minimalni prava a libovat si, jak jste na ne vyzral.

Jasne, to je ta spravna cesta

Jak zlomit heslo ve win XP bez admin. uctu a s fyz. pristupem ke stroji ( pres SAM soubory to kvuli syskey nepude)?

Relativne jednoducho mozes adminovi zmazat heslo (ale s nim aj vsetky lokalne konta s heslami).

Ak mas FAT, nabootuj z DOSovskej diskety a zmaz sam subory (sam a sam.log). (v adresari system32\config\)

Aby si ich mohol zmazat aj ked mas NTFS, stiani si program NTFSDOS (alebo nejaky iny, ktory ti umozni pristupovat na NTFS disk v DOSe).

Ked sa ti podari zmazat, prihlasis sa ako administrator s prazdnym heslom.

Tento postup predpoklada, ze na stroji kam mas fyzicky pristup, mozes nabootovat z diskety. Spravne zabezpeceny komp by ale mal mat prednastaveny boot z HDD plus zaheslovany BIOS. V takom pripade je to "trosku" komplikovanejsie.

F.

Reset BIOSu to spravi

Ono je to dost těžký s tím zabezpečením, když má "útočník" k PC fyzický přístup... tak to na 100% nefunguje nic :D

A co takhle to heslo změnit? Stačí na to jedna šikovná disketa  http://home.eunet.no/~pnordahl/ntpasswd/ a dá se změnit heslo k jakýmukoliv lokálnímu účtu, na dvoulitrech to funguje spolehlivě.

...aj na XP

A zaheslovat BIOS? koho to odradi, ked staci na xvilu skratnut baterku na mainboarde...

Panove,

k tomu, aby se dala vyuzit tahle metoda musite mit predevsim tu LM Hash. To znamena bud fycký pristup k PC nebo vzdaleně projít přes sdílení a NTFS práva.
Pokud jen minimálně chápete předchozí větu, ta víte, že celý ten humbuk není o ničem.
Pokud bude PC zabezpečeno jak má být, je vše v pořádku.

Ještě na okraj. O čem že se to mluví? Win98? Win NT 4.0?  Samé Microsoftem již nepodporované systémy?  NTLM, LM Hash? 

Ale dnešní realita je přeci Kerberos! Windows 2000, Windows XP, Windows Server 2003.
A že to v tom článku není?  No jsme přeci na Živě .  Přečtěte si radši originál. A nepropadejte panice.

Zive tedy nehajim, ale:

To, ze hesla ve Windows nejsou sifrovana pomoci saltu je jen jeden z mnoha dukazu naprosteho ignorantstvi Microsoftu. Samozrejme, ze pokud jsme se u starsich verzi Unixu s DES hesly (a pokud je admin spatny i dnes) dostali k /etc/passwd ci k /etc/shadow , mohli jsme hesla take rozlousknout...
JENZE
- to netrvalo jen par minut
- pokud byla hesla dobre zvolena a tedy neobsazena ve slovniku louskaciho programu, trvalo to VELMI dlouho. U takove nesmyslne kombinace pismen a cislic to ani nemelo snad smysl ... Za ten cas to urcite nestalo :)

Samozrejme, ze tato konkretni vec nema az takovy velky vyznam (vzdyt se casto hesla dokonce leckde ukladaji jako plain text), jenze to o necem SVEDCI!! Jsem zvedav, kdy se rozumni uzivatele konecne probudi a zacnou se poohlizet po necem jinem nez jsou Windows... Takovych leta neresenych chyb tam je urcite spousta.

Salt se pouzival pro sifrovani hesel snad od sameho zacatku Unixu - desitky let. Microsoft to ted slavne objevi )

oni z toho ten Unix nakonec udelaji...

:o)

Opravte mě, jestli se mýlím - není náhodou autorem LanManagera IBM?

Nemýlíš, je to tak. A MS to má i do NT-based systémů zaimplementováno kvůli zpětné kompatibilitě, když s těmito OS komunikují i W9x, které standardně umí jen LM.

Pokud je někde nějaká síť, která má čistě W2k/XP, není důvod v bezpečnostních politikách nepovolit jen NTLMv2. Tam už to přece jen bude pro "lamače hesel" o něco horší Kerberos je samozřejmě také dobrá varianta, ale pouze ve Win2k doméně.

Souhlasim s Tebou, pokud je system na NTSF, mechaniky jsou pro USERa zablokovany a administrator ma rozumne heslo, dale jsou všechna oprávnění správně nastavena, tak na PC není možný přístup. Je ale pravda, že nejvíce zabezpečený počítač je ten který není na síti a je zavřený v trezotu.  Je to můj názor, a pokud se někdo cítí, že prolomí všechny ochrany, tak mu to neberu. Ale mám pro něj jednu otázku, kdepak pracuješ??? 

To se hodi ...ja uz tejden ja vul louskam heslo do sefova uctu  . Takze zejtra to ma hosanek spocitany. Potrebuju si v jeho dokumentech jen neco ujasnit.. a pak to klidne prodam dal

Toho cloveka mi seslal snad Buh ... diky ...

pako

zkousels' password == username? ;o)

prvni potrebujete stejne pristup do systemu
a pak si muzete vytahnout zasifrovane heslo
a pro pristup do systemu potrebujete heslo

Nebo uzivatele, ktery klika na to, co mu prijde postou

a pro pristup do systemu potrebujete heslo
Nebo taky sroubovak a chvilku casu, nekdy jen staci vlozit do pocitace vhodne CD, zapnout "a sleduj co zacne" :) A za dalsich 14 sekud mame heslo, ktery uzivatel mozna pouziva i v systemech, kam jsme jeste pred chvili pristup nemeli.
Pokud by to bylo tak jednoduche, tak ta hesla neni treba sifrovat.
I kdyz na druhou stranu, pokud mate plny pristup do systemu, tak hesla asi stejne driv nebo pozdeji ziskate :( (man 3 crypt: "Warning: [...] Exhaustive searches of this key space are possible using massively parallel computers."). Ale do toho moc nevidim

Poniektorí zrejme zabúdajú na jednu vec - hashe môžu (a od Win2k implicitne aj sú) šifrované. Kľúč sa pritom nemusí nachádzať na danom počítači, ale hoci i na diskete (ktorú je potrebné pri spúšťaní systému vložiť) alebo v mysli správcu (vo forme ďalšieho hesla). Kto nevie, o čom je reč, môže sa pozrieť na http://doodeetoo.ziak.sk/akonato.php?tema=bezp-SysKey

Ja fakt nechapu, proc kdyz jiny systemy pridavaj salt k heslu uz od praveku(pocitacu), tak proc to tak taky nedali. Tohle se probiralo
na 1. nebo 2. prednasce o unixu. Ono se vubec da najit v ucebnicich
spousta sifer, krypt. protokolu a podobnejch veci. Nechapu proc maj
nektery lidi potrebu porad dokola vymejslet kolo.

To musi byt Gates docela rad ze? :o))) Linux rules!!!

Kdo by vymýšlel něco pro OS , kterej ma v každý zemí maximálně tak 100 až 1000 uhrovitých zoufalců ....??

To uz je davno vymyslene a se slovnikem to trva take par desitek sekund :)))

Uhry uz davno nemam, zato mam Linux s jeste asi dvaceti znamymi z meho okoli, kdyz si to tak vybavuji, takze onech 1000 zoufalcu bych si tipl napr. tak na malou oblast v centru Prahy ).

dobre jste udelali, kluci - linux je urcite lepsi nez urhy, zeo ;o))

Uhry nemám, jako zoufalec se necítím i když pominu plat, který hrubě přesahuje 6ti násobek průměrného platu v této zemi a světe div se, vlastně za to vděčím Linuxu. Ne že by mě něco jiného nemohlo živit stejně dobře, já prostě jen vsadil na Linux a jde to.

ten plat ti muzem , ale nemusime verit ... Jestli se nemas za co stydet, rekni kdo si a kde pracujes ...

Lžeš, ten plat Ti nevěřím. Pokud by si skutečně bral nějakých 100000, byl by Tvůj čas natolik drahý, že bys na Linux neměl čas, chuť ani energii. Používal bys teda výhradně windous... Tak buď nebereš 100 táců nebo nepoužíváš Linux..

ty mas asi o linuxu trochu zkresleny predstavy ne?
proc by na nej nemel cas??
Kdyz nemizej moje neulozany dokumenty a nemrka na me v officech kancelarska svorka ze ktere jsem strasne moc nervozni a kdyz si mohu vymyslet jak bude moje prostredi vypadat a nastavit vse podle sveho (coz nezabere tak moc casu jak si myslis...) tak je pro me prace ve Linuxu mnohem efektovnejsi a rychlejsi nez ve win.
Jo chapu kdyz clovek zvykly na to ze A: je disketa a c: harddisk se dostane najednou k necemu jinymu kde na nej nebafaj bubliny a pruvodci ktery samy vi co chces tak je pro nej treba vse narocny a pomaly
Ale myslim ze pokud se zorientujes a vis ktera bije, je prace mnohem rychlejsi.

jenom takovy muj nazor
na me to funguje

pa jj

Mas na mysli to prostredi kde si nastavis jak ma vypadat a presto na to kazda aplikace kasle vypada si jak chce?

To nemá nic společného s mou prací, osobně mi to nevadí jelikož sekretářka nejsem. Jenže ta by měla plat dost menší . Takže se bavíte o blbostech.

Svorku v Office si můžeš přeci při instalaci zakázat, pak Tě už neotravuje nikdy!!!!....

...A vůbec, když si někdo takový plat zaslouží tak mu ho neberme, určitě má kolem toho pekelnou honičku, jako všichni zainteresovaní...

Jirka

vic nez ten Linux mi prijde divny, ze by se s nekym o podobnejch kravinach dohadoval v diskusich na Zive :o)

Ty jseš fakt blázen, já si s Linuxem nehraju, mě živí

Ono to nie je zase až také hrozné - ak je počítač dobre zabezpečený. Všimnite si, že sa na určenie hesla používa LM HASH, ktorý má limitovanú dĺžku na 7 znakov, nerozlišuje malé a veľké písmená. Máme teda 7 znakov z množiny 36 znakov, teda všetkých možností 7-znakových hesiel je 78364164096, čo skutočne je možné vhodne uložiť do databázy.

Napríklad na mojom PC sa LM HASH nenachádza (okrem toho heslo nie je ani alfanumerické) - určite si to zakázal každý, komu na bezpečnosti záleží... A pre silné heslá a NTLM je táto cesta neschodná.

Viac informácii na http://doodeetoo.ziak.sk/akonato.php?tema=bezp-NoLMHash

A ešte netreba zabúdať na jednu vec: dostať sa už len k hashom nie je triviálna záležitosť (rozumej: pre bežného užívateľa) - predovšetkým, ak sú samotné zakryptované. Je totiž k tomu treba mať administrátorské právo na danom systéme.

Ale myšlienka tohoto spôsobu je celkom zaujímavá...

ten link ešte raz - pre vaše pohodlie http://doodeetoo.ziak.sk/akonato.php?tema=bezp-NoLMHash

vetsina jich je not found tak co?
moje nenasel a ani neni na tech strankach.
staci mit holt jine heslo nez "ahoj" nebo "lala"

Pravě jsem zjistil, že hesla, které používám se prolomí asi tak za 8 sekund

tak tohle jsem ja zjistil uz davno, ale staci na to 3 sekundy Z toho si nedelej hlavu, kdo se k tobe chtel nabourat nebo te chtel sledovat, uz to stejne davno udelal ...