การแคร็กรหัสผ่านบัญชี Windows


35

ที่ทำงานเรามีแลปท็อปที่เข้ารหัสฮาร์ดไดรฟ์ นักพัฒนาส่วนใหญ่ที่นี่ (ในบางครั้งฉันมีความผิดด้วยเช่นกัน) ออกจากแล็ปท็อปในโหมดไฮเบอร์เนตเมื่อพวกเขาพาพวกเขากลับบ้านในเวลากลางคืน เห็นได้ชัดว่า Windows (นั่นคือมีโปรแกรมที่ทำงานในพื้นหลังซึ่งเป็น Windows) จะต้องมีวิธีการถอดรหัสข้อมูลในไดรฟ์ไม่เช่นนั้นจะไม่สามารถเข้าถึงได้ ที่ถูกกล่าวว่าฉันคิดเสมอว่าการปล่อยให้เครื่อง windows อยู่ในโหมดไฮเบอร์เนตในสถานที่ที่ไม่ปลอดภัย (ไม่ใช่ที่ทำงานบนล็อค) เป็นภัยคุกคามความปลอดภัยเพราะมีคนสามารถนำเครื่องออกจากเครื่องทำงานแฮ็คบัญชี windows และใช้เพื่อเข้ารหัสข้อมูลและขโมยข้อมูล เมื่อฉันนึกถึงว่าฉันจะบุกเข้าไปในระบบ windows โดยไม่ต้องเริ่มระบบใหม่ฉันไม่สามารถเข้าใจได้ว่าเป็นไปได้หรือไม่

ฉันรู้ว่าเป็นไปได้ที่จะเขียนโปรแกรมเพื่อถอดรหัสรหัสผ่าน windows เมื่อคุณเข้าถึงไฟล์ที่เหมาะสม แต่มันเป็นไปได้ไหมที่จะรันโปรแกรมจากระบบ Windows ที่ถูกล็อคซึ่งจะทำเช่นนี้? ฉันไม่รู้วิธีที่จะทำ แต่ฉันไม่ใช่ผู้เชี่ยวชาญของ Windows ถ้าเป็นเช่นนั้นมีวิธีป้องกันหรือไม่ ฉันไม่ต้องการเปิดเผยช่องโหว่ด้านความปลอดภัยเกี่ยวกับวิธีการใช้งานดังนั้นฉันจะขอให้ผู้อื่นไม่โพสต์ขั้นตอนที่จำเป็นในรายละเอียด แต่ถ้ามีคนพูดอะไรบางอย่างเช่น "ใช่เป็นไปได้ว่าไดรฟ์ USB " มันจะดีมาก!

แก้ไข: แนวคิดที่อยู่ในการเข้ารหัสคือคุณไม่สามารถรีบูตระบบได้เพราะเมื่อคุณทำแล้วการเข้ารหัสดิสก์ในระบบต้องใช้การเข้าสู่ระบบก่อนจึงจะสามารถเริ่ม Windows ได้ เมื่อเครื่องอยู่ในสถานะจำศีลเจ้าของระบบได้ข้ามการเข้ารหัสสำหรับผู้โจมตีแล้วปล่อยให้ windows เป็นแนวป้องกันเดียวที่จะปกป้องข้อมูล


ฉันไม่สามารถเข้าถึงได้ในตอนนี้ แต่ได้อ่านงานของ mu-b เกี่ยวกับการทำลายการเข้ารหัสดิสก์เต็มรูปแบบ: www.digit-labs.org/files/presentations/sec-t-2010.pdf
Rory Alsop

คำตอบ:


13

การปล่อยให้เครื่องอยู่ในโหมดไฮเบอร์เนตนั้นไม่ปลอดภัยแน่นอนพบช่องโหว่ที่ RAM ยังคงมีคีย์สำหรับ bitlocker (และอื่น ๆ ) ในหน่วยความจำการไฮเบอร์เนต มีหลักฐานของแนวคิดในการโจมตีช่องโหว่นี้อยู่แล้ว

วิธีการโจมตีคือการรีบูทพีซีอย่างรวดเร็วและอ่านเนื้อหาของ RAM (ซึ่งไม่ได้หายไปเมื่อไฟถูกตัด) จากนั้นโปรแกรมสามารถค้นหาการถ่ายโอนข้อมูลสำหรับคีย์

http://www.eweek.com/c/a/Security/Researchers-Crack-BitLocker-FileVault/

Microsoft อาจแก้ไขปัญหานี้ไปแล้ว

การเปลี่ยนรหัสผ่านปกติ ps ไม่ส่งผลกระทบต่อการเข้ารหัส แต่เนื่องจากเนื้อหาที่เข้ารหัสนั้นไม่สามารถเข้าถึงได้หากไม่มีรหัสผ่านที่ถูกต้องดังนั้นการเปลี่ยนรหัสผ่านอย่างง่ายสำหรับดิสก์สำหรับบูตจึงไม่ใช่ความเสี่ยงด้านความปลอดภัย


1
+1 ฉันคิดว่านี่คือสิ่งที่เรียกว่าการโจมตีด้วยการบู๊ตเย็น
Jonas Heidelberg

4

ดังที่workmad3ได้กล่าวถึงวิธีที่ดีที่สุดในการโจมตีเครื่องที่ถูกล็อคโดยไม่ต้องบูตเครื่องใหม่คือการดูว่ามีความเสี่ยงจากการเชื่อมต่อเครือข่ายอย่างไร

สิ่งนี้จะขึ้นอยู่กับนโยบายความปลอดภัยในเครือข่ายของคุณ ตัวอย่างเช่นบัญชีโดเมนทั้งหมดมีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบสำหรับพีซีเหล่านี้หรือไม่ หากเป็นเช่นนั้นให้ตรวจสอบการแบ่งปันเริ่มต้น (\ pc-name \ c $) หากเปิดการแชร์เริ่มต้นด้วยเหตุผลใดก็ตามคุณสามารถเข้าถึงเนื้อหาทั้งหมดของพีซีผ่านเครือข่ายด้วยบัญชีของคุณเอง ฉันไม่แน่ใจว่าสามารถใช้งานกับฮาร์ดไดรฟ์ที่เข้ารหัสได้หรือไม่ แต่จะทดสอบได้ง่าย

เมื่อคุณเข้าถึงพีซีจากระยะไกลคุณสามารถใช้เครื่องมือเช่นเครื่องมือ Sysinternals PsExecเพื่อดำเนินการโปรแกรมจากระยะไกล

แน่นอนว่านั่นเป็นเพียงเวกเตอร์ของการโจมตีและมันอาจไม่ทำงานกับฮาร์ดไดรฟ์ที่เข้ารหัส แต่มันก็ช่วยให้คุณมีความคิดในสิ่งที่สามารถทำได้

แก้ไข: หากแล็ปท็อปมีพอร์ต Firewire ที่ใช้งานอยู่คุณสามารถดูช่องโหว่นี้ได้ อีกครั้งฉันไม่ทราบว่าสิ่งนี้จะช่วยให้กับเครื่องเข้ารหัสเพราะมันขึ้นอยู่กับการเข้าถึงหน่วยความจำโดยตรง (ซึ่งควรจะเข้ารหัส)


มีช่องโหว่ Firewire ที่ให้คุณปลดล็อคกล่อง Windows โดยไม่ต้องป้อนรหัสผ่านที่ถูกต้อง ไม่สำคัญว่าฮาร์ดดิสก์จะถูกเข้ารหัสหรือไม่

@ อเล็กซานเดอร์ฉันไม่รู้ตัว ดีแล้วที่รู้.
Marc Reside

ดูที่storm.net.nz/projects/16สำหรับหนึ่งในเครื่องมือ

มันไม่ได้เป็นเพียง Firewire แต่มีพอร์ตสำหรับขยายด้วย DMA ซึ่งรวมถึง PCMCIA, PCCard, ExpressCard ฯลฯ ความแตกต่างเพียงอย่างเดียวจากเวกเตอร์ Firewire คือโปรโตคอลในการเข้าถึงรถบัส

4

เห็นได้ชัดว่าถ้าใครบางคนสามารถเข้าถึงเครื่องได้ข้อมูลประจำตัวที่เก็บไว้ทั้งหมดอาจถูกพิจารณาว่าเป็นอันตราย

หากสามารถทำได้เช่นบูตจากอุปกรณ์ USB หรือไดรฟ์ออปติคัลหนึ่งสามารถใช้เครื่องมือชี้และคลิกเช่น Ophcrack เพื่อกู้คืนรหัสผ่านทั้งหมด คำแนะนำที่นี่: USB Ophcrack | แคร็กเกอร์รหัสผ่าน Windows Login

แก้ไข: ใช่ฉันทราบว่าในทางทฤษฎีแล้วคุณไม่สามารถกลับไปใช้ "ฮาร์ดไดรฟ์ที่เข้ารหัส" ได้ในกรณีที่รีบูตเครื่อง การเรียกร้องค่าสินไหมทดแทนนั้นขึ้นอยู่กับซอฟต์แวร์ที่ใช้ในการเข้าถึงพาร์ติชันที่เข้ารหัสหรือไม่ ดูเหมือนว่า BitLocker จะทำงานได้ดี แต่การใช้งานก่อนหน้านี้หลายครั้งเป็นเรื่องตลก - และถ้าคุณสามารถเข้าถึงเครื่องมันเป็นการง่ายที่จะถ่ายโอนฐานข้อมูล SAM ไปยัง USB Stick และทำการถอดรหัสแบบออฟไลน์


2

ความคิดแรกของฉันคือตื่นจากโหมดไฮเบอร์เนตไปที่หน้าจอรหัสผ่านแล้วเริ่มเห็นสิ่งที่มีความเสี่ยงผ่านการเชื่อมต่อเครือข่าย หากการรักษาความปลอดภัยเครือข่ายของเครื่องจริงไม่ถึงขั้นคุณสามารถเข้าถึงข้อมูลจำนวนมากได้ด้วยวิธีนี้


1

ฉันสงสัยว่าจะเกิดอะไรขึ้นถ้าคุณเบิร์นซีดีรอมด้วยautoplay.iniที่เหมาะสมกับวัตถุประสงค์ของการทดสอบของคุณจากนั้นทำให้เครื่องตื่นจากโหมดไฮเบอร์เนต จริง ๆ แล้วฉันไม่ทราบว่าจะเกิดอะไรขึ้น แต่วิธีการเรียงลำดับนั้นเป็นสิ่งที่ฉันจะสำรวจหากพยายามโจมตีเครื่องจำศีล - ให้ตื่นขึ้นมาและแนะนำการปฏิบัติการให้เป็นหนึ่งในพอร์ตของมัน มันมีพอร์ต firewire หรือไม่? ในทางทฤษฎีแล้วแฮกจากอินเทอร์เฟซนั้น


0

คุณใช้การเข้ารหัสชนิดใด BitLocker? ระบบไฟล์ที่เข้ารหัส? ฉันไม่สามารถตอบคำถามของคุณโดยตรง

ในกรณีใด ๆ ความปลอดภัยของคุณจะดีพอ ๆ กับจุดอ่อน คุณต้องตรวจสอบให้แน่ใจว่าได้ติดตั้งแพตช์ความปลอดภัยล่าสุดทั้งหมดทันที มิฉะนั้นเครื่องมือเช่นMetaSploitสามารถใช้เพื่อทดสอบช่องโหว่ที่รู้จักและเข้าถึงผู้ใช้หรือผู้ดูแลระบบ


มันเป็นระบบไฟล์ที่เข้ารหัส
kemiller2002

EFS จะจัดทำข้อกำหนดที่มีเฉพาะผู้ใช้ที่เป็นเจ้าของหรือผู้ดูแลระบบในท้องถิ่นเท่านั้นที่สามารถเข้าถึงไฟล์ได้ หากพีซีกลายเป็นอันตรายนี่จะเป็นเรื่องเล็กน้อยที่จะหลีกเลี่ยง ดู: en.wikipedia.org/wiki/Encrypting_File_System
spoulson

ขอโทษที่ไม่ดีของฉันฉันได้ยุติการผสมกัน ไฟล์ถูกเข้ารหัสบนดิสก์
kemiller2002

0

Vista และ XP-sp3 นั้นมีช่องโหว่น้อยกว่าระบบปฏิบัติการรุ่นก่อน ๆ ซึ่งเก็บรหัสผ่านที่เข้ารหัสไว้เพียงเพื่อความสามารถในการรองรับ LANMAN คุณยังสามารถถอดรหัสรหัสผ่านได้ง่ายโดยใช้ตารางสายรุ้งที่มีขนาดใหญ่มาก แต่มันก็ค่อนข้างปลอดภัยจากเครื่องมือเช่น ophcrack


0

ในระบบการเข้ารหัส harddisk (PGP) ของฉันฉันต้องป้อนรหัสผ่านการเข้ารหัสเมื่อกลับมาจากโหมดไฮเบอร์เนต

จากการระงับจะไม่ได้รับอนุญาต


0

หากไฟล์ EFS hibernate ของคุณไม่ได้ถูกเข้ารหัสและควรถือว่ามีเนื้อหาที่สำคัญที่จำเป็นในการถอดรหัสไฟล์ EFS บนดิสก์

หากคุณใช้การเข้ารหัสดิสก์เต็มรูปแบบไฟล์ไฮเบอร์เนตจะถูกเข้ารหัสด้วยทุกสิ่งและความเสี่ยงนี้ก็จะลดลง

มีจำนวนเวกเตอร์ของการโจมตีสำหรับ bitlocker / TPM รวมถึงจำนวนของการสอดแนมบัสและการโจมตีแบบพายุ TPM ไม่ได้ออกแบบมาเพื่อปกป้องข้อมูลของคุณจาก TLA ที่กำหนด แต่ยังคงมีประสิทธิภาพในกรณีการใช้งานทั่วไปในโลกแห่งความเป็นจริง

EFS สามารถหลีกเลี่ยงได้โดยการถอดรหัสรหัสผ่านของผู้ใช้เว้นแต่ตัวเลือก syskey ที่มีความหมายจะเปิดใช้งานเพื่อลดความเสี่ยงนี้ EFS นั้นดีกว่าไม่มีอะไรนอกจากคุณใช้ syskey และรหัสผ่านที่ทนทานต่อการใช้ตารางของ Ub3r ra1nb0w คุณไม่ได้แสดงอุปสรรคสำคัญในการประนีประนอมข้อมูล EFS ของคุณในตอนแรก

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.