PDA

Visualizza versione completa : Sicurezza accesso XP


wang
23-05-2006, 14.28.30
Ciao a tutti, mio primo post....
Leggendo in giro qua e la su internet in materia di sicurezza di winXP mi è capitato di trovare articoli su come recuperare le password: accedere con un disco di boot, recuperare il file sam ed il file system, decriptare le password con saminside o programmi simili ecc ecc...
Ci ho provato prendendo come cavia il mio PC e sono riuscito a trovare la password di admin (che ovviamente già conoscevo, però è preoccupante che lo possa fare anche chi come me non è molto tecnico), tuttavia mi è rimasto un dubbio:

con il mio pc mi loggo a lavoro ad un dominio, la password che uso per entrare nel dominio (come utente) è la stessa che devo inserire se voglio utilizzare il mio pc con quell'utenza anche quando il pc è offline.

Nella lista delle utenze contenute nel file sam (quando ho fatto l'esperimento di cui sopra) manca l'utenza che utilizzo per loggarmi nel dominio (so che viene utilizzata active directory nella mia azienda).

Immagino che XP conservi da qualche parte la password del mio ultimo accesso al dominio (anche perchè quando sono offline se voglio utlizzare quell'utenza devo inserire quella password, ma la password posso cambiarla solo se sono loggato al domino).

La domanda è: dove conserva xp l'elenco delle utenze e le password delle utenze che si collegano ad un dominio? Sono criptate (male) come quelle sul file sam?
Immagino che sia possibile che, impossessandosi fisicamente del mio notebook, si riesca poi ad accedere al domino aziendale....

Grazie per la risposta e scusate la lunghezza della spiegazione.
Ciao.
Stefano.

wang
25-05-2006, 12.14.44
Alla fine ho risolto da solo (cercando su Internet e postando su altri forum, visto che nessuno rispondeva....): ho trovato tutte le risposte su dove sono conservate le password locali e di domino (ultimo accesso valido), ne faccio una sintesi qui sotto così può essere utile anche ad altri.
Il punto è che anche un troglodita dell'informatica come me ha trovato su internet in un paio d'ore di ricerca tutti gli strumenti ed il know - how per scoprire le password partendo da pc spento (ho provato a mettere in pratica e ci sono riuscito davvero).
A questo punto immagino che l'unica protezione efficace sia impedire l'accesso fisico del pc mettendolo sotto chiave...

Non ho mai scritto di questioni informatiche, chiedo scusa se il linguaggio non risulterà appropriato.
Primo recuperare le password locali:
Avvia il pc, entra nel bios e setta il boot da CD.
Utilizza Ultimate Boot CD per avviare il pc.
Nella "sezione" Filesys trovi l'utilità Active NTFS Reader
Carica in opzione 5 "defensive"
Abilita KeybIt (se no poi è un casino scrivere), LNF support, NTFS support
Vai nella cartella windows\system32\config, e copia i files: sam e system (senza estensione) sulla chiavetta USB che avrai precedentemente inserito. (attenzione che potrebbe essere identificata con la lettera C:\, non so perchè ma le lettere dei dischi vengono assegnate un po' diversamente avviando il PC in questo modo)
Importa i due file che hai copiato in Saminside e scopri le password tramite bruteforce (le password sono le NT, le LM non ti servono). Ti ci va un po' di pazienza. Altri programmi sono Cain e Lcrack
Per recuperare le password di dominio (ultimo accesso valido):
Accedi come amministratore locale al PC con le password ottenute prima.
Le informazioni che ti interessano sono contenute in:
HKEY_LOCAL_MACHINE\SECURITY\CACHE\NL$1 --> NL$10
Questa chiave se non sei amministratore non la puoi vedere.
Per ottenere un formato "utilizzabile" devi eseguire il programma Cachedump da riga di comando. (cachedump >nomefile.txt) (nome file è il nome dove verranno scaricati gli hash). Questi hash sono codificati in in formato MSCASH
Per leggerli serve Cain o John the ripper.
John the ripper non sono riuscito ad usarlo ma Cain si ed è fatto molto bene (ti trova un sacco di cose).
Per farli leggere da Cain devi andare a scrivere le informazioni ottenute con Cachedump nel file CASH.LST della cartella
dove è installato il programma.
Non puoi copiare le informazioni ottenute con cashdump ma devi modificarle in questo modo:
Formato CACHEDUMP -> utente:hash:dominio
Formato CAIN -> dominio;utente;;hash;
Con un bruteforce otterrai anche questa password.
Con Cain riesci ad ottenere anche altre informazioni tipo le password dei vari accessi ad internet, le password e le utenze di posta elettronica di outlook express...

RNicoletto
26-05-2006, 10.54.21
Grazie per i feedback. ;)

studio.ciodo
27-05-2006, 15.29.25
Per recuperare un PC dove non si conosce la password (per ottenere l'accesso di amministratore e farne quel che si vuole...) basta anche solo avviare il PC con Offline NT Password Recovery (http://home.eunet.no/pnordahl/ntpasswd/) caricando la lista degli utenti e si cancella la password di Administrator...!
Perchè perdere tempo a trovare la password quando la puoi cestinare?...

wang
28-05-2006, 23.52.49
Si è vero quello che dici, ma recuperare una password è una azione completamente diversa che resettarla... se il pc è tuo sicuramente fai prima a resettarla, in realtà io volevo capire un'altra cosa: quanto è facile carpire le password locali (..e purtroppo è facile ma pazienza, mi incupisce poco la cosa) ma soprattutto volevo capire quanto fosse facile carpire utenza e password di ultimo accesso valido ad un dominio (e questo mi crea molto disappunto).

Dav82
29-05-2006, 00.00.28
Originariamente inviato da studio.ciodo

Perchè perdere tempo a trovare la password quando la puoi cestinare?...


Per esempio per ottenere accesso alle risorse per le quali serve quella determinata password, senza che l'utente che ha invece diritto di accesso si accorga di questo accesso non autorizzato... per esempio se "rubo" la password di una casella di posta, cambiandola (come in un normale sistema di recupero password, ma non tutti sono così :rolleyes: ), posso avere accesso alla corrispondenza fino al momento del "furto" e non oltre, perchè poi il legittimo proprietario come minimo non può più usare la casella, e cmq si accorge della sottrazione della password; se invece riesco a carpirla facendo in modo che l'interessato non se ne accorga beh.. il "guadagno" (o a ben vedere: il furto/danno) può essere potenzialmente molto maggiore :)

Stesso discorso per un pc :)

studio.ciodo
30-05-2006, 00.43.01
...se la vediamo in quest'ottica hai pienamente ragione...

wang
30-05-2006, 12.54.18
Poi nel resettare la password credo che ci sia un altro problema: se hai utilizzato la crittografia dei file non credo che tu riesca più a leggere i tuoi file criptati (anche perchè se no che crittografia sarebbe...).
Qualcuno sa se effettivamente è così?