Sicurezza accesso XP

wang · 23-05-2006, 14.28.30

Ciao a tutti, mio primo post....
Leggendo in giro qua e la su internet in materia di sicurezza di winXP mi è capitato di trovare articoli su come recuperare le password: accedere con un disco di boot, recuperare il file sam ed il file system, decriptare le password con saminside o programmi simili ecc ecc...
Ci ho provato prendendo come cavia il mio PC e sono riuscito a trovare la password di admin (che ovviamente già conoscevo, però è preoccupante che lo possa fare anche chi come me non è molto tecnico), tuttavia mi è rimasto un dubbio:

con il mio pc mi loggo a lavoro ad un dominio, la password che uso per entrare nel dominio (come utente) è la stessa che devo inserire se voglio utilizzare il mio pc con quell'utenza anche quando il pc è offline.

Nella lista delle utenze contenute nel file sam (quando ho fatto l'esperimento di cui sopra) manca l'utenza che utilizzo per loggarmi nel dominio (so che viene utilizzata active directory nella mia azienda).

Immagino che XP conservi da qualche parte la password del mio ultimo accesso al dominio (anche perchè quando sono offline se voglio utlizzare quell'utenza devo inserire quella password, ma la password posso cambiarla solo se sono loggato al domino).

La domanda è: dove conserva xp l'elenco delle utenze e le password delle utenze che si collegano ad un dominio? Sono criptate (male) come quelle sul file sam?
Immagino che sia possibile che, impossessandosi fisicamente del mio notebook, si riesca poi ad accedere al domino aziendale....

Grazie per la risposta e scusate la lunghezza della spiegazione.
Ciao.
Stefano.

wang · 25-05-2006, 12.14.44

Alla fine ho risolto da solo (cercando su Internet e postando su altri forum, visto che nessuno rispondeva....): ho trovato tutte le risposte su dove sono conservate le password locali e di domino (ultimo accesso valido), ne faccio una sintesi qui sotto così può essere utile anche ad altri.
Il punto è che anche un troglodita dell'informatica come me ha trovato su internet in un paio d'ore di ricerca tutti gli strumenti ed il know - how per scoprire le password partendo da pc spento (ho provato a mettere in pratica e ci sono riuscito davvero).
A questo punto immagino che l'unica protezione efficace sia impedire l'accesso fisico del pc mettendolo sotto chiave...

Non ho mai scritto di questioni informatiche, chiedo scusa se il linguaggio non risulterà appropriato.
Primo recuperare le password locali:
Avvia il pc, entra nel bios e setta il boot da CD.
Utilizza Ultimate Boot CD per avviare il pc.
Nella "sezione" Filesys trovi l'utilità Active NTFS Reader
Carica in opzione 5 "defensive"
Abilita KeybIt (se no poi è un casino scrivere), LNF support, NTFS support
Vai nella cartella windows\system32\config, e copia i files: sam e system (senza estensione) sulla chiavetta USB che avrai precedentemente inserito. (attenzione che potrebbe essere identificata con la lettera C:\, non so perchè ma le lettere dei dischi vengono assegnate un po' diversamente avviando il PC in questo modo)
Importa i due file che hai copiato in Saminside e scopri le password tramite bruteforce (le password sono le NT, le LM non ti servono). Ti ci va un po' di pazienza. Altri programmi sono Cain e Lcrack
Per recuperare le password di dominio (ultimo accesso valido):
Accedi come amministratore locale al PC con le password ottenute prima.
Le informazioni che ti interessano sono contenute in:
HKEY_LOCAL_MACHINE\SECURITY\CACHE\NL$1 --> NL$10
Questa chiave se non sei amministratore non la puoi vedere.
Per ottenere un formato "utilizzabile" devi eseguire il programma Cachedump da riga di comando. (cachedump >nomefile.txt) (nome file è il nome dove verranno scaricati gli hash). Questi hash sono codificati in in formato MSCASH
Per leggerli serve Cain o John the ripper.
John the ripper non sono riuscito ad usarlo ma Cain si ed è fatto molto bene (ti trova un sacco di cose).
Per farli leggere da Cain devi andare a scrivere le informazioni ottenute con Cachedump nel file CASH.LST della cartella
dove è installato il programma.
Non puoi copiare le informazioni ottenute con cashdump ma devi modificarle in questo modo:
Formato CACHEDUMP -> utente:hash:dominio
Formato CAIN -> dominio;utente;;hash;
Con un bruteforce otterrai anche questa password.
Con Cain riesci ad ottenere anche altre informazioni tipo le password dei vari accessi ad internet, le password e le utenze di posta elettronica di outlook express...

RNicoletto · 26-05-2006, 10.54.21

Grazie per i feedback.

studio.ciodo · 27-05-2006, 15.29.25

Per recuperare un PC dove non si conosce la password (per ottenere l'accesso di amministratore e farne quel che si vuole...) basta anche solo avviare il PC con Offline NT Password Recovery (http://home.eunet.no/pnordahl/ntpasswd/) caricando la lista degli utenti e si cancella la password di Administrator...!
Perchè perdere tempo a trovare la password quando la puoi cestinare?...

wang · 28-05-2006, 23.52.49

Si è vero quello che dici, ma recuperare una password è una azione completamente diversa che resettarla... se il pc è tuo sicuramente fai prima a resettarla, in realtà io volevo capire un'altra cosa: quanto è facile carpire le password locali (..e purtroppo è facile ma pazienza, mi incupisce poco la cosa) ma soprattutto volevo capire quanto fosse facile carpire utenza e password di ultimo accesso valido ad un dominio (e questo mi crea molto disappunto).

Dav82 · 29-05-2006, 00.00.28

Quota:

Originariamente inviato da studio.ciodo

Perchè perdere tempo a trovare la password quando la puoi cestinare?...

Per esempio per ottenere accesso alle risorse per le quali serve quella determinata password, senza che l'utente che ha invece diritto di accesso si accorga di questo accesso non autorizzato... per esempio se "rubo" la password di una casella di posta, cambiandola (come in un normale sistema di recupero password, ma non tutti sono così

), posso avere accesso alla corrispondenza fino al momento del "furto" e non oltre, perchè poi il legittimo proprietario come minimo non può più usare la casella, e cmq si accorge della sottrazione della password; se invece riesco a carpirla facendo in modo che l'interessato non se ne accorga beh.. il "guadagno" (o a ben vedere: il furto/danno) può essere potenzialmente molto maggiore

Stesso discorso per un pc

studio.ciodo · 30-05-2006, 00.43.01

...se la vediamo in quest'ottica hai pienamente ragione...

wang · 30-05-2006, 12.54.18

Poi nel resettare la password credo che ci sia un altro problema: se hai utilizzato la crittografia dei file non credo che tu riesca più a leggere i tuoi file criptati (anche perchè se no che crittografia sarebbe...).
Qualcuno sa se effettivamente è così?

23-05-2006, 14.28.30	#1
wang Newbie Registrato: 23-05-2006 Messaggi: 11	Sicurezza accesso XP Ciao a tutti, mio primo post.... Leggendo in giro qua e la su internet in materia di sicurezza di winXP mi è capitato di trovare articoli su come recuperare le password: accedere con un disco di boot, recuperare il file sam ed il file system, decriptare le password con saminside o programmi simili ecc ecc... Ci ho provato prendendo come cavia il mio PC e sono riuscito a trovare la password di admin (che ovviamente già conoscevo, però è preoccupante che lo possa fare anche chi come me non è molto tecnico), tuttavia mi è rimasto un dubbio: con il mio pc mi loggo a lavoro ad un dominio, la password che uso per entrare nel dominio (come utente) è la stessa che devo inserire se voglio utilizzare il mio pc con quell'utenza anche quando il pc è offline. Nella lista delle utenze contenute nel file sam (quando ho fatto l'esperimento di cui sopra) manca l'utenza che utilizzo per loggarmi nel dominio (so che viene utilizzata active directory nella mia azienda). Immagino che XP conservi da qualche parte la password del mio ultimo accesso al dominio (anche perchè quando sono offline se voglio utlizzare quell'utenza devo inserire quella password, ma la password posso cambiarla solo se sono loggato al domino). La domanda è: dove conserva xp l'elenco delle utenze e le password delle utenze che si collegano ad un dominio? Sono criptate (male) come quelle sul file sam? Immagino che sia possibile che, impossessandosi fisicamente del mio notebook, si riesca poi ad accedere al domino aziendale.... Grazie per la risposta e scusate la lunghezza della spiegazione. Ciao. Stefano.

26-05-2006, 10.54.21	#3
RNicoletto Gold Member Top Poster Registrato: 13-02-2001 Loc.: Forette City Messaggi: 13.153	Grazie per i feedback. ___________________________________ "Society doesn’t need newspapers. What we need is journalism." - Clay Shirky

27-05-2006, 15.29.25	#4
studio.ciodo Senior Member Registrato: 17-09-2005 Messaggi: 296	Per recuperare un PC dove non si conosce la password (per ottenere l'accesso di amministratore e farne quel che si vuole...) basta anche solo avviare il PC con Offline NT Password Recovery (http://home.eunet.no/pnordahl/ntpasswd/) caricando la lista degli utenti e si cancella la password di Administrator...! Perchè perdere tempo a trovare la password quando la puoi cestinare?... ___________________________________ "Il tenete colonnello della finanza mi ha detto che quando sono andati per la prima volta dentro l'ufficio,il manager con un master della columbia university come li ha visti per cancellare un file dal computer,ha preso un martello e PAM...pensando che il file fosse sotto la tastiera" Beppe Grillo-Milano 2005

30-05-2006, 00.43.01	#7
studio.ciodo Senior Member Registrato: 17-09-2005 Messaggi: 296	...se la vediamo in quest'ottica hai pienamente ragione... ___________________________________ "Il tenete colonnello della finanza mi ha detto che quando sono andati per la prima volta dentro l'ufficio,il manager con un master della columbia university come li ha visti per cancellare un file dal computer,ha preso un martello e PAM...pensando che il file fosse sotto la tastiera" Beppe Grillo-Milano 2005

Discussioni simili
Discussione	Autore discussione	Forum	Risposte	Ultimo messaggio
La sicurezza si prende un quinto del bilancio IT	salazar	Segnalazioni Web	0	12-10-2007 13.42.35
3M - MS:Operazione sicurezza	Robbi	Archivio News Web	5	25-03-2007 12.32.45
Sicurezza in locale	Ghandalf	Archivio News Web	2	23-02-2005 22.18.22
Guida Sicurezza informatica	Gigi75	Sicurezza&Privacy	3	16-09-2004 16.33.02
La rete con W98...si può o è finta??	millovanillo	Internet e Reti locali	1	22-08-2003 17.07.20

25-05-2006, 12.14.44	#2
wang Newbie Registrato: 23-05-2006 Messaggi: 11	Alla fine ho risolto da solo (cercando su Internet e postando su altri forum, visto che nessuno rispondeva....): ho trovato tutte le risposte su dove sono conservate le password locali e di domino (ultimo accesso valido), ne faccio una sintesi qui sotto così può essere utile anche ad altri. Il punto è che anche un troglodita dell'informatica come me ha trovato su internet in un paio d'ore di ricerca tutti gli strumenti ed il know - how per scoprire le password partendo da pc spento (ho provato a mettere in pratica e ci sono riuscito davvero). A questo punto immagino che l'unica protezione efficace sia impedire l'accesso fisico del pc mettendolo sotto chiave... Non ho mai scritto di questioni informatiche, chiedo scusa se il linguaggio non risulterà appropriato. Primo recuperare le password locali: Avvia il pc, entra nel bios e setta il boot da CD. Utilizza Ultimate Boot CD per avviare il pc. Nella "sezione" Filesys trovi l'utilità Active NTFS Reader Carica in opzione 5 "defensive" Abilita KeybIt (se no poi è un casino scrivere), LNF support, NTFS support Vai nella cartella windows\system32\config, e copia i files: sam e system (senza estensione) sulla chiavetta USB che avrai precedentemente inserito. (attenzione che potrebbe essere identificata con la lettera C:\, non so perchè ma le lettere dei dischi vengono assegnate un po' diversamente avviando il PC in questo modo) Importa i due file che hai copiato in Saminside e scopri le password tramite bruteforce (le password sono le NT, le LM non ti servono). Ti ci va un po' di pazienza. Altri programmi sono Cain e Lcrack Per recuperare le password di dominio (ultimo accesso valido): Accedi come amministratore locale al PC con le password ottenute prima. Le informazioni che ti interessano sono contenute in: HKEY_LOCAL_MACHINE\SECURITY\CACHE\NL$1 --> NL$10 Questa chiave se non sei amministratore non la puoi vedere. Per ottenere un formato "utilizzabile" devi eseguire il programma Cachedump da riga di comando. (cachedump >nomefile.txt) (nome file è il nome dove verranno scaricati gli hash). Questi hash sono codificati in in formato MSCASH Per leggerli serve Cain o John the ripper. John the ripper non sono riuscito ad usarlo ma Cain si ed è fatto molto bene (ti trova un sacco di cose). Per farli leggere da Cain devi andare a scrivere le informazioni ottenute con Cachedump nel file CASH.LST della cartella dove è installato il programma. Non puoi copiare le informazioni ottenute con cashdump ma devi modificarle in questo modo: Formato CACHEDUMP -> utente:hash:dominio Formato CAIN -> dominio;utente;;hash; Con un bruteforce otterrai anche questa password. Con Cain riesci ad ottenere anche altre informazioni tipo le password dei vari accessi ad internet, le password e le utenze di posta elettronica di outlook express...

28-05-2006, 23.52.49	#5
wang Newbie Registrato: 23-05-2006 Messaggi: 11	Si è vero quello che dici, ma recuperare una password è una azione completamente diversa che resettarla... se il pc è tuo sicuramente fai prima a resettarla, in realtà io volevo capire un'altra cosa: quanto è facile carpire le password locali (..e purtroppo è facile ma pazienza, mi incupisce poco la cosa) ma soprattutto volevo capire quanto fosse facile carpire utenza e password di ultimo accesso valido ad un dominio (e questo mi crea molto disappunto).

30-05-2006, 12.54.18	#8
wang Newbie Registrato: 23-05-2006 Messaggi: 11	Poi nel resettare la password credo che ci sia un altro problema: se hai utilizzato la crittografia dei file non credo che tu riesca più a leggere i tuoi file criptati (anche perchè se no che crittografia sarebbe...). Qualcuno sa se effettivamente è così?

Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)

Strumenti discussione
Visualizza versione stampabile Invia questa pagina via e-mail