Taller de Seguridad Física Password
1. ¿Qué mecanismo utilizan los sistemas operativos Windows para cifrar las contraseñas?
Antes de guardar una contraseña, el sistema le aplica una serie de operaciones matemáticas para convertirla en información imposible de interpretar a simple vista, es decir codifica o cifra la contraseña. Al hecho de cifrar o codificar la contraseña (o cualquier dato) se le llama Encriptar, El método, los pasos o el proceso interno que se sigue para cifrar la contraseña se le conoce como algoritmo y El resultado de codificar la contraseña (es decir la contraseña ya cifrada) se llama hash Generalmente los algoritmos que se usan para cifrar contraseñas son irreversibles, es decir que una vez encriptado la contraseña NO puede ser desencriptada. De esta manera, si tenemos acceso al archivo donde se guardan los hashes, no podemos “deshacer” el proceso para ver las contraseñas “esto entre comillas pues sabemos que existen diversos mecanismos para ello o bien solamente la podemos eliminar”,
Cuando una contraseña es encriptada, el algoritmo usado generará un hash. En teoría, el hash es único para cada contraseña por lo que la misma contraseña siempre resultará en el mismo hash. No importa que las contraseñas sean muy parecidas, el hash será sustancialmente diferente, como podemos observar con “pepe - PEPE” y “jabón -jamón”. Una parte de la seguridad del sistema depende del algoritmo usado para Encriptar las contraseñas, pues hay algoritmos más seguros que otros. Normalmente es usado el algoritmo llamado MD5.
Una vez que nuestra contraseña ya está almacenada en el sistema y tratamos de acceder al recurso protegido, se nos pedirá confirmar nuestra identidad por medio de la contraseña. Cuando la introducimos el sistema calculará el hash y se comparará con el hash almacenado previamente. Si los hashes son iguales se permite el acceso, en caso contrario se niega.
2. ¿Cuál es el nombre del archivo o los archivos donde Windows almacena las contraseñas?
Los sistemas Operativos de Windows por defecto almacenan en el host las cuentas de usuario con sus respectivas contraseñas el archivo que contiene esta información es el SAM (System Account Managment). Y está ubicado en \WINDOWS\SYSTEM32\CONFIG\sam
3. Existen más herramientas para descifrar o realiza un ataque físico a
maquinas con SO Windows, ¿Cuáles?
maquinas con SO Windows, ¿Cuáles?
Podemos emplear cualquier distribución de Live CD que soporte el método de las Rainbow Tables. En estas tablas se incluyen caracteres tales como:
"0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!"#$%&' ()*+,-./:;&<=>?@[\]^_`{|}~"
Incluido el espacio, por lo que aseguran que romperá las claves de longitud de 1 a 14 caracteres en mayúsculas, minúsculas o numéricos el 99,9% de las veces, y el 96% de las veces cualquier cadena de 1 a 14 caracteres que contenga cualquiera de caracteres de la lista anterior.
· Offline NT Password&Registry Editor.
· Austrumi LIVE CD
· PC Login Now
· EBCD – Emergency Boot CD:
· AdministratorsPak (Locksmith)
· Y muchas mas.
4. ¿Qué recomendaría Usted como Agente de Seguridad para evitar los ataques anteriores?
Lo primero que debemos hacer es implementar mecanismos de control de acceso a los datacenter o cuartos de servidores, deshabilitar las unidades de disco óptico y los puertos USB, ponerle contraseña al BIOS del servidor, asegurar con candado la carcasa del servidor, esto ayudara a disminuir la amenaza que representa el acceso físico de personal no autorizado a nuestras instalaciones pudiendo mediante ataques físicos descifrar nuestros password y acceder a nuestro sistema.
5. Investigue sobre la herramienta Caín y como la misma puede ayudar a un atacante o auditor a conocer la seguridad de una contraseña.
Caín y Abel, es una aplicación de seguridad informática para probar que tan potentes son los sistemas en cuanto a seguridad esta aplicación Caín y Abel cuenta con varias características, entre sus tantas opciones cabe destacar la posibilidad de descifrar contraseñas cifradas en MD5, el formato de cifrado que utilizan muchos sistemas gestores de contenido o CMS por ejemplo Joomla.
6. ¿Qué clase de ataques maneja la Herramienta Caín con respecto a los
archivos de usuarios y password de Windows?
archivos de usuarios y password de Windows?
Caín & Abel es una herramienta para la recuperación de claves de sistemas Microsoft. El programa permite recuperar estas claves de diversas maneras: espiando la red local, atacando claves cifradas mediante diccionario, fuerza bruta y criptoanálisis. También permite, entre otras cosas, grabación de conversaciones VoIP, decodificación de claves ensambladas, recuperación de claves Wireless y análisis de protocolos de enrutado.
Caín & Abel Craquea contraseñas de hashes de MD2, MD4, MD5, SHA-1 y RIPEMD-160
Tipos de autenticación en RED de Sistemas Windows que se pueden atacar con Caín Y Abel, la mayor parte de ataques se realizan por fuerza bruta y comparación con diccionarios, respecto a las contraseñas almacenadas localmente se ataca por fuerza bruta el archivo SAM en el %systemroot%system32\config\sam.
Contraseña-------------------- Algoritmo Hash -------------------Valor Hash
Perro---------------------------- Algoritmo Hash------------b59f51c4456ad5679900
Autenticación Clientes Soportados
LANMan Todos
NTLM NT+ SP3, Windows 2000
NTLMv2 NT + SP4 y Windows 2000
Kerberos Windows 2000
7. ¿Qué pasaría si encontramos un sistema operativo Unix con particiones con VLM, se podría realizar el ataque?
En efecto se puede realizar el ataque debido a que está a pesar de ser una partición del Kernel del SO Linux si se tiene el conocimiento necesario se puede montar la partición y ejecutar los comandos necesarios para romper la clave por ataque físico.
8. ¿Qué pasaría si en la carpeta /etc. se encuentra en una partición aparte, que se debe hacer para poder realizar el ataque?
En caso de encontrarnos con una situación similar lo que realizaremos es una búsqueda y montaje de todas las particiones que tenga nuestro sistema victima hasta alcanzar la partición deseada /etc/ para poder establecerla como root, sin embargo hay otro mecanismo y es emular el sbin montándolo en una partición previo montaje de la partición raiz # chroot /media sbin/passwd root esto permite modificar el archivo /media/etc/shadow.
9. Investigar si existe alguna forma de anular el password de root editando el archivo /etc./passwd o /etc/shadow
Podemos emplear editores de texto con permisos de administrador:
vipw -s : para editar el /etc/passwd
vipgr -s : para editar el /etc/group
-s : permite editar el archivo de manera segura
Loguearse como super usuario
# vipw -s
10. ¿Qué sistema operativo de los manejados en el laboratorio considera usted que es más seguro?
De acuerdo a las múltiples formas de romper las contraseñas de los diferentes sistemas operativos podemos afirmar con certeza que uno de los sistemas más seguros seguirá siendo Linux debido a que la persona que efectué un ataque de este tipo deberá tener conocimientos mínimos acerca del sistema operativo y acceso directo al servidor para efectuar cualquier tipo de procedimiento, En los SO de Linux hay diversos mecanismos para cifrar las contraseñas del sistema mediante algoritmos muy potentes, adicionalmente en la red siempre hay personas que están buscando solventar las falencias de seguridad dándonos un poco más de tranquilidad.
Linux es mucho más seguro en la red debido a que se han resuelto muchos problemas de seguridad y las actualizaciones son totalmente gratuitas facilitando mucho la protección en los entornos de red, en cuanto a los ataques de seguridad física no hay nada que hacer si no protegemos con diversos mecanismos de acceso y seguridad, chapas, desactivar unidades de CD, puertos USB, asegurar la carcasa, habilitarle clave al BIOS seleccionando el arranque únicamente por el HDD y tratar de proteger nuestro servidor de acceso a personas no autorizadas, aunque para todas estas medidas hay su contra lo que haríamos realmente es dificultarle la labor al atacante de lo contrario podemos estar considerando por perdida nuestra información.
*Puntos Extras.*
Descargue la Herramienta Ophcrack LiveCD y realice un taller del mismo
explicando para que sirve y como se utiliza.
explicando para que sirve y como se utiliza.
Esta herramienta permite mediante el boteo del host realizar el descifrado de los password almacenados el archivo sam en los sistemas operativos de Windows, esta herramienta de uso gratuito y totalmente libre en su configuración mediante auto inicio realiza el montaje automático de las particiones de Windows ubicando el archivo sam y aplicando Rainbow Tables. En estas tablas se incluyen caracteres tales como:
"0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!"#$%&' ()*+,-./:;&<=>?@[\]^_`{|}~"
Incluido el espacio, por lo que aseguran que romperá las claves de longitud de 1 a 14 caracteres en mayúsculas, minúsculas o numéricos el 99,9% de las veces, y el 96% de las veces cualquier cadena de 1 a 14 caracteres que contenga cualquiera de caracteres de la lista anterior.
1. Botear por Live CD y seleccionar la opción automática:
2. Dar Enter y….
3. Esperar…..
4. Dependiendo de la cifra la aplicación tardará unos minutos en romper la cifra y mostrarnos la clave.
5. Una vez hallada la clave cerramos, presionamos una tecla y ya tendremos nuestra contraseña.
6. Una vez iniciemos la máquina nos pedirá comprobar los discos pero no es problema.
1. Mecanismos de acceso a una máquina de manera Física:
En la actualidad existen diversos mecanismos que permiten mediante acceso físico a la máquina tener acceso a la información de nuestro sistema, primordialmente tener acceso a las contraseñas y/o archivos que las almacenan entre ellos tenemos:
a. Romper Password mediante ataque físico en Linux.
Este procedimiento lo podemos realizar de dos maneras, una de ellas es:
1.1. Empleando cualquier distribución que soporte el montaje de las particiones del Sistema Operativo de Linux, para el ejemplo emplearemos la distribución llamada Bactrack versión 5, una vez hayamos iniciado la máquina procederemos a crear un directorio temporal para realizar el montaje de la partición del root.
# mkdir /media/partición
1.2. Empleamos el comando # fdisk-l para identificar las particiones que están creadas en el Sistema Operativo.
1.3. Mediante el comando mount /dev/sda2 /media/partición realizamos el montaje de la partición a atacar, esta deberá contener la partición /etc, comprobamos:
1.4. Mediante el comando chroot /media/partición establecemos como raíz la partición montada temporalmente:
1.5. Ya hemos establecido la partición como la raíz con permisos de root
1.6. Ahora mediante el comando # passwd cambiamos el password del root:
1.7. Detectamos que se genera un error al intentar cambiar el password, esto nos indica que hay un erro y no detecta el dispositivo /dev/urandom por lo cual lo vamos a crear.
# mknod /dev/urandom c 1 8
1.8. Volvemos a intentar cambiar la clave del root:
Y lo hemos logrado ya se ha cambiado la contraseña, al reiniciar nos aparecerá la ventana de bienvenida allí seleccionaremos el usuario root y podemos ingresar con la nueva contraseña generada.
2.0. Cambiar la contraseña por ataque físico en Windows.
Para cambiar la contraseña en el Sistema Operativo de Windows tenemos varias opciones, entre ella podemos emplear varias distribuciones: Bactrack, Ophcrack Live CD, Hirens Boot CD para el ejemplo emplearemos el Hirens Boot Cd V9.3 que nos permite acceder por las herramientas de Password y seguridad:
1. Boteamos la maquina con el cd adentro para arrancar e ingresar a las opciones del Boot cd.
2. Seleccionamos Siguiente:
3. Seleccionamos Password & registry tools
4. Emplearemos el active password Changer v 5.0
5. Seleccionamos la opción 2
6. El buscara en el archivo SAM las claves encontradas y nos desplegará el menú que permite cambiar la contraseña
7. Aquí encontramos los usuarios que han sido identificados en nuestra máquina.
8. Al seleccionar el usuario podemos editar las opciones para él y hacer uso de la máquina como consideremos conveniente.
9. Es así como habremos alcanzado nuestro objetivo:
No hay comentarios:
Publicar un comentario