www.MegaLab.it

[Matilda12]

Buongiorno a tutti,
è parecchio tempo che "seguo" il sito, ma solo ora mi sono deciso a scrivere il mio primo post.
Sono un utilizzatore e debitore del mitico cd di MegaLab ... quello che, per intenderci, viene tirato fuori in occasione di crash o inaccessibilità del sistema.
Vengo al punto: mi trovo in una rete intranet con tutti gli elaboratori a dominio.
Il mio problema è recuperare le password di dominio (anche gli hash ... poi con le rainbow tables provo a recuperare la password in chiaro) degli utenti che si sono loggati dalla mia macchina.
Cerco di spiegarmi meglio. Ho trovato la chiave del registro dove sono nascosti gli ultimi 10 utenti loggati nel dominio ... praticamente dove Windows tiene la cache degli ultimi utenti validamente loggati. Il problema è che non riesco ad estrarre questi benedetti hash.
Se "entro" nella mia macchina con il cd di MegaLab ed utilizzo il tool rintracciato in rete per il dump della cache (cachedump ... appunto!!!) mi viene restituito un errore, connesso al blocco attivato dal sistema syskey di Windows.
Mentre, se "entro" nella mia macchina regolarmente (quindi il syskey ha già fatto il suo lavoro ed ha passato tutto a lsass ... giusto?), non posso utilizzare cachedump a causa delle protezioni "da remoto" che governano la mia macchina.
Insomma, la questione è un po' complessa ... gli strumenti forniti con il cd di MegaLab consentono solo (almeno credo) di vedere le password degli utenti locali ... ma nulla si dice delle password di dominio conservate nella cache della macchina ...
Qualcuno è interessato alla cosa e sa darmi un suggerimento?
Intanto io proseguo le mie ricerche ...
Ultimissima richiesta: non credo che sia possibile, ma, secondo voi, esiste un tool in grado di bloccare il cambio password dell'amministratore (locale) della macchina?
Grazie
Matilda

[crazy.cat]

Direi che la risposta è no per entrambe le domande (almeno per quello che conosco io).

Di tools per scoprire le password ne ho provati tantissimi, ma uno per leggere le password di rete degli utenti devo ancora trovarlo.
Ed è bene che non ci sia altrimenti saremmo molto vicini ad un'azione molto poco legale.

In quanto alla password dell'amministratore non mi risulta sia possibile bloccarla, almeno su xp home, forse qualcosa si può fare su xp professional, ma prima di domani non posso verificare.
(felice se qualcuno riesce a smentirmi subito)

[Matilda12]

Prima di tutto: grazie Crazy.Cat per l'attenzione!
In secondo luogo: Buon Natale, visto che quasi ci siamo.
Infine: qualcosina in rete ho trovato. Mi spiego meglio: ho rintracciato dei software per ottenere l'hash delle password degli utenti di dominio validamente loggati (siano essi "power/normal user" siano essi amministratori). I sw sono tutti freeware.
Qualcuno, in pratica, non sono riuscito a farlo funzionare, mentre altri hanno funzionato solo su alcune macchine.
Finale finale: se la password è robusta (alfanumerica sopra i 9 elementi) è praticamente impossibile (anche con le rainbowtables) scoprirla ... a patto che:
- la tecnologia resti quella di adesso (cosa molto difficile!)
- la password venga cambiata regolarmente ogni 3 mesi (+/-) ... ossia il tempo necessario per creare la rainbowtable di un certo hash
- non vengano utilizzati tanti computer "in batteria"
- la password non sia ricompresa dentro qualche dizionario ...
Almeno questo mi riporta l'esperienza fatta.
Personalmente reputo la discussione molto interessate, ma non so quanto è "legale" ed accettabile parlare in maniera "esplicita" di certi meccanismi.
Si può fare?
Matilda

[ste_95]

Direi di parlare di come funziona la criptazione delle password in Windows, dove vengano salvate e come possano essere recuperate non sia illegale, però rimaniamo nei limiti della legalità