www.MegaLab.it

[Edward]

Salve a tutti: una domanda molto curiosa: da poco mi è stato detto che qualsiasi password o codice digitati sul pc vengono registrati in un file (*.? non sò con che estensione.....).
Questo file, una volta aperto, può essere utilizzato per recuperare le password dimenticate.
Un programma come cain e abel, distribuito da una nota rivista informatica qualche mese fà, promette di essere in grado di recuperare qualsiasi password dal pc anche se digitata una sola volta e senza essere salvata, ma non spiega come.... e soprattutto norton lo riconosce come virus.. c'è qualcuno che sa rispondere a ciò?
E' possibile quindi che windows registri effettivamente le password in qualche meandro dei suoi files o in qualche chiave del registro? Se si, dove? Come? qual è la metodologia?
Sono aperte le strade della discussione........... a voi la parola...

[Matilda12]

Hai toccato parecchi argomenti contemporaneamente, eh ...
Una volta, se non ricordo male, c'era un file (000.pwl ... credo) ... adesso (ultime versioni di Windows) la chiave è ... nel registro.

Comunque non è sempre così ... dipende anche dalle impostazioni di sicurezza gestite nella sezione "Strumenti di amministrazione".

Comunque, per non oltrepassare la soglia della legalità, credo di poterti dire che una password ben strutturata (alfanumerica da almeno 8 caratteri, con qualche maiuscola laddove consentito) non è verosimilmente forzabile con un "normale" pc domestico.
Windows, per quanto possa saperne io, non conserva la password in chiaro, ma ne tiene "solo" una "impronta digitale non reversibile" (= hash).

La cosa "curiosa" è che esistono programmi freeware, molto più semplici di Cain & Abel, che strappano via l'impronta digitale delle password che Windows conserva nei suoi meandri, per consentire poi successive elaborazioni (magari proprio con Cain & Abel).

Che Norton vada in allarme per Cain & Abel è praticamente normale. Tale software (freeware) è visto come "pericoloso" viste le sue capacità ... (e tenuto conto inoltre che si fonda su una struttura client/server ... ulteriore elemento non gradito agli antivirus).

Comunque, aspetta il contributo di qualcuno più ferrato in materia ...


Matilda12

[clic]

Windows memorizza le password nel file SAM (Security Account Manager) che si trova in c:\windows\system32\config (li si trovano anche i file del registro di configurazione ed i log di sistema). Il file è di esclusivo uso dell'utente System quindi a mano non riuscirai ad aprirlo (tanto comunque non servirebbe assolutamente a nulla).
Ricavare le password da quel file è possibile ma non conosco le policies del sito al punto da andare oltre queste indicazioni.
In alternativa puoi resettare la password, molti programmi che trovi in rete lo consentono.

@Matilda purtroppo una password di 8 caratteri è facilmente bucabile con qualsiasi pc domestico, ci vuole solo tempo proporzionalmente alla complessità della stessa. Le password meglio se di 7 o 14 caratteri, sono più sicure, mentre con Vista non so se valgono queste considerazioni, non ho ancora avuto occasione di documentarmi.

Norton molto probabilmente segnala C&A, sviluppato da un gruppo di hacker (non cracker!) italiani, come un "hacktool" e non un virus proprio perché è uno strumento per forzare la sicurezza di un sistema. Fai caso all'avviso di Norton per vedere se è come dico.

Qui comunque puoi farti una cultura
http://en.wikipedia.org/wiki/Security_Accounts_Manager

[Edward]

Una volta, se non ricordo male, c'era un file (000.pwl ... credo) ... adesso (ultime versioni di Windows) la chiave è ... nel registro.

Windows, per quanto possa saperne io, non conserva la password in chiaro, ma ne tiene "solo" una "impronta digitale non reversibile" (= hash).

La cosa "curiosa" è che esistono programmi freeware, molto più semplici di Cain & Abel, che strappano via l'impronta digitale delle password che Windows conserva nei suoi meandri, per consentire poi successive elaborazioni (magari proprio con Cain & Abel).


Matilda12

Ciao, scusa se ti rispondo così in ritardo ma ho il pc in panne e ne sto usando un altro... Non sono tanto ferrato anche io in questi meandri: che cosa si intende per impronta digitale? Le passw comunque nn sono in chiaro.. perché allora c&a riesce a leggerle? Credo che questa discussione possa essere interessante per molti, ecco perché stò cogliendo l'occasione per fare un po' di chiarezza su certi concetti... nn solo per me, ma per tutta la comunità... ciao e a presto..

[Edward]

Windows memorizza le password nel file SAM (Security Account Manager) che si trova in c:\windows\system32\config (li si trovano anche i file del registro di configurazione ed i log di sistema). Il file è di esclusivo uso dell'utente System quindi a mano non riuscirai ad aprirlo (tanto comunque non servirebbe assolutamente a nulla).

Grazie anche a te. perché però dici che non servirebbe a nulla?

[clic]

Perché ci vuole un programma che ne interpreti il contenuto e non certo un editor di testo che ti visualizzerebbe solo caratteri incomprensibili.

[Edward]

Perché ci vuole un programma che ne interpreti il contenuto e non certo un editor di testo che ti visualizzerebbe solo caratteri incomprensibili.

Secondo te c'è uno specifico algoritmo per decriptare queste informazioni? Se così fosse.. non sarebbe troppo facile perdere le proprie passw, o meglio, non sarebbe troppo facile interpretrarle con programmi come c&a? O mi sbaglio?

[clic]

esistono differenti approcci per il cracking del SAM (che ti ho già detto essere possibile e quindi qualcuno ne conosce i punti deboli) e parecchi programmi che lo fanno piu o meno bene.
In sostanza abbiamo
- attacco a dizionario che usa file di testo che contengono milioni di parole
- attacco a dizionario che usa dizionari di hash già pronti e molto più veloce del precedente
- brute force

Per i tre ci sono altre varianti ma in linea di massima questi sono i principali.
Il discorso della sicurezza è complesso e in questo specifico caso l'attaccante ha bisogno di accedere fisicamente alla macchina in particolare riuscendo a fare il boot da un apposito cd o da una pendrive.

Quindi se abbiamo un pc aziendale dotato di allarme intrusione dello chassis, bios protetto da password e menu di boot disabilitato, è difficile portare a termine una operazione simile o quantomeno si rende la vita difficile ad eventuali malintenzionati.
Se invece mancano questi presupposti una persona che sa il fatto suo impiega pochissimo tempo ad ottenere quello che cerca, credimi.

Comunque se sei interessato all'argomento una bella ricerca su google ti consentirà di trovare parecchio materiale al riguardo ;)

[Edward]

Norton molto probabilmente segnala C&A, sviluppato da un gruppo di hacker (non cracker!) italiani, come un "hacktool" e non un virus proprio perché è uno strumento per forzare la sicurezza di un sistema. Fai caso all'avviso di Norton per vedere se è come dico.

Si, è vero..........

[dararag]

con vista è più difficile decriptare le password, perché mentre in xp, se non impostato differentemente, registra la password con l'LM, che divide le stringhe in più parti, lunghe sette caratteri ciascuna, tranne l'ultima, che può variare da 1 a 7, nel caso la pass fosse più lunga di 7 caratteri, mentre vista usa l'NTLM, che non divide le stringhe finchè non superano i 128 caratteri, oltretutto, il primo non distingue tra minuscole e maiuscole, il secondo si

[Edward]

Comunque se sei interessato all'argomento una bella ricerca su google ti consentirà di trovare parecchio materiale al riguardo ;)

Ti ringrazio tanto per la competenza e la gentilezza.
Cosa devo cercare su google? O meglio che parola uso per avviare la ricerca ? Non saprei proprio cosa digitare....

P.S. Scusate tutti per i ritardi nelle risposte, ma come vi dicevo, avevo il mio pc fuori uso.......
Ciao a tutti !

[Matilda12]

Salve a tutti,
mi permetto di aggiungere qualcosa e qualche termine mirato per una ricerca sulla rete (valido fino a WinVista escluso ... almeno credo!), con una doverosa premessa: quanto segue è frutto di mie passate ricerche; non ho fatto copia & incolla, ma ho estrapolato dai miei appunti ...

1) LM hash o LAN Manager hash
formato impiegato da Windows per immagazzinare le password inferiori a 15 caratteri; qui vale il discorso che la password viene "divisa in due", tutto "trasformato in maiuscolo" e "troncato/adattato" alla lunghezza massima consentita per la password; ogni troncone in cui è divisa la password è "attaccabile" singolarmente; si appoggia sull'algoritmo di criptazione chiamato DES; questo modo di gestire le password "locali" (non di dominio) fino a WinXP è stato conservato per una questione di compatibilità con le precedenti versioni dei SS.OO. di casa Microsoft (credo che con Vista le cose siano radicalmente cambiate ... temo!!!); in realtà da un certo punto in poi (con WinNT 3.1) è stato introdotto un algoritmo più sicuro (NTLM); la memorizzazione del valore sotto forma di LM hash può essere disattivata smanettando tra le opzioni richiamabili con il comando gpedit.msc da "Esegui"

2) NTLM = NT LAN Manager
metodo più sicuro per conservare le password locali; vale senz'altro quanto già detto da Dararag (non spezza più la password in due parti, non trasforma più tutto in maiuscolo); si appoggia sull'algoritmo di criptazione MD4

3) il file SAM, come giustamente detto da Clic, è una specie di database che conserva gli hash (le impronte) delle varie password, codificate secondo gli algoritmi sopra indicati; secondo alcuni (credo sia giusto) il file SAM, insieme ad altri, costituisce il registo di Windows (nel senso che il registro di Windows non è un file ben preciso, ma un insieme di informazioni, fornite da più file messi a sistema); il file SAM può essere cercato in queste posizioni:
a) %directorydisistema%\system32\config
b) %directorydisistema%\repair
c) HKEY_LOCAL_MACHINE\SAM (in questo caso, la chiave potrebbe risultare non visibile, ombreggiata o comunque bloccata ... bisogna agire sulle autorizzazioni e sulla protezione della chiave stessa)

4) Syskey aggiornamento introdotto da Microsoft che cripta "ulteriormente" i dati contenuti nel file SAM (molte informazioni in proposito si trovano nella guida di Windows)

5) LSA Local Security Authority (componente del S.O. che opera l'autenticazione dell'utente)

6) "rainbow table" & "time memory trade off" (tecnica relativamente recente per scoprire le password)


... una chicca (ho sofferto le pene dell'inferno per trovare l'informazione che segue): tutto quanto sopra vale (per quanto io possa saperne) per gli utenti "locali" ... le cose cambiano per le password di dominio.

Una prima considerazione.
Mi loggo in un dominio con l'elaboratore A, vengo identificato e faccio il mio lavoro. Disconnetto il pc (stacco materialmente il cavo di rete). Riavvio il computer e mi loggo come utente di dominio e ... vengo identificato!!! ... in sostanza: entro nel pc come se il server di dominio mi avesse riconosciuto e consentito di accedere all'elaboratore (sempre in locale, in quanto il cavo di rete era staccato).
Vado in un'altra postazione, cambio la mia password di utente di dominio e faccio il mio lavoro.
Torno all'elaboratore A, sempre con il cavo staccato, mi loggo con la nuova password e non entro. Mi loggo con la vecchia passord ed ho accesso. Spengo la macchina e riattacco il cavo di rete. Riavvio tutto, mi loggo con la vecchia password: accesso negato. Provo con la nuova password ed entro. Faccio quello che devo e spengo il pc.
Stacco il cavo di rete. Accendo e mi loggo con la nuova password (cavo di rete staccato): entro nell'elaboratore come utente di dominio.
Morale della favola, ho pensato: l'elaboratore deve salvarsi in locale l'impronta della mia password ...
Soluzione: HKEY_LOCAL_MACHINE\SECURITY\CACHE\NL$1
HKEY_LOCAL_MACHINE\SECURITY\CACHE\NL$2
... fino a 10
In realtà questa chiave di registro non è così in bella mostra, ma bisogna agire sulle autorizzazioni e protezioni della chiave stessa ... inoltre è possibile disabilitare la memorizzazione delle password di dominio.
Ultima cosa: gli hash di queste password sono codificati in formato MSCASH (sono pochi i programmi che masticano questo formato).


Magari varrebbe la pena farci un articolo ... penso che avendo mantenuto a questo livello la discussione, non si sia contravvenuto né alla Legge né al Regolamento del MegaForum. Almeno lo spero!!!




Matilda12

[Edward]

Salve a tutti,

Soluzione: HKEY_LOCAL_MACHINE\SECURITY\CACHE\NL$1
HKEY_LOCAL_MACHINE\SECURITY\CACHE\NL$2
... fino a 10
In realtà questa chiave di registro non è così in bella mostra, ma bisogna agire sulle autorizzazioni e protezioni della chiave stessa ... inoltre è possibile disabilitare la memorizzazione delle password di dominio.
Ultima cosa: gli hash di queste password sono codificati in formato MSCASH (sono pochi i programmi che masticano questo formato).

Grazie, sei stata mooolto esauriente, ma, ci sono quindi, come tu affermi, dei programmi che permettono di decriptare queste informazioni? Se si, puoi spiegare in maniera molto semplice (dove è possibile..) il loro funzionamento? E soprattutto, ne puoi menzionare alcuni?
Grazie.

[Matilda12]

... ci sono quindi, come tu affermi, dei programmi che permettono di decriptare queste informazioni? Se si, puoi spiegare in maniera molto semplice (dove è possibile..) il loro funzionamento? ...

Diciamo che, tendenzialmente, l'approccio è:
1) con un piccolo programma (molti freeware) prende l'impronta digitale codificata della password (ossia "alterata" attraverso uno degli algoritmi di criptazione sopra indicati)
2) un altro software (... magari freeware ) cerca di "mettere in chiaro" la password

Esempio:
1) il programma che strappa via dal pc l'hash ti restituirà una stringa alfanumerica (tipo "gj459fjh3r04384848fhfdos0i9t")
2) l'altro software andrà a fare una serie di tentativi sulla stringa sopra indicata, sfruttando i meccanismi correttamente descritti da Clic.

... E soprattutto, ne puoi menzionare alcuni? ...

Purtroppo, per questo, devo risponderti negativamente.
Credo che diversamente andrei contro il Regolamento del MegaForum e non è assolutamente mia intenzione.
Personalmente ho cercato le informazioni sopra riportate per testare la bontà della mia password e prevenire possibili intrusioni sul mio pc.

Ok?
Fai una ricerca in rete ... ti accorgerai pure che Google offre uno spettro di possibilità ben diverso da Altavista ... non dico minore/maggiore, ma "diverso".
Buona caccia al tesoro!!!


Matilda12