Contraseñas de Windows

Mirando los feeds de “una al día” de Hispasec, he ido a parar a un fantástico artículo sobre la seguridad en las contraseñas locales en sistemas Windows dividido en varias entradas. Concretamente está en los siguientes enlaces:

Básicamente comentan la existencia de un fichero donde se almacenan las contraseñas (SAM), que como ya sabemos únicamente se guardan cifradas. Así pues, siempre que se realiza una comprobación de contraseñas realmente se realiza una comprobación del cifrado de las mismas (esta es la razón por la cual en los sistemas “seguros” un administrador nunca podrá recordarte tu contraseña si la has perdido, únicamente podrá crearte una de nuevo, ya que no será capaz de recuperarla a partir del cifrado).

Security

Por lo que nos comentan los amigos de Hispasec, inicialmente Windows usaba el algoritmo LM para el cifrado de las contraseñas (permitiendo contraseñas de hasta 14 carácteres), que introducía numerosos fallos de diseño y facilitaba la vida a los atacantes que buscaban mediante programas de fuerza bruta crear una contraseña que generase el mismo cifrado. Posteriormente Windows sacó el nuevo algoritmo NTLM, mucho más robusto, pero que no añadía seguridad, debido a que hasta la aparición de Windows Vista, se almacenaban los resultados de aplicar ambos algoritmos (LM y NTLM) en el mismo fichero de passwords (SAM), con lo que un atacante únicamente tenía que ignorar la clave NTLM y centrarse, como hasta ahora en el LM.

Como punto a favor, diremos que se puede anular el almacenamiento en cifrado LM usando passwords de 15 o más caracteres, o incluso forzando al sistema a no usarlo

Como último apunte, me quedo con el intento de añadir seguridad por parte de Microsoft, añadiendo un cifrado del cifrado con el uso de Syskey, que da las opciones (que nadie, que conozca, usa o ha usado) de tener que introducir manualmente el cifrado al iniciar el PC, o mediante el uso de un disquette, imposibilitando así que un atacante pueda conseguir este segundo cifrado (ya que está en tu cabeza o en un medio físico externo).

Flickr! Foto por Brad & Sabrina

Admin$

Admin$ es un recurso de red que nos permite saber si podemos conseguir permisos de administrador local en una máquina remota. Por defecto se crean en todos los sistemas operativos basados en NT (NT/2000/XP/2003) que comparten, además, cada partición del disco duro (C$, D$, etc.). Fuente:Wikipedia

Por nuestra parte, entonces deberíamos poder acceder al PC remoto de cualquiera de las siguientes maneras:

  • \\ip_pc_remoto\Admin$
  • \\ nombre_pc_remoto\Admin$

Después de autenticarnos, tendremos acceso al directorio %SYSTEMROOT% del PC en cuestión.

Esta semana me he encontrado un cliente con Windows XP Profesional SP2, con estos recursos no disponibles (mostrando el típico mensaje de “No se puede encontrar la ruta de acceso a la red”). Para reproducir el problema hemos seguido estos pasos:

  • Hemos entrado en el registro de un PC de test con Admin$ habilitado, para comprobar que no tenía la clave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\LanManServer\Parameters\AutoShareWks.
  • Hemos creado esta clave AutoShareWks tipo DWORD dándole valor 0 (deshabilitado).
  • Una vez reiniciada la máquina hemos comprobado que efectivamente, hemos perdido la conectividad con Admin$.
  • Dejando el valor de AutoShareWks a 1 y reiniciando el PC de nuevo hemos vuelto al punto de partida.
  • Cómo inicialmente no contábamos con esta key, la hemos eliminado, reiniciado por tercera vez la máquina, y como era de suponer, sin perder el acceso a Admin$.

En caso de que la máquina hubiese sido un servidor, habríamos trabajado con la key AutoShareServer.

Por cierto, Google no permite realizar búsquedas usando el símbolo ‘$’ salvo alguna excepción (cómo $10), así que no ha sido fácil encontrar esta información. Espero que os sirva!

El “otro” blog

GoogleNo hace mucho que empecé a leer los sites que más me gustan a través de las suscripciones RSS.

Actualmente estoy usando el fantástico Google Reader, que entre sus muchas funcionalidades, me ha llamado especialmente la atención la de compartir las entradas que te parecen más interesantes. Haciendo esto, no solamente permites que tus contactos de gmail que también usan Google Reader puedan acceder a tus entradas compartidas, sino que además automáticamente se genera un blog con estas entradas compartidas.

En mi caso concreto “mi otro blog” es éste.

Flickr! Foto por Simon Davison