Kata Sandi Menghancurkan Akun Windows

Di tempat kerja, kami memiliki laptop dengan hard drive terenkripsi. Sebagian besar pengembang di sini (kadang-kadang saya juga bersalah) meninggalkan laptop mereka dalam mode hibernate ketika mereka membawanya pulang pada malam hari. Jelas, Windows (yaitu ada program yang berjalan di latar belakang yang melakukannya untuk windows) harus memiliki metode untuk tidak mengenkripsi data pada drive, atau itu tidak akan dapat mengaksesnya. Yang sedang berkata, saya selalu berpikir bahwa meninggalkan mesin windows dalam mode hibernate di tempat yang tidak aman (tidak bekerja pada kunci) adalah ancaman keamanan, karena seseorang dapat mengambil mesin, membiarkannya berjalan, meretas akun windows dan menggunakannya untuk mengenkripsi data dan mencuri informasi. Ketika saya harus berpikir tentang bagaimana saya akan membobol sistem windows tanpa me-restart itu, saya tidak tahu apakah itu mungkin.

Saya tahu adalah mungkin untuk menulis sebuah program untuk memecahkan kata sandi windows setelah Anda memiliki akses ke file yang sesuai. Tetapi apakah mungkin untuk menjalankan program dari sistem Windows yang terkunci yang akan melakukan ini? Saya tidak tahu cara melakukannya, tetapi saya bukan ahli Windows. Jika demikian, adakah cara untuk mencegahnya? Saya tidak ingin mengekspos kerentanan keamanan tentang cara melakukannya, jadi saya akan meminta seseorang untuk tidak memposting langkah-langkah yang diperlukan secara terperinci, tetapi jika seseorang dapat mengatakan sesuatu seperti "Ya, mungkin drive USB memungkinkan eksekusi yang sewenang-wenang, "Itu akan luar biasa!

EDIT: Idenya dengan enkripsi adalah bahwa Anda tidak dapat me-reboot sistem, karena begitu Anda melakukannya, enkripsi disk pada sistem memerlukan login sebelum dapat memulai windows. Dengan mesin dalam keadaan hibernate, pemilik sistem telah mem-bypass enkripsi untuk penyerang, meninggalkan windows sebagai satu-satunya garis pertahanan untuk melindungi data.

Meninggalkan mesin dalam mode hibernasi jelas tidak aman, kerentanan telah ditemukan di mana RAM masih berisi kunci untuk bitlocker (dan lainnya) dalam memori hibernasi. Sudah ada bukti serangan konsep di luar sana untuk kerentanan ini.

Metode serangan adalah dengan cepat me-reboot PC dan membaca isi RAM (yang tidak hilang ketika daya terputus) maka suatu program dapat mencari dump untuk kunci.

http://www.eweek.com/c/a/Security/Researchers-Crack-BitLocker-FileVault/

Microsoft mungkin sudah memperbaiki ini.

namun perubahan kata sandi normal tidak memengaruhi enkripsi, karena konten yang dienkripsi tidak dapat diakses tanpa kata sandi yang benar, sehingga pengubahan kata sandi disk boot yang sederhana bukan risiko keamanan.

Seperti yang disebutkan oleh workmad3 , cara terbaik untuk menyerang mesin yang dikunci tanpa me-reboot adalah untuk melihat seberapa rentan mesin itu dari koneksi jaringan.

Ini akan tergantung pada kebijakan keamanan yang berlaku di jaringan Anda. Misalnya, apakah semua akun domain memiliki akses administratif ke PC ini? Jika demikian, periksa bagian default (\ pc-name \ c $). Jika pembagian default telah dinyalakan karena alasan apa pun, Anda memiliki akses ke seluruh konten PC melalui jaringan dengan akun Anda sendiri. Saya tidak yakin apakah ini berfungsi dengan hard drive terenkripsi, tetapi itu akan sangat mudah untuk diuji.

Setelah Anda memiliki akses ke PC dari jarak jauh, Anda dapat menggunakan alat seperti alat Sysinternals PsExec untuk menjalankan program dari jarak jauh.

Tentu saja, itu hanya satu vektor serangan, dan itu mungkin bahkan tidak bekerja dengan hard drive terenkripsi, tetapi itu memberi Anda gambaran tentang apa yang bisa dilakukan.

EDIT: Jika laptop memiliki Firewire Port yang aktif, Anda dapat melihat kerentanan ini . Sekali lagi, saya tidak tahu apakah ini akan membantu dengan mesin terenkripsi, karena ini didasarkan pada akses memori langsung (yang harus dienkripsi).

Jelas, jika seseorang memiliki akses fisik ke mesin, semua kredensial yang disimpan dapat dianggap dikompromikan.

Jika seseorang dapat, misalnya, mem-boot dari perangkat USB atau drive optik, orang dapat menggunakan alat titik dan klik seperti Ophcrack untuk memulihkan semua kata sandi. Petunjuk di sini: USB Ophcrack | Pemecah kata sandi Login Windows

Sunting: Ya, saya sadar Anda secara teoritis tidak dapat kembali ke "hard drive terenkripsi" jika mesin di-boot ulang. Apakah klaim itu berlaku atau tidak sepenuhnya tergantung pada perangkat lunak yang digunakan untuk mengakses partisi yang dienkripsi. BitLocker tampaknya melakukan pekerjaan yang layak, tetapi banyak implementasi sebelumnya pada dasarnya adalah lelucon - dan jika Anda dapat mengakses mesin itu mudah untuk membuang database SAM ke USB stick dan melakukan cracking offline.

Yah, pikiran pertama saya adalah untuk membangunkannya dari hibernate, sampai ke layar kata sandi dan kemudian mulai melihat apa yang rentan melalui koneksi jaringan. Jika keamanan jaringan mesin yang sebenarnya tidak maksimal, maka Anda bisa mendapatkan akses ke banyak informasi dengan cara ini.

Saya ingin tahu apa yang akan terjadi jika Anda membakar CD-ROM dengan autoplay.ini yang sesuai dengan keperluan percobaan Anda, kemudian menyebabkan mesin untuk bangun dari mode hibernate. Saya sebenarnya tidak tahu apa yang akan terjadi, tetapi metodologi semacam itu adalah apa yang akan saya jelajahi jika mencoba menyerang mesin yang berhibernasi - membuatnya bangun dan memperkenalkan yang dapat dieksekusi ke salah satu port-nya. Apakah ada port firewire? Secara teori itu kemudian dapat diretas dari antarmuka itu.

Jenis enkripsi apa yang Anda gunakan? BitLocker? Sistem file terenkripsi? Tanpa mengetahui, saya tidak bisa langsung menjawab pertanyaan Anda.

Bagaimanapun, keamanan Anda akan sama baiknya dengan tautan terlemah. Anda perlu memastikan semua tambalan keamanan terbaru diinstal dengan segera. Jika tidak, alat seperti MetaSploit dapat digunakan untuk menguji kerentanan yang diketahui dan mendapatkan akses pengguna atau admin.

Vista dan XP-sp3 jauh lebih rentan daripada OS sebelumnya yang menyimpan kata sandi yang dienkripsi sederhana untuk kompatibilitas LANMAN. Anda masih dapat memecahkan kata sandi yang mudah menggunakan beberapa tabel pelangi yang sangat besar tetapi sebaliknya cukup aman dari alat-alat seperti ophcrack.

Pada sistem enkripsi harddisk saya (PGP) saya diminta untuk memasukkan kata sandi enkripsi ketika kembali dari hibernasi.

Dari Penangguhan, itu tidak diizinkan.

Jika Anda menggunakan file hibernasi EFS TIDAK dienkripsi dan harus dianggap mengandung materi kunci sensitif yang diperlukan untuk mendekripsi file EFS pada disk.

Jika Anda menggunakan enkripsi disk penuh, file hibernasi dienkripsi dengan yang lain dan risiko ini dikurangi.

Ada sejumlah vektor serangan untuk bitlocker / TPM termasuk sejumlah pengintaian bus dan serangan gaya prahara. TPM tidak dirancang untuk melindungi informasi Anda dari TLA yang ditentukan tetapi masih cukup efektif dalam kasus penggunaan umum dunia nyata.

EFS dapat dielakkan dengan memecahkan kata sandi pengguna kecuali jika opsi syskey yang berarti diaktifkan untuk mengurangi risiko ini. EFS lebih baik daripada tidak sama sekali kecuali jika Anda menggunakan syskey dan kata sandi tahan tabel ra1nb0w Ub3r Anda tidak benar-benar menghadirkan penghalang yang signifikan untuk kompromi data EFS Anda di tempat pertama.