[T1] Las contraseñas de Windows y su funcionamiento – Parte 1

18 abril, 2015

Hacking, Windows

¿Donde y como se almacenan?

    Las contraseñas de windows se almacena en el archivo SAM y esta ubicado en %systemroot%\system32\config archivo que se queda bloqueado porque se encuenta en memoria y esta utilizado por los procesos del sistema. En cambio  si arrancamos el equipo desde un LIVE CD este archivo no esta bloqueado y se puede copiar.

   En %systemroot%\repair también encontramos el archivo SAM solo que dicho archivo se creo a la instalación del sistema y almacena la clave original de Windows por esto cuando se instala el Windows recomiendo en no poner ninguna clave  y una vez arrancado por primera vez el Windows definir una clave para el usuario con derechos de administrador.

   %systemroot%\repair (backup) El archivo SAM se llamara sam._ y se crea cuando el usuario admin crea una copia de seguridad

   LASS (memoria) – el proceso administra los usuarios y las contraseñas con otras palabras mantiene en la memoria el contenido el archivo SAM

  Regedit Los hash se pueden volcar desde el registro de Windows (HASH – Los hash o funciones de resumen son algoritmos que consiguen crear a partir de una entrada (ya sea un texto, una contraseña o un archivo, por ejemplo) una salida alfanumérica de longitud normalmente fija que representa un resumen de toda la información que se le ha dado (es decir, a partir de los datos de la entrada crea una cadena que solo puede volverse a crear con esos mismos datos)). Cuando dos ficheros, palabras o frases diferentes, producen una misma salida de hash a esto se le llama colisión.

   Windows tiene varios métodos para crear el hash o firma 

  1. Método LM (Lan Manager) – IBM crea este método y Windows lo adopto en los años 80. El método transforma todas las letras en MAYÚSCULAS acción muy peligros hay que tener en cuenta que se reducen el numero de caracteres con 27. El algoritmo rellena con caracteres NULL = 0 (cero) hasta completar 14 caracteres. La contraseña se divide en 2 partes de 7 bytes cada una haciendo que los programas de fuerza bruta analicen las dos partes en el mismo tiempo en vez de analizar una parte larga de 14 caracteres. A cada una de las partes se cifra junto con una constante con el algoritmo DES. Se concatenan los dos bloques teniendo una cadena de 128 bits. Este método es inseguro en windows porque el trozo aleatorio no se añaden al final de la cadena para hacerlas únicas y dificultando de este modo los ataques de fuerza bruta.
  2. Método NTLM (NT Lan Manager) – Este método no difiere mucho del anterior. Se añade caracteres Unicode y Case Sensitive y amplían las contraseñas a 128 caracteres que antes con LM podía tener 14 caracteres, el OWF se combina con MD4 y no se divide la contraseña en dos parte haciendo de esta forma imposible los ataques de Brute Force 
  3. Método NTLM v2 (NT Lan Manager v2) – La diferencia entre cliente y servidor no puede superar los 30 minutos, el hash es el de MD5 versión mejorada y con mucha seguridad y se incorpora HMAC (código de autenticacion del mensaje) para comprobar la integridad.

Hay muchas herramientas que automatizan el proceso de resolución de contraseñas.

Hay tres escenarios para realizar el ataque de obtener las contraseñas

  • Con acceso físico o remoto al equipo y con una cuenta con permisos de administrador
  • Con acceso al equipo fisico y sin acceso a ninguna cuenta
  • Sin acceso físico al equipo, solamente estamos en la misma red 

Todos estos puntos los vamos tratando en otro día

, ,

2 Responses to “[T1] Las contraseñas de Windows y su funcionamiento – Parte 1”

  1. oz amru Says:

    muuy bueno, parte 2 porfavoooooooooor

    Reply

Leave a Reply

Verificación Humana *