Unlockprocedure Windows 7 te omzeilen via DMA-aanval

Beveiligingsonderzoekers van ict-bedrijf Sogeti hebben op de Hack in the Box-beveiligingsconferentie in Amsterdam laten zien de unlockprocedure van Windows 7 te kunnen omzeilen door een Pcmcia-kaart in een pc te steken.

Windows 7 logoSogeti-onderzoekers Christophe Devine en Damien Aumaitre slaagden er in om via een speciaal geprepareerde Pcmcia-kaart het geheugen van een Windows 7-systeem te manipuleren. Zo kon het systeem worden ontgrendeld. Tijdens hun presentatie toonden de twee hackers hoe ze door de kaart in een laptop te steken met elk wachtwoord konden inloggen op een Windows 7-machine.

De hackers maakten gebruik van direct memory access, waarbij rechtstreeks informatie naar het geheugen wordt geschreven, zonder gebruik te maken van de cpu. De hackers konden niet alleen de loginprocedure omzeilen, ook het uitvoeren van in C geschreven code zou mogelijk zijn. De hackers slaagden er echter niet in om daarvan een werkend proof of concept te laten zien. Het uitvoeren van de code en het vergrendelen van een systeem zou mogelijk zijn op een volledig beveiligd systeem, met onder andere ondertekende drivers.

Door Joost Schellevis

Redacteur

03-07-2010 • 10:25

135

Reacties (135)

135
135
117
9
1
0
Wijzig sortering
Tja, als je fysiek toegang tot een PC (of server) hebt is het meestal een fluitje van een cent om je toegang te verschaffen. Dat geldt zowel voor standaard-installaties van Windows, MacOS en zelfs Linux.

En iedereen die nu begint met 'neee Linux niet' : Jawel. Je kunt simpelweg rebooten naar single-user en daar met een simpele passwd het root-password veranderen. De meeste distro's zijn zo geconfigureerd dat ze in single-user bij default alles mounten en je hebt dan ook meteen toegang tot /etc en andere leuke config-files waar je van alles kunt doen. Uiteraard kun je een GRUB configureren die dat niet toestaat maar dan hang je zelf ook in geval van calamiteiten of je moet terugvallen op een boot-CD/flop/USB en dat kan een hacker dan ook doen.

Kortom: Fysiek toegang tot systeem ===> onveilig. Neemt niet weg dat het erg bijzonder is dat een simpele gemodificeerde PCMCIA card een windows-pc al kan unlocken.
daarom gebruik je tegenwordig ook versleutlede disks,


ik denk dat dit probleem (lezende) zou moeten betekenen dat niet alleen MS hier een oplossing voor moet bieden maar dat het tijd word voor EFI zodat je je ram 'fysiek' kunt schijden tussen OS en Device drivers..
ik denk dat dit probleem (lezende) zou moeten betekenen dat niet alleen MS hier een oplossing voor moet bieden maar dat het tijd word voor EFI zodat je je ram 'fysiek' kunt schijden tussen OS en Device drivers..
Heeft totaal geen zin. Ieder OS is gevoelig voor deze hack en komt door gedrag en specificaties van PCMCIA, Firewire en Hot-Plug PCI(-X).

Werking is heel simpel:
  • Iemand plaatst kaart of Firewire Device
  • Device zegt tegen I/O controller dat hij de master is van de I/O bus
  • Device zegt gewoon tegen DNA controller kopieer jij eventjes van mijn memory space dat naar systeem memory space (kan namelijk niet direct)
  • Device zegt klaar en geeft I/O bus weer vrij aan CPU
  • En kwaad is geschied.
Overigens kan het ook andersom :)

[Reactie gewijzigd door Wim-Bart op 25 juli 2024 22:22]

Tja, als je fysiek toegang tot een PC (of server) hebt is het meestal een fluitje van een cent om je toegang te verschaffen. Dat geldt zowel voor standaard-installaties van Windows, MacOS en zelfs Linux.
Hiermee kun je binnen enkele seconden, vrijwel onopgemerkt, dingen uitvoeren op een systeem. Daarbij is het uitvoeren van code uiteraard nog het interessantst.

Stel je voor dat je naast een politicus in de trein zit. Hij neemt een telefoon op, let even niet op en jij steekt een pcmcia-kaart in z'n laptop. 5 seconden later trek je hem er weer uit en je hebt een keylogger geïnstalleerd (bijvoorbeeld).

Natuurlijk kun je met fysieke toegang altijd wel vervelende dingen met een systeem doen, maar dat vereist vaak dat je een systeem langer in je bezit hebt. Met deze exploit hoeft dat niet.
Een wachtwoord op grub maakt dat al onmogelijk. Dan heb je het wachtwoord nodig om naar single-user te gaan
Nou dit is niet echt een fout van windows denk ik hoor. DMA is gewoon een veiligheidsrisico dit is al heel lang bekend. Ga maar eens naar firewire kijken. Zelfde probleem. Zolang windows 7 het geheugen (gedeeltelijk) niet versleuteld blijft het ook een (eenvoudig te exploiteren) probleem, word het versleutel in de aanwezigheid van DMA acces blijft het een moeilijker (maar ongetwijfeld te exploiteren) probleem.Dat is een van de enige voordelen van usb boven firewire in mijn ogen. Vaak ook geheugenkaart aansluitingen die niet via usb gaan geven DMA. Dus bekijk allemaal maar eens je pc/laptop en zie hoe eenvoudig het is..
Anoniem: 147126 @almar3 juli 2010 11:23
Ik denk niet dat het zo eenvoudig is als even wat code op je SD-kaartje zetten en die dan in het SD-slot (die van mijn laptop hangt aan de PCI-e bus) drukken. Immers zal die code op dat kaartje dan niet zomaar uitgevoerd worden. Het 'hack-apparaat' moet dus wel actief zijn, en een geprogrammeerde microcontroller ofzo bevatten die actief het geheugen van het slachtoffer gaat scannen. Gelukkig is daar nog wel wat kennis voor nodig, en dat maakt de drempel om een Windows PC te hacken gelukkig wel hoger.

Wel een fout dat ze wachtwoorden niet gewoon standaard gehashed opslaan, zelfs in het geheugen...
Het gaat er niet om dat ze het wachtwoord uit het geheugen lezen, ze omzeilen de complete wachtwoord check als ik het goed begrijp.
SD = USB ≠ DMA
Nee, zoals Shadow zegt hangt die aan de PCI-e bus van een laptop. En PCI-e ondersteunt wel degelijk DMA; hoe dacht je anders dat SATA DMA kan werken?

(Ja, ik weet dat er ook USB-connected SD readers zijn. Ander verhaal)
Versleuteling is niet de enige oplossing. Segmentering van het geheugen, en DMA alleen aan kernel en device drivers toestaan kan ook.
Je mist het probleem. DMA gebeurt sowieso nooit door software, dus ook niet door de kernel of devide drivers of hardware. DMA gebeurt door hardware. Normaal gesproken doet de hardware dat op verzoek, zoals in het geval van SATA disks: read request -> DMA write. Deze hardware doet het spontaan, zonder dat er een driver om vraagt. Omdat het Direct Memory Access is, ziet je CPU het niet gebeuren. En als je CPU het neit ziet, hoe kan je OS dan ingrijpen?
en waar onthoud je dan die sleutel? op de harde schijf, kan je daar niet bij met dma?
Tja, DMA is nu eenmaal Direct Memory Access, een manier om randapparaten direct in het geheugen te laten schrijven. Je CPU moet erop kunnen vertrouwen dat de DMA-controller van dat apparaat in kwestie braaf in het juiste geheugen schrijft. Daar kun je niet 100% op vertrouwen bij een onbekend PCMCIA- of PCI-apparaat, zeker niet als het kwaadwillend geprogrammeerd is. Verbazend vind ik het idee van deze hackers dus niet.
Zonder DMA moet alle IO via de registers van de CPU, en dat is traag, warmteverwekkend en traag.
In een netwerk waar data zo risicogevoelig zijn zou de hardware door kwaadwillenden niet fysiek bereikbaar moeten zijn. Dus laptops met alleen USB, geen Expresscard of PCMCIA. De DMA-controller van USB zit namelijk op de USB-controller, die is bekend, en niet op het vreemde apparaat.

http://en.wikipedia.org/wiki/Direct_memory_access
Maar hoe sluit je een PCMCIA kaart op een computer aan? Het lijkt me niet een oplossing voor consumenten die even snel hun illegale windows willen "activeren"
Het gaat niet om de activatie maar om de Unlock procedure.
Je kan je computer opslot zetten met een wachtwoord als je even niet op je plek zit.
Dat kan dus nu blijkbaar worden omzeild met een pcmia kaart.

Oplossing? moderne laptop kopen die geen pcmia kaart slot heeft :+

Maar ik vind het wel slecht dat het kan.
Je moet dan ook je firewire en pccard disabelen want daarbij is het ook mogelijk.
Die was al langer bekend gewoon een oude ipod met linux die connect je via firewire en laat hem voor passworden scannen in het geheugen en dan wordt het unlocked.

Wat de onderzoekers hier deden was geen password scannen maar het password check gedeelte bij de lock procedure overschrijven waardoor er elk wachtwoord werd gepakt :)

Met maar 10 regels code oid.

@rutgerlak : http://conference.hitb.or...0with%20DMA%20Attacks.pdf een beetje zelfzoeken kan ook ;)

@exorcist, het maakt niet uit of het encrypted is als de laptop al aanstaat maakt encryptie niet uit, je kan met encryptie deze keys niet gebruiken als coldboot attack.

Maar zoals ze lieten zien, het hoeft er maar enkele seconden in te zitten en dan er weer uit halen, elk password wordt dan geaccepteerd

@dezejongeman :
Gojh ik denk dat een penetratie tester of hacker meer geïnteresseerd is in zakelijke laptops dan consumenten laptops :+

[Reactie gewijzigd door LuckY op 25 juli 2024 22:22]

het is dan wel zo dat op windows laptops niet heel vaak een firewire aansluiting zit.
pcmcia is inmiddels ook al vervangen door de expres aansluiting. maar misschien bied deze wel dezelfde mogelijkheid dan zou dit lek nog steeds veel gebruikt kunnen worden.

eigenlijk zou in het os de dit soort invoer apparatuur mee gelocked moeten worden om dit te voorkomen. zodat er alleen een uitvoer plaats kan vinden als de pc unlocked is.

edit:
@ Cave_Boy volgens mij is het zo dat de zakkelijke lijnen voornamelijk wel firewire ondersteunen maar de meeste laptops zijn volgens mij nog steeds bij de consumenten en deze hebben vaak geen geen firewire, maar een usb poort of 2 meer. dat betekent nartuulijk niet dat ze er niet zijn.

[Reactie gewijzigd door dezejongeman op 25 juli 2024 22:22]

Ik kom juist heel vaak firewire tegen... Bij laptops en pc's. Laptops natuurlijk wel de kleine variant... En het is vaak de 400 versie.
behalve Mac's, die hebben de grote variant, en alles ouder dan 2 jaar heeft firewire-800, behalve de Macbook geloof ik.

(mijn Macbook pro is iets ouder dan 2 jaar en heeft de 800 variant, full-size connector)
Anoniem: 360198 @LuckY4 juli 2010 16:43
Dan kan je net zo goed een bootable CD erin gooien, ww hash veranderen, klaar... Stukken sneller dan hardware aansluiten, passwords scannen, enz...
Nee gaat niet werke, want systeem vraagt eerst of autorun uitgevoerd moet worden en daarvoor moet je eerst inloggen.
Een bootable cd heeft niets met autorun in windows te maken.

met een hirens cd oid heb je over het algemeen een admin w8woord binnen 2 minuten verwijderd.
Anoniem: 360198 @LuckY4 juli 2010 16:46
Geeft dit dan geen problemen met beveiligde bestanden enzow?? Je krijgt nu ook de melding dat je bepaalde bestanden niet meer kan benaderen als je encryptie aan hebt staan en je je wachtwoord wijzigt op een niet officiële manier...
Moderne laptops hebben al jaren geen pcmcia (16bit) slot meer.

Dat is cardbus geworden (32bit).
Moderne laptops hebben al jaren geen cardbus slot meer.

Dat is ExpressCard geworden.
Een kwestie van tijd en deze kaart is ook in cardbus formaat beschikbaar.
Moderne laptops hebben al jaren geen pcmcia (16bit) slot meer.

Dat is cardbus geworden (32bit).
cardbus vreet doorgaans echter wel gewoon pcmcia kaarten dacht ik, het is volledig backwards compatible. Cardbus is gespecificeerd in de PCMCIA (5.0 of hoger) specificatie. (dus stiekem, nog altijd PCMCIA)
Anoniem: 338729 @itarix3 juli 2010 12:01
Maar ik vind het wel slecht dat het kan.
Je kan Microsoft echt niet hiervan de schuld geven, als jij een os moet maken dan is het eigenlijk alleen maar een kwestie van een goede balans vinden tussen veiligheid en functionaliteit, dat er een bugs worden gevonden is echt niet de schuld van Microsoft; die hackers verdienen weliswaar een complimentje , maar zoals LuckY al zei, er zijn al meer van dit soort hacks in omloop geweest.
true, MS moet je hier dan ook afrekenen om Patch snelheid en niet op buggvrijheid, met andere woorden als het na de volgende patch tuesday nog steeds kan - DAN heb je reden om schande te spreken ...
Waaom zou je dan van schande kunnen spreken? de groep waarbij dit uitgevoerd kan worden is inmiddels behoorlijk klein, EN dan moeten ze ook nog toegang hebben tot je PC/laptop...
Fysieke toegang tot een PC is altijd een probleem. Maar het enige nu van een lock screen is in het geval van mogelijk fysieke toegang tot het systeem. Nu is het dus mogelijk dat iemand toegang heeft tot jou systeem zonder dat jij daar achter komt, want je laptop is er nog, alle schroeven zitten op de juiste plek, en er is niks gedaan in een lock screen.

Maar goed, zaken waarvoor het belangrijk is staan toch op een TruCrypt volume die automatisch geunmount wordt als het lockscreen actief wordt. Toch?
Ik denk dat jij niet begrijpt hoe dit werkt. Dezelfde aanval bestaat tegen elk OS. Dit mechanisme negeert namelijk het OS en schrijft direct naar het geheugen (Direct Memory Access). Elke beveiliging die Windows 7 zou kunnen hebben zit in datzelfde geheugen en kan dus eerst uitgeschakeld/overschreven worden. Linux en OSX draaien ook vanuit RAM, niet ROM, en hebben dus ook dezelfde achterdeur.
Dan zit ik goed met mijn Packard Bell Easynote TR87! :D Ook geen firewire aansluiting. Maar ik verbaas mij steeds weer over mensen die blijkbaar niet veel anders te doen hebben en daardoor steeds maar weer nieuwe leaks vinden...
Voor sommige mensen is het hun werk...
Ik vraag me af of MS dit gaat fixen, het kan vast voorkomen dat een express/firewire/etc kaart nodig is, ook als de computer locked is.
denk het niet. Deze hack is al langer bekend dan vandaag :).
Nee hoef je niet zo bang om ze zijn. Er is een ding wat weg gelaten wordt in het hele verhaal. Hoe installeer je die PCMCIA kaart? In lock modus gaat windows 7 echt niet het device driver installeren en als je op de normale manier werkt met UAC is dat uberhaupt onmogelijk.

Dit geintje lukt dus alleen als je als admin het apparaat installleert en daarna het machine locked om het vervolgens te unlocken. Een beetje kip ei verhaal.

Het situatie dat je een willekeurige win7 bak gelocked en wel ziet en denkt ik stop er even dit PCMCIA kaart in kan je dus echt wel vergeten.
Anoniem: 187577 @Sloeber3 juli 2010 10:33
Jammer dat er geen bronnen bij staan en dat het artikel nog niet af is. Maar ik denk dat als Windows vergrendeld is (dus dat je je wachtwoord in moet vullen), dat je een pcmcia erin kan steken die het ontgrendelt.

Dit is wel weer een serieuze fout in Windows. Als de overheid dus een laptop kwijtraakt waar zo'n kaartje in zat, kan je meteen alle documenten inzien (ook encryptie key?!). Ben benieuwd of het ook werkt met Gnome, KDE en dergelijke.
Met Gnome gaat dit sowieso niet lukken. Deze zet de versleutelde map op slot nadat het 'lock'-scherm gemaakt is. Probeer maar eens het volgende:
  • 1. Log in en zet het scherm op slot
  • 2. Log met een andere gebruiker (via ssh bijvoorbeeld) in op de machine
  • 3. Wordt root (sudo su) en bekijk de inhoud van de map van de gebruiker die zijn scherm op slot heeft
Je zult zien dat er niks aanwezig is, behalve een symbolische link (tenminste, dit was zo in de development releases, hoe het nu is weet ik niet).

[Reactie gewijzigd door mzziol op 25 juli 2024 22:22]

Ook met Gnome gaat het gewoon lukken, het punt is dat deze hack gewoon OS code vervangt zonder dat het OS daar ook maar iets aan kan doen. Als de code van je OS wordt gewijzigd door een hack kan die hack alles doen wat ie wil.

Het wordt wel erg duidelijk dat vrij veel mensen hier niet helemaal begrijpen wat er gebeurt. Wat deze hack doet is dat ie opzoek gaat naar functie calls naar de programma code die passwords valideerd en deze vervangt door code die niks doet. Doordat dit via DMA gebeurt heeft het OS er geen weet van dat dit gebeurt en kan dit niet worden tegengehouden. Natuurlijk zou je KPP achtige dingen kunnen gebruiken (KPP werkt hier niet omdat deze alleen acties van drivers in de gaten houd) maar wie houd de hacker tegen om ook de code van KPP weg te patchen. Uiteindelijk kan je het de DMA hacker alleen lastiger maken doordat ie steeds meer code moet vervangen of doordat de code moeilijker te localiseren wordt maar helemaal oplossen gaat nooit lukken.

Wel kan je natuurlijk je data beveiligen door deze met een niet opgeslagen key te encrypten.

Beetje jammer dat dit nou als een Windows probleem wordt gepresenteerd (of in ieder geval door veel mensen zo wordt geinterpeteerd) terwijl het eigenlijk een probleem(als je het al echt een probleem moet noemen) is dat inherent is aan de hardware van vrijwel alle PC's met uitbreidingmogelijkheden die DMA ondersteunen (USB is wel veilig).

[Reactie gewijzigd door jmzeeman op 25 juli 2024 22:22]

Dat hangt er van af, wat altijd zal werken is sleutels uit het geheugen halen.
Maar wat niet werkt, is bijvoorbeeld bij asymmetrische encryptie die sleutel voor het starten of coderen gebruiken. En dat is waar windows faalt, met de grote fouten in MS-CHAPv2 wat de basis voor NTLM2 was. Het is 'bijna-hash' maar net niet helemaal, het is vrij eenvoudig om terug te rekenen tot een punt waarbij je een rainbow table kan gebruiken van 500MB om de rest te decoderen.

Dat is met RSA een stuk lastiger om te doen, om dat daar twee sleutels zijn, (het is ook geen hash algoritme) en dan heb je ook nog het probleem dat je met een shitload data zit die je allemaal moet hercoderen voor dat je reboot om te zorgen dat je daarna nog toegang hebt. Dat kost erg veel tijd, wat het hele idee van 'even unlocken met een PCMCIA kaart' praktisch onmogelijk maakt. Het kan wel, dat is het punt niet, maar op het moment dat iemand dat soort sterke beveiliging gebruikt, zet die persoon z'n computer in suspend, waarbij LUKS alle schijven lockt, en de geheugenadressen met sleutels even een paar keer van willekeurige data voorziet, en dan de swap partitie sluit en de sleutel weggooit. Op het moment dat de computer dan ge-resumed wordt, moet de sleutel opnieuw ingegeven worden, en de persoon-met-sterke-beveiliging zal dan gewoon eerst even die 'vreemde pcmcia kaart' er uit halen.

Wat dan een betere toepassing zou zijn is een PCMCIA kaart die zo ver naar binnen gaat dat je hem niet ziet, en dan een keylogger gebruiken om de sleutels op te vangen. Op dat moment kan je wel alles.
Met physical acces is het niet meer jou laptop maar de laptop van de aanvaller dan kan die tig andere aanvallen proberen waar je wel vatbaar voor bent :)
Anoniem: 321649 @LuckY3 juli 2010 12:10
Tenzij je bij de installatie je /home-disk hebt versleuteld, wat in bijv. de laatste Ubuntu-versie standaard kan tijdens de installatie. ;)

Ontopic: Niet zo erg netjes dat zo iets mogelijk is, maar het lijkt me iig wel gewoon via een windows update te fixen.

@HerrPino hieronder
Als data versleuteld op de harddisk staat, helpt alleen brute-force nog hoor. Dat het versleutelingsalgoritme open-source is, maakt niets uit tenzij er een grove fout in zit. (Maar aangezien die algoritmes wereldwijd worden gebruikt, hadden we dat waarschijnlijk al wel gehoort.)

[Reactie gewijzigd door Anoniem: 321649 op 25 juli 2024 22:22]

Als je je iemand zijn/haar harddisk in handen hebt kun je heeeel veel doen. En doordat Linux open source is kun je misschien nog wel meer. Je zou bijvoorbeeld je eigen Linux versie in elkaar kunnen zetten waarbij alle authorizatie checks verwijderd zijn. Daar hang ik dan jouw versleutelde harddisk aan... Op die manier ben je als hackert al een heel stuk dichter bij de gegevens op jouw versleutelde harddiskje.
Als ik met LUKS & Cryptsetup een schijf ga enrypten, zonder partitietabel, daar een LVM op zet, en daar op mijn systeem ga draaien, dan kan jij 40.000 jaar lang je *heel veel* doen voordat je met een beetje geluk de 1e RSA-1024 sleutel te pakken hebt. :)

Het is gewoon dikke onzin wat je zegt. Mensen die dit soort dingen doen, weten waar ze mee bezig zijn. Sleutels zitten niet zoals bij windows ergens in je systeem, of ergens leuk 'verstopt' in het geheugen, maar die moet je zelf invoeren. LUKS kan met je sleutel, (die van een passphrase afgeleid kan zijn) een RSA-gecodeerd stukje aan het begin van je schijf waar de sleutels voor de rest te vinden zijn (laaaaange sleutels) die dan door LUKS gebruikt kunnen worden om de schijf te openen voor lezen & schrijven.

Dus RSA om je sleutels te beschermen (superveilig), en dan gebruik je bijv. de volgende configuratie voor je data:

twofish-cbc-essiv:sha256 -h sha512

En niemand die je data kan lezen of terughalen. Dat kan je zelf dan ook niet als je je sleutels kwijt bent, dus dat is een nadeel.


Er is niets opgeslagen in binaries, in de source of in libraries, dat is juist het hele punt van beveiliging (wat microsoft nog niet door heeft - vooral met hun leuke 'protected storage' die je met programma's naar keuze kan uitlezen, bijvoorbeeld Cain). De beveiliging is een implementatie van algoritmes en formules, waarbij je sleutels gewoon niet op je systeem staan. En om dat het systeem open source is kan je nou juist jezelf overtuigen dat het inderdaad waterdicht is.
Anoniem: 28958 @johnkeates4 juli 2010 11:20
Nee, hoor. Niemand die encryptie gebruikt _weet_ wat hij doet. Hij hoopt dat er geen snelle manier is om decryptie te doen anders dan met de private key.
Als je de achterliggende wiskunde begrijpt, weet je wel wat je doet. Je kunt dan zelfs een vrij realistische afweging maken over de vertrouwelijkheid van je gegevens afgezet tegen de verstrijkende tijd. Op basis daarvan kies je een sleutellengte en je houdt natuurlijk de ontwikkelingen rondom het gebruikte algoritme scherp in de gaten. Succesvolle aanvallen op populaire crypto-algoritmen worden breed uitgemeten in de wetenschappelijke pers.
Ik zal proberen netjes te blijven, maar wat je nu zegt is echt enorme onzin. Een geencrypte schijf is een geencrypte schijf, zonder encryptiesleutel kom je daar echt niet bij. Als jij denkt dat je door het weghalen van de wachtwoord check ook maar 1 stap dichter bij de gebruikersdata bent, dan weet je echt niet waar je het over hebt.
Waarschijnlijk heeft ie ooit gehoord dat je een Windows-schijf aan een andere machine kunt hangen (eentje waar je admin bent) en dan lekker alle bestandspermissies kunt negeren. In combinatie met nooit gehoord hebben van beveiliging-door-encryptie (in plaats van beveiliging-door-permissies) kom je dan al snel bij zijn verhaal uit.
een oplossing is om hotplugable drivers sandboxed te draaien (dus in userland) maar de kans is dat dit wel eens een tijdje kan duren voor 't echt goed mogelijk is...
FUSE doet dat al een tijdje met filesystems.
De Windows SAM database is ook niet je van het, en je moet daar als bedrijf niet op vertrouwen. Encryptiesoftware doet wonderen, en als je belangrijke documenten op een laptop hebt dien je daar serieus over na te denken.

De SAM database heb je zo aangepast waardoor de passwords voor verschillende accounts verwijderd kunnen worden.
Eh. Nee hoor, bij moderne Windowsversies althans heeft de kernel een exclusieve lock op het bestand waar de SAM-database in staat. Knappe jongen als je dan nog dat bestand aan weet te passen.
Eh. Ja hoor. bij alle windowsversies kan je gewoon nog steeds de SAM database kopieren en lezen. Die leuke kernel lock is makkelijk te omzeilen via bugs in de driver debugfuncties, en anders kan je natuurlijk ook nog gewoon een offline-attack uitvoeren.

Verder kan je met DMA gewoon lekker geheugen bereiken zonder dat windows daar iets over te zeggen heeft.
en daarmee geef je dus eigenlijk ook meteen aan dat dit met elk OS kan......
Niet persee. Ik vermoed dat het toch echt iets te maken heeft met de manier waarop Windows met bepaalde verwisselbare media omgaat. Data hoort niet uitgevoerd te kunnen worden, om maar even een van de basisprincipes van beveiliging te noemen die in Windows nog nooit in orde is geweest.

P.S. Dat verhaal over de kernel lock en SAM database is in elk geval toch echt Windows-specifiek.

[Reactie gewijzigd door mae-t.net op 25 juli 2024 22:22]

Anoniem: 361785 @Korben3 juli 2010 13:49
ik kan je garanderen dat dit minimaal met vista sp2 heel goed werkt, voor win7 heb ik het nog niet nodig gehad dus dat durf ik niet te zeggen...

en natuurlijk werkt dit ook wel met XP en ouder.
Anoniem: 360198 @Korben4 juli 2010 16:51
Ooit van bootable CD gehoord???
hirens boot cd erin,
Systeem opnieuw opstarten en booten vanaf cd,
Active password changer draaien.
Sam database aanpassen.

Werk ook in vista of win7. Zonder problemen. Kost je 2 minuten.
encryptiesoftware doet hier helemaal niets tegen... Je schijf is al gedecrypt namelijk als je op het inlogscherm staat
Niet als je encryptiesoftware gebruikt die voor het Windows logon venster zit, en dus de aanmeldprocedure als het ware vervangt. Met een pre-boot login (na BIOS, voor Windows) valt de SAM database niet uit te lezen.
Laptops hebben vaak een PCMCIA-slot, waar je die kaart in kan stoppen.

Maar idd, het risico van dit 'lek' lijkt me zeer klein. Sowieso moet je dus al fysieke toegang hebben tot de computer, dan moet je ook nog eens een computer met een PCMCIA-slot hebben, en ook nog eens speciale software.

En hij is dus niet remote te exploiten, wat het risico nog verder verkleint.
compleet onwaar,

probeer maar eens een openbaar gebouw binnen te wandelen of zelfs een groot bedrijf,

als je het goed doet en een beetje snel werkt pak je de laptop van de system-admin,
en bereid je wat werk voor,


kaartje in de laptop - inloggen, batch-scriptje uitvoeren en je hebt je eigen admin-account op het domain - kun je savonds op je gemak lekker remote inloggen en je gang gaan...


lijkt me ideaal voor data-diefstal,
Als je best practices volgt, dan heeft het account waarmee je inlogt op je PC geen hoge privileges. Volgens mij kom je dan met een geprepareerd script niet heel veel verder
Anoniem: 360198 @i-chat4 juli 2010 17:04
Dat kon 10 jaar geleden, ja. Tegenwoordig loop je echt niet zo makkelijk meer een gebouw in. Daarnaast zijn IT-ruimtes allemaal afgesloten. Knappe jongen als jij zo even de laptop van de admin te pakken krijgt, hij is meestal de enige die wel aan veiligheid denkt van alle gebruikers in het gebouw. Weinig kans dus.

En dan? Hoe weet jij hoe je remote moet inloggen bij dat bedrijf?? Je weet welke protocollen, software, beveiligingslagen ze gebruiken, alleen omdat jij een kaartje in een laptop hebt gestoken?

Als een bedrijf zo simpel te beroven is als jij denkt, is dat een eenmanszaakje, of vragen ze erom.
tis ook simpel op te lossen. Als een pc gelocked is moet het toevoegen van nieuwe hardware ook gelocked zijn. Dus op dat moment geen nieuwe usb keys, pcmia kaarten etc meer toelaten.
dit gaat buiten het OS om dus Windows kan de pcmia kaarten in dit geval niet blokkeren.
Het doel van het locken van je pc is dat mensen met fysieke toegang niet op je systeem kunnen.

Het lijkt me evident dat het hebben van fysieke toegang tot de machine dus geen rare voorwaarde is.
Maar idd, het risico van dit 'lek' lijkt me zeer klein. Sowieso moet je dus al fysieke toegang hebben tot de computer, dan moet je ook nog eens een computer met een PCMCIA-slot hebben, en ook nog eens speciale software.
En de adapter moet de driver hebben geïnstalleerd voordat het device ook maar geactiveerd wordt.
Dat lijkt me een oplossing voor consumenten die de neiging hebben hun password te vergeten.
Je snapt natuurlijk ook wel dat deze adapter eerst geïnstalleerd moet zijn op het systeem, hè? En dat je dat alleen kan doen als je als admin ingelogd bent, toch? Moet ik het nog verder uitleggen?
Het gaat hier niet om de activerings procedure. Ze verschaffen zich toegang tot de machine zonder eerst een username en wachtwoord te hoeven invoeren.
Anoniem: 80466 @Shuriken3 juli 2010 12:40
Bij gelockte schermen hoef je ook geen usernaam in te voeren omdat er nog iemand ingelogd is.
Irritant dat je een first post wilde hebben zonder het artikel goed te lezen. Het gaat om het inloggen met wachtwoord niet het activeren van windows.

Dit gaat de beveiliging van windows dus niet ten goede, vooral bij bedrijven waar pc's van worden gejat die kunnen nu hun versleutelde data nu ineens toch verliezen na een diefstal.
De hackers maakten gebruik van direct memory access, waarbij rechtstreeks informatie naar het geheugen wordt geschreven, zonder gebruik te maken van de cpu.
Als dit klopt, is het dan niet zo dat *elk* OS hier door 'gehackt' kan worden?
Nee. Niet ieder OS laat usermode code overal in het geheugen schrijven, of zelfs maar een process in de adressspace van een ander proces schrijven.
DMA houd in dat een stuk hardware zonder tussenkomst van de CPU (en dus vaak ook zonder tussenkomst van het OS). Direct het geheugen kan beinvloeden, heeft dus weinig te maken met usermode code aangezien het hier veel lager ligt.

Overigens is juist Windows zo'n os dat in usermode code niet overal laat schrijven :).
Niet ieder OS laat usermode code overal in het geheugen schrijven, of zelfs maar een process in de adressspace van een ander proces schrijven.
Dat is inderdaan iets wat in Windows 7 niet kan.
Het is in dit geval de (verouderde) hardware die zonder tussenkomst van het OS toegang tot het geheugen heeft.
Het gaat niet om verouderde hardware. Het is gewoon een designbeslissing in de architectuur van x86. Die is nooit bedoeld om hiertegen bestand te zijn en zodoende gaat het fout. Onder elk OS, wat je ook draait, en er is niets aan te doen tot de x86-architectuur op de schop gaat.

Enige remedie: PC voorzien van volledige schijfversleuteling en helemaal uit als je 'm onbeheerd achterlaat. Misschien niet helemaal leuk omdat je dan weer moet opstarten als je terugkomt, maar dat is de prijs voor vertrouwelijkheid.
Het heeft geen bal met de x86 te maken. Hetzelfde probleem bestaat op de Power Mac met Firewire DMA.

Schijfversleuteling helpt ook absoluut niet, omdat de key ervoor in memory staat. En raad eens wat je met DMA kunt?
Anoniem: 178707 @Da_Teach3 juli 2010 10:44
Alleen als een PCMCIA-slot directe toegang tot het geheugen krijgt in de 'locked' toestand.
En dat is het geval. Zie http://www.wirelessforums...ire-pcmcia-dma-22834.html. Citaatje "PCMCIA is almost equivalent to PCI, which allows the hardware to take over the system as it likes"
Allemaal goed en wel maar als je iets fysiek in de pc dient te steken is de fun er snel vanaf.
Zou het niet zien als een lek maar meer als extra functionaliteit -> Wachtwoord kwijt, ff pcmcia erin en huppakee, je kan er terug in of zie ik het verkeerd
En wat is precies het nut van een wachtwoord als je het met fysieke toegang altijd kan omzeilen? Het idee van een wachtwoord is het voorkomen van toegang tot je apparaat door mensen die er fysiek controle over hebben.
Fysieke controle = game over. Het wachtwoord is dan ook niet voor de machine, maar voor de gebruiker en zijn account, dat niet eens lokaal hoeft te staan.
dit juist fun voor alle spionnen. toch wel erg james bond achtig: iemand die een bedrijf binnen sneakt in de lunchpauze, zo'n pcmcia device uit zn binnenzak haalt en even gauw wat bedrijfsdocumenten kopieert.
Volgens mij staan er genoeg tooltjes op de Hiren's boot cd om Windows wachtwoorden te wijzigen en zelfs compleet te verwijderen. Ik heb het nooit geprobeerd, maar ik zag de tooltjes wel voorbij vliegen.

Dan kan je zeggen dat hij niet ontgrendeld, maar als je de computer uitschakelt en weer aanzet met Hiren's boot cd erin, kan je alsnog toegang krijgen tot het account. :)
Tenzij er een wachtwoord op het bios staat en de computer eerst de hd probeerd. Dan zal je hem open moeten maken om het bios te resetten en dan kan je weer beter gewoon de hele pc of hardeschijf jatten.
Ja, maar dan moet je rebooten. Als je je laptop encrypted hebt en je reboot kan je het zo encrypten dat je eerst nog dat password moet invullen voordat Windows uberhaupt boot. Verder kan je nog een password in de BIOS voor het booten zetten.

Het erge hieraan is dat het Windows password fysiek gezien gewoon geen nut meer heeft, zolang de laptop aan staat.
waarom wordt dit niet verhinderd door Address space layout randomization?
ASLR is vooral bedoeld om het moeilijk te maken een succesvolle exploit uit te voeren bij een beveiligingslek in een proces, waarbij je dus je eigen code op de stack van het proces probeert te krijgen. Hier zit je in feite boven alle processen (in kernel mode) en kan je bij het volledige geheugen. Ergens moet toch iemand weten waar de stack en dergelijke staat, daar kan je gewoon naar zoeken als je toch overal bij kan ;)
ASLR is een randomization van de virtual address space van een proces. DMA werkt niet op virtual address space, maar op fysieke addressen.
Als je fysiek aan een apparaat kan komen, is het vrijwel ALTIJD te kraken.
Het is er nog niet voor Win7, zover ik weet, maar al eens gehoord van Ophcrack, dat haalt in de meeste gevallen gewoon het password te voorschijn.

En als je fysiek aan het apparaat komt, dan kan je evengoed gewoon de schijf eruit halen en aan een linux systeem hangen, dan krijg je er ook alles af, of je moet inderdaad al encryptie software hebben draaien, maar dan zal er nog wel een manier zijn om daar doorheen te komen.

Bescherming is leuk en aardig, maar de gebruiker is ten alle tijde verantwoordelijk voor zijn data. Dat Windows daarbij helpt, is meegenomen.

Als mijn data zo gevoelig zou zijn, dan zou mijn laptop in een kluis bewaard worden, of minimaal, een USB stick met de data erop.
Als je Windows 7 i.c.m. Bitlocker gebruikt dan kan je voor zover ik weet geen Ophcrack gebruiken.
handig, om iedere keer als je naar de wc loopt, de zooi in de kluis te gooien.
Anoniem: 365059 @cosmo_roel4 juli 2010 19:31
Beveiliging is er dan ook niet om je leven comfortabeler te maken.
denk niet dat we over 5 jaar allemaal zo'n PCMCIA kaart hebben.

denk zelfs dat dit mischien met de volgende update van windows al niet meer kan...
Via firewire etc lukt het ook...

Op dit item kan niet meer gereageerd worden.