isf høstkonferanse 2014 - windows 8 autentisering og passord
TRANSCRIPT
Passordsikkerhet iWindows 8
John-André BjørkhaugSenior rådgiver informasjonssikkerhet
2
/me
• John-André Bjørkhaug
• BSc Electronics engineering
• CERN (SCADA), NSM (Pentest), Evry (Pentest+Network)
• Senior advisor information security @ Combitech
• In progress: Master i informasjonssikkerhet student @ HiG
• CCNP Security, LPT, CHFI, CEH, CPT, CEPT, CREA, Security+, etc. etc etc
Hvorfor studere autentisering i Windows 8
• Mange papers å skrive på en masterutdanning ...
• "Foundations in information security" @ HiG
• "Vulnerabilities in login authentication methods and password storage in Windows 8"
• http://www.slideshare.net/JohnAndrBjrkhaug/bjorkhaug2014windows8
4
Pre-Windows 8
5
Klassiske passordsårbarheter [1]Hashes• Hash av passord er lagret i SAM database• Ingen salt (random data lagt til passord)
• Brute-Force, Dictionary, Rainbowtable• LM (Opp til Windows Vista/2008)• Passord -> omgjort til store bokstaver og delt i 7+7• Rainbowtable -> 14 tegns passord, alle tegn
• NTLM• Rainbowtable -> 8 tegns passord, alle tegn
• Kan brukes i «pass-the-hash» attack• Logger på enheter med samme passord vha hash over nettet (SMB)• Metasploit
• Snakk med Per ! :-)
6
Klassiske passordsårbarheter [2]Omgå passord
• Bytt passord vha offline editering av Registry
• Linux boot CD (Peter Nordahl-Hagen)
• Patch pålogging ved oppstart
• KonBoot
• Patch autentiseringsmekanisme i minne
• FireWire (Inception, Carsten Maartmann-Moe)
• PCI Express (DefCon 2014, Fitzpatrick/Crabill)
• Utility manager, Utilman.exe (Win+u)
• Sticky keys, sethc.exe (shift x 5)
7
Klassiske passordsårbarheter [3]"Klartekst"-lagring av passord• Innført i Windows XP• Wdigest• "Single sign on" mot HTTP (eks Sharepoint)
• tspkg• "Single sign on" mot RDP (Remote Desktop)
• LiveSSP, Kerberos +++
• Disablet i Windows 8, men enables hvis SSO blir benyttet
• Kryptert med LsaProtectMemory, men dekrypteres lett med LsaUnprotectMemory <- fast nøkkel :-D
• mimikatz fra Benjamin Delpy• Windows Credential Editor fra Amplia Security
8
Windows 8/8.1Nå med flere sårbarheter ;-)
9
Alt det gamle fungerer fortsatt!!!
• Offline registry edit
• NTLM, ingen salt -> Rainbowtables
• Pass-the-Hash
• Patching av autentiseringsmekansime, boot eller i minne
• WDigest etc.
• Utilman/Sethc
• Microsoft: Hvorfor?
Touchscreen og passord
• Skjermtastatur• Kronglete med 1337Pa$$W0rD!!#
• iOS & Android• PIN• Mønster• PWND -> Shouldersurfing
• Ansiktsgjennkjenning• Pwnd -> bilde
• Fingerprint (iPhone 5, Galaxy S5)• Pwnd -> trelim
• Windows 8 på mange forskjellige enheter nå
11Bildet hentet fra: http://www.abica.co.uk/uncategorized/windows-8-business-personal-or-both/attachment/windows-8-devices/
Windows 8/8.1
• Picture password• PIN• Passord• Fingeravtrykk• Smartcard
DPAPI & Windows Vault [1]
• Data Protection Application Programming Interface
• Introdusert i Windows 2000
• Ingen detaljer offentliggjort av Microsoft
• Enkel metode for å lagre sensitive data på disk
• Outlook, Skype, Internet explorer, Credential manager, Microsoft Vault (erstatter Credential Manger fra Windows 7) etc etc
• Windows 7
• AES256 encryption in CBC-mode
• SHA512 for hashing
• PBKDF2 for nøkkelgenerering i public key
13
DPAPI & Windows Vault [2]
•Nøkler hentes fra master key file, og lagres i minne
•Kan da hente ut passord ol. fra Vault
•Pre-Windows 8: Kun innlogget bruker
•FOM Windows 8: DPAPI-NG. Samme «database» for alle lokale brukere på samme maskin
•PIN, Picture password og fingeravtrykk, gjør at passord blir lagret i Vault!
14
PIN
• Maksimum 4 siffer !
• Statistikk: http://www.datagenetics.com/blog/september32012/
• Bruk av PIN gjør at både PIN og passord lagres i Vault
• Fram til januar 2014, kun russiske Passcode med kommersiell "dyr" programvare kunne lese ut informasjon fra Vault
15
Gratis og opensource : Mimikatz
Dump med mimikatz:
Takk Benjamin Delpy!
Bildepassord
• Shoulder surfing
• Bruk av bildepassord gjør a både koordinater og passord lagres i Vault
• Dump med mimikatz:
17
Bilde hentet fra: Bilde fra Terminator 2
Fingeravtrykk
• Mythbusters
• Latex
• Papir
• youtube.com/watch?v=lkvwhInv828
• Bruk av fingeravtrykk gjør at både fingeravtrykk og passord lagres i Vault
• Dump med mimikatz:
18
19
Flerfaktorautentisering
• Ved bruk av Smart kort, lagres PIN og passord i Vault
• Dump med mimikatz fra Delpy --------->
19
DEMO
20
Løsninger
Full Disk Encryption
Bitlocker
BIOS passord
Tastelås på enheter/skjermsparer
Ikke bruk Firewire
Lås PC kabinett (PCIe)
Rope på Microsoft ...?
22
Spørsmål?
Kontakt meg• E-mail: [email protected]
• Twitter: @jabjorkhaug
• Linkedin: linkedin.com/in/bjorkhaug
• Telefon: 93 46 40 53