Makineye Fiziksel Olarak Erişerek CD/USB'den Boot Edilmesi
Amaç
BIOS koruması olmayan bir son kullanıcı makinesi, USB den çalışan bir işletim sistemi ile başlatılarak makinedeki yerel kullanıcıların şifreleri ve/veya şifrelerinin özeti elde edilecektir.
Yöntem
Son kullanıcı bilgisayarları farklı bir işletim sistemi ile açılabildiği takdirde bu bilgisayarlara ve bu bilgisayardaki verilere tam yetki ile erişim mümkün olmaktadır.
Fiziki olarak sahip olduğumuz makine - boot edilebilir bir Backtrack USB veya CD'si kullanılarak - boot edilir. Backtrack arayüzünden fiziksel makinenin hard diskine geçilir:
| cd media/
ls -la cd C6FA48EAFA48D877/ ls -la |
USB/CD kullanılarak boot edilen makinenin hard diskine erişilmesi
Not: Eğer boot edilen bilgisayarın disk sistemi otomatik olarak mount edilememişse, önce mount edilebilecek disk bölümleri listelenir; daha sonra da bir klasöre, C diski mount edilir. Bu işlemler aşağıdaki komutlarla gerçekleştirilebilir:
fdisk -l
mkdir /root/YeniKlasor
mount /dev/sda3 /root/YeniKlasor
Fiziksel makinenin Windows/System32/config dizininden SAM ve SYSTEM dosyaları boot edilen sistemin bir dizinine konur:
| cd Windows/System32/config cp SAM /root/Desktop cp SYSTEM /root/Desktop |
Makinenin SAM ve SYSTEM dosyalarının makinemize komut satırı ile kopyalanması
Not: Windows makineden SAM ve SYSTEM dosyalarının alınması işlemi, Windows makinenin hard diskine girilip, sürükle bırak yöntemi ile de gerçekleştirilebilirdi.
SAM ve SYSTEM dosyalarından yerel kullanıcıların şifrelerinin özeti elde edilebilir:
bkhive SYSTEM SAMAnahtari
samdump2 SAM SAMAnahtarı |
samdump2 komutu ile yerel kullanıcı şifre özetlerinin elde edilmesi
Not: bkhive komutuna verilen SYSTEM dosyası Windows işletim sisteminden alınmıştır. bkhive komutu SYSTEM dosyasını kullanarak bir çıktı üretmekte ve sonucunu SAMAnahtari adlı yeni bir dosyaya yazmaktadır. Bu dosya ismi rastgele olarak verilebilir. Ancak samdump2 aracına SAM dosyasına ek olarak yeni dosya adının verilmesi gerekmektedir.
Böylece önce bkhive ile veritabanını çözecek key oluşturmalı sonrasında oluşturulan key samdump2 programına verilmelidir.
Not: Bu çıktı bir dosyaya kaydedilip, daha sonra kullanılabilir.
Vista öncesi Windows işletim sistemlerinde kullanıcı şifreleri varsayılan ayarlarda iki farklı özetleme algoritması ile saklanmaktadır. Bunlardan ilki ve en eskisi LM (Lan Manager) özetleme, diğeri ise NTLM özetleme algoritmasıdır. LM özetleme algoritması ciddi güvenlik zafiyetleri içermektedir ve bu yüzden güncel teknolojik imkânlar (gökkuşağı saldırısı vs.) ile çok kısa sürede kırılabilmektedir. Fakat saldıralar için sadece NT özeti yeterlidir.
Not: Bu işlemler yerine Cain&Abel, Ophcrack gibi araçlar da SAM ve SYSTEM dosyasından parolanın özeti elde edilebilir.
Not: Fiziksel olarak erişim sağlanan bir bilgisayarda SYSTEM haklarına sahip olmak için diğer bir yöntem de Yapışkan Tuşlar Hilesi adı verilen bir hiledir. Daha sonra da bağlantıdaki gibi kayıt defterinden SAM ve SYSTEM dosyaları elde edilir.
Kimlik doğrulamasını atlatmanın diğer yolları için bakınız:
http://ertugrulbasaranoglu.blogspot.com.tr/2012/11/logon-authentication-bypass-senaryolar.html
Önlem
- Makineler CD-ROM / USB yolu ile boot edilememelidir. BIOS ayarlarından CD-ROM / BIOS yolu ile boot işlemi iptal edilmelidir. Makinenin öncelikle harddisken başlaması için gerekli ayarlar yapılmalıdır.
- BIOS ayarı yapılmaya çalışılırken şifre sorgulaması yapılmalıdır.
- Makinelerde diskler tamamen şifrelenmelidir (Full Disk Encryption). Bu şekilde makine boot edilse bile SAM/SYSTEM dosyaları elde edilemeyecektir.
- Makinelerde LM özetlerinin saklanmamalıdır.
