Windows ja paroolid ? Mõttetu ajaraiskamine…

Nagu subjekt ütleb, nii ka asjad on. Kuna põhitöö kõrval on olnud turvalisus minu hobiks, siis sai 3 aastat tagasi juba tehtud programmid…

W2K parool mälust

Tuleta meelde (Outlook Expressi paroolid)

Msn paroolid (vanem messangeri formaat)

Need programmid töötavad isegi (kus protected storage veel kasutusel).

Üldiselt point selles, et lumine nädalavahetus andis aega uuesti uurida asju. Ja ikka asjad logisevad.

W2K ning XP ilma SP oli hea lihtne
HKEY_CURRENT_USER\Software\Microsoft\Protected Storage System Provider

õiget dll välja kutsudes, lobises süsteem rõõmsalt kõik paroolid välja. Msn, Outlook, IE autocomplete.

Nüüd pole enam see storage eriti aktuaalne, MS programmid hakkasid ise paroole hoidma enda formaatides. Nagu alati, mitte just efektiivselt.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2

Väidetavalt on seal URL xor võtmeks , miks ma ei imesta:(

Win9x oli täitsa komöödia, kohe winapi EnumCachedPasswords, mis kõikide ressurside paroolid ütles…oh aegu.

Juhul, kui tarkvaral on natukenegi tugevam parool, siis kasutatakse IAT hookingut

Üldiselt põhjused, miks mõtetu windowsis üldse parooli panna, op. süsteem justkui pahalaste jaoks tehtud (et viirusetõrjet ning troojakate vastast tarkvara saaks ikka müüa).

* Üks windowsi programm saab teisele saata suvalisi messageid.
– lahendus panna vähemalt juurde akna/kiu ID, kes sõnumi saatis, et app saaks teada, kas võtame vastu teate või mitte. Trooja programmid rõõmsalt sulgevad WM_CLOSE abil aknaid, mida klient peaks nägema.

* Teise programmi konteksti kiu loomine. CreateRemoteThread
Läbi selle API saab kõiksugu jama teha, ntx pahalase DLL laadida.
– minimaalne, et programmis oleks api, mis teavitaks täiendava kiu saabumisest. Samuti protsess, kes seda tahab teha. Programmil accept flag, kas on sellise kiuga nõus.

DllMain – DLL_THREAD_ATTACH, kahjuks see ei toimi nii nagu võiks.

* VirtualProtectEx / VirtualAllocEx

lubab kaunilt teise protsessi külge mappida puuduvat mälufragmenti.
Ehk pahalane paneb täiendava jmp käsu programmi koodi või muudab mõnda call aadressi ning pidu võib alati piirkonnas, mis küsiti virtualprotectex abil.
– see api ära keelata.

* tegin tarkvara pcturva juba 2003 aastal, et lihtsamalt tuttavate arvutitest leida pahalasi.
Samuti suutis tarkvara heuristiliselt leida windows hooke
Siis Windowsi lisati uued “hook” tüübid, mida pole võimalik leida ja mida saab suvaline tarkvara rakendada !
Setwindowshookex – globaalset “hooki” lubada ainult ja veelkord ainult hiire sündmuste püüdmiseks.

Ja nimekiri on pikk pikk…mis windowsis turvalisuse ära rikub
__________________________________________

Palju toredaid paroole süsteemist..

NirSoft

ja kui unustasite windowsi paroolid, pole probleemi, muudke ära. Kui vaja ka adminni omad…

http://home.eunet.no/pnordahl/ntpasswd/

Ps. seda parooli muutmist ei soovita teha, kui teil kettal krüpteeritud failid.

Ehk, milleks vaevata pead paroolide välja mõtlemisega…eriti windowsis…

Andmete kaitseks soovitan kasutada TrueCrypti , selle tarkvaraga mul kõige vähem probleeme esinenud. Töötab ka Linuxi peal.

Seniks lund meetrite kaupa :))))


2 kommentaari to “Windows ja paroolid ? Mõttetu ajaraiskamine…”

  1. Anonymous Says:

    Proovisin seda msni vidinat. Ütles lihtsalt, et “ei saanud parooli kätte”.

  2. Ingmar Tammeväli Says:

    Need programmid ongi natuke aegunud, pcturva veel täidab oma rolli.

    Msn Live muutis parooli hoidmise formaati. Postituse all link, kus üks “turvahuviline” veel programme teinud, mis siiani töötavad.

    Parooli paneb msn registrisse siis ja ainult siis, kui kasutaja paneb “Pea mu parool meeles”.

    Turva kaalutlustel soovitan ignoreerida igasugu autocomplete, “pea mind meeles” funktsioone jne

    Elu tunduvalt lihtsam !

Lisa kommentaar

Täida nõutavad väljad või kliki ikoonile, et sisse logida:

WordPress.com Logo

Sa kommenteerid kasutades oma WordPress.com kontot. Logi välja /  Muuda )

Google photo

Sa kommenteerid kasutades oma Google kontot. Logi välja /  Muuda )

Twitter picture

Sa kommenteerid kasutades oma Twitter kontot. Logi välja /  Muuda )

Facebook photo

Sa kommenteerid kasutades oma Facebook kontot. Logi välja /  Muuda )

Connecting to %s


%d bloggers like this: