Fortificando nuestro Windows y II: Syskey

En el post anterior, repasamos el sistema que utilizan los sistemas operativos Windows para guardar las contraseñas de los usuarios locales. En esta segunda entrada, vamos a ver cómo se protegen estas contraseñas para evitar ataques y sobretodo, cómo podemos mejorar esa seguridad si necesitamos o queremos fortificar un equipo.

De igual manera que en los sistema Unix teníamos el archivo /etc/passwd donde se guardaban los usuarios del sistema, así como el hash de su contraseña, en Windows tenemos un archivo con un objetivo similar en Windows/system32/config/SAM (Security Account Manager). A nivel de diferencias, la más importante, es que en Windows no se implementó un sistema de salt y por tanto, dos usuarios que utilicen la misma contraseña, tendrán el mismo hash almacenado.

Mediante herramientas como Pwdump podemos acceder a este fichero y extraer los hash para posteriormente aplicarlos a cualquier herramienta de ataque por diccionario o utilizando la técnica mucho más efectiva de las rainbow tables. Incluso usuarios sin demasiados conocimientos técnicos, pueden utilizar herramientas como Ophcrack que arracando el sistema desde un CD o usb va a realizar el ataque de forma automatizada.

En esta imagen se puede observar el resultado de aplicar Pwdump sobre el archivo de SAM, mostrando la lista de usuarios y los hash correspondientes a sus contraseñas.

syskey01Ante ese mismo problema, los sistemas basados en Unix, se pasaron al sistema de shadow password, donde realmente los hash se encuentran en un archivo donde únicamente el root tiene acceso.

¿ Cual fué la solución que ideó Microsoft? Cifrar este archivo SAM con una llave maestra, de manera que si iniciamos si intentamos leer el archivo SAM, no podremos obtener ningún tipo de información. A esta solución se la bautizó como System Key o syskey y se introdujo en Windows 2000 y en forma de parche para Windows NT.

Por defecto, syskey guarda esta llave maestra en el sistema de registros de Windows y aquí radica su debilidad, ya hace mucho que está documentada la forma en que se guarda esta clave y el procedimiento para recuperarla. La herramienta más conocida para descifrar el archivo SAM es bkhive.

Afortunadamente, syskey permite dos modos de funcionamiento alternativo que van a permitir aumentar la seguridad del sistema: el primero de ellos en lugar de guardar la clave maestra en el registro, no las va a solicitar durante el proceso de arranque. El segundo modo, no permite guardar esta clave en un dispositivo extraíble, que deberemos insertar una vez iniciada la máquina.

La ventaja de los dos métodos, es que al no guardarse en el ordenador, no será posible “robar” esta clave, quedando únicamente la solución de un ataque por fuerza bruta, dado que utiliza RC4 con clave de 128 bits, requiere un esfuerzo computacional realmente importante.

Sin embargo, hay un par de puntos a tener en cuenta, por un lado si perdemos esta clave maestra, no podremos acceder a nuestro sistema, por ello será básico guardar en un lugar seguro ( y no, no sirve el propio ordenador, por motivos obvios) dicha clave. El otro punto a considerar, es que el sistema arranca en modo mínimo antes de solicitar la clave, de manera que no tendremos conexión de red, por ello, no nos servirá para fortificar equipos que debamos arrancar por red.

Para configurar el syskey, lo único que necesitamos es ejecutar el comando syskey como administradores y clicar en actualizar.

A continuación elegimos la opción preferida, iniciar con contraseña o utilizar un medio extraíble. En este segundo caso y aunque parezca increíble, Microsoft nos sigue solicitando introducir un disquet!! ( Que levante la mano quien aún tenga una disquetera en su equipo). Afortunadamente, basta con renombrar el pendrive que queramos usar como A: para poder usarlo como medio de almacenamiento.

Una vez elegida la opción que se prefiera (contraseña al inicio o medio extraíble) cuando reiniciemos la máquina deberemos introduir la clave (por un medio u otro) o el sistema no nos permitirá continuar. Si un atacante, prueba de usar Ophcrack, BackTrack o cualquier otro sistema de arranque en vivo, cuando intente descifrar el archivo de SAM, se encontrará que no puede encontrar la clave y nuestras contraseñas seguirán a salvo.

En esta entrada de mi otro blog, explico cómo configurar el syskey para el caso concreto de querer usar una unidad USB.

Un comentario en “Fortificando nuestro Windows y II: Syskey

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s