Han beskriver en teknikk for å sende et brukernavn og tilhørende hashverdi av passordet til et annet system, for på den måten å oppnå tilgang i egenskap av en annen bruker. Det interessante her at han ikke VET passordet til den andre brukeren, han har bare fått tak i en "kryptert" utgave av det.
Denne bloggposten er oppfølger #1 til "Lengde har ingen betydning".
(Denne bloggposten er ikke for deg som vanlig hjemmebruker. Den er beregnet på teknisk personell, sikkerhetsfolk og IT-revisorer m.fl. Den er spesielt relevant for enhver organisasjon med mange Windows maskiner i nettverket sitt. Desto flere desto viktigere.)
Paul Ashton beskrev i praksis følgende angrepsmetode (Du er Eve, offeret er Alice, og serveren du skal inn på heter Bob).
1. Få tak brukernavnet til Alice og hashverdien for hennes passord (Du husker vel hva en hash funksjon er?). Dette kan gjøres på mange ulike måter, noe jeg vil komme tilbake til i neste bloggpost.
2. Modifiser Samba klienten på en Unix maskin til å sende brukernavn/passordhash til systemet du angriper. I praksis gjør du et "Sesam, sesam, lukk deg opp!" angrep.
3. Du oppnår filtilgang som Alice, og alle de filer og informasjon som Alice har adgang til. Dersom Alice også har tillatelse til å kjøre programmer på systemet du nå har fått tilgang til, så kan du gjøre det samme. Dette kan være f.eks. regnskapssystemer, sensitive personopplysninger, innsidedata og så videre.
Dette er et enkelt angrep å utføre. Det har nå vært dokumentert i over 13 år. Dagens verktøy er mer automatisert, enklere å bruke, og er både gratis og lett tilgjengelig på internett. Det har til og med blitt demonstrert på Microsoft konferanser - på invitasjon fra Microsoft!
"13 år og demonstrert på Microsoft konferanser? Så hvorfor i all verden gidder du å blogge du om det?"
Elementært, Dr Watson:
1. Jeg kjenner til svært få organisasjoner som har iverksatt tiltak for å redusere sannsynligheten for vellykkede angrep av denne typen.
2. Jeg har møtt utrolig mange Windows teknikere, sikkerhetsfolk, IT-revisorer og andre som aldri har hørt om teknikken, verktøyene eller kjente angrep.
3. Jeg er av den klare oppfatning av de ovennevnte ikke vet hvilken risiko de står overfor, og at de bør gjøres oppmerksom på det som del av sin risikovurdering. (En risikoanalyse hvor man ikke vet hvilke trusler man står overfor har begrenset effekt, for å si det forsiktig).
Konsekvensene er at det spiller ingen rolle hvor langt & komplisert ditt Windows passord er, enn så lenge noen andre kan få tak i ditt brukernavn og din passordhash.
"Og hvordan kan de gjøre det da?"
Vel...., når sist lånte du vekk pc'en din til en venn, kollega eller familiemedlem? Uten å ha oppsyn kontinuerlig med hva som foregikk på skjermen? Jeg trenger kanskje bare 1-2 minutter med fysisk tilgang i en del tilfeller for å kunne stjele hashverdien av ditt passord, mens brukernavnet er jo ingen hemmelighet uansett (men jeg tar det ut også fra maskinen din - for sikkerhets skyld).
Hva med alle administratorer, helpdesk og andre som faktisk har tilgang til din maskin via nettverket? I en stor organisasjon er det nok de færreste som kjenner til det faktiske tallet - og det vil normalt være høyt nok til å skremme de fleste.
Så der gir vi oss for i kveld. En god porsjon FUD fra yours truly. Oppfølgere kommer naturlig nok, både på angrepsverktøy, fremgangsmetodikk og viktigst av alt; hva enhver organisasjon bør gjøre for å redusere sannsynlighet og konsekvens tilknyttet slike angrep.