![Page 1: ISF høstkonferanse 2014 - Windows 8 autentisering og passord](https://reader034.vdocuments.site/reader034/viewer/2022052508/559aff511a28ab8f1a8b4860/html5/thumbnails/1.jpg)
Passordsikkerhet iWindows 8
John-André BjørkhaugSenior rådgiver informasjonssikkerhet
![Page 2: ISF høstkonferanse 2014 - Windows 8 autentisering og passord](https://reader034.vdocuments.site/reader034/viewer/2022052508/559aff511a28ab8f1a8b4860/html5/thumbnails/2.jpg)
2
/me
• John-André Bjørkhaug
• BSc Electronics engineering
• CERN (SCADA), NSM (Pentest), Evry (Pentest+Network)
• Senior advisor information security @ Combitech
• In progress: Master i informasjonssikkerhet student @ HiG
• CCNP Security, LPT, CHFI, CEH, CPT, CEPT, CREA, Security+, etc. etc etc
![Page 3: ISF høstkonferanse 2014 - Windows 8 autentisering og passord](https://reader034.vdocuments.site/reader034/viewer/2022052508/559aff511a28ab8f1a8b4860/html5/thumbnails/3.jpg)
Hvorfor studere autentisering i Windows 8
• Mange papers å skrive på en masterutdanning ...
• "Foundations in information security" @ HiG
• "Vulnerabilities in login authentication methods and password storage in Windows 8"
• http://www.slideshare.net/JohnAndrBjrkhaug/bjorkhaug2014windows8
4
![Page 4: ISF høstkonferanse 2014 - Windows 8 autentisering og passord](https://reader034.vdocuments.site/reader034/viewer/2022052508/559aff511a28ab8f1a8b4860/html5/thumbnails/4.jpg)
Pre-Windows 8
5
![Page 5: ISF høstkonferanse 2014 - Windows 8 autentisering og passord](https://reader034.vdocuments.site/reader034/viewer/2022052508/559aff511a28ab8f1a8b4860/html5/thumbnails/5.jpg)
Klassiske passordsårbarheter [1]Hashes• Hash av passord er lagret i SAM database• Ingen salt (random data lagt til passord)
• Brute-Force, Dictionary, Rainbowtable• LM (Opp til Windows Vista/2008)• Passord -> omgjort til store bokstaver og delt i 7+7• Rainbowtable -> 14 tegns passord, alle tegn
• NTLM• Rainbowtable -> 8 tegns passord, alle tegn
• Kan brukes i «pass-the-hash» attack• Logger på enheter med samme passord vha hash over nettet (SMB)• Metasploit
• Snakk med Per ! :-)
6
![Page 6: ISF høstkonferanse 2014 - Windows 8 autentisering og passord](https://reader034.vdocuments.site/reader034/viewer/2022052508/559aff511a28ab8f1a8b4860/html5/thumbnails/6.jpg)
Klassiske passordsårbarheter [2]Omgå passord
• Bytt passord vha offline editering av Registry
• Linux boot CD (Peter Nordahl-Hagen)
• Patch pålogging ved oppstart
• KonBoot
• Patch autentiseringsmekanisme i minne
• FireWire (Inception, Carsten Maartmann-Moe)
• PCI Express (DefCon 2014, Fitzpatrick/Crabill)
• Utility manager, Utilman.exe (Win+u)
• Sticky keys, sethc.exe (shift x 5)
7
![Page 7: ISF høstkonferanse 2014 - Windows 8 autentisering og passord](https://reader034.vdocuments.site/reader034/viewer/2022052508/559aff511a28ab8f1a8b4860/html5/thumbnails/7.jpg)
Klassiske passordsårbarheter [3]"Klartekst"-lagring av passord• Innført i Windows XP• Wdigest• "Single sign on" mot HTTP (eks Sharepoint)
• tspkg• "Single sign on" mot RDP (Remote Desktop)
• LiveSSP, Kerberos +++
• Disablet i Windows 8, men enables hvis SSO blir benyttet
• Kryptert med LsaProtectMemory, men dekrypteres lett med LsaUnprotectMemory <- fast nøkkel :-D
• mimikatz fra Benjamin Delpy• Windows Credential Editor fra Amplia Security
8
![Page 8: ISF høstkonferanse 2014 - Windows 8 autentisering og passord](https://reader034.vdocuments.site/reader034/viewer/2022052508/559aff511a28ab8f1a8b4860/html5/thumbnails/8.jpg)
Windows 8/8.1Nå med flere sårbarheter ;-)
9
![Page 9: ISF høstkonferanse 2014 - Windows 8 autentisering og passord](https://reader034.vdocuments.site/reader034/viewer/2022052508/559aff511a28ab8f1a8b4860/html5/thumbnails/9.jpg)
Alt det gamle fungerer fortsatt!!!
• Offline registry edit
• NTLM, ingen salt -> Rainbowtables
• Pass-the-Hash
• Patching av autentiseringsmekansime, boot eller i minne
• WDigest etc.
• Utilman/Sethc
• Microsoft: Hvorfor?
![Page 10: ISF høstkonferanse 2014 - Windows 8 autentisering og passord](https://reader034.vdocuments.site/reader034/viewer/2022052508/559aff511a28ab8f1a8b4860/html5/thumbnails/10.jpg)
Touchscreen og passord
• Skjermtastatur• Kronglete med 1337Pa$$W0rD!!#
• iOS & Android• PIN• Mønster• PWND -> Shouldersurfing
• Ansiktsgjennkjenning• Pwnd -> bilde
• Fingerprint (iPhone 5, Galaxy S5)• Pwnd -> trelim
• Windows 8 på mange forskjellige enheter nå
11Bildet hentet fra: http://www.abica.co.uk/uncategorized/windows-8-business-personal-or-both/attachment/windows-8-devices/
![Page 11: ISF høstkonferanse 2014 - Windows 8 autentisering og passord](https://reader034.vdocuments.site/reader034/viewer/2022052508/559aff511a28ab8f1a8b4860/html5/thumbnails/11.jpg)
Windows 8/8.1
• Picture password• PIN• Passord• Fingeravtrykk• Smartcard
![Page 12: ISF høstkonferanse 2014 - Windows 8 autentisering og passord](https://reader034.vdocuments.site/reader034/viewer/2022052508/559aff511a28ab8f1a8b4860/html5/thumbnails/12.jpg)
DPAPI & Windows Vault [1]
• Data Protection Application Programming Interface
• Introdusert i Windows 2000
• Ingen detaljer offentliggjort av Microsoft
• Enkel metode for å lagre sensitive data på disk
• Outlook, Skype, Internet explorer, Credential manager, Microsoft Vault (erstatter Credential Manger fra Windows 7) etc etc
• Windows 7
• AES256 encryption in CBC-mode
• SHA512 for hashing
• PBKDF2 for nøkkelgenerering i public key
13
![Page 13: ISF høstkonferanse 2014 - Windows 8 autentisering og passord](https://reader034.vdocuments.site/reader034/viewer/2022052508/559aff511a28ab8f1a8b4860/html5/thumbnails/13.jpg)
DPAPI & Windows Vault [2]
•Nøkler hentes fra master key file, og lagres i minne
•Kan da hente ut passord ol. fra Vault
•Pre-Windows 8: Kun innlogget bruker
•FOM Windows 8: DPAPI-NG. Samme «database» for alle lokale brukere på samme maskin
•PIN, Picture password og fingeravtrykk, gjør at passord blir lagret i Vault!
14
![Page 14: ISF høstkonferanse 2014 - Windows 8 autentisering og passord](https://reader034.vdocuments.site/reader034/viewer/2022052508/559aff511a28ab8f1a8b4860/html5/thumbnails/14.jpg)
PIN
• Maksimum 4 siffer !
• Statistikk: http://www.datagenetics.com/blog/september32012/
• Bruk av PIN gjør at både PIN og passord lagres i Vault
• Fram til januar 2014, kun russiske Passcode med kommersiell "dyr" programvare kunne lese ut informasjon fra Vault
15
![Page 15: ISF høstkonferanse 2014 - Windows 8 autentisering og passord](https://reader034.vdocuments.site/reader034/viewer/2022052508/559aff511a28ab8f1a8b4860/html5/thumbnails/15.jpg)
Gratis og opensource : Mimikatz
Dump med mimikatz:
Takk Benjamin Delpy!
![Page 16: ISF høstkonferanse 2014 - Windows 8 autentisering og passord](https://reader034.vdocuments.site/reader034/viewer/2022052508/559aff511a28ab8f1a8b4860/html5/thumbnails/16.jpg)
Bildepassord
• Shoulder surfing
• Bruk av bildepassord gjør a både koordinater og passord lagres i Vault
• Dump med mimikatz:
17
Bilde hentet fra: Bilde fra Terminator 2
![Page 17: ISF høstkonferanse 2014 - Windows 8 autentisering og passord](https://reader034.vdocuments.site/reader034/viewer/2022052508/559aff511a28ab8f1a8b4860/html5/thumbnails/17.jpg)
Fingeravtrykk
• Mythbusters
• Latex
• Papir
• youtube.com/watch?v=lkvwhInv828
• Bruk av fingeravtrykk gjør at både fingeravtrykk og passord lagres i Vault
• Dump med mimikatz:
18
![Page 18: ISF høstkonferanse 2014 - Windows 8 autentisering og passord](https://reader034.vdocuments.site/reader034/viewer/2022052508/559aff511a28ab8f1a8b4860/html5/thumbnails/18.jpg)
19
Flerfaktorautentisering
• Ved bruk av Smart kort, lagres PIN og passord i Vault
• Dump med mimikatz fra Delpy --------->
19
![Page 19: ISF høstkonferanse 2014 - Windows 8 autentisering og passord](https://reader034.vdocuments.site/reader034/viewer/2022052508/559aff511a28ab8f1a8b4860/html5/thumbnails/19.jpg)
DEMO
20
![Page 20: ISF høstkonferanse 2014 - Windows 8 autentisering og passord](https://reader034.vdocuments.site/reader034/viewer/2022052508/559aff511a28ab8f1a8b4860/html5/thumbnails/20.jpg)
Løsninger
Full Disk Encryption
Bitlocker
BIOS passord
Tastelås på enheter/skjermsparer
Ikke bruk Firewire
Lås PC kabinett (PCIe)
Rope på Microsoft ...?
![Page 21: ISF høstkonferanse 2014 - Windows 8 autentisering og passord](https://reader034.vdocuments.site/reader034/viewer/2022052508/559aff511a28ab8f1a8b4860/html5/thumbnails/21.jpg)
22
Spørsmål?
![Page 22: ISF høstkonferanse 2014 - Windows 8 autentisering og passord](https://reader034.vdocuments.site/reader034/viewer/2022052508/559aff511a28ab8f1a8b4860/html5/thumbnails/22.jpg)
Kontakt meg• E-mail: [email protected]
• Twitter: @jabjorkhaug
• Linkedin: linkedin.com/in/bjorkhaug
• Telefon: 93 46 40 53