kugelschreiber
Goto Top

Passwort mit Brute Force gehackt

Hallo Ihr Lieben,

folgendes Szenario:

1 x Windows Server 2003 mit AD,DNS,Printserver, Fileserver, RAS usw.
ca 60 Clienten

Problem:

Ein User hat mittels BruteForce das Administrator Passwort herausbekommen, allerdings keinen Schaden angerichtet, da er es nur zeigen möchte, dass es möglich ist. Anbei bemerkt haben wir das Passwort nicht wirklich schwierig vergeben (nur Groß- und Kleinbuchstaben)

Nun stellt sich meine Frage, wie sowas zu unterbinden ist.

1. Reicht es aus ein komplexeres Passwort zu nehmen?
2. Muss man um eine BruteForce Attacke ausführen zu wollen eine Software installieren?
- Wenn Ja: Reicht dann, per Gruppenrichtlinie dieses (Softwareinstallation) zu unterbinden?
Wenn es aber nur eine Ausführbare Datei ist? BSP: bruteforce.exe wird das Ausführen dann auch per Gruppenrichtlinie gesperrt?
3. Ist ein Sperren des Accounts für einen Zeitraum sinnvoll, wenn das Passwort x-mal falsch eingegeben wurde sinnvoll?
-Denn wenn er es für alle Accounts macht, sind diese ja dann gesperrt
4. Wie verfahrt Ihr, um so eine Situation zu unterbinden?

Für Eure Mühe bin ich Euch dankbar.

Gruß Kuli

Content-ID: 71869

Url: https://administrator.de/forum/passwort-mit-brute-force-gehackt-71869.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

Klugscheisserman
Klugscheisserman 25.10.2007 um 09:16:29 Uhr
Goto Top
Bist du sicher, das es eine Brute-Force Atttacke war und das nicht eine Schutzbehauptung ist, um den Verräter zu decken (oder die Social-Engineering-Fähigkeiten des betreffenden Mitarbeiters zu verschleiern)?

Grüsse
VoSp
VoSp 25.10.2007 um 09:19:40 Uhr
Goto Top
Hallo,

1. Jaein. Ein passwort ist mit Brute Force Methoden immer zu knacken, alles eine Frage der Zeit. Wenn Du allerdinsg ein ausreichend langes und komplexes Passwort benutzt, kannst Du die benötigte Zeit so hoch treiben das sich ein knacken des Passworts nicht mehr lohnt. Wenn ein Angreifer 2 Jahre brauche würde um ein Passwort per Brute Force zu knachen lohnt sich das nicht wirklich. Ergo: Mach das Passwort so koplex und lang wie möglich.
2. Ja, aber: Du wiesst erstens nicht genau wie die Software heisst und zweitens kann ein findiger Kollege die User Datenbank einfach mit nach Hause nehmen und dort einen Brute Force Angriff auf diese Datei machen.
3. Nein, wie oben schon erklärt laufen Windows Brute Force Atacken nich so ab das wirklich versucht wird sich anzumelden. Die Attacke wir vielmehr gegen die Usedatenbank direkt gefahren.
4. Möglichst sichere passworte verweden. Auch die User per Policy dazu zwingen sichere Passworte zu verwenden. Kein Admin rechte für normale User (auch keine lokalen).

Allerdings ist immer eines zu beachten. Sicherheit wird IMMER mit einem Verlust an Bequemlichkeit und Komfort erkauft. Durch eine offene Tür kannst Du so durchspazieren. Bei einer geschlossenen Tür musst Du erst den Schlüssel aus der Tasche fummeln und aufschliessen.

Also sei auf Wiederstand der User gefasst, wenn Du Ihnen ein Stück Bequemlichkeit nimmst.

;)

Bis dann

VoSp
Supaman
Supaman 25.10.2007 um 09:41:37 Uhr
Goto Top
es gibt viele möglichkeiten an ein passwort zu kommen, BF ist nur eine (sehr langsame) davon...
fritzo
fritzo 25.10.2007 um 10:02:16 Uhr
Goto Top
Hi,

unterbinde per Policy alle Zugriffe auf die lokalen Platten der Clients und Server, so daß User keine Daten mehr von den Systemen abziehen können. Zum Speichern von Daten können sie gemappte Shares oder substituierte Laufwerke (Befehl: "subst") verwenden.

Du kannst weiterhin in der Policy definieren, wie oft man versuchen darf, ein Passwort einzugeben. Beispielsweise kannst Du definieren, daß man sein Passwort 5 mal eingeben kann - anschließend wird der Account für xx Minuten gesperrt und erst dann wieder freigeben. Bruteforce-Attacks werden somit -sehr- langwierig ;)

Weiterhin kannst Du über Policy die Komplexität der Passwörter in der Domäne definieren. Setz hier am besten eine Mindestlänge von min. 8 Zeichen und außerdem, daß das Passwort aus Klein/Groß-Buchstaben, Sonderzeichen und Zahlen bestehen muß und keines der letzten 5 vergebenen Passwörter sein darf.

Schlußendlich kannst Du über Policy auch noch bestimmen, welche Binaries ausgeführt werden dürfen - google mal nach "Software Restriction Policies". In den SRP kannst Du die erlaubten Binaries definieren (Pfade und Joker gehen auch); allen anderen Binaries wird die Ausführung verweigert.

Hope it helps,
fritzo
brammer
brammer 25.10.2007 um 10:05:03 Uhr
Goto Top
Hallo,

Erstmal sollte es einem Unternehmen dieser Größe eine Betriebsvereinbarung/Anordnung der Geschäftsleitung geben wie in solchen Situationen zu verfahren ist (Abmahnung / Kündigung)

Ein User hat mittels BruteForce das
Administrator Passwort herausbekommen,
allerdings keinen Schaden angerichtet, da er
es nur zeigen möchte, dass es
möglich ist. Anbei bemerkt haben wir das
Passwort nicht wirklich schwierig vergeben
(nur Groß- und Kleinbuchstaben)


Wer mit einem solchen Passwort arbeitet ist selber schuld.

Nun stellt sich meine Frage, wie sowas zu
unterbinden ist.

1. Reicht es aus ein komplexeres Passwort zu
nehmen?


Ausreichend? Nein aber ein Schritt auf dem Weg zu einem Sicherheitskonzept.

2. Muss man um eine BruteForce Attacke
ausführen zu wollen eine Software
installieren?

Kommt darauf an!
Wenn er (der User) gut ist kann er das ohne Installation machen da reicht dann oft schon eine Batchdatei insofern kann das ohne Installation geschehen, und wird daher auch kaum von Richtlinien erschlagen.


- Wenn Ja: Reicht dann, per
Gruppenrichtlinie dieses
(Softwareinstallation) zu unterbinden?
Wenn es aber nur eine
Ausführbare Datei ist? BSP:
bruteforce.exe wird das Ausführen dann
auch per Gruppenrichtlinie gesperrt?

Ja kann gesperrt werden, aber wenn die Datei bruteforce_1.exe (oder Beispielsweise auch Wort_1.exe) heißt greift die Richtlinie nicht mehr.

3. Ist ein Sperren des Accounts für
einen Zeitraum sinnvoll, wenn das Passwort
x-mal falsch eingegeben wurde sinnvoll?

Auf jeden Fall sinnvoll, damit Bruteforce Attacken erschwert werden. Und zwar nicht für einen definierten Zeitraum sperren sondern bis zur wieder Freigabe durch den Admin.


-Denn wenn er es für alle Accounts
macht, sind diese ja dann gesperrt
4. Wie verfahrt Ihr, um so eine Situation zu
unterbinden?

E-Token sind hier eine angenehme Sachen (http://www.aladdin.de/produkte/usbtoken_esecurity/etoken_uebersicht.htm ..)



Für Eure Mühe bin ich Euch
dankbar.


Zum Thema Passwort gibt es aber auch kleinere hilfen die die Verwendung von sicheren Passwörtern erleichtern.
So ist natürlich die Verwendung von Sonderzeichen/Zahlen zu empfehlen und am besten per Sicherheitsrichtlinie vorzuschreiben.
So ist zum Beispiel das Passwort "|\/| /-\ I |<" kaum mittels Bruteforce zu knacken ist aber nur das Wort "Maik" aus Sonderzeichen zusammengesetzt.
Außerdem sollte eine mindest Zeichenlänge von 8 besser 10 Zeichen, ein Wechsel des Passwortes alle 4 Wochen sowie eine Sperre der letzten 12 Passwörter definiert sein.

Gruß Kuli
VoSp
VoSp 25.10.2007 um 10:11:28 Uhr
Goto Top
Hallo nachmal,


unterbinde per Policy alle Zugriffe auf die
lokalen Platten der Clients und Server, so
daß User keine Daten mehr von den
Systemen abziehen können. Zum Speichern
von Daten können sie gemappte Shares
oder substituierte Laufwerke (Befehl:
"subst") verwenden.

Das geht bei Windows Systemen einfach so, das wöhre ja genial. Bitte ein Link oder einen Artikel der das vorgehen beschreibt. Das kann ich noch nicht glauben das man einem Windows User das lesen/schreiben auf lokal Platten verbieten kann und er dann immer noch arbeinen kann. Beweise bitte face-smile

Du kannst weiterhin in der Policy
definieren, wie oft man versuchen darf, ein
Passwort einzugeben. Beispielsweise kannst Du
definieren, daß man sein Passwort 5 mal
eingeben kann - anschließend wird der
Account für xx Minuten gesperrt und erst
dann wieder freigeben. Bruteforce-Attacks
werden somit -sehr- langwierig ;)

Das ist ebend nicht so. Bruteforce Attacken werden nicht auf den Login Prozess gemacht, der dann die Datenbank fragt ob das Passwort korrket ist und den User sperren kann.
Wie ich oben schon sagte werden die Angriffe auf kopiene der Userdatenbanken gemacht. Da hilft das sperren der User nicht. Mal nach Cached Password, Cain, John suchen. ;)

Weiterhin kannst Du über Policy die
Komplexität der Passwörter in der
Domäne definieren. Setz hier am besten
eine Mindestlänge von min. 8 Zeichen und
außerdem, daß das Passwort aus
Klein/Groß-Buchstaben, Sonderzeichen
und Zahlen bestehen muß und keines der
letzten 5 vergebenen Passwörter sein
darf.

Gute Idee ;)

Schlußendlich kannst Du über
Policy auch noch bestimmen, welche Binaries
ausgeführt werden dürfen - google
mal nach "Software Restriction
Policies". In den SRP kannst Du die
erlaubten Binaries definieren (Pfade und
Joker gehen auch); allen anderen Binaries
wird die Ausführung verweigert.

Wenn Du Dir die Arbeit machen willst. Moderne Virescanner leisten das selbe.

Hope it helps,
fritzo

Bis dann

VoSp
Logan000
Logan000 25.10.2007 um 10:22:56 Uhr
Goto Top
unterbinde per Policy alle Zugriffe auf die lokalen Platten der Clients und Server,
so daß User keine Daten mehr von den Systemen abziehen können. Zum
Speichern von Daten können sie gemappte Shares oder substituierte Laufwerke (Befehl:
"subst") verwenden.
Das geht bei Windows Systemen einfach so, das wöhre ja genial. Bitte ein Link oder
einen Artikel der das vorgehen beschreibt. Das kann ich noch nicht glauben das man einem
Windows User das lesen/schreiben auf lokal Platten verbieten kann und er dann immer noch
arbeinen kann. Beweise bitte face-smile

Du kannst per GPO den Zugriff auf bestimmte Laufwerke Ausblenden/Verweigern.
Dazu schau mal unter Benutzerkonfiguration/Administrative Vorlagen/Window-Komponenten/Windows Explorer
Diese angegebenen Datenträger in Fenster Arbeitsplatz ausblenden und Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen.
Benötigt allerdings eine Domäne mit AD
kugelschreiber
kugelschreiber 25.10.2007 um 17:58:57 Uhr
Goto Top
Hallo Ihr Lieben,

also erstmal vielen vielen Dank für die wahrhaftig vielen schnellen Antworten.

Soweit ich es verstanden habe und mal zusammenfasse reicht folgendes aus:

1. Sichere Passwörter erzwingen! -> Ist bereits (endlich) geschehen per "Sicherheitsrichtlinie für Domänen"
  • da stellt sich die Frage, kann man in der ganzen Domäne erzingen, dass beim nächsten Start ALLE ein neues Passwort vergeben müssen?
2. Sperren des Accounts bei x-mal falschem Login -> Ebenfalls (endlich) geschehen.

@VoSp
Die Attacke wir vielmehr gegen die Usedatenbank direkt gefahren.

Wie kommt man an diese Datenbank?

Kann man das Ausführen von .bat und .exe usw. verbieten? Ist ne Kack-Frage, da ja dann sämtliche Programme nicht ausgeführt werden können. Kann ja aber sein, dass es Einstellungen gibt, die es erlauben, nicht vom Admin "erlaubte" Dateien zu sperren.

Echt Klasse hier bei Euch zu sein.
VoSp
VoSp 26.10.2007 um 08:08:22 Uhr
Goto Top
Hallo


> @VoSp
> Die Attacke wir vielmehr gegen die
Usedatenbank direkt gefahren.

Wie kommt man an diese Datenbank?


Wie oben bereits geschrieben such mal bei Google nach [.... Suchzeichenfolge wurde aus verständlichen Gründen von mir gelöscht. Danke fürs Verständnis, fritzo]

Bis dann

VoSp
fritzo
fritzo 06.11.2007 um 23:53:35 Uhr
Goto Top
Hi,

man muß ein fremdes Tool auf den Rechner bringen und ausführen können. Gesetzt den Fall, daß -kein- Virenscanner aktiv ist und ein beschreibbares Share/Laufwerk, geht das mit ein bißchen Glück. Man benötigt lokale Adminrechte.. das allerdings wird nur sehr selten der Fall sein, zumindest in normalen Umgebungen. Halten wir fest - man benötigt Internetzugang oder Zugang zu Wechsellaufwerken, administrative Rechte, Zugriff auf die Shell, Zugriff auf HKEY_LOCAL_MACHINE\SECURITY\CACHE. Wenn jemand diese Rechte hat, kann er zumindest lokal eh fast alles.. aber ok, man kann auch das lokale Administratorpasswort resetten und so Zugriff erlangen, alles im Bereich des Möglichen. Es können aber lediglich die Passworte von Usern ausgelesen werden, die sich auch lokal angemeldet haben - wenn es ein Dom-Admin war, kann das sehr schmerzvoll werden..

Wenn man aber per Domain Policy das lokale Cachen von Passworten deaktiviert hat, dann war es das mit den Tools. Wie auch im Tut erwähnt:

1. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ --> CachedLogonsCount auf "0"
2. Reboot


Das Deaktivieren des PW-Cachings kann man also angesichts der beschriebenen Konstellation nur wärmstens empfehlen.
Cisco7971
Cisco7971 21.03.2008 um 21:05:56 Uhr
Goto Top
Wie soll den ein User auf die AD Benutzerdatenbank zugreifen können und diese auch noch ohne den Server dazu öffnen????

Bruteforce: ALso komplexeres Passwort ist auf jeden Fall der ultimative Schutz, allerdings kann man sich das selbst dann nciht merken.
Wie viele Zeichen haben wir, 90? also mit &%$`?=+*#' usw....

Der rechner, auf dem das Programm installiert ist, soweit es überhaupt ein Programm gibt, das aus einer AD Datenbank Passwörter probiert und dann auch ohne erfolgte Anmeldung merkt, dass es das richtige Passwort war..tstststssss. wäre mir neu.

Für ein 15-Stelliges Passwort würde ein heutiger Rechner mit 2 Quadcore CPUs mit 3GHz denke ich mal schon vielleicht 1 Jahr brauchen? Ich weíß es nicht, aber er würde es nie in dem Intervall schaffen, in dem das Passwortwieder geändert wird....
Das wären ja, wenn man 90 Zeichen annimmt, 15 Stellen, wären ja dann 205.891.132.094.649.000.000.000.000.000 (205, 8 Quatrilionen) Möglichkeiten, die der Rechner durchspielen muss...........

Keine Angst, bei 15 Stellen, die auch noch jedes Quartal gewechselt werden, gibt es keine Möglichkeit, an das Passwort zu kommen.
VoSp
VoSp 22.03.2008 um 00:17:57 Uhr
Goto Top
Hallo Cisco7971,

ein User der ein Passwort stehlen will, greift ebend nicht auf die Userdatenbank an einem DC zu.

Ein Windows Client in einer Active Director Domäne cached die letzten User und Passwort Hashes, damit sich der User auch noch an den Client anmelden kann wenn die AD nicht zur Verfügang steht.

Die Hashes werden in der Registry abgelegt HKEY_LOCAL_MACHINE\SECURITY\CACHE\NL$1.

Mit den geiegneten Mitteln kann man diese Hashes in eine Datei auslesen und dann mit nach Hause nehmen. Da kann kannst Du nun ein Brute Force Programm deiner Wahl auf den hash loslassen.

Und befor ich den Hash auslese sorge ich natürlich dafür das sich ein Admin an meinen Client angemeldet hat. Soll sich ja lohnen.

Noch was zum Thema Geschwindigkeit. Moderne Passwort Cracker benutzenm vorberechente Hashes, das steigert die Geschwindigkeit doch erheblich. Verschiede Unis halten solche Dateien bereit.

Aber um mehr zu dem Thema zu erfahren reicht das Stcihwort Brute Force in einer Suchmaschine deiner Wahl.

Aber wie Du schon sagsts, das wichtigste sind asureichend lange Passworte, die in intervallen gewechselt werden müssen. Dann bist Du als Normalsterblicher auf der sicheren Seite.

Mfg

VoSp