Pas på når du låser din computer: USB-enhed kan låse den op på få sekunder

8. september 2016 kl. 13:5810
Omkring 20 sekunders arbejde foran din kollegas computer er alt det tager for at få adgang til den. Billig hardware i form af en USB-enhed gør det muligt.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Takket være en teknik, der kræver hardware til kun 50 dollars (331 kroner) og under 30 sekunders arbejde, er det nu blevet meget nemmere at få fat i essentielle loginoplysninger til låste computere. Det skriver arstechnica.com.

Rob Fuller, der er sikkerhedschef ingeniør hos R5 Industries, fortæller at hacket fungerer pålideligt på maskiner, der kører Windows samt OS X.

Hacket fungerer ved, at man tilslutter en flash-sized minicomputer i USB-stikket på en computer, der er låst, og naturligvis ’forladt’. På ca. 20 sekunder har USB enheden opsnappet brugernavn og kodeord til at logge ind.

Det umulige er muligt

Rob Fuller fortæller videre, at teknikken fungere på flere billige USD-enheder - både Hak5 Turtle til 331 kroner og med USB Armory til 1.026 kr.

Artiklen fortsætter efter annoncen

»For det første er det såre simpelt, og det burde ikke virke, men det gør det,« skriver Rob Fuller i en blog-post og fortsætter:

»Jeg kan på ingen måde være den første, der har identificeret problemet, og tro mig, jeg har testet det på så mange forskellige måder for at bekræfte, hvad jeg ikke troede var muligt - var sandt.«

NTLM

NTLM står for NT Lan Manager.

Det er en række sikkerhedsprotokoller fra Microsoft, der bruges til at give autentificering, integritet og fortrolighed til brugerne.

Afhængig af computerens alder giver angrebet enten en NTLMv1-hash eller en NTLMv2-hash af login-oplysningerne.

Begge værdier kan konverteres til NTLM-formatet - ligegyldigt hvor kompleks den underliggende klartekst i kodeordet er.

Herfra kan hashen bruges til et såkaldt pass-the-hash-angreb, som bare kræver den hashede værdi - og ikke det egentlige kodeord.

Hak5 Turtle og USB Armory er begge Linux-computere og er i stand til at efterligne en USB-ethernet enhed.

Rob Fuller udstyrede enhederne med enkle konfigurationsændringer, der præsenterer hardwaren som en DHCP-server. Den status gør USB-enheden til en potentiel default-gateway, der er i stand til at modtage netværkstrafik. Hvis man kombinerer det med en hacker-applikation kaldet Responder vil USB-enheden modtage login-oplysningerne.

Flere brugere påpeger i debatten på Ars Technica, at hvis en hacker har fysisk adgang til en computere, er skaden allerede sket.

Dertil svarer brugeren GreenEnvy imidlertid, at angrebet gør det væsentligt nemmere.

»Vi krypterer alle vores bærbare med Bitlocker (windows 10 pro). Uden hack som dette, er det meget svært at få noget ud af computeren. Med et hack som dette kan man rundt om det problem ved at låse computeren op eller ved at deaktivere Bitlocker. Vores Bitlocker setup stopper de fleste tyve, der går efter hardwaren og ikke softwaren. Men det er skræmmende,« skriver GreenEnvy.

Se her, hvordan det virker i praksis:

Remote video URL

10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
9. september 2016 kl. 09:34

Ellers kigger de bare efter "password" i dine tekstfiler med 0'er og 1-taller!

9
9. september 2016 kl. 00:50

Men nu opfordrer Microsoft jo også selv til at man anvender Windows Hello login (PIN (som ikke behøver at være begrænset til 4 tal), billede eller biometri), netop fordi så har den "adgangskode" du indtaster intet at gøre med den adgangskode der anvendes til din Microsoft-konto.

8
8. september 2016 kl. 22:41

Man bør altid have 2-faktor autentifikation på såvel OneDrive som på alt andet.

7
8. september 2016 kl. 18:51

NTLM bruges til netværks logon :) Men rigtigt nok, en SAM fil har aldrig været svær at knække.

6
8. september 2016 kl. 18:46

på en ukrypteret profil. Hvilket det tilsyneladende handler om her. Så har adgangskoden aldrig været en hindring i windows verdenen.

5
8. september 2016 kl. 17:32

Så nemt er det ikke, hvis du ændrer device typen til noget andet så kan den ikke lege netkort :)

4
8. september 2016 kl. 16:39

Windows 10 gør det hele meget værre, da man logger på med sit OneDrive email-password. Dermed er din passwordet til din email også kompromitteret og potentielt alle de konti du har lavet online, hvor du kan nulstille passwordet gennem din email.

Udover pass-the-hash angreb, kan de fleste NTLM hashes knækkes med rainbowtables eller bare brute force, da de er usaltede og baseret på den hurtige MD4 hash.

Det virker som om microsoft har opgivet at gøre noget ved Window's usikre passwords og i stedet satser butikken (og kundernes systemer) på 2-faktor autentifikation. http://winsupersite.com/windows-10/microsoft-details-windows-10-security-enhancements

Jeg vil tillade mig at fastholde: https://www.version2.dk/comment/297537#comment-297537

3
8. september 2016 kl. 16:29

Via en GPO, det kræver selvfølgelig at man orker at holde styr på hvilke enheder der er godkendt udstyr.

Det betyder "bare" at den "magiske pind" skal være i stand til at udgive sig for en anden pind, det burde være omtrent lige så svært som at skifte MAC-adresse på et netkort. Du tager en pind som du ved er kodkendt, stikker den ind i din "magiske pind", den aflæser enhedens ID og bruger den næste gang den aktiveres... ca. 10 linjer kode ekstra.

2
8. september 2016 kl. 15:14

Via en GPO, det kræver selvfølgelig at man orker at holde styr på hvilke enheder der er godkendt udstyr.

1
8. september 2016 kl. 14:52

Jeg synes ikke jeg kan læse at det skulle være et problem på Linux maskiner? Hacket på OS X virker vidst også kun, hvis man har sat fildeling op med NTLM, hvilket jeg får at vide i min øre-chokoladebolle ikke er standard.