|
Windows XP İşletim Sisteminde şifreler Security Accunt Manager (SAM) denilen dosyada tutulur. Bu yazımızda SAM dosyasının güvenlik zaaflarını iki başlık altında inceleyeceğiz. Daha sonra bu zaafları kapatmanın yollarını araştıracağız. Ayrıca RAM üzerindeki bilgiler teknik olarak nasıl alınır? sorusunun cevabını vereceğiz.
SAM'in Güvenlik Zaafları
Bilindiği gibi Win 98 ve Win ME'de şifreler password.PWL dosyalarında saklanıyordu. Fakat XP hayatımıza girdiğinde dosyalama sistemlerinin yanında şifreleme yöntemleri de değişiklik kazandı. FAT ve NTFS dosyalama yöntemlerini biliyoruz.
Resim-1 SAM
SAM Veritabanının Ele Geçirilmesi
SAM dosyası bildiğiniz üzere bir güvenlik veritabanıdır ve işletim sistemi çalışırken kilitli durumdadır. Bu nedenle SAM dosyasını kırabilmek için önce ele geçirmek gereklidir. SAM’a ulaşmanın bir kaç yolu vardır :
\Repair Klasöründen Almak
Sistem yöneticileri "repair disk" ile sistem konfigurasyonunun yedeğini aldıklarında, \repair klasöründe SAM._ şeklinde SAM dosyasının sıkıştırılmış bir kopyası oluşturulur. Bu kopya alındıktan sonra, kullanılmaya hazır hale getirilmelidir. Sıkıştırılmış dosyayı açmak için "expand" komutu kullanılabilir :
Lophtcrack, SAM._ dosyasını aldığı zaman, bunu "expand" komutuna gerek kalmadan kırar.
Başka Bir OS İle Açmak
SAM dosyası işletim sistemi çalıştığı sürece alınamayacağından, başka bir işletim sisteminde makinayı açmak da SAM’i almak için yeterlidir. Bir DOS disketi ya da Linux distekiyle makine boot edildiğinde SAM dosyası alınabilir. DOS ile açıldığında NTFS bölümler görülemeyeceğinden, DOS ortamında bu bölümleri görmeyi sağlayan NTFSDOS (www.sysinternals.com) programı kullanılır. Linux’dan boot ederek SAM dosyasını geliştirmek için de bir yazılım geliştirilmiştir. http://home.eunet.no/~pnordah/ntpasswd/bootdisk.html
SAM’den Hash’leri Elde Etmek
SAM dosyasını hala ele geçiremememişsek hala alternatifler tükenmemiştir. Dosyayı alamıyorsak, bu dosyanın hash formatını ele geçirmek işe yarayabilir. Bu amaçla en çok kullanılan program Jeremy Allison tarafından yazılan "PWdump" programıdır.
PWdump programı Windows NT Service Pack 2 ile gelen SYSKEY özelliğiyle desteklenmiş SAM’den şifre gösterimini çıkaramaz. Ancak yeni versiyonları olan "Pwdump 2" ve "Pwdump 3" programları ile bunu yapmak mümkündür. Pwdump programı ile kullanıcı isimlerini, userID’leri, NT ve LanMan hashlerini almak ve bunları bir dosyaya yazdırmak mümkündür.
SAM dosyasını artık ele geçiren Hacker kırma işlemine geçebilir bunun için en ideal program üst paragraflarda söylediğim gibi Lophtcrack’dir.
L0phtcrack; Windows tabanlı işletim sistemlerinin şifrelerinin kırmak için en çok kullanılan programlardan biridir. Hacker’ların olduğu kadar sistem yöneticilerinin de olmazsa olmaz dedikleri araçlardan biridir. Gerçekten de bünyesinde çok güçlü özellikler barındıran L0phtcrack kendisine yapılan tüm övgüleri hakediyor.
İşte özelliklerinden bazıları ;
-
Çalıştığı lokal makinenin registry kayıtlarından şifreleri kırabilir.
-
Uzaktaki bir makinaya bağlanarak registry kayıtlarından şifrelere ulaşabilir, ama bunun için uzak makinada bu işe yetkili hesabın kullanılması gerekir.
-
SAM dosyasından şifre değerlerine ulaşabilir.
-
Sniffing özelliği sayesinde ağı gözetleyerek kullanıcıların hash’lerini yakalayabilir, daha sonra bu hash’leri ana programa aktararak şifreleri kırabilir. Ağdaki bir kullanıcının şifresini kırmak istediğimiz zaman, ona file:\\ ile başlayan kendi makinesinden bir dosyanın linkini gönderir veya ilgi çekebilecek bazı dosyaları paylaşıma açarız. Kullanıcı bu linkten dosyaya tıkladıktan sonra otomatik olarak bizim makinemize bağlanmak isteyecek ve bu arada devreye giren Lophtcrack’in Sniffer programı "SMB Packet Capture" o kullanıcının hash’ini yakalayacaktır.
Görüldüğü üzere SAM dosyasını elde eden kötü bir kullanıcı bize çok zararlar verebilir. Şimdi de FAT ve NTFS dosya sistemlerine bakalım.
Dosya sistemlerinden FAT (file allocation table-Dosya Atama Tablosu) nasıl çalışır?
FAT32 büyük sabit diskleri desteklediği gibi, clusterları FAT16'deki kadar verimsiz de kullanmıyor. FAT16 dosya sisteminde 1 ila 2 GBlık bir sabit disk 32KBl'ik clusterlara ayrılır. 1 clustera normalde birden fazla dosya yerleşemez. Dolayısıyla 1KB'lik küçük bir dosya 32 KB'nin tümünü işgal eder. Aynı şekilde 33 KB'lik bir dosya bir clusterı doldurup ikincisine taşar ve bu sefer 64 KB'lik bir alan işgal eder. FAT32'nin marifeti burada ortaya çıkıyor: 260MB ile 8GB arasındaki diskler FAT32 dosya sistemi altında 4KB'lik clusterlara bölünüyor. (260MB'ın altındaki disklerde veya disk bölümlerinde 0.5KB.) FAT32 kullanılıyorsa bu boyut 8GB ile 16GB arasında 8KB, 16 ile 32GB arasında 16KB, 32GBın üzerinde ise 32KB. CLUSTER sabit disk üzerinde parçalara ayrılmış küçük alanların herbiridir. Bir dosyayı yada programı disk üzerine kaydetmek demek,verilerin bu cluster dediğimiz küçük alanlara yazılmasıyla gerçekleşir. Daha küçük cluster alanı HDD alanının daha ekonomik kullanılması demektir.
NTFS Dosya Sistemi
NTFS ise Windows NT ile geliştirilmiş bir dosya sistemidir. Kullanımı ve güvenlik yönünden FAT ten çok daha gelişmiş özellikleri vardır.[3]
-
Active directory ile ağ kaynaklarını daha iyi yönetir. Domain Controller olan PC'ler için kullanımı zorunlu.
-
File Encryption(dosya şifreleme) ile dosyaların şifrelenmesine olanak sağlar.
-
Remote Storage ile taşınabilir saklama alanlarının yönetimini gerçekleştirir.
-
Her kullanıcı için sınırlı disk kotası kullanımı sağlar.
-
Büyük disk alanlarına destek verir. Büyük HDD'lerin NTFS ile formatlanması verimi artıracaktır.
-
Uzun dosya adlarını destekler.
-
Kayıt tutan bir dosya sistemidir.
-
Scandisk chkdisk gibi hata yönetim araçlarına fazla gereksinim duymaz. Dosyalar 1k lık cluster alanlarında detayları ile bulunur ve kendi kendini optimize etme yeterliliği vardır.
NTFS’nin bu kadar kullanışlı olması ve güvenliğinin kabul edilebilir olmasının yanında şifrelerimiz ne kadar güvendedir sorusunun cevabını araştırmak gerekir. Bilindiği üzere XP platformlarında şifreler “%systemroot%system32%config” satırında yer alıyor. Ama bir SAM dosyasını hiçbir zaman çalışır vaziyetteki bir sistemden alamazsınız. Açamadığınız gibi kopyalayamazsınız da. Bunun için sistemi ayağa kaldırmadan yani boot ortamında bir takım ön işlemler yapmanız gerekmektedir. Günümüzde unutulan şifreleri sıfırlamak çok kolaydır, fakat kırmak zordur. Çünkü şifreler HASH’lidir. HASH’li bir algoritmayı çözmek çok zordur. Kullanıcı %,& gibi işaretlemer kullanmamışsa ( çoğumuz bu tarz karakterler kullanmayız) şifreyi kırmak biraz daha kolaylaşıyor. Bu işi yapan bir çok web sitesi olduğu winoncrack adlı açlışta Windows şifrenizi sıfırlamaya yarayan bir boot cd’side mevcuttur. Ya da bunu bir XP kurulum CD'si ile de yapabilirsiniz. Ama göremezsiniz. Mevcut şifreleri görmek için yapmanız gereken daha karmaşık çözümler vardır. Ya L0phtCrack veya benzeri bir araç alacaksınız ya da RAM üzerindeki bilgilere ulaşacaksınız.[4]
SAM'in Güvenlik Önlemleri
SAM / SYSKEY.EXE Güvenliği
Windows’un bilinmeyen sistem kilidi
Parolalar %windir%\System32\Config klasöründe yer alan SAM dosyasında, karışık değerler halinde yer alır. Bu nedenle Windows XP, 2000 ve Windows NT4’ün Service Pack 3 güncellemesinden itibaren sistem güvenliği için yenilikler gündeme geliyor. SAM veritabanını şifreleyen SYSKEY.EXE programı, sistem için kilit oluşturur.
Programı başlattıktan hemen sonra Güncelleştir üzerine tıkladığınızda, SYSKEY.EXE üç farklı güvenlik seçeneği sunar:
Başlatma Parolası altında bir parola belirleyebilirsiniz. Bu sayede, sistemin açılışı sırasında oturum açma parolasından önce Syskey parolanızın girilmesi gerekir. Buna karşılık Sistemin ürettiği parola alanında yer alan Başlangıç Anahtarını Yerel Olarak Sakla” seçeneği, yüksek konfora rağmen düşük güvenlik sunar. Burada Syskey tarafından parola sorgulaması yapılır, doğru yanıt alındığında SAM dosyası otomatik olarak deşifre edilir ve oturumun açılması sağlanır.
Diğer seçeneklere kıyasla, Başlangıç Anahtarını Diskette Sakla seçeneği daha güvenlidir. Bu seçenek işaretlendiğinde, Syskey, SAM şifresini bir diskete kaydeder. Anahtar, 16KB boyutundaki STARTKEY.KEY dosyasından oluşur. Ancak ileride PC’nizin açılışı için bu dosyanın yer aldığı diskete ihtiyaç duyulur. Güvenlik açısından, bu disketin bir kopyasını oluşturun ve güvenilir bir ortamda saklamalısınız. Bu, unutkan kullanıcılar için büyük bir risk: Eğer Syskey disketinizi evde unutursanız, yolculuk sırasında dizüstü bilgisayarınız sizin için büyük bir yükten başka bir şey olmayacaktır.[6]
Son Bir Güvenlik Önlemi Daha
Kullanıcı hesabı parolanızı düz metin olarak depolamak yerine, Windows kullanıcı hesabı parolalarını genel olarak "sağlama" adıyla bilinen iki farklı parola temsili kullanarak üretir ve depolar. Bir kullanıcı hesabının parolasını 15'ten daha az sayıda karakter içeren bir parolaya ayarladığınızda veya değiştirdiğinizde, Windows parolanın hem bir LAN Manager sağlamasını (LM sağlaması) hem de bir Windows NT sağlamasını (NT sağlaması) üretir. Bu sağlamalar yerel Güvenlik Hesapları Yöneticisi (SAM) veritabanında veya Active Directory'de depolanır.
LM sağlaması NT sağlamasına göre daha zayıftır ve bu nedenle hızlı kaba kuvvet saldırılarına açıktır. Bu nedenle, Windows'un parolanızın LM sağlamasını depolamasını önlemek isteyebilirsiniz.
Windows'un (/XP Pro. Edi./Server 2003) parolanızın LAN Manager sağlama
değerini Active Directory ve yerel SAM veritabanlarında depolaması
nasıl engellenir?
Uyarı: Kayıt Defteri Düzenleyicisi'ni yanlış kullanırsanız, işletim sisteminizi yeniden yüklemenizi gerektirebilecek ciddi sorunlara neden olabilirsiniz. Kayıt Defteri Düzenleyicisi’ni kullanmak kendi sorumluluğunuzdadır.
1. Başlat'ı tıklatın, Çalıştır'ı tıklatın, regedit yazın ve Tamam'ı tıklatın.
2. Kayıt defterinde, aşağıdaki anahtarı bulun ve tıklatın:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. Düzen menüsünde Yeni'nin üzerine gidin ve DWORD Değeri'ni tıklatın.
4. NoLMHash yazın ve ENTER tuşuna basın.
5. Düzen menüsünde Değiştir'i tıklatın.
6. 1 yazın ve Tamam'ı tıklatın.
7. Bilgisayarınızı yeniden başlatın ve parolanızı değiştirin.
Notlar
-
Bir Windows 2003 Active Directory ortamında kullanıcılarının parolalarının LM sağlamalarının depolanmasını devre dışı bırakmak için, bu kayıt defteri değişikliğinin tüm Windows Server 2003 etki alanı denetleyicilerinde yapılması gerekir. Etki alanı yöneticisiyseniz, Yöntem 1'de (Grup İlkesi Kullanarak NoLMHash İlkesini Uygulama) anlatıldığı gibi bu ilkeyi tüm etki alanı denetleyicilerine veya etki alanındaki tüm bilgisayarlara dağıtmak amacıyla Active Directory Kullanıcıları ve Bilgisayarları Microsoft Yönetim Konsolu'nu (MMC) kullanabilirsiniz.
Önemli: Windows 2000 ve Windows XP veya Windows Server 2003
üzerinde kullanılabilen bir özel ilke şablonu oluşturuyorsanız, hem
anahtarı hem de değeri oluşturabilirsiniz. Değer anahtar ile aynı
yerdedir ve 1 değeri LM sağlaması oluşturmayı devre dışı bırakır. Bir
Windows 2000 sistemi Windows Server 2003'e yükseltildiğinde anahtar
yükseltilir. Ancak, her iki ayarın da kayıt defterinde bulunması sorun
oluşturmaz.[5]
RAM ( Ramdom Accses Memory ) : RAM Üzerinden Şifreleriniz Alınabilir mi?
 Geçici bellek dediğimiz RAM’ler bilgisayar kapandıktan sonra da üzerindeki bilgileri bir süre muhafaza etmeye devam eder. Kapasitif yöntemle depolama yapan DDR RAM’lerde veri, kapasitörler deşarj olunca tamamen yok olmuş olur. RAM’in çok düşük sıcaklılarda soğutulması ise deşarjı yavaşlatır, bu da RAM üzerindeki verilerin farklı bir ortama aktarılması için yeterli süreyi sunabilir. Çalışma ortamında bırakılan bir laptopunuzu kapatarak öğle yemeğine gittiğimizi farz edelim. Bu gerekli bilgileri almak için çabalayan kötü niyetli kişiye verilen en rahat ve en uzun süredir. 10 dakika gibi kısa bir sürede tüm şifreleri ele geçirmek mümkündür. Tabi şifreleri trojen yardımıyla internet ortamından alan programlar da mevcut. BitLocker, FileVault, dm-crypt ve TrueCrypt gibi şifreleme yazılımlarına girdiğiniz parolalarınız da programın veri hafızasında saklandığı için tehlike var. TruCrypt’de bu durum için bir koruma önlemi düşünülmüşse de yeterli değil. TrueCrypt‘de Settings->Preferences ekranının Password Cache gurubunda yer alan “Wipe cached passwords on auto-dismount” ve “Wipe cached passwords on Exit” seçeneklerini işaretlemeniz bir nebze olsun yararlı olacaktır. Bazı verilere ulaşmak için RAM’lere fiziki müdahale gerekir. Kapalı devre çalıştığınızı düşününün. İnternet bağlantısının olmadığı ve kendinizi güvende hissettiğiniz bir ortamda laptopunu bıraktığınızda başınıza neler gelebilir hiç düşündünüz mü? Linkte verdiğim videoyu da incelemenizi tavsiye ediyorum.[2]
http://www.metacafe.com/fplayer/1116904/.swf
Referanslar
[1]http://www.hackinthebox.org/modules.php?op=modload&name=News&file=article&sid=5721&mode=thread&order=0&thold=0
[2]http://www.tankado.com/bellekteki-hassas-bilgileri-disaridan-okumak-2.html#more-917
[3]http://www.pcdostu.com/2007/07/fat-nedir-fat-in-alm-file-allocation.html
[4]http://www.turkworm.com/default/nt2000xp_sifrelerini_sami_kirmak-t1378.0.html;imode=
[5]http://support.microsoft.com/kb/299656/
[6]http://www.msxlabs.org/forum/pc-internet-teknik-destek/3138-windows-xpde-hizmetler-ince-ayarlar-hizi-ve-guvenligi-arttirmak-6.html
 Favori olarak ekle (1) | Görüntüleme sayısı: 5507
Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun. |
