jueves, 6 de febrero de 2014

Apariencia de seguridad... (2 de 3)

Segundo asalto:

Una vez desbloqueado el disco, y aunque en principio era todo lo que me había pedido el amigo-cuando-tengo-problemas-informáticos, llega el primer arranque. 

De entrada me saluda el programa de cifrado, del que al menos tenia la contraseña. Tras unos minutos llego a "windows".Claro que no parecía windows xp, habían sustituido el shell, por el programa de diagnostico, no había barra de tareas, ni menús contextuales(boton derecho), los atajos de teclado no funcionaban, el auto-arranque desde unidades externas estaba deshabilitado...

Aparte de las herramientas de diagnostico, el menú del shell sustituto, solo dejaba acceder a dos aplicaciones, un prometedor antivirus, el ajuste de  la fecha y hora. Si alguno de los dos tiene menús para abrir o guardar, es bastante probable que se puedan usar los menús contextuales, y desde ahí obtener acceso al explorador de windows xp. Uno de tantos errores de diseño. Con lo fácil que seria acceder a un cmd con una macro de office.. :_( 

Primero pruebo con el antivirus. Busco por los menús alguna opción de abrir archivo, o guardar.. nada. Pensándolo bien, no son opciones que necesite un antivirus. 



Toca el turno de la fecha y hora, aunque no le veía mucho futuro. Curiosamente, tarda bastante en arrancar, y finalmente muestra el cambio de fecha y hora del propio windows. Claro que, si en el antivirus no tenían sentido los menús de abrir o guardar, menos aun en el cambio de fecha y hora. 

Pero.. porque tardo tanto en arrancar una de las aplicaciones que debería ser de las mas ligeras de windows? Los atajos de teclado seguían sin funcionar, aunque si funcionaba el menú contextual que mostraba la opción de "Que es esto?". 

Y al activarla.. un error:

"La ayuda de Windows no esta instalada, desea buscarla?" 

Lo siguiente era un menú de selección de archivos, que ademas permitía usar el contextual, donde se encuentra la opción de explorar carpeta; lo que inicia el shell normal de windows, sino se encuentra arrancado previamente.

Y todo gracias al cambio de fecha y hora. :D

Escalada de privilegios(<= spoiler):

Ahora que ya tenia acceso al escritorio normal de windows,  a por el objetivo principal, eliminar el cifrado.
Un vistazo a la ayuda del safeguard 4.50.4, indica que la forma mas sencilla es simplemente desinstalarlo. Primer problema, al iniciar el menú de desinstalación,  muestra un aviso el usuario no tiene suficientes privilegios, es decir que no es administrador del sistema.

La vía mas rápida, seria usar el comando at para abrir una consola como usuario system(el verdadero root):

C:\ at 22:14 /i cmd
Mismo problema, el usuario no tiene los suficientes privilegios. En un sistema no cifrado, esto se soluciona rápidamente con un Hiren's boot CD, y eliminando la contraseña de administrador. Una opción elegante seria usar  Metasploit, con un ejecutable cualquiera para crear un backdoor.

Pero, aprovechando que el portátil tiene Firewire, preferí optar por un programa con nombre peliculero... Inception:



El programa en cuestión aprovecha un fallo de diseño de Firewire. Básicamente, para mejorar la velocidad de volúmenes grande de datos (discos duros, grabadoras de vídeo), decidieron utilizar DMA, o acceso directo a memoria. Aprovechando esto, el equipo atacante tiene acceso de lectura/escritura a la memoria, y busca la firma digital de los módulos de autentifico del sistema operativo.

Una vez encuentra en que región están cargados, los modifica para que acepten cualquier contraseña. Y al reiniciar, aquí paz y después gloria...

Actualmente el único sistema que parece librarse al 100% de este fallo es OpenBSD.. que no tiene soporte para firewire. :D

Enciendo el segundo portátil con un live-usb de Kali linux ™si hay suerte estará entre la lista de paquetes disponibles. No la hay, así que toca descargar y compilar. Por suerte, las instrucciones son para distros basadas en Debian:


sudo apt-get install git cmake python3 g++
wget http://freddie.witherden.org/tools/libforensic1394/releases/libforensic1394-0.2.tar.gz
tar xvf libforensic1394-0.2.tar.gz
cd libforensic1394-0.2
cmake CMakeLists.txt
sudo make install
cd python
sudo python3 setup.py install
git clone https://github.com/carmaa/inception.git
cd inception
sudo ./setup.py install
En apenas cinco minutos, ya tenia el programa listo. Un ultimo comando:

incept
Muestra un menú de selección del sistema objetivo con un listado completó:

  • Windows 8
  • windows 7
  • Windows Vista
  • Windows XP
  • Mac OS X
  • Ubuntu
  • Linux Mint
Selecciono Windows XP y en menos de un minuto;

Write-back verified; patching sucesfull
BRAAAAAAAAAAAMM!!

Abro un cmd,  ejecuto runas /user:Administrator appwiz.cpl ,  me pide una contraseña: jhasdkjha, y voilà, Ya estoy en agregar o quitar programas como administrador.

Pero.. esto no había acabado todavía  Al intentar desinstalar el safeguard, me pide una contraseña de administrador.. que no guarda relación con la de windows. :_(

Punto muerto, de momento. Apago el portátil y mejor me voy a dormir que algo se me ocurrirá... o no.

Próximamente.. "We are the champiooons, My frieeeeend!!".

Publicado por en No hay comentarios:
Etiquetas: , , , , , , , ,

jueves, 30 de enero de 2014

Apariencia de seguridad... (1 de 3)

Prologo - "Era un dia Lluvioso...":

A mediados de diciembre, un conocido me trajo un portátil de segunda mano comprado a un taller de reparación de coches para ver si se lo podía formatear, con la excusa de "que a ti te gusta cacharrear...". Cuando preveo que no hay intención de pago y como la fase del pringao how-to la pase hace años , suelo escudarme  en que hace años que me pase a linux y no recuerdo muy bien como iba windows ... 
En esta ocasión, el colega me conocía bastante bien, y venia preparado para convencerme:

- Pero la BIOS tiene contraseña.
- Quitale la pila.
- Ya lo hice... pero ahora al arrancar da un error de disco.
-Te habrás dejado algo sin conectar, o te cargarías la placa. No pagaste mucho por el no? :D
- Probé a conectarlo al de sobremesa y daba el mismo error, y al conectar un disco de otro portátil el pc arrancaba..
- Hummmm...
-Ademas el disco estaba cifrado, aunque tengo la contraseña para arrancarlo, y cuando entraba en windows no tenia la barra del menú de inicio,  ni funcionaban los atajos de teclado, solo el programa del taller...
- Me lo quedo!!

Cuando padeces de CCI (Curiosidad Compulsiva Informática), es muy fácil caer en las tentaciones.


Primera Parte - Recuperando el disco:

Después de comprobar que efectivamente no arrancaba, arranque el equipo con una live de Kali linux ™, para verificar con la herramienta hdparm si estaba estropeado segun S.M.A.R.T..
Todo parecia correcto, excepto unas cuantas lineas al final:


Security:
 Master password revision code = 65534
    supported
     enabled
     locked
     frozen
 not expired: security count
  supported: enhanced erase

Si alguna vez usando el hdparm, había mostrado esa sección, nunca le había prestado atención. Así que recurrí a la wikipedia a ver que me contaba del lock.

Una vez me puse al día, decidí no volver a  quitar una pila, sin comprobar antes si la BIOS tiene password. aunque si no tiene, tampoco habría necesidad.

En resumen, la contraseña del disco duro, se puede poner o bien a través de software concreto, o  mas comúnmente usando la misma contraseña de la BIOS, y activando una opción llamada HDD Lock (o parecido). De esa manera el disco solo puede ser usado en ese ordenador, o en otro que use la misma contraseña. Ademas, se almacena en un sector del propio disco que no es accesible de manera rutinaria. Cambiar la controladora del disco por la de otro del mismo modelo no valdría.

No hay contraseña, no hay disco. O todo es falso.

Tras un cuarto de hora afinando la búsqueda en google, empiezan a aparecer resultados. Desde un foro llego  a una herramienta ZU con la que parece que lograron quitar el bloqueo de  un disco del mismo modelo (WDC320).

Después de configurar en la BIOS el modo IDE para la controla  SATA, enciendo el equipo con MS-DOS.
Tras escribir zu.exe /s, y aparecer un par de confirmaciones de que todo esta correcto, reinicio, y me encuentro con la ventana del programa de cifrado(Safeguard 4.50), solicitando la contraseña.

Al menos esa si la sabia. Costara mucho quitarle el cifrado?

 Próximamente.. "Segundo Asalto".






Publicado por en 2 comentarios:
Etiquetas: , , , ,
Suscribirse a: Entradas (Atom)