Forum
Bildirimler
Hepsini Temizle
Windows Client
3
Yazılar
3
Üyeler
0
Likes
960
Görüntüleme
Konu başlatıcı
xp işletim sistemi kullanan kullanıcılarımız ör abc.exe programını çalıştırm aktadırlar
abc.exe dosyasının adıını değiştirerek yine çalışmasını sağlıyorlaar
isteğim şudur
grup policy ile bu abc.exe dosyasının engellenmesini istiyoruz, adı rename edilse bile çalışmasın
sanırım bunun için hash kodlarını filtrelememiz gerekli
peki bir programın hash kodu nasıl bulunur
ve group policy de nereye girilmesi gereklidir
Gönderildi : 16/09/2009 18:57
Merhabalar,
Umarım bulduğum bilgi işinize yarar 🙂
Öncelikle giriş şifrelerimizin bilgisayar tarafından hangi şartlarda ve nasıl saklandığına bir bakalım açıklarımızı görüp sonra da buna uygun tedbirlerimizi alalım.
Windows XP’de giriş şifreleri
“C:WINDOWS\system32\config”
altında bulunan SAM dosyasında geri dönüşümü mümkün olmayan bir algoritma ile HASH adı verilen şifrelenmiş şekilde tutulur. Servis Pack 3’te bu Hash’ler Syskey ile ayrı bir kriptolamaya daha tabi tutulur.
HASH şifrelemesi kendi arasında iki kısma ayrılır:
1. Microsoft’s LAN Manager algoritması, LM Hash
2. NTLM algoritması, NTLM Hash
Text dosyası haline getirilen Hash’ler aşağıdaki gibi 16’lık düzendeki sayılardan oluşmaktadır:
Administrator:500:7584248B8D2C9F9EAAD3B435B51404EE :
186CB09181E2C2ECAAC768C47C729904:
Guest:501:10135E6066DE61C3E35AAD3B435B51404EE:
BFA802E2F36CDF2B776B7A85FD5ED863:::
Kullanıcı:1000:89D42A44E77140AAAAD3B435B51404EE:
C5663434F963BE79C8FD99F535E7AAD8:::
LM Hash, NTLM Hash’a göre daha zayıf bir yapıya sahiptir. Windows XP ve hatta Windows 2003 Server kullandığınız şifrelere ait hem LM Hash’leri hem de çözümlemesi daha zor olan NTLM veya NTLMv2 hash’leri birlikte saklar. Aslında her ikisi de aynı şifrenin değişik algoritmalarla saklanmasından ibarettir. E o zaman şifre hırsızları öncelikle çözümü daha kolay olan LM Hash’a yönlenecektir. Yani LM Hash zincirin zayıf halkasını teşkil etmektedir.
Burada LM Hash hakkında kısa bir bilgilendirme yapalım. LM Hash algoritması şifreleri 7 karakterli gruplar halinde işleme koyarken NTLM veya NTLMv2 Hash’lerde ise bu 14 karaktere kadar uzayabilmektedir.
Bu şu anlama gelir: Güvenlik maksadıyla 7’den daha uzun karakterli bir şifre kullanıyor olsanız da aslında LM Hash onu 7 karakterli gruplar olarak saklar.
Bu da yetmezmiş gibi tüm küçük harfleri büyük harfe çevirir. Dolayısıyla şifreyi bulmak için denenmesi gerekli karakter sayısı azalmış olur.
Mesela şifremiz: 7819Perihan
LM Hash şifreyi ikiye böler birincisini "7819PER” ikincisini “İHAN” olarak alır.
Şifre kırma programlarının kullandığı brute force attack yöntemiyle ilk bölümün çözümlemesi günler alabilir ama ikinci bölümdeki Hash saniyeler içinde bulunur. Eğer şifre hırsızı biraz kafayı çalıştırırsa şifrenin ikinci kısmından (ihan) yola çıkarak ilk kısmındaki bazı karakterleri kolaylıkla tahmin edebilir.
Bu durumda önlem olarak eğer bilgisayarın NTLM Hash’lerini saklamasını sağlayıp, LM Hash’lerini saklamasını önlersek kötü niyetli kişilerin şifre çözümleme işini oldukça zorlaştırmış oluruz.
Bahsettiğimiz bu Hash’lerin bulunduğu SAM dosyası güvenlik mülahazaları nedeniyle yönetici yetkilerine sahip olunsa bile bu dosya Windows çalışırken kayıt edilemez başka bir yere kopyalanamaz. Sadece yönetici yetkileri ile DOS komutları ile ulaşılabilir.
Ancak günümüzde geliştirilen Proactive Password Auditor, Proactive System Password Recovery, Passwordspro, SAMinside veya RainbowCrack gibi bazı yazılımlar sayesinde veya size gönderdiği Cain & Abel gibi bir trojan ile bilgisayarınızda kullanılan tüm şifrelerin saklandığı SAM dosyasını ele geçirebilir. Sonrasında iş bu SAM dosyasındaki şifreleri yine yukarıda adı geçen programlarla veya önceden oluşturulan rainbow table’ları kullanan programlarla (Ophcrack ve rtcrack gibi) çözümlemek kalıyor. Bu uzun ve üst seviyede bir konu olması nedeniyle ilgilenenler için daha sonra başka bir yazımda ayrıntılı şekilde tekrar ele almak istiyorum.
Sonuç olarak herhangi bir bilgisayara şifre kullanarak giriliyor olsa bile bu şifreler bir takım yollarla resetlenebiliyor veya ele geçirilebiliyor. Eğer kurumsal bir yapı içerisinde birçok bilgisayardan oluşan bir ağ mevcutsa bu durumda tehlikenin boyutları daha da artacak demektir.
Windows XP’de giriş şifreleri
“C:WINDOWS\system32\config”
altında bulunan SAM dosyasında geri dönüşümü mümkün olmayan bir algoritma ile HASH adı verilen şifrelenmiş şekilde tutulur. Servis Pack 3’te bu Hash’ler Syskey ile ayrı bir kriptolamaya daha tabi tutulur.
HASH şifrelemesi kendi arasında iki kısma ayrılır:
1. Microsoft’s LAN Manager algoritması, LM Hash
2. NTLM algoritması, NTLM Hash
Text dosyası haline getirilen Hash’ler aşağıdaki gibi 16’lık düzendeki sayılardan oluşmaktadır:
Administrator:500:7584248B8D2C9F9EAAD3B435B51404EE :
186CB09181E2C2ECAAC768C47C729904:
Guest:501:10135E6066DE61C3E35AAD3B435B51404EE:
BFA802E2F36CDF2B776B7A85FD5ED863:::
Kullanıcı:1000:89D42A44E77140AAAAD3B435B51404EE:
C5663434F963BE79C8FD99F535E7AAD8:::
LM Hash, NTLM Hash’a göre daha zayıf bir yapıya sahiptir. Windows XP ve hatta Windows 2003 Server kullandığınız şifrelere ait hem LM Hash’leri hem de çözümlemesi daha zor olan NTLM veya NTLMv2 hash’leri birlikte saklar. Aslında her ikisi de aynı şifrenin değişik algoritmalarla saklanmasından ibarettir. E o zaman şifre hırsızları öncelikle çözümü daha kolay olan LM Hash’a yönlenecektir. Yani LM Hash zincirin zayıf halkasını teşkil etmektedir.
Burada LM Hash hakkında kısa bir bilgilendirme yapalım. LM Hash algoritması şifreleri 7 karakterli gruplar halinde işleme koyarken NTLM veya NTLMv2 Hash’lerde ise bu 14 karaktere kadar uzayabilmektedir.
Bu şu anlama gelir: Güvenlik maksadıyla 7’den daha uzun karakterli bir şifre kullanıyor olsanız da aslında LM Hash onu 7 karakterli gruplar olarak saklar.
Bu da yetmezmiş gibi tüm küçük harfleri büyük harfe çevirir. Dolayısıyla şifreyi bulmak için denenmesi gerekli karakter sayısı azalmış olur.
Mesela şifremiz: 7819Perihan
LM Hash şifreyi ikiye böler birincisini "7819PER” ikincisini “İHAN” olarak alır.
Şifre kırma programlarının kullandığı brute force attack yöntemiyle ilk bölümün çözümlemesi günler alabilir ama ikinci bölümdeki Hash saniyeler içinde bulunur. Eğer şifre hırsızı biraz kafayı çalıştırırsa şifrenin ikinci kısmından (ihan) yola çıkarak ilk kısmındaki bazı karakterleri kolaylıkla tahmin edebilir.
Bu durumda önlem olarak eğer bilgisayarın NTLM Hash’lerini saklamasını sağlayıp, LM Hash’lerini saklamasını önlersek kötü niyetli kişilerin şifre çözümleme işini oldukça zorlaştırmış oluruz.
Bahsettiğimiz bu Hash’lerin bulunduğu SAM dosyası güvenlik mülahazaları nedeniyle yönetici yetkilerine sahip olunsa bile bu dosya Windows çalışırken kayıt edilemez başka bir yere kopyalanamaz. Sadece yönetici yetkileri ile DOS komutları ile ulaşılabilir.
Ancak günümüzde geliştirilen Proactive Password Auditor, Proactive System Password Recovery, Passwordspro, SAMinside veya RainbowCrack gibi bazı yazılımlar sayesinde veya size gönderdiği Cain & Abel gibi bir trojan ile bilgisayarınızda kullanılan tüm şifrelerin saklandığı SAM dosyasını ele geçirebilir. Sonrasında iş bu SAM dosyasındaki şifreleri yine yukarıda adı geçen programlarla veya önceden oluşturulan rainbow table’ları kullanan programlarla (Ophcrack ve rtcrack gibi) çözümlemek kalıyor. Bu uzun ve üst seviyede bir konu olması nedeniyle ilgilenenler için daha sonra başka bir yazımda ayrıntılı şekilde tekrar ele almak istiyorum.
Sonuç olarak herhangi bir bilgisayara şifre kullanarak giriliyor olsa bile bu şifreler bir takım yollarla resetlenebiliyor veya ele geçirilebiliyor. Eğer kurumsal bir yapı içerisinde birçok bilgisayardan oluşan bir ağ mevcutsa bu durumda tehlikenin boyutları daha da artacak demektir.
Gönderildi : 17/09/2009 17:28
Merhaba.
ilgili programadı " HashMyFiles " . internetten rahatlıkla bulunabilir ve freeware bir yazılımdır.kullanmasıda cok basittir.tüm md5 sha hash değerlerini verebilmektedir.
Kolay gelsin..
Gönderildi : 17/09/2009 18:25
