LM / NTLM Hash ve Alınacak Tedbirler
Öncelikle giriş şifrelerimizin bilgisayar tarafından hangi şartlarda ve nasıl saklandığına bir bakalım açıklarımızı görüp sonra da buna uygun tedbirlerimizi alalım.
Windows XP’de giriş şifreleri
“C:WINDOWS\system32\config”
altında bulunan SAM dosyasında geri dönüşümü mümkün olmayan bir algoritma ile HASH adı verilen şifrelenmiş şekilde tutulur. Servis Pack 3’te bu Hash’ler Syskey ile ayrı bir kriptolamaya daha tabi tutulur.
HASH şifrelemesi kendi arasında iki kısma ayrılır:
1. Microsoft’s LAN Manager algoritması, LM Hash
2. NTLM algoritması, NTLM Hash
Text dosyası haline getirilen Hash’ler aşağıdaki gibi 16’lık düzendeki sayılardan oluşmaktadır:
Administrator:500:7584248B8D2C9F9EAAD3B435B51404EE :
186CB09181E2C2ECAAC768C47C729904:
Guest:501:10135E6066DE61C3E35AAD3B435B51404EE:
BFA802E2F36CDF2B776B7A85FD5ED863:::
Kullanıcı:1000:89D42A44E77140AAAAD3B435B51404EE:
C5663434F963BE79C8FD99F535E7AAD8:::
LM Hash, NTLM Hash’a göre daha zayıf bir yapıya sahiptir. Windows XP ve hatta Windows 2003 Server kullandığınız şifrelere ait hem LM Hash’leri hem de çözümlemesi daha zor olan NTLM veya NTLMv2 hash’leri birlikte saklar. Aslında her ikisi de aynı şifrenin değişik algoritmalarla saklanmasından ibarettir. E o zaman şifre hırsızları öncelikle çözümü daha kolay olan LM Hash’a yönlenecektir. Yani LM Hash zincirin zayıf halkasını teşkil etmektedir.
Burada LM Hash hakkında kısa bir bilgilendirme yapalım. LM Hash algoritması şifreleri 7 karakterli gruplar halinde işleme koyarken NTLM veya NTLMv2 Hash’lerde ise bu 14 karaktere kadar uzayabilmektedir.
Bu şu anlama gelir: Güvenlik maksadıyla 7’den daha uzun karakterli bir şifre kullanıyor olsanız da aslında LM Hash onu 7 karakterli gruplar olarak saklar.
Bu da yetmezmiş gibi tüm küçük harfleri büyük harfe çevirir. Dolayısıyla şifreyi bulmak için denenmesi gerekli karakter sayısı azalmış olur.
Mesela şifremiz: 7819Perihan
LM Hash şifreyi ikiye böler birincisini "7819PER” ikincisini “İHAN” olarak alır.
Şifre kırma programlarının kullandığı brute force attack yöntemiyle ilk bölümün çözümlemesi günler alabilir ama ikinci bölümdeki Hash saniyeler içinde bulunur. Eğer şifre hırsızı biraz kafayı çalıştırırsa şifrenin ikinci kısmından (ihan) yola çıkarak ilk kısmındaki bazı karakterleri kolaylıkla tahmin edebilir.
Bu durumda önlem olarak eğer bilgisayarın NTLM Hash’lerini saklamasını sağlayıp, LM Hash’lerini saklamasını önlersek kötü niyetli kişilerin şifre çözümleme işini oldukça zorlaştırmış oluruz.
Bahsettiğimiz bu Hash’lerin bulunduğu SAM dosyası güvenlik mülahazaları nedeniyle yönetici yetkilerine sahip olunsa bile bu dosya Windows çalışırken kayıt edilemez başka bir yere kopyalanamaz. Sadece yönetici yetkileri ile DOS komutları ile ulaşılabilir.
Ancak günümüzde geliştirilen Proactive Password Auditor, Proactive System Password Recovery, Passwordspro, SAMinside veya RainbowCrack gibi bazı yazılımlar sayesinde veya size gönderdiği Cain & Abel gibi bir trojan ile bilgisayarınızda kullanılan tüm şifrelerin saklandığı SAM dosyasını ele geçirebilir. Sonrasında iş bu SAM dosyasındaki şifreleri yine yukarıda adı geçen programlarla veya önceden oluşturulan rainbow table’ları kullanan programlarla (Ophcrack ve rtcrack gibi) çözümlemek kalıyor. Bu uzun ve üst seviyede bir konu olması nedeniyle ilgilenenler için daha sonra başka bir yazımda ayrıntılı şekilde tekrar ele almak istiyorum.
Sonuç olarak herhangi bir bilgisayara şifre kullanarak giriliyor olsa bile bu şifreler bir takım yollarla resetlenebiliyor veya ele geçirilebiliyor. Eğer kurumsal bir yapı içerisinde birçok bilgisayardan oluşan bir ağ mevcutsa bu durumda tehlikenin boyutları daha da artacak demektir.
ALıntıdır..
Öncelikle giriş şifrelerimizin bilgisayar tarafından hangi şartlarda ve nasıl saklandığına bir bakalım açıklarımızı görüp sonra da buna uygun tedbirlerimizi alalım.
Windows XP’de giriş şifreleri
“C:WINDOWS\system32\config”
altında bulunan SAM dosyasında geri dönüşümü mümkün olmayan bir algoritma ile HASH adı verilen şifrelenmiş şekilde tutulur. Servis Pack 3’te bu Hash’ler Syskey ile ayrı bir kriptolamaya daha tabi tutulur.
HASH şifrelemesi kendi arasında iki kısma ayrılır:
1. Microsoft’s LAN Manager algoritması, LM Hash
2. NTLM algoritması, NTLM Hash
Text dosyası haline getirilen Hash’ler aşağıdaki gibi 16’lık düzendeki sayılardan oluşmaktadır:
Administrator:500:7584248B8D2C9F9EAAD3B435B51404EE :
186CB09181E2C2ECAAC768C47C729904:
Guest:501:10135E6066DE61C3E35AAD3B435B51404EE:
BFA802E2F36CDF2B776B7A85FD5ED863:::
Kullanıcı:1000:89D42A44E77140AAAAD3B435B51404EE:
C5663434F963BE79C8FD99F535E7AAD8:::
LM Hash, NTLM Hash’a göre daha zayıf bir yapıya sahiptir. Windows XP ve hatta Windows 2003 Server kullandığınız şifrelere ait hem LM Hash’leri hem de çözümlemesi daha zor olan NTLM veya NTLMv2 hash’leri birlikte saklar. Aslında her ikisi de aynı şifrenin değişik algoritmalarla saklanmasından ibarettir. E o zaman şifre hırsızları öncelikle çözümü daha kolay olan LM Hash’a yönlenecektir. Yani LM Hash zincirin zayıf halkasını teşkil etmektedir.
Burada LM Hash hakkında kısa bir bilgilendirme yapalım. LM Hash algoritması şifreleri 7 karakterli gruplar halinde işleme koyarken NTLM veya NTLMv2 Hash’lerde ise bu 14 karaktere kadar uzayabilmektedir.
Bu şu anlama gelir: Güvenlik maksadıyla 7’den daha uzun karakterli bir şifre kullanıyor olsanız da aslında LM Hash onu 7 karakterli gruplar olarak saklar.
Bu da yetmezmiş gibi tüm küçük harfleri büyük harfe çevirir. Dolayısıyla şifreyi bulmak için denenmesi gerekli karakter sayısı azalmış olur.
Mesela şifremiz: 7819Perihan
LM Hash şifreyi ikiye böler birincisini "7819PER” ikincisini “İHAN” olarak alır.
Şifre kırma programlarının kullandığı brute force attack yöntemiyle ilk bölümün çözümlemesi günler alabilir ama ikinci bölümdeki Hash saniyeler içinde bulunur. Eğer şifre hırsızı biraz kafayı çalıştırırsa şifrenin ikinci kısmından (ihan) yola çıkarak ilk kısmındaki bazı karakterleri kolaylıkla tahmin edebilir.
Bu durumda önlem olarak eğer bilgisayarın NTLM Hash’lerini saklamasını sağlayıp, LM Hash’lerini saklamasını önlersek kötü niyetli kişilerin şifre çözümleme işini oldukça zorlaştırmış oluruz.
Bahsettiğimiz bu Hash’lerin bulunduğu SAM dosyası güvenlik mülahazaları nedeniyle yönetici yetkilerine sahip olunsa bile bu dosya Windows çalışırken kayıt edilemez başka bir yere kopyalanamaz. Sadece yönetici yetkileri ile DOS komutları ile ulaşılabilir.
Ancak günümüzde geliştirilen Proactive Password Auditor, Proactive System Password Recovery, Passwordspro, SAMinside veya RainbowCrack gibi bazı yazılımlar sayesinde veya size gönderdiği Cain & Abel gibi bir trojan ile bilgisayarınızda kullanılan tüm şifrelerin saklandığı SAM dosyasını ele geçirebilir. Sonrasında iş bu SAM dosyasındaki şifreleri yine yukarıda adı geçen programlarla veya önceden oluşturulan rainbow table’ları kullanan programlarla (Ophcrack ve rtcrack gibi) çözümlemek kalıyor. Bu uzun ve üst seviyede bir konu olması nedeniyle ilgilenenler için daha sonra başka bir yazımda ayrıntılı şekilde tekrar ele almak istiyorum.
Sonuç olarak herhangi bir bilgisayara şifre kullanarak giriliyor olsa bile bu şifreler bir takım yollarla resetlenebiliyor veya ele geçirilebiliyor. Eğer kurumsal bir yapı içerisinde birçok bilgisayardan oluşan bir ağ mevcutsa bu durumda tehlikenin boyutları daha da artacak demektir.
ALıntıdır..
