Come Craccare le Password di Windows

Roba da hacker? No. Almeno, non solo. Anzi può essere necessario craccare le password proprio per fronteggiare un attacco pirata. Forse il malintenzionato dopo essersi infiltrato nel nostro computer ha cambiato le password chiudendoci fuori dal sistema! O forse più banalmente la distrazione di un amico o di un dipendente di un’azienda che non ricorda più la password di accesso a Windows, magari dopo un po’ di tempo che non utilizzava quella macchina.
Insomma, sapere come fare a recuperare le password può essere molto utile.

Recuperare o resettare?
Meglio recuperare le password o semplicemente resettarle? Per accedere al sistema basterebbe resettare le password, ovvero impostarne di nuove senza però venire a conoscenza delle vecchie.

Così facendo si verrebbe a saltare la fase di cracking; però in alcuni casi è preferibile recuperare le password. Per esempio, sul computer potrebbero essere presenti partizioni criptate che sarebbero perse per sempre senza conoscere la giusta password.

Per non dimenticare che spesso l’utente usa la stessa password per diversi servizi: recuperando la password di Windows si potrebbe riuscire ad accedere anche ad altre risorse, cosa utile durante una investigazione informatica.

Il recupero: un po’ di teoria.
Le password di Windows sono memorizzate nel registro di configurazione. Per la precisione nel Security Account Manager conosciuto anche come SAM database.

Il SAM database viene memorizzato in %WINDIR%\System32\config (dove %WINDIR% è la directory di sistema dii Windows); in genere su XP il SAM si trova in Windows\System32\config, su Windows 2000 in WINNT\System32\config.

Il SAM contiene gli hash delle password, ovvero dei codici criptografici non reversibili. In pratica si tratta di codici che non possono essere trasformati in plain text: l’unico modo per recuperare le password è craccarle.

A partire da Windows NT4 SP4 venne introdotta un’ulteriore misura di sicurezza: SysKey.
Con l’introduzione di SysKey il SAM database viene criptato con un altro valore (Bootkey). Quindi per poter decriptare il SAM occorre prima procurarsi anche questo codice che troviamo nella stessa directory del SAM database (%WINDIR%\System32\config) all’interno del file SYSTEM.

Riepiloghiamo: per poter craccare le password di Windows ci servono due file:
Il SAM database (%WINDIR%\System32\config\SAM) e il file SYSTEM (%WINDIR%\System32\config\SYSTEM).

Qui sorge un piccolo problema: se proviamo a copiare questi due file il sistema ci risponde con un mesaggio di errore (“Il file è già in uso”). Non è possibile copiare da Windows i file SAM e SYSTEM e metterli sempliemente su un floppy o un dispositivo rimovibile USB.

FAT e NTFS
Per poter prelevare i file SAM e SYSTEM è necessario accedere al computer senza avviare Windows. Questo obiettivo lo possiamo ottenere in due modi: utilizzando una distribuzione live di Linux (tipo Knoppix) oppure effettuando il boot con un recovery disk. In questo articolo utilizzeremo questo secondo metodo.

Windows può utilizzare due file system: il vecchio FAT (FAT32) o il più recente e sofisticato NTFS.
Per accedere ad una partizione FAT basta utilizzare un normale boot disk MS-DOS oppure si può utilizzare Freedos (una versione free dell’MS-DOS).

Se invece ci troviamo di fronte ad una partizione NTFS ci serve un programma speciale: ReadNTFS.
Questo programma basato su Freedos permette di effettuare il boot da floppy e di accedere al file system NTFS, copiare i file e salvarli su di un supporto esterno.

Inoltre fornisce il supporto USB. Questa caratteristica è molto interesante visto che di solito il file SYSTEM è più grosso di 2 Mega e non sta su di un floppy.
In mancanza del supporto USB avremmo dovuto utilizzare un programma per comprimere il file SYSTEM (tipo Pkzip).

Una volta scaricato e avviato ntfsfloppy.exe chiederà l\’inserimento di un floppy su cui si andrà a creare l’immagine di boot. Finita l’operazione bisognerà effettuare il boot col floppy appena creato sul sistema dal quale si deve recuperare le password.

Durante il boot selezionare l’opzione di attivazione del supporto USB (opzione 6). Alla fine del boot partirà automaticamente il ReadNTFS che permette di navigare semplicemente nel file system. Basterà individuare i file SAM e SYSTEM, salvarli sul drive USB e passare alla fase successiva: l’attacco!

Password Cracking
Una volta recuperati i file che ci servono passiamo alla fase vera propria di cracking. Ci serve questo strumento: LCP Password recovery and auditing tool

Lanciare lcp.exe e selezionare dal menu Import la voce “Import from SAM file”. A questo punto apparirà una finestra che ci chiede dove trovare i due file (SAM e SYSTEM).
Quindi avviare il cracking (“Begin Audit F4”). L’attacco si articola in tre fasi:

  • Dictionary attack
  • Hybrid
  • Brute Force
  • Le prime due fasi durano pochi minuti: cadranno le password più deboli; la terza fase dell’attacco (“Brute Force”) potrebbe durare anche alcuni giorni, ma alla fine dovrebbe recuperare almeno il 90% delle password.

    Come abbiamo visto “rompere” le password di Windows non è poi così difficile. Naturalmente abbiamo trattato del recupero delle password su di un computer di cui abbiamo l’accesso fisico, caso classico di una investigazione informatica o più semplicemente il recupero per conto di un utente sbadato o di un dipendente che se n’è andato dall’azienda senza svelare la password.

    9 Comments
    1. TROPPO COMPLICATO…
      CE UN MODO PIU SEMPLICE?
      AD ESEMPIO IO ORA HO SCARICATO KNOPPIX
      VORREI SAPERE QUEL MODO LI
      GRZ
      =)

    2. Pingback: Hackerare Windows con Metasploit | PillolHacking.Net

    3. Pingback: 9 Cose da non Fare con le Password | PillolHacking.Net

    4. Ho creato un sito dove ho raggruppato i commenti piu’ interessanti e pian piano inseriro’ nell’area download tutto quello che puo’ servire per continuare la discussione in modo costruttivo.
      Credo d’aver fatto una cosa gradita a molti e se vogliamo continuare la conversazione sul forum, magari si riesce a capire un po meglio rispetto a qui (con tutto il rispetto al sito ovviamente) il portale è: http://www.buffalo-italia.com

    Comments are closed.