Taller Sistemas operativos


1.    Que mecanismo utilizan los sistemas operativos Windows para cifrar las
contraseñas?
Tiene un has débil, divide la contraseña en siete caracteres, si se tiene una contraseña de 10 caracteres y les aplica el atgorito a los otros tres aplica un atgoritmo y también los almacena, dividir una clave es demasiado fácil para un hacker.
Ntlm es un poco más seguro, supera la partición de contraseñas 
2.    Cuál es el nombre del archivo  o los archivos donde windows alacena las  contraseñas?
Mssam
Security Account Manager (SAM)
El Administrador de cuentas de seguridad (SAM) es un registro de archivo en Windows NT , Windows 2000 , Windows XP , Windows Vista y Windows 7 . It stores users' passwords in a hashed format (in LM hash and NTLM hash). Que almacena los usuarios contraseñas en un formato de hash (en el hash LM y NTLM hash). Since a hash function is one-way, this provides some measure of security for the storage of the passwords. Dado que una función hash es de un solo sentido, esto proporciona una cierta medida de seguridad para el almacenamiento de las contraseñas.
In an attempt to improve the security of the SAM database against offline software cracking , Microsoft introduced the SYSKEY function in Windows NT 4.0 . En un intento por mejorar la seguridad de la base de datos SAM contra la línea grietas software , Microsoft introdujo el SYSKEY funcionar en Windows NT 4.0 . When SYSKEY is enabled, the on-disk copy of the SAM file is partially encrypted, so that the password hash values for all local accounts stored in the SAM are encrypted with a key (usually also referred to as the "SYSKEY"). Cuando SYSKEY está activada, la copia en disco del archivo SAM está parcialmente codificado, de modo que los valores hash de la contraseña para todas las cuentas locales almacenados en la SAM se cifra con una clave (por lo general también se conoce como la "SYSKEY").
In the case of online attacks, it is not possible to simply copy the SAM file to another location. En el caso de los ataques en línea, no es posible simplemente copiar el archivo SAM a otro lugar. The SAM file cannot be moved or copied while Windows is running, since the Windows kernel obtains and keeps an exclusive filesystem lock on the SAM file, and will not release that lock until the operating system has shut down or a blue screen exception has been thrown. El archivo SAM no se puede mover o copiar mientras se ejecuta Windows, ya que el núcleo de Windows obtiene y conserva un bloqueo del sistema de archivos exclusivo en el archivo SAM, y no dará a conocer que el bloqueo hasta que el sistema operativo ha cerrado o una excepción de la pantalla azul ha lanzado sido . However, the in-memory copy of the contents of the SAM can be dumped using various techniques, making the password hashes available for offline brute-force attack. Sin embargo, la copia en memoria de los contenidos de la SAM puede ser objeto de dumping utilizando diversas técnicas, por lo que los hashes de contraseñas en línea disponible para ataque de fuerza bruta.
3.    Existen más herramientas para descifrar o realiza un ataque físico a
maquinas con SO Windows, cuáles?
Password change
Offline (fuera de línea) los ataques Offline son realizados desde un localidad que no es la de la computadora que se intenta acceder. Por ejemplo; Usted logra copiar el archivo SAM de una computadora de una biblioteca pública en una memoria portátil. Luego usted se va a su casa e intenta romper el password en su computadora. Existen 3 tipos de ataques Offline:. Dictionary attack – es el uso de listas de palabras encontradas en los diccionarios (Administrador)
. Hybrid attack – este ataque sustituye letras por números y añade números al final (Adm1n1strador, Administrador35)
Brute-force attack – este intenta todas las combinaciones de letras, números y caracteres especiales (Admin#45tra@dor)
Samdump – programa para ver el contenido de los archivos SAM. Abra el Command Prompt y entre samdump sam. Recuerde que debe ejecutar el programa y tener el archivo SAM en el mismo directorio donde se está ejecutando el Command Prompt

4.    Que recomendaría Usted como Agente de Seguridad para evitar los ataques anteriores.
En primera medida se puede encriptar las maquinas, generar contraseñas de bios e inhabilitar las unidades de cd.
Encriptar las usb o en su defecto inhabilitar los dispositivos de medios extraíbles.
5.    Investigue sobre la herramienta Cain y como la misma puede ayudar a un atacante o aditor a conocer la seguridad de una contraseña.

Sacar Password de Red Inalambrica con Cain y Abel


1- Elegimos la red a la cual queremos obtener la contraseña




2-Abrimos nuestro cain y abel y vamos a:
-Decoders
-Wireless Passwords



3-listo ahora debemos de mandar los hashes a el famoso cracker del cain y abel
Send WPA-PSK Hashes to Cracker



4-Perfecto ahora vamos a nuestro cracker y tenemos 2 opciones
-Dictionary attack
-Brute Force attack





Cain y abel trae su propio .txt con muchas posibles contraseñas
para hacer nuestro ataque diccionario. el txt lo pueden encontrar en:

C:\Archivos de Programa\Cain\Wordlist\Wordlist.txt
que en este caso será el txt que ocupare para mi ataque

5-


Luego hacemos clic en Start
y luego de un tiempo tendremos nuestra contraseña:


.
6.    Qué clase de ataques maneja la Herramienta Cain con respecto a los
archivos de usuarios y password de Windows?
En conclusión podemos ver que este tipo de programa lo que realiza es un taque local el cual es un ataque básico de diccionario. Registra contraseñas hasta romperla.




7.    Que pasaría si encontramos un sistema operativo UNIX con particiones con VLM, se podría realizar el ataque?

Según lo leído encontré que realizar particiones LVM, se pueden encriptar los discos y generar más seguridad en la información, de igual manera encontramos que se puede realizar bastantes particiones  dependientes de una virtual de esta manera es más difícil realizar un ataque.

8.    Investigar si existe alguna forma de anular el password de root editando
el archivo /etc/passwd o /etc/shadow
Para solucionar esta vulnerabilidad, podemos recurrir a contraseñas en la sombra (shadow passwords), un mecanismo consistente en extraer las claves cifradas del fichero /etc/passwd y situarlas en otro fichero llamado /etc/shadow, que sólo puede leer el root y dejar el resto de la información en el original /etc/passwd. El fichero /etc/shadow sólo contiene el nombre de usuario y su clave, e información administrativa,
9.    Qué sistema operativo de los manejados en el laboratorio considera usted que es más seguro?
Ninguno por que se ha podido realizar ataques a los dos. Tanto como a Linux como Windows.
Los dos tiene niveles de seguridad pero los dos son vulnerables ya que la mayor vulnerabilidad de un s.o es el usuario.