La modalità provvisoria ( Safe Mode ) è una particolare tipologia di boot disponibile fin dalle prime versioni di Windows che procedere a caricare solo lo stretto indispensabile (driver e sottosistemi critici) alle funzioni del sistema operativo, in modo da ovviare ad eventuali problemi che sorgono durante le normali operazioni. In questi elementi base non rientrano molti dei controlli di sicurezza e da qui Doron Naim dei laboratori CyberArk ha tratto spunto, studiando come questo ambiente ridotto può essere sfruttato dai malintenzionati.
L’attacco può essere eseguito se l’attaccante ha accesso fisico o logico alla macchina, e può abilitare al furto delle credenziali . Una volta compromessa la prima macchina, l’attaccante imposta l’accesso alla modalità provvisoria al prossimo riavvio . A quel punto ha due opzioni. Nel primo caso inietta una finta schermata di login , potenzialmente del tutto indistinguibile da quella reale, per sottrarre nome utente e password in chiaro. In alternativa può sfruttare il suo iniziale accesso alla macchina per caricare un servizio compatibile con il Safe Mode e pertanto eseguito quando l’utente riavvierà per la prima volta il PC: il servizio può accedere agli hash delle password salvate e sfruttare note debolezze per eseguire attacchi pass the hash a sottosistemi di Windows che consentono l’autenticazione conoscendo anche solo questo dato.
Microsoft ha comunicato a Naim che non prevede di agire per risolvere i problemi evidenziati, sostenendo che l’intera vulnerabilità si basa sull’ assunto che l’attaccante abbia già compromesso almeno in parte il sistema. Il ricercatore si dice molto perplesso della scelta, perché “ricerche hanno dimostrato che è estremamente probabile riuscire a compromettere almeno una macchina anche in un ambiente adeguatamente protetto”. Microsoft dovrebbe quindi preoccuparsi dei movimenti laterali consentiti da questo attacco, che a partire da una primo exploit possono essere ripetuti fino a compromettere un intero dominio non direttamente vulnerabile.
I normali software di sicurezza sono spesso scritti senza il supporto alla modalità provvisoria , e pertanto non vengono caricati quando il sistema è in questa modalità. Un attaccante che ha invece programmato un apposito servizio compatibile col Safe Mode può sfruttare la libertà di azione che questo ambiente concede per operare sulle chiavi di registro e disabilitare l’esecuzione di strumenti di sicurezza come antivirus e firewall al successivo riavvio, in modalità normale. Naim è riuscito a disabilitare con successo 3 popolari software antivirus. Tra le sue raccomandazioni c’è appunto la scelta di software per la sicurezza con supporto alla modalità provvisoria, ma soprattutto la variazione ciclica delle credenziali amministrative unita al sempre valido principio del minimo privilegio , riducendo quindi l’insieme di azioni concesse anche agli amministratori a quelle indispensabili.
Stefano De Carlo
-
Come sempre paghi di più
Ma in compenso....Finché la cifratura sarà legata ad un pin di 4 cifre (ma anche 5 o 6) ci sarà sempre la possibilità di aggirare il blocco.Chiave non robusta = cifratura fallace.le mie password sono criptate in twofish con una chiave da più di 20 caratteri. Voglio proprio vedere oggi chi riuscirebbe a craccare tale file.Re: Come sempre paghi di più
- Scritto da: Luca> Ma in compenso....> Finché la cifratura sarà legata ad un pin di 4> cifre (ma anche 5 o 6) ci sarà sempre la> possibilità di aggirare il> blocco.> Chiave non robusta = cifratura fallace.> > le mie password sono criptate in twofish con una> chiave da più di 20 caratteri. Voglio proprio> vedere oggi chi riuscirebbe a craccare tale> file.Mio cuggino! Quello che ha gli ultimi modelli di tutto! (rotfl)Re: Come sempre paghi di più
- Scritto da: Luca> Ma in compenso....> Finché la cifratura sarà legata ad un pin di 4> cifre (ma anche 5 o 6) ci sarà sempre la> possibilità di aggirare il blocco.> Chiave non robusta = cifratura fallace.> > le mie password sono criptate in twofish con una> chiave da più di 20 caratteri. Voglio proprio> vedere oggi chi riuscirebbe a craccare tale file.20? non è adeguata. La chiave di acXXXXX che serve a proteggere tutte le altre password dovrebbe essere lunga almeno 64 caratteri alfanumerici+simboli: la mia, ad esempio, supera abbondantemente i 300 caratteri ma non sarebbe certo sbagliato utilizzarne una da 512/1024 o più.Re: Come sempre paghi di più
- Scritto da: vrioexo> - Scritto da: Luca> > Ma in compenso....> > Finché la cifratura sarà legata ad un pin di 4> > cifre (ma anche 5 o 6) ci sarà sempre la> > possibilità di aggirare il blocco.> > Chiave non robusta = cifratura fallace.> > > > le mie password sono criptate in twofish con una> > chiave da più di 20 caratteri. Voglio proprio> > vedere oggi chi riuscirebbe a craccare tale> file.> > 20? non è adeguata. La chiave di acXXXXX che> serve a proteggere tutte le altre password> dovrebbe essere lunga almeno 64 caratteri> alfanumerici+simboli: la mia, ad esempio, supera> abbondantemente i 300 caratteri ma non sarebbe> certo sbagliato utilizzarne una da 512/1024 o> più.Ma mio cuggino(quello degli ultimi modelli)ha un tablet potente una cifra, e ti garantisco che con altre cifre la tua passwd di 512 caratteri te la crakka!Lui usa gli ultimi modelli immessi sul mercato mica pc desktop ciofeca, con tutti quei device all' ultimo grido, vedi cosa ti combina. Un vero hakker deve avere SEMPRE l'ultimo modello, sono più potenti. (rotfl)(rotfl)(rotfl).Re: Come sempre paghi di più
password + keyfile ...Re: Come sempre paghi di più
- Scritto da: prova123> password + keyfileAttenzione però ad affidarsi ad un keyfile se lo si usa per supplire ai limiti intrinseci di una password non particolarmente robusta: se il Sistema Operativo mantiene traccia dei file aperti/caricati si facilita il lavoro dell'attaccante se e quando avrà acXXXXX diretto al PC...Re: Come sempre paghi di più
si certo, magari tra 300 anni ti hanno crackato la password.Re: Come sempre paghi di più
usa PBKDF2 con SHA-256 e 5-10000 iterazioni e sei a posto.Re: Come sempre paghi di più
- Scritto da: rock n troll> usa PBKDF2 con SHA-256 e 5-10000 iterazioni e sei> a> posto.Non da mio cuggino! Il super tablet CUDA-Power-Hakker di mio cuggino è l'ultimo modello crakka passwords, e ricorda il nuovo computer è il tabblet, pensa a cosa puoi fare. (rotfl)Chiedilo alla Apple
Se tanto mi da tanto, è stata la stessa Apple a dargliela dopo che il capo dell'FBI ha chiamato suo cugino della NSA che ha chiamato l'altro parente alla FED che fornisce liquidità alle banche d'affari, ed ha chiamato quella banca d'affari che da fidi ad Apple che ha chiamato la Apple dicendogli che se non gli dava la backdoor gli toglievano un fido di qualche miliardo di dollari.È tutta una farsa!Sono collegati a filo doppio le istituzioni di polizia USA con la FED e con gli industriali USA di tutti i settori.Sembra ci sia una separazione ma non è così.Re: Chiedilo alla Apple
Apple , quando si é trovata la falla , ha sempre tappato i buchi in modo rapido non vedo perché in questo caso dovrebbe comportarsi diversamente rischiando una perdita di fiducia. (newbie)Re: Chiedilo alla Apple
Il PDF della ricerca oltre a disintegrare senza alcuna pietà la presunta sicurezza del melafonino te lo dice chiaramente"Although Apple did introduce some hardware securitycountermeasures, most of them seem more like security-through-obscurity rather than fully thought throughmeasures"Più leggi più te ne accorgihttp://arxiv.org/find/cs/1/au:+Skorobogatov_S/0/1/0/all/0/1Re: Chiedilo alla Apple
Dice chiaramente cosa ? un "seem more like" non dice chiaramente nulla.Sei a conoscenza che siano stati craccati iPhone post 5 ?Re: Chiedilo alla Apple
Ingenuità o fede cieca che rende stupidi?Re: Chiedilo alla Apple
Se sei al corrente che Apple conosca la falla dimostralo.Re: Chiedilo alla Apple
- Scritto da: aphex_twin> Apple , quando si é trovata la falla , ha sempre> tappato i buchi in modo rapido"rapido" (rotfl)Re: Chiedilo alla Apple
- Scritto da: aphex_twin> Apple , quando si é trovata la falla , ha sempre> tappato i buchi in modo rapido non vedo perché in> questo caso dovrebbe comportarsi diversamente> rischiando una perdita di fiducia.> (newbie)Perdita di FIDUCIAAAAAAA!!!!! E Quando mai. La fede non è una cosa che la si compera al supermercato. (rotfl)Re: Chiedilo alla Apple
Questo perché ti dicono che non sono stati loro.Cosa possiamo saperne noi di cosa fanno le big corp e NSA/FBI? Non sto dicendo solo Apple, sia chiaro.Re: Chiedilo alla Apple
- Scritto da: vecchiaccio> Cosa possiamo saperne noi di cosa fanno le big> corp e NSA/FBI?Appunto , nulla, ma le teorie complottiste contro Apple sono all'ordine del giorno.Re: Chiedilo alla Apple
- Scritto da: iRoby> ed ha chiamato quella banca> d'affari che da fidi ad Apple che ha chiamato la> Apple dicendogli che se non gli dava la backdoor> gli toglievano un fido di qualche miliardo di> dollari.se guardi i conti di apple non mi pare che abbia bisogno di un fido...Re: Chiedilo alla Apple
> > È tutta una farsa!> Già.https://www.produzionidalbasso.com/project/supernova-come-stato-ucciso-il-movimento-5-stelle/Ora però, dai, levati dalle palle.Re: Chiedilo alla Apple
E che me ne frega a me del Movimento 5 Stelle, che erano farlocchi lo avevo capito da un sacco di tempo?Lo so da quando ero attivista delle Teorie Monetare Moderne ed ho potuto parlare con Beppe Grillo. E lui di monetarismo ed uscire dall'Euro non ne voleva sentir parlare pur conoscendo bene l'argomento, e rimandava sempre a quando avrebbero vinto le elezioni.Re: Chiedilo alla Apple
- Scritto da: iRoby> > Lo so da quando ero attivista delle Teorie> Monetare Moderne ed ho potuto parlare con Beppe> Grillo. E lui di monetarismo ed uscire dall'Euro> non ne voleva sentir parlareoddio sei stato sfanculato pure da beppe grillo?siamo al top (cit.) (rotfl)Re: Chiedilo alla Apple
[img]http://67.media.tumblr.com/8ee5b0c0801a36b44c32f964f492c3ca/tumblr_inline_nppeo0u0bM1qzrn7w_400.jpg[/img]Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commentiPubblicato il 20 set 2016Link copiato negli appuntiTi potrebbe interessare
Pubblicato il 20 set 2016Link copiato negli appunti
