Report der Sicherheitsüberprüfung unserer Schulcomputer vom 19. Februar 2004 Die Prüfung der Sicherheit unserer Computer hat sich als unzureichend erwiesen. Mir ist es gelungen unser Passwort, für den Administrativen Zugriff auf die einzelnen Rechner, mit simpelsten Programmen die sich ein jeder herunterladen kann, auszulesen und mir nach Hause zuschicken wo ich ein weiteres Programm damit beschäftigt habe den Hash, also den ausgelesenen Passwortwert, zu entschlüsseln, dies beanspruchte noch nicht einmal eine halbe Stunde meiner Zeit und ich konnte während dessen anderen Aktivitäten nachgehen. An dieser Stelle danke ich unserem Mathematiklehrer Herrn Hindenburg, für welchen dieser Report bestimmt ist, er kam zu uns als bekannt wurde das Mitglieder unserer Klasse das Administratoren Passwort bekannt ist, auch erwähnte er das Dateien verschoben sowie gelöscht wurden, ich setzte mich mit den entsprechenden Mitschülern in Verbindung doch diese eröffneten mir sie wissen dieses Passwort aus einer AG, hätten weder Dateien gelöscht noch verändert, sie sagten mir außerdem das sie niemandem dieses Passwort mitgeteilt haben und es bisher nur einmal benutzt haben, bei diesem Versuch wurden sie von unserem Lehrer ertappt, der sie fragte woher sie es wissen, ich wurde in diese Runde mit einberufen und musste feststellen das das Passwort total unsicher war, doch dazu später. Er versicherte uns, er habe das Passwort geändert und er glaubte das wir nicht dazu im Stande wären das Passwort zu entschlüsseln. Dies lies mir keine Ruhe und so beschloss ich mich zu informieren, über das Internet suchte ich Möglichkeiten, ein Windows Passwort, durch ein Nicht-Administrator Benutzerkonto auszulesen. Als ich feststellte mit welcher Leichtigkeit das von statten gehen musste, beschloss ich, dass ich mich darin versuche, die Passwort-Hashes auszulesen, sie in eine TXT-Datei zu schreiben und diese online über meinen GMX Account an mich selbst zu schicken. Somit war das Unternehmen Passwort geboren. Ich erstellte mir einen Lycos Free Webspace von 50 Megabyte Größe, lud mir die Programme zu Hause herunter und lud sie dann auf meinen Lycos Webspace. Ich lud sie mir in einer Stunde herunter, in der wir nicht unseren Mathematik Lehrer hatten, da ich wusste es wäre zu gefährlich und das Risiko ertappt zu werden wäre um das doppelte höher, als bei einem anderen Lehrer, einen der nicht so viel Ahnung hat wie unser Mathematiklehrer, der nebenbei noch als Systemadministrator fungiert. Ich speicherte diese Programme in meinem Ordner, der auf dem Netzwerkspeicherlaufwerk liegt. Heute war es dann soweit ich machte mich an die Arbeit, als unser Systemadministrator, durch einen Störenfried an der Tür, abgelenkt war. Das auslesen der Datei, welche die Hashes aller Passwörter enthält, mit denen man sich lokal an einem der Rechner kann, erfolgte über die DOS-Eingabeaufforderung, durch ein so genanntes Exploit, ein Programm das dafür geschrieben wurde, sich Administrative Rechte anzueignen, in diesem Falle war dies aber nur über die Eingabeaufforderung Möglich. Danach führte ich ein Programm aus das mir in noch nicht einmal einer Sekunde, die Hashes der Passwörter anzeigte, unser Lehrer war mit dem Störer ungefähr eine bis anderthalb Minuten beschäftigt aber sogar dieses sehr kleine Zeitfenster ermöglichte mir es sogar, eine Textdatei anzulegen, die Hashes hinein zu kopieren und diese dann an eine E-Mail gehängt, an mich selbst zu schicken. Tatsache war das diese fatale E-Mail gerade abgeschickt wurde, als unser Lehrer an den Administrationscomputer zurückkehrte. Man sieht anhand dieses Beispiels, das dieses kleine Zeitfenster durchaus ausreicht um diese Hashes zu kopieren und sie sich zu zuschicken. Leider, so muss ich sagen, habe ich nach meinen Recherchen, immer noch kein zuverlässiges Mittel gefunden, diesen Vorgang zu verhindern, die eingebauten Sicherheitsmaßnahmen, die man in Windows 2000 vorfindet sind, wie ich leider sagen muss, unzureichend. Das heißt das diese Verschlüsselung von dem Programm, welches ich benutzt habe, einfach umgangen wird. Nun da ich wieder zu Hause war und mein Lehrer ja nichts gemerkt hatte. Was, wie ich hier betonen mochte, nicht seine Schuld war und er nicht ständig alle Bildschirme von allen Schüllern beobachten kann, hätte ich die Gelegenheit wahr genommen und hätte das Vorhaben in die Tat umgesetzt, wenn er von einem anderen Schüler etwas gefragt worden wäre, somit wäre er abgelenkt gewesen und ich hätte unbemerkt das Programm starten können. An meinem Heimrechner rief ich meine E-Mails ab und fing an den Administratoren Hash zu entschlüsseln. Als der Vorgang beendet war stellte ich mit erschrecken fest, dass das Passwort so lautete wie das, das bei der Besprechung, die unter zehn Augen stattfand. Ich war überrascht, da ich dachte das Passwort sei geändert worden. Darauf wollte ich in diesem Bericht aufmerksam machen, ich danke ihnen für ihre Zeit. _________________________________ (P.S) Die Liste der Programme die ich Verwendet habe: Pwdump2 Das Programm das die Hashes aus der Sam file liest. Sam Inside Pro v 2.1 Das Programm das die Hashes Decodiert hat. GetAD2 Name des Exploits das mir die Administrativen Rechte verschafft hat. Notepad Text-Editor Command.com Die Eingabeaufforderung Internet Explorer Wurde benutzt um die E-Mail über GMX zu versenden. Mögliche Sicherung: Zugriff auf die Eingabeaufforderung verbieten. Denn alle Exploits benötigen die Eingabeaufforderung. Win32 Programme die, die Passwörter auslesen können benötigen Administrative Rechte um ihren Zweck zu erfüllen. Mögliche Programme zur Sicherung der Schwachstelle: Recherchen haben nichts ergeben.
![[HaBo]](/styles/default/logoklein.png){kind=small}
ist meistens ne kopie