Hacking Akademie

Windows-Passwörter mit Live-System hacken – Passwort-Daten einfach auslesen

Windows-Passwörter mit Live-System hacken

Mittlerweile hat es sich auch in der Welt abseits der Hacker und IT-Sicherheitsspezialisten herumgesprochen, dass das Einrichten eines Passwortes eine sinnvolle Maßnahme ist, um persönliche Daten aller Art vor fremdem Eingreifen zu schützen. Natürlich sind Passwörter, beziehungsweise deren Eingabe- und Validierungsmechanismen, somit auch ein sehr beliebtes Ziel für Hacker. Denn ist das Passwort erst einmal erfolgreich geknackt, liegen die Daten oftmals vollkommen schutzlos auf dem Präsentierteller. Dieser Artikel zeigt, wie einfach Passwort-Daten ausgelesen werden können. Im Folgenden wollen wir uns anschauen, wie leicht es ist, das Benutzerpasswort von einem ganz normalen Windows Laptop zu umgehen, um an die Daten des betreffenden Nutzers heranzukommen. Grundsätzlich gibt es viele Möglichkeiten, Passwörter anzugreifen. Angefangen vom Sticker unter der Tastatur bis zum Mitschneiden der übermittelten Passwörter im Rahmen einer Man-in-the-Middle-Attacke sind viele Angriffsvektoren vorhanden. Wir konzentrieren uns hier auf die Möglichkeit, das System über ein externes Medium zu starten und die Passwort-Daten über ein Live-System auslesen zu können.

Das Szenario

Bei der Installation des Windows-Betriebssystems, wird ein Nutzer aufgefordert einen Nutzernamen und ein Passwort zu vergeben. Bei zukünftigen Anmeldungen am jeweiligen System werden diese sogenannten ‘credentials’, also Name und Passwort, abgefragt. Das kann eine scheinbare Sicherheit suggerieren, die leider sehr schnell zu einem Leck für brisante Daten werden kann, wenn nicht zusätzliche Schutzmaßnahmen eingerichtet worden sind. Nehmen wir einmal an, ein Hacker bekommt auf irgendeine Art und Weise einen fremden Laptop in die Finger. Das kann auf unterschiedlichen Wegen passieren. Ein klassisches Beispiel ist der sogenannte Evil-Maid Angriff, also das “böse Zimmermädchen”. Die Situation ist in etwa so: Das Opfer checkt im Hotel ein und lässt den Laptop im Zimmer, während es zum Beispiel zum Frühstücken geht und das Zimmer kurzzeitig verlässt. In dieser Zeit kann jeder mit Zugang zum Zimmer unbemerkt an den Laptop, um ihn zu manipulieren oder Daten von diesem zu stehlen. Natürlich könnte ein Laptop auch gestohlen oder mit physischer Gewalt entwendet werden. Viel perfider ist es jedoch, das Opfer in dem Glauben zu lassen, die Daten wären weiterhin sicher. Hat ein Hacker nun für ein gewisses Zeitfenster Zugang zum Laptop, ist auch ein Zugang zu den Daten ohne Probleme möglich. Das Windows-Passwort lässt sich einfach umgehen, indem der Laptop mit einem sogenannten Live-System, zum Beispiel von einem eingesteckten USB-Stick aus, separat gestartet wird.

Wie funktioniert ein Live-System?

Ein Live-System ist ein Betriebssystem, das ohne Installation auf einer Festplatte gestartet werden kann. Oftmals handelt es sich dabei um eine Linux-Variante, Beispiele hierfür sind Knoppix oder Kali Linux. In der Regel wird es dazu auf einem bootfähigen USB-Stick oder einer CD/DVD installiert. Das Starten des Live-Systems dauert oft nur ein oder zwei Minuten. Beim Hochfahren wird das Live-System in den Arbeitsspeicher geladen. Da der Arbeitsspeicher wieder gelöscht wird, sobald der Computer ausgeschaltet ist, und in der Regel auch keine Daten auf die Festplatte geschrieben werden, hinterlässt das Live-System somit auch keinerlei Spuren. Das regulär installierte Betriebssystem wird in dieser Situation nicht gestartet und bekommt daher auch nichts von alledem mit. Das Live-System hat nun die Möglichkeit auf alle Hardware-Komponenten zuzugreifen, da es den Computer steuert. Also kann ein Hacker über dieses System auch auf die Daten der Festplatte zugreifen. Das bedeutet, dass der Angreifer, nur mit einem USB-Stick und ohne die Festplatte auszubauen oder Spuren auf dem System zu hinterlassen, beliebige Daten der Festplatte einfach kopieren kann. Hat der Hacker viel Zeit, kann mit einer weiteren angeschlossenen Festplatte die gesamte interne Festplatte des Laptops gespiegelt werden, um die Daten später in Ruhe zu untersuchen. Oftmals hat ein Angreifer aber nur wenig Zeit und muss sich auf wenige Daten konzentrieren. Läuft ein Linux-Live-System auf einem Computer mit installiertem Windows, können alle Windows-Systemdateien untersucht werden. Normalerweise versucht Windows, viele interne Prozesse und Dateien vor dem Nutzer zu verstecken, aber über das Live-System kann der Hacker durch alle Verzeichnisse und Dateien navigieren. Es ist ein bisschen so, als würde das Windows-System wie bei einer Operation in Narkose liegen, während sich mit dem Live-System die inneren Organe anschauen lassen.

Die lokale Passwort-Datei von Windows

Eine für Hacker besonders interessante Datei ist die sogenannte SAM-Datei, was für Security Account Manager steht. Windows speichert die Passwörter von lokalen Accounts als Hash-Wert in der SAM-Datei unter C:\WINDOWS\system32\config. Ein Hacker kann über das Live-System auch diese Datei unbemerkt kopieren. Anschließend können die Hashes in aller Ruhe und mit entsprechender Rechenpower geknackt werden. Dafür stehen diverse Passwort-Cracking-Programme unter Windows und Linux zur Verfügung. John the Ripper ist ein prominentes Beispiel für derartige Programme. Das Passwort-Hacking geschieht dann via vordefinierter Passwort-Listen, deren Hashwerte mit den Einträgen in der SAM-Datenbank verglichen werden oder via Brute-Force, wobei systematisch jede Zeichenkombination durchprobiert wird. Letztlich müssen die Hashes übereinstimmen.

Schutzmaßnahmen

Natürlich gibt es einige Wege sich gegen diese Angriffe zu schützen. Die beste Möglichkeit ist eine Komplettverschlüsselung der Festplatte des Laptops. Dafür gibt es diverse Programme, wie das von Microsoft selbst entwickelte Bitlocker, aber auch freie Alternativen wie beispielsweise Veracrypt. Dabei wird ein Passwort festgelegt, das zum Boot-Zeitpunkt eingegeben werden muss, um überhaupt das Gerät starten zu können. Da das Knacken des Passworts darauf basiert, dass der Passwort-Cracker das Passwort errät, sind starke, gut gewählte Passwörter ein wichtiges Instrument für effektiven Passwort-Schutz. Selbst Angreifer mit umfangreichen Ressourcen werden sich schwertun, ein gut gewähltes Passwort mit 14 Zeichen inklusive Groß- und Kleinschreibung, Ziffern und Sonderzeichen zu erraten. Außerdem kann durch das Setzen eines Passwortes im ‘BIOS’ verhindert werden, dass die Bootreihenfolge vertauscht wird. Es kann hierdurch nicht mehr einfach so ein Live-System vom USB-Stick gestartet werden, wenn die Boot-Reihenfolge entsprechend konfiguriert wurde, und den Systemstart durch einen USB-Stick nicht mehr zulässt.