LM Hashes por defecto en XP y 2003.

Hola, en curso online de Seguridad informática nos dan un software que rompe contraseñas del archivo SAM de las máquinas, osea, de los usuarios de dicha máquina.

Dicho software es ophcrack, fácil de usar, primero intenta fuerza bruta para contraseñas de 4 caracteres o menos, sino, unas tablas que se cargan que pueden ser más o menos buenas, y las hay incluso de pago.

Yo he instalado la tabla "XP Free small", que es gratis y que, según la pag oficial de OphCrack averiguará contraseñas que contengan números y letras, no símbolos.

Pero he aquí que mi contraseña era algo parecido a : "Dc2f32011+" , osea, que contiene un símbolo "+" , y la ha averiguado para mi gran sorpresa !

De todas maneras, leyendo, he visto que XP e incluso 2003 Server guardan el hash LM de la contraseña de cada usuario en el archivo SAM , y este hash es muy muy muy fácil de romper con Ophcrack y con otros software que desconozco.

He quitado esa política que viene POR DEFECTO en XP y 2003 (no así en Vista , 7 y 2008). Al quitar esa política, he puesto que se guarden las contraseñas en NTLM, y a OphCrack le cuesta mucho más averiguarlas. No sé como puede venir eso por defecto incluso en 2003 Server Enterprise !!


Muchas gracias de antemano !!

No sé cual es tu pregunta...

Efectivamente, los hashes LM (LanMan o Lan Manager) estaban activos por defecto en todas las versiones de windows hasta windows vista, si no recuerdo mal... La razón era simple: Por compatibilidad hacia atrás. Windows NT, 95, 98 y ME usaban este tipo de forma de guardar los hashes de las contraseñas... El probleam es que la implementación de la función hash por parte de Microsoft fué extremadamente deficiente, y acabaron con una función que no era puramente de sentido único.

En realidad, desde windows 2000 se soportan los hashes NTLM (cuya implementación es mucho más certera como función hash de sentido único)

En resumen, si estaban activos era para permitir que equipos con 95/98/ME o NT se conectasen con ellos o pudiesen compartir cosas en la red.

Por cierto... Lo del "sentido único" (one way) es algo inherente a las funciones ahshes, como supongo que ya sabes... La idea es que aplicando una función sobre la contraseña, puedas obtener el hash concreto (de forma que siempre que apliques la misma función con los mismos parámetros obtengas el mismo hash... Y así valides que el password usado para hacerlo sea el mismo). Es una forma de NO GUARDAR los passwords (fundamental).

Pero estas funciones DEBEN ser de sentido único... Es decir, a partir del password obtienes el hash (una cadena cualquiera). Pero teniendo el hash, NUNCA DEBES llegar al password. En eso se basa parte de la seguridad de este sistema.

El sistema de contraseñas *NIX (como Linux) basado en archivos paswd/shadow, usan tambien una función hash, a la que aplicandole un "salto" (una serie de caracteres del propio hash) a la contraseña, siempre te da el mismo hash.

El caso es que en la implementación LM, el sentido único NO estaba garantizado por culpa de una mala implementación... Con lo que puedes sacar el password directamente del hash. Po reso es mas rápido.

En NTLM debes ir probando passwords y comparar los hashes resultantes, de forma que es mucho más lento (obviamente).

De todas formas, si las contraseñas no son seguras, un buen conjunto de tablas rainbow te dará una contraseña en un tiempo más que aceptable, si consigues los hashes... Por eso debes intentar evitar que eso sea posible :)

Incluso hay sistemas online en los que metes un hash y ellos se dedican a aplicar las tablas que tienen (que son muchas) y te envían el password correspondiente a ese hash por correo (o al menos antes los había)... De forma que eran los servidores de esos sitios los que hacían todo el trabajo de computación (sin al necesidad de tener tu equipo pilado, dedicado a romper una contraseña).

Como digo... No sé cual es tu pregunta concreta. Pero el tema en sí es interesante, desde luego :)

Gracias por responder Moeb.

Pues la pregunta básica era porque si utilicé las "XP Small Tables" de OphCrack 3 , que sólo puede (según página oficial) averiguar passwords que contengan letras y números, pero no símbolos, y sin embargo, me averiguó la contraseña "Cd2F3-1975" , es decir , una contraseña con un símbolo cuando el charset sólo contenía letras y números (se puede ver en la descripción de dicha tabla en la pag oficial de OphCrack).

Te agradezco que me hayas explicado lo del sentido único, que por cierto parece obvio, pero que no sabía. Gracias.

Hay una política en Windows que dice "No guardar LM en el próximo cambio de contraseña" que yo aplico siempre en mi dominio y pc´s stand-alone. Porque, como sabes, se guardará a partir de entonces la contraseña en el archivo SAM, pero con hash NTLM, y no LM. He probado OphCrack después de hacer este cambio y no ha sido capaz de averiguar ningunca contraseña del sistema, aunque esto se debe a que las XP Free Small Tables sólo rompen paswords en LM.

He visto en la página de OphCrack que hay tablas para Vista, que tienen ya las passwords en NTLM, son tablas pesadísimas en gigabytes y de pago.

Aparte he leido por ahí que llevan muuucho tiempo romper dichas contraseñas (si son medio buenas: más de 7 caracteres, mayusculas, minúsculas, números, símbolos) pero me temo que esto lo hace un 2% de los usuarios en las redes corporativas) aunque se les puede forzar por GPO en Windows que "cumplan los requerimientos de complejidad, guardar un historial de contraseñas, que la cambien cada 30 días, etc.

la otra pregunta es cómo está esa política de LM por defecto, me parece nefasta, en minutos sino segundos, se sacan las contraseñas de equipos locales y incluso de SAM remotas. Ya sé que es por compatibilidad, pero he visto que hay parches para 98 etc para que acepten NTLM en vez de LM.

TREMENDO AGUJERO !! a mi parecer.

Pues... No lo sé. Supongo que porque además de aplicar tablas, tendrías activo el usar métodos de fuerza bruta... Quizás la contraseña, al ser un año lo del final, no le resultase compleja (o incluso podrías tener activa una opción para mezclar tablas y reglas... Una regla muy habitual es "un caracter y dos números o un caracter y 4 numeros"... Es decir, un caracter para separar un año al final... Podrían ir por ahí los tiros.

En general, una contraseña que tenga "sentido" no es buena... Un año al final de una contraseña (aunque lo separes con un caracter) no es una buena medida. Sería mejor que lo pusieses en medio... Por ejemplo: Cd2-1975-F3

¿Que por qué? Pues... ¿Por qué cuando creas el primer usuario por defeto en XP tiene permisos de administrador a pesar de que tambien te pide una contraseña para administrador durante la instalación... Y por qué no te obliga a ponerle contraseña dado que pertenece al grupo administradores? ¿O incluso en windows 7, que pertenece al grupo administradores el primero usuario?

¿Por qué hace las cosas Microsoft? Porque supone que es más cómodo para la gente, que es la que al fin y al cabo compra su producto y que no quieren saber nada de nada, aparte de "quiero bajarme este prorgama que me dijo mi primo y que funcione"... ¿Por qué iban a preocuparse con diferentes usuarios para trabajo o uso habitual y para administrar?

Total. Cuando algo no funcione o se llenen de virus o se lleven algo por delante, ya aparecerá el pringao de turno a arreglarle las cosas... Porque todo el mundo sabe que si algo nos gusta ahcer un domingo por la tarde es arreglar todos los problemas del portátil de nuestro cuñao, que "nosabeporqué va muy lento"...

Vamos. Que no es que la seguridad e informar al usuario de los riesgos que corre con sus acciones, hayan sido nunca una prioridad en Microsoft.

Si no... ¿Por qué introdujeron cosas como el file stream en NTFS? ¿O por qué utilizaban contraseñas que se validaban caracter a caracter para acceder a shares en windows 95/98? (sí... si tu clave era c3po, si mandabas una "c" te decia que el primer caracter era correcto, y así sucesivamente... Vamos, en segundos y con un pequeño script tenías toda la contraseña de cualquier share)...

Pues es algo que tendrás que preguntar en Microsoft. Porque lo que es yo, lo único que te puedo decir es que, haciéndolo así, construyendo S.O. llenos de bugs, muy inseguros y mintiendo al decir que "no se requerían conocimientos para usarlo o mantenerlo" (cosa absolutamente falsa), se han forrado.

¿Lo han hecho mal? Desde el punto de vista de sus cuentas bancarias lo han hecho de puta madre, la verdad :)

Gracias de nuevo por tu tiempo Moeb !!

Jolin, quede cosas comentas, jeje.

1. La contraseña no la ha averiguado por fuerza bruta, más que nada porque observaba como al principio intentaba la fuerza bruta, llega al 100% y luego aplica las tablas, cuyo charset, insisto, era números y letras sólamente (esto se dice alfanumérica? perdón por la ignorancia ).

2. Si, aparte de las tablas, como sugieres, usa unas reglas entonces si tiene sentido, supongo. De todas maneras la contraseña que puse en esta pregunta era de ejemplo , jeje, la real tien un símbolo, pero es al final de la cadena.

La verdad es que me ha parecido muy muy llamativo por esas dos cosas: porque no lo ha hecho por fuerza bruta, y porque el charset no incluye símbolos. (De ahí que en mis contraseñas siempre incluyo símbolos, mayúculas, minúsculas, números, no palabras de diccionario, contraseñas de más de 7 caracteres, quito LM siempre de la SAM con una política que hay en Windows.

3. Sea como fuere, al final Microsoft se instaló en el 99% de las empresas y sólo a nivel de servidores los hay Linux, corrígeme si me equivoco porque he trabajado sólo en medianas empresas donde todo era Windows, pero leo, me comentan, que en las grandes , los servidores son Linux, pero no lo sé a ciencia cierta.

Microsoft podría haber mantenido la misma cuota de mercado siguiendo unas pequeñas pautas de seguridad también, digo yo, lo de los hashes LM por ejemplo , que es por compatibilidad dices, o .......tantas cosas........pero al menos algunas de ellas podían ponerse más seguras siendo transparentes para el usuario ?

Quería hacer otra pregunta al hilo de los hashes LM, no sé si postearla en otra nueva, si, quizás mejor para que sea más útil en la búsqueda de la gente.

Muchas gracias de nuevo Moeb !!