Desde hace algunos años las normas de seguridad nos dictan que lo más recomendable es tener siempre habilitada una contraseña en nuestro ordenador, una medida que sabemos que no es 100% segura pero que ayuda a tener una capa adicional para proteger nuestra información.
Dentro de estas "costumbres" muchos usuarios suelen activar el bloqueo cuando están por apartarse de sus ordenadores de forma temporal, bloqueo en donde la sesión sigue abierta. Esta medida podría parecer una buena costumbre, sin embargo, hoy veremos que no es así, ya que se ha descubierto que un ordenador en este estado es la víctima perfecta para extraerle credenciales de acceso.
La recomendación es cerrar la sesión o apagar por completo
Rob Fuller, ingeniero en seguridad para R5 Industries, ha descubierto que los sistemas operativos como Windows y OS X (ahora macOS) son propensos a robos de credenciales cuando están bloqueados con sesiones activas, ya que el ordenador mantiene activos muchos de los procesos en donde se tiene registrado el hash o firma digital del usuario, incluso la conexión de red.
Para tener acceso a esta firma digital sólo se necesita conectar un dispositivo USB por unos segundos para así violar el hash y almacenarlo en el dispositivo, que posteriormente servirá para acceder a otros servicios "protegidos" donde se incluyen los servicios de red.
Para demostrar la vulnerabilidad, Fuller ha usado una unidad conocida como USB Armory, que se encuentra en el mercado por aproximadamente 155 dólares, la cual se debe programar para que simule ser un adaptador LAN USB a Ethernet, con lo que se convertirá en la interfaz de red principal del ordenador que se desea hackear.
Esto es posible gracias a que la gran mayoría de los ordenadores están programados para instalar automáticamente los dispositivos USB que se conectan, y cuando el dispositivo USB es una tarjeta de red, el ordenador la configura para que se convierta en la principal puerta de enlace.
Con esto, el atacante se hace del control de la configuración de red, lo que le dará acceso a los DNS, configuración de proxys, entre otras cosas, pero lo más importante es que el permite interceptar y manipular todo el tráfico de red que ocurre en el ordenador "bloqueado". Todo ese tráfico que ocurre mientras la sesión está abierta, permite usar el hash NTLM (NT LAN Manager) extraído para tener acceso al nombre de la cuenta y la contraseña en aproximadamente 13 segundos.
#SecurityTip Don't leave your workstation logged in, especially overnight, unattended, even if you lock the screen.. ;)
— Rob Fuller (@mubix) 7 de septiembre de 2016
Fuller probó este método en un par de ordenadores con Windows 8 y 10, así como en OS X, pero todavía no puede confirmar que el caso de Mac se deba a un fallo por defecto en el operativo o se debe a una configuración que lo hace vulnerable. Mientras tanto, la recomendación es cerrar sesión por completo, bloquear desconectando la conexión de red, o en todo caso apagar por completo el ordenador, ya que como menciona Fuller: "no es posible que yo sea el primero que haya descubierto esto".
Más información | Rooom362
Ver 24 comentarios
24 comentarios
Usuario desactivado
No termino de entender esa ultima coletilla sobre "Mac", que mas da si se debe a un error del sistema, o a una configuracion mas "vulnerable"..
En windows tambien se puede apagar la opcion de "plug and play" y ya no funcionan estos cacharros usb..
A veces tengo la sensacion de que por el simple hecho de ser Apple, intentais "maquillar" segun que cosas... Ningun sistema es inexpugnable y lo que una persona puede idear, otra lo puede tumbar.. Asi de simple, asi de claro..
arcticmonkey
¿Qué hay de Linux?¿Es más seguro o también sería posible hacer algo similar?
nanopulga098
¡Guau! ¡Habeis descubierto América! Ya había una distro de Linux que la arrancabas desde un USB y tenía una opción para sacar la contraseña de inicio de sesión y poner la que quisieses.
lex10s
Imagino que una ventaja de esta "solución" frente a otras como utilizar un sistema externo como Linux, es que aunque los datos del disco estén cifrados, como el usuario ya ha iniciado sesión en su sistema, al utilizar esta herramienta se puede acceder a los archivos ya descifrados.
Gonzalo Lara
Yo lo que tengo etendido es que una vez que llegan físicamente a tu máquina ya estás vendido. Ya sea mediante el pincho este de marras, o mediante sustracción de la máquina completa o al menos de alguna parte vital como por ejemplo el disco duro.
dak51
YO se el truco de la vida eterna.
koquimera
155 dolares me parece caro para solamente desbloquear una sesión de windows o mac, hay otros métodos un poco mas laboriosos pero gratuitos y tampoco necesitan demasiados conocimientos.
tecnicuttecnicasindustrialesdecorte
Lo mejor para evitar problema es hacer lo que se dice en el articulo "La recomendación es cerrar la sesión o apagar por completo"
xtremwise
Yo tengo un pequeño truco para entrar sin ningún problema en cualquier equipo con Windows XP / Vista / 7 / 8 / 8.1 y 10, si si, también la última versión de Windows, sin USB ni software ni nada, simplemente través un pequeño bug en la pantalla de inicio y, puedo modificar, borrar y manipular cualquier contraseña que hay en el equipo a mi antojo incluso la de Administrador de equipo, repito sin nada, así he sacado a mas de uno de un apuro, incluso más de una vez me han traído PC's para reparar y se habían olvidado en facilitarme la contraseña.