L0phtcrack on L0pht Heavy Industries:n tekemä windows NT:n salasanojen murto-ohjelma (amerikkalaisittain he itse kylläkin kutsuvat sitä "password recover tool":ksi).

Ohjelma on hyvin yksinkertainen käyttää, siitä on olemassa graafinen ja tekstipohjainen versio. Koska testiympäristö oli Windows NT-kone niin testasimme pelkästään tuota Windows-versiota. Ohjelmasta löytyy versiot ainakin seuraaville alustoille: Win 95/98, Win NT, AIX, BSD, FreeBSD, HP-UX, Linux, SCO, Solaris, SunOS ja OpenBSD.

L0phtcrack käyttää salasanojen murtamiseen joko sanakirjahyökkäystä (sanat luetaan tiedostosta, mukana vain pieni malli englanninkielisistä sanoista) tai brute-force menetelmää. Brute-force hyökkäyksessä käytettävä merkistö voidaan valita helposti valikosta, vaihtoehtoja ovat: kirjaimet, kirjaimet ja numerot ja kaksi muuta joissa numerot ja kirjaimet + eri määrä erikoismerkkejä (26, 36, 46 ja 68 merkkiä).

Testattu graafinen versio on rakennettu aivan normaalin windows-ohjelman kaltaiseksi ja sitä on helppo jopa käyttää jopa sellaisen jota ei kukaan erehtyisi edes luulemaan hakkeriksi.

Ohjelma ottaa sisään salasanatiedoston, sanakirjatiedoston tai NT:n sam-tiedoston (siitä lisää myöhemmin). Tulokset voidaan myös tallettaa tiedostoon.

Tools -valikosta voidaan valita seuraavat toiminnot:

• Hae salasanat rekisteristä (Administrator)
• Sambapakettien poiminta verkkoliikenteestä
• Murtamisen aloittaminen/lopetus
• Asetuksien muuttaminen

Jotta salasanoja voisi murtaa, tarvitaan myös jotain tietoa salasanoista. NT tallettaa salasanat system32\config\sam – tiedostoon. Ensimmäisenä tulee luonnollisesti mieleen tämän tiedoston kopioiminen tuolta talteen, mutta jos sen pystyisi noin vaan lukemaan, salasanojen murtaminen olisikin helppoa. Tiedosto on kuitenkin suojattu ja jos sitä yrittää avata saa kaikenlaisia hassuja virheilmoituksia:

Kuitenkaan mikään systeemi ei ole näin turvallinen. Tuosta sam-tiedostosta tehdään kopio asennuksen aikana, johon tulee kylläkin pelkästään asennuksen aikaina annettu Administrator-salasana, mutta hyvällä tuurilla sekin voi riittää. Parempi kopio tuosta löytyy myös recovery-disketiltä, joita kannattaa pitääkin piilossa. Jos kuitenkaan kumpikaan noista ei riitä, on olemassa erilaisia ohjelmia joilla nuo salasanat voi yrittää kaivaa rekisteristä. Jos käyttäjä on Administrator niin l0phtcrack osaa itsekin hakea salasanat rekisteristä, tämä kuitenkin on yleensä epätodennäköinen tilanne jos kyseessä on murtoyritys.

L0phtcrack sisältää myös samban (windowsin map network drive) salasanojen snifferöintiosan, jolla voi yrittää haistella verkkoliikenteen seasta salasanoja. Tätä ei kuitenkaan testattu, koska testiympäristö ei soveltunut siihen.

Harjoitusongelman kuvaus:

• Kokeile hankkia kopio salasanatiedostosta mahdollisimman monella eri tavalla
• Suoraan rekisteristä (jos olet Administrator)
• Käynnistämällä kone korpulta ja esim. ms-dos:ssa käyttämällä sopivaa työkalua jolla voi lukea suoraan ntfs-levyltä salasanat (ntfsdos)
• Etsimällä asennuksessa tehty kopio (repair/sam._)
• Kuuntelemalla verkkoliikennettä (jos mahdollista ko. laitteistolla)
• Avaa l0pthcrackillä salasanatiedosto ja kokeile ajaa sanakirjahyökkäystä
• Kokeile samaan tiedostoon brute-force hyökkäystä

Kuva brute-force hyökkäyksellä murretusta salasanasta:

Kuvassa olevassa tilanteessa saatu murrettua testi-käyttäjän salasana, joka on "PloP", käyttäjien Administrator, humppa ja ollilain käyttäjätunnuksesta on saatu selville muutama kirjain, käyttäjän tsalomak-salasana on vielä kokonaan mysteeri.

Harjoituksen pistemäärä: 0.3

Viitteet: