19 abr 2012

Uso de Syskey en Windows

Tenía ganas de probar el Windows 8 desde hace tiempo. Lo primero es desactivar Metro, para que pueda usarse. Es absolutamente inusable esa interfaz en un escritorio. Lo segundo, mirar si han actualizado un par de cosas que llevan tiempo en el código... pero no.

Por si alguien lo dudaba, la "vulnerabilidad" de las sticky keys sigue presente. Y sigue presente porque no es una vulnerabilidad, pero cuando salió Vista hace años, la "noticia" hizo mucho ruido: "Vista sigue vulnerable...", se podía leer. No se considera un fallo de seguridad porque, para que ocurra, debes ser administrador.

La otra cosa que quería mirar es lo de Syskey. Ante el problema que supuso el pobre sistema de cifrado local de las contraseñas (LM y NTLM), Microsoft introdujo una mejora en forma de parche para Windows NT y de serie para Windows 2000 y posteriores. El sistema se llamó "Syskey" (System key) y añade una nueva capa de seguridad. Aunque todos los Windows actuales lo utilizan y mantienen activo, Syskey es una de las funcionalidades menos conocidas. Básicamente, se cifra de nuevo con una contraseña maestra (System key) las firmas o hashes LM y NTLM almacenados en la SAM para intentar protegerlos. Esto es, como suele ser habitual, una buena idea mal utilizada. En la práctica resulta un sistema de seguridad inútil. Tras aplicar ingeniería inversa, se descubrió e hizo público el sistema de cifrado de Microsoft para Syskey y existen programas de 'crackeo' que permiten saltarse este método de seguridad sin mayor problema. Sin embargo, si Syskey se utiliza correctamente, no es una mala idea.

Posibilidades que ofrece Syskey

Se puede teclear 'syskey' (como administrador) en la línea de comandos para comprobar que se tiene activo por defecto. No hay forma de deshabilitarlo. Si se decide sacar provecho real de Syskey, se debe saber que permite tres tipos de almacenamiento diferentes para la contraseña maestra (con la que cifra la SAM), pero muy pocos lo usan.
  • Opción 1: La contraseña Syskey para cifrar la SAM puede ser almacenada en el registro a través de un algoritmo de ocultación ideado por Microsoft (garantía de desastre… para el cifrado, se debe usar criptografía estándar). La contraseña es elegida por el propio sistema y el usuario no tiene por qué conocerla. El algoritmo de ocultación de la contraseña maestra no es en absoluto complejo y ha sido descifrado y hecho público. Esta es la opción que usan todos los Windows por defecto. Es como guardar el candado y la llave juntas. Inútil.
  • Opción 2: Se le puede indicar al sistema que nos pida la contraseña maestra al arrancar Windows. De esta forma el administrador elije la "System key" y se tendrá que utilizar tanto esta clave maestra como la contraseña habitual de usuario para poder presentarse. Buena seguridad.
  • Opción 3: Por último, se puede almacenar la clave maestra en un dispositivo externo y tener doble factor de autenticación… pero Windows solo acepta como dispositivo el disquete…. Y sí, después de más de 13 años, sigue permitiendo solo y exclusivamente almacenarla en un disquete. Y cuando digo disquete, digo la unidad A:, que no puede ser modificada. Syskey tiene incrustado que debe mirar en la unidad A y no en otra. Y sigue igual en Windows 8, y no permiten buscar en otra unidad… como un USB.
Con esta configuración, Syskey no pedirá la contraseña al iniciar Windows, la tomará directamente del disquete introducido y el sistema no arrancará si no está presente.
Sobre cómo eludir esta absurda restricción del disquete, hablo más extensamente en el libro Máxima Seguridad en Windows, que por cierto, hoy, desde las 9 am hasta las 9 am de mañana, se puede conseguir por 15 euros (y no 20, que es su precio habitual) si al comprarlo indicas el código HSMSEWST.

Fuente: Hispasec

Suscríbete a nuestro Boletín

2 comentarios:

  1. Buen día! Estas opciones de Syskey es solo para el windows 8? o desde el Windows Vista ya se pueden configurar?
    Saludos!

    ResponderBorrar
  2. Matias, esta opción existe desde Windows XP

    Cristian

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!