He leído que las contraseñas de las cuentas de un ordenador se guardan de forma cifrada en un archivo llamado SAM y que alguien con los conocimientos y herramientas necesarios podría descifrar estas contraseñas.

Yo soy administrador de un ordenador compartido con varias personas y mi pregunta es la siguiente:
¿Podría un usuario sin privilegios de administrador conseguir descifrar el SAM del ordenador y por lo tanto conseguir el acceso a mi cuenta de administrador?

Perdón por mi ignoracia, no se si estaré diciendo algo coherente pero tengo interés en saber si alguien podría llevar a cabo esto. Gracias.

Sí pero no.

El archivo en cuestión es C:\WINDOWS\SYSTEM32\CONFIG\SAM en una instalación estándar. Si quieres, haz la prueba de copiarlo a otro lugar... no podrás, el archivo siempre está en uso.

En versiones anteriores de Windows, se guardaba una copia de seguridad después de instalar, que contenía la contraseña de administrador (cifrada, of course). Lamento tener que decirte que no recuerdo el lugar donde el archivo se guardaba (dentro de C:\WINDOWS, claro) pero el nombre era SAM._ o algo similar.

La única manera que un usuario no privilegiado (o incluso privilegiado) tiene de obtener la SAM es arrancar el PC desde otra instalación o sistema operativo (como un Live CD de cualquier distribución de GNU/Linux). En el momento en que haya conseguido el archivo, deberá descifrarlo usando un diccionario o fuerza bruta. Si has elegido buenas contraseñas, da por seguro que no conseguirá ninguna.

Espero haber sido de ayuda.

Gracias por responder;

me he informado un poco sobre este tema y me ha surgido una nueva duda:

Si mi ordenador está conectado en una red Wifi junto a otros ordenadores, ¿podría alguien conseguir, utilizando alguno de los otros ordenadores conectados a la misma red, mis contraseñas utilizando la técnica del sniffing?

En realidad no sé de lo que estoy hablando; al tratar de informarme sobre el SAM dí con ciertas referencias a un programa llamado Cain & Abel, el cual parece permitir a cualquiera captar contraseñas por medio de esta técnica.

En caso de que esto represente un riesgo, ¿como podría defenderme?

Gracias por la ayuda.

Buf, de eso ni idea.

No veo ninguna razón por la que un equipo Windows deba transmitir el archivo SAM (o las contraseñas) por la red. Pero de ser así, el archivo SAM como ya dije está cifrado, y las contraseñas que viajen por la red posiblemente también lo estén.

Buenas, Respecto al tema, busca sobre Ophcrack, que puede crackear las contraseñas, lo mejor que se puede hacer ante eso es bloquear el booteo por CD.

También existe otra herramienta llamada Konboot que bootea desde CD,USB o Diskette y permite entrar a cualquier usuario sin ingresar la clave, para eso lo mejor también es evitar el booteo de unidades externas.

Cain & Abel crackea contraseñas a la fuerza, aunque primero para poder trabajar tendrían que conseguir la SAM, que no se puede copiar, porque como dice Fruit esta todo el tiempo en uso.

Me gustaría añadir también que si alguien arranca desde un medio externo, puede modificar el SAM para eliminar las contraseñas.

Quiero decir, aunque la contraseña original no pueda ser sacada del SAM, si es posible eliminarla totalmente, por lo que un usuario con un Live CD (por poner un ejemplo) puede eliminar la contraseña de Administrador e iniciar sesión posteriormente desde Windows sin necesidad de introducir la contraseña.

Una vez hecho eso, el atacante podrá configurar una nueva contraseña o eliminar la ya existente, del Administrador o de cualquier otro usuario. Obviamente, el administrador del sistema lo notará en el momento en que vea que las claves no existen o han sido cambiadas.

Como bien dijo 4v7n42, lo recomendable es impedir el arranque desde otras unidades de disco mediante la BIOS. Recuerda proteger la configuración de ésta con clave.

otra alternativa, es en ese mismo ordenador usar PWDUMP2 o 3 para obtener el hash en un archivo de texto y luego usar el John the ripper o L0phtcrack para obtener la contraseña en limpio

Reconozco mi error, no conocía esa utilidad (puede ser descargada desde aquí (http://limestone.truman.edu/pub/win32/apps/pwdump3/), pero no tengo nada que ver con ese sitio).

Me ha sacado las hashes de todas las cuentas (estoy logueado como Administrador, no sé si podría sacarlas desde una cuenta limitada).

Hace tiempo me dejó impresionado lo fácil que era sacar las contraseñas con la ayuda de rainbow tables. Mis contraseñas no son fáciles, pero aún así, las que tenía en un güindous de pruebas las saqué en apenas 7 minutos.


Salu2

El problema de las rainbow tables es que son enormes. Voy a ver si consigo unas y las pruebo contra mis contraseñas :)

Miento, no las voy a conseguir, todas son de 8GB para arriba. Paso de bajarme 8GB para usarlas una vez :(

He aquí dos artículos que he encontrado: http://www.ethicalhacker.net/content/view/94/24/ y http://www.codinghorror.com/blog/2007/09/rainbow-hash-cracking.html

Hola, te resumo los avances:

· He buscado información sobre Kon Boot y lo he probado, pero al arrancarlo desde el CD el ordenador ha seguido pidiéndome mi propia contraseña, luego deduzco o bien que no funciona, o bien que me he saltado algún tipo de configuración u orden necesaria que haya que darle; si puedes aclararme un poco su uso podré hacerme una idea mejor de su funcionamiento.

· Sobre Ophcrack; ya lo había usado antes y efectivamente, descifra las contraseñas sin problemas. No hay dudas.

Tengo que decir que el uso de Live CD para hacerse con las contraseñas sería imposible, porque hemos puesto contraseñas en la BIOS de todos los ordenadores.

El único sistema que me deja dudas es el tema del Sniffing; tengo entendido que si alguien se encuentra conectado a la red puede "capturar" contraseñas, no sólo de acceso, sino de cuentas personales.

¿Alguien sabe sobre este tema?

Sin acceso a la BIOS, ¿qué posibilidades hay de que alguien sea capaz de conseguir privilegios de administrador desde una cuenta de invitado?

Miento, no las voy a conseguir, todas son de 8GB para arriba. Paso de bajarme 8GB para usarlas una vez :(

Las hay de mucho menor tamaño y bastante efectivas con contraseñas alfanuméricas jodidas.


Salu2

Confirmo que PWDUMP3 no puede ser usado para extraer contraseñas de cuentas no privilegiadas.

No sé cómo funciona Kon Boot. Simplemente asegúrate de que arrancas desde el CD. Si seleccionas arrancar desde el CD, pero el ordenador se niega y arranca desde el disco duro, lo grabaste mal.

Ni idea de lo del sniffing.

Sin acceso a la BIOS, no conozco absolutamente ningún método para saltar a Administrador.


Las hay de mucho menor tamaño y bastante efectivas con contraseñas alfanuméricas jodidas.

Nunca uso contraseñas alfanuméricas, siempre pongo al menos un símbolo.

Repito que en estos ordenadores no dejamos acceso a la BIOS, (ponemos contraseña, aunque al parecer se puede llegar a esquivar, las personas que van a usar los ordenadores confío en que no sepan cómo hacerlo...)

por eso no le doy demasiada importancia al tema de los Live CD /USB que se hagan con las password.

Me preocupa las posibilidades que tiene alguien de hacerse administrador desde dentro, y la manera de defenderse.

Gracias de antemano

Como dije antes, no veo ninguna razón por la que las contraseñas viajen por la red, y en ese caso, no creo que lo hagan sin cifrar. Pero no te fíes de mí.

En muchos casos, la cuenta de administrador queda oculta, pero no inactiva, desde la pantalla de bienvenida si apretás ctrl+alt+supr y en nombre escribís administrador tenes servidos todos los privilegios.
Lo mejor que se puede hacer es deshabilitar directamente la cuenta de administrador.

Es de suponer que se pone una contraseña de Administrador, es algo básico.

Es de suponer que se pone una contraseña de Administrador, es algo básico.

Tambien es de suponer que no se debe usar como contraseña 123456, y ya sabemos cuanta gente la usa...

Lo que si podria hacer, es revisar cada tanto el visor de sucesos (panel de control>herramientas administrativas), para detectar actividad sospechosa.

Amigo me he leído todos las respuestas y quisiera irme a algo básico, primero las personas que tienen acceso a tu red
[LIST]
[LIST]
¿ que nivel de conocimiento tienen como para pensar que ellos son los que están "robando" tu contraseña ?
otra cosa, si no me equivoco, el hecho de ponerle password al bios, lo que evita es su ingreso y modificacion, pero ahi MotherBoard que incluyen una opcion a veces F11 para cambiar el orden de arranque de la máquina que no se si con el Bios Asegurado se puede modificar, seria cuestión de verificar.
y finalmente me extraña que nadie aqui haya mencionado el LIVE CD Hirenst Boot tan famoso por sus utilidades entre ellas las de eliminarle las contraseñas a las sesiones de Windows en todas sus versiones. Tambien existen otros LIVE CD Que cargan un Windows Lite con pequeñas aplicaciones incluidas que te permiten actuar como Administrador, por ejemplo el ERD WINTERNAL.

Espero ayudar ....aunque sea un poquito. Suerte!

Amigo me he leído todos las respuestas y quisiera irme a algo básico, primero las personas que tienen acceso a tu red
¿ que nivel de conocimiento tienen como para pensar que ellos son los que están "robando" tu contraseña ?

Conócelas mejor ;)


otra cosa, si no me equivoco, el hecho de ponerle password al bios, lo que evita es su ingreso y modificacion, pero ahi MotherBoard que incluyen una opcion a veces F11 para cambiar el orden de arranque de la máquina que no se si con el Bios Asegurado se puede modificar, seria cuestión de verificar.

La mayoría de BIOS que conozco, una vez pones clave a la edición de la configuración de la BIOS, tampoco permiten la entrada al menú de arranque.


y finalmente me extraña que nadie aqui haya mencionado el LIVE CD Hirenst Boot tan famoso por sus utilidades entre ellas las de eliminarle las contraseñas a las sesiones de Windows en todas sus versiones. Tambien existen otros LIVE CD Que cargan un Windows Lite con pequeñas aplicaciones incluidas que te permiten actuar como Administrador, por ejemplo el ERD WINTERNAL.

Ya hemos hablado de otros CDs... todos sirven para lo mismo.