martes, marzo 11, 2014

Latch para sistemas Microsoft Windows como plugin GINA

En los sistemas Microsoft Windows se utilizar la famosa MSGina.dll (MicroSoft Graphical Identification aNd Authentication) para reemplazar el control de autenticación local. Con la Gina hay cosas que se pueden hacer y cosas que no se pueden hacer, pero fue de uso habitual para poner sistemas de autenticación local basados en biometría o smartcards hasta la aparición de los Windows Credential Providers en Windows Vista, Windows 7 y Windows 8. Las cosas que se pueden hacer con ella son más que suficientes para esta Prueba de Concepto que realizó Pedro Laguna (@p_laguna) integrando Latch en el proceso de autenticación de un sistema Microsoft Windows.

Figura 1: El plugin GINA bloqueando el acceso con Latch

Para hacer un componente de autenticación local que pudiera integrarse con Latch se basó en pGina, un proyecto Open Source que documenta cómo se debe realizar este tipo de componentes en un lenguaje como .NET y creo el componente que puedes probar en tu equipo. Esto es una prueba de concepto de como se podría mejorar la seguridad de Windows que permite latchear tu Windows en local con un Latch, pero no tiene integración con Active Directory.

Figura 2: El plugin de Latch de pGina en GitHub

El componente lo desarrolló Pedro Laguna como un hack y tiene algunas limitaciones, como que el almacenamiento de datos del que hace uso el servicio de pGina se hace usando ProtectedData la rama del registro del CurrentUser en lugar de haber usado LocalMachine. Además, en un acceso local con las cuentas de LocalAdmin es aún posible saltarse la pGina de diversas formas, a menos que se hagan cambios en el sistema de Windows.

Nosotros estamos trabajando en Eleven Paths para tener un componente oficial de Latch para sistemas Microsoft Windows que soporta Active Directory, así que no tardando mucho tendréis más información de ellos, pero mientras tanto, puedes bajarte este plugin de Latch como pGina de Windows desde su GitHublatchear tu Windows.

Saludos Malignos!

8 comentarios:

53n553y dijo...

Chema gracias por la ponencia del otro dia y por Latch desde luego a mi me parece una idea cojonuda :) Saludos maligno.

Anónimo dijo...

Implementar Latch en En Windiows 7 seria seguro si se tiene en cuenta una de las maneras que hay de poder crearse una cuenta con privilegios de administrador ya que lo que se intenta es proteger el inicio de sesión, estaría bien si ni tan siquiera permite acceder a la pantalla de inicio de sesión y que no se mostrase el botón de la parte inferior izquierda llamado; Accesibilidad, Si lo abrimos, accedemos por ejemplo a la lupa, si iniciamos una instalación de W7 y en vez da darle a iniciar instalación , le damos a reparar equipo, desde la herramientas de recuperación que nos ofrece el menú, entramos en el CMD y escribimos; Regedit, accedemos al registro evidentemente, entramos en archivo, exportar, activamos,todos los archivos, nos vamos a la carpeta; System32 y buscamos el archivo; Magnify.exe (la lupa), copiamos el nombre y borramos el archivo o hacemos un backup, buscamos el archivo; CMD.exe (Símbolo del Sistema)y lo renombramos a; Magnify.exe, guardamos los cambios, reiniciamos y en el inicio de sesión si se le diese acceso al botón; Accesibilidad mencionado anteriormente, al abrirlo y entrar en la Lupa, se nos abriría el CMD (Símbolo del Sistema) y con el comando; control userpasswords2 podríamos crear una cuenta de administrador sin contraseña, reiniciamos y listo.

No soy muy técnico ablando por que no tengo estudios, espero que se me entienda...XD!!

PD: En W8, tambien, si el bloqueo lo produce como sale en la imagen bien, aun asi ya desde W.Vista, deberia de estar arreglado eso :-(

Salu2!

David Grau dijo...

Jonathan siempre puedes desactivar por GPO los programas que no deben ejecutarse así como inhabilitar las hotkeys, es una putada, pero así creo que podría solucionarse

Anónimo dijo...

David Grau, incluso mas simple, desde cualquier distro de linux por USB que te de acceso al disco local C, windows deberia saber que el archivo no pesa lo mismo, no se si me explico... y hay va y le ejecuta sin mas. Otra cosa seria ver que pasa si desde una distro de linux o desde una instalacion de windows y buscando y eliminando todo lo relaccionado con Latch, ya que como no se esta ejecutando el servicio no te pondria ningun impedimiento, y al reiniciar con windows que ocurriria? se podria volver a tener acceso a la pantalla de inicio de sesion? y restaurar el equipo a un punto anterior en el tiempo o mediante una copia de seguridad, suponiendo que se tenga acceso a dicha informacion o material...s

David Grau dijo...

Jonathan Novel, estoy de acuerdo, sin embargo si tu nivel de paranoia es tal, quita, rompe o inhabilita todos los puertos USB, lectores, suelda la caja y ya de paso la encadenas al suelo. O, cifra el disco/partición.

Anónimo dijo...

Hola, se podría latchear el usuario system? así se solucionaría el problema que comentáis, pero claro, esto lo digo sin saber hasta donde llega SYSTEM, ya que si se consiguiera eso significa que el ordenador tendría conexión a Internet sin estar arrancando y si estuviera bloqueado el pc ni siquiera podría arrancar. Esto lo comento como una posibilidad, aun que, a mi forma de ver es algo que yo claramente seria incapaz de hacer y no comprendo del todo.

Anónimo dijo...

Buenas David Grau¡
Mira, Pasado unos días he caído en la cuenta de que si lo que se pretende es evitar el acceso a la cuenta y con ello a la información, datos personales, etc... seria tan simple como ejecutar una live CD de Linux y hacer de rastreador, pero claro esto es como el dicho, "Desde que se inventaron las pistolas se acabo Bruce Lee" Si tienes que competir con un cinturón negro y en ese momento no tienes la pistola... entonces si es efectivo.

Ejemplo; Un ámbito de oficina, eso que te vas ha cambiarle el agua al canario, hay echas el pestillo y hau...
Salu2!

Anónimo dijo...

O lo suyo seria utilizar un sistema similar utilizado en TrueCrypt con sus algoritmos de cifrado y encriptación así se evitaría el acceso a la información del disco mediante una distro live cd de linux, por ejemplo...

TrueCrypt: http://www.truecrypt.org/

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares