Quando PS Tools invia le password in chiaro, e come posso dimostrarlo?

5

Gli strumenti Ps di Mark Russinovich sono utilissimi utilità di amministrazione remota. Tuttavia, vengono tutti con un avvertimento grande .

Note that the password is transmitted in clear text to the remote system.

link

Questo accade solo quando viene fornita una credenziale allo strumento, come quando l'account utilizzato localmente non ha privilegi sul sistema remoto? O una qualche forma di autenticatore (password, token o hash) viene sempre inviata in chiaro? Se sono connesso localmente con un account che dispone dei privilegi necessari sul sistema remoto (e, quindi, non devo fornire la mia password allo Strumento Ps), le mie credenziali sono ancora a rischio?

Come posso dimostrare questo a me stesso o a qualcun altro, come con Wireshark? Quali filtri posso utilizzare per isolare i pacchetti critici e quali proprietà dovrebbero essere mostrate?

    
posta Iszi 09.08.2012 - 18:57
fonte

3 risposte

3

Credo che la maggior parte delle risposte che cerchi siano nell'analisi di Mike Pilkington presentata al SANS Forensics and IR Summit di giugno 2011:

Post del blog: link e link

PDF di diapositive di presentazione: link

I post e la presentazione del blog discutono dettagliatamente le tecnologie, spiegano la sua metodologia investigativa e raccomandano modi più sicuri di usare gli strumenti.

Il tema generale è utilizzare metodi di autenticazione alternativi per evitare di esporre le password alla rete, ma con cautela, in modo che questi account siano isolati dal compromesso del malware sul sistema sospetto.

Nel post del blog DFIR sopra Mike dice: "Innanzitutto, è possibile risolvere il problema con PsExec per evitare di inviare la password in testo non crittografato. Il trucco consiste nel montare prima la condivisione IPC $ del computer remoto e quindi utilizzare PsExec. Jean-Baptiste Marchand ha scritto un eccellente articolo su questa tecnica, così come molti altri consigli di amministrazione remota. " collegamento a un articolo dettagliato di JBM del 2005: link

hth, Adric

    
risposta data 09.08.2012 - 22:48
fonte
1

La versione di PSExec rilasciata a maggio 2014 - versione 2.1 - colma questa lacuna di sicurezza crittografando tutte le comunicazioni:

link

Puoi ottenere la versione sicura qui: link

    
risposta data 18.02.2015 - 08:18
fonte
0

I filtri sul software di acquisizione dei pacchetti consentono di ordinare facilmente i dati necessari.

Filtra per:

  • Invio dell'indirizzo IP
  • Ricezione indirizzo IP
  • Protocollo
  • Numero di porta

Da lì sarai in grado di scoprire se le informazioni sono state inviate in chiaro.

    
risposta data 09.08.2012 - 22:51
fonte

Leggi altre domande sui tag