Resettare la password del BIOS/EFI/UEFI

Il BIOS (Binary Input-Output System) e i suoi successori EFI (Extensible Firmware Interface) e UEFI (Unified Extensible Firmware Interface) forniscono una serie di funzionalità basilari per l'utilizzo e il corretto funzionamento dell'hardware di un computer.

Tra le diverse funzionalità messe a disposizione da queste tecnologie c'è quella che consente all'utente di proteggere l'accesso al sistema tramite una password (da non confondere con la password del sistema operativo).

Lo scopo di questo articolo è quello di mostrare come by-passare o resettare questo tipo di password.

ATTENZIONE:

Danneggiare o violare un sistema informatico (anche da remoto) rappresenta un reato penale. Le informazioni presenti in quest'articolo vanno utilizzate solo per testare/verificare sistemi di cui si è titolari. Declino ogni responsabilità civile e penale derivante da un utilizzo non legale delle informazioni presentate in questo articolo a solo scopo didattico.

I metodi generalmente utilizzati sono 3: Reset CMOS, Rimozione della batteria tampone, sfruttare una backdoor del produttore.

Metodo 1: Reset CMOS

Su gran parte delle schede madri dei PC è presente un'interruttore o un jumper, generalmente contrassegnato con una scritta come CLR CMOS o CMOS, che consente il reset delle impostazioni CMOS.

FIG 1 - Jumper per il reset del CMOS

Metodo 2: Rimozione batteria tampone

Le schede madri dei PC sono dotati di batteria tampone che consente di mantenere i dati all'interno del CMOS anche quando vengono spenti e staccati dalla rete elettrica. Rimuovendo per diverso tempo tale batteria, le informazioni all'interno del CMOS vengono perse e al successivo avvio verrano caricate le impostazioni di fabbrica.

FIG 2 - Batteria tampone scheda madre

Metodo 3: Backdoor

I precedenti metodi hanno lo svantaggio di resettare, oltre alla password, anche le altre impostazioni memorizzate all'interno del CMOS; inoltre, non sempre è agevole accedere alla scheda madre del dispositivo (si pensi ad es. ai portatili). Un'alternativa consiste nel recuperare una master password inserita dal produttore del sistema che ne consenta lo sblocco senza interferire con le altre impostazioni. Purtroppo (o per fortuna) ogni produttore adotta metodi diversi pertanto i passaggi da seguire possono differire leggermente. Un punto di riferimento per tale metodo è il sito https://bios-pw.org.

FIG 3 - Master password, bios-pw.org

Il valore da inserire nell'apposita casella dipende dal produttore e dal modello della scheda madre: in alcuni casi va inserito il seriale del PC o il codice di matricola nel caso di prodotti DELL, in altri casi il codice visualizzato a seguito blocco del sistema dopo n tentativi di accesso falliti. Una volta inserito il codice basta cliccare sul pulsante Get password per ottenere un elenco di password da provare. Per alcuni modelli DELL è necessario premere CTRL+INVIO (e non solo INVIO) quando si prova ad immettere la master password del BIOS/UEFI suggerita dal sito.

Windows Quick Tip: Recuperare le informazioni del BIOS dal registro di sistema

Nell'articolo PowerShell: Visualizzare le informazioni sul BIOS utilizzando Get-WmiObject è stato mostrato come recuperare le informazioni del BIOS utilizzando PowerShell. Alcune di queste informazioni possono essere recuperate anche tramite il registro di sistema:

• Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio); 
• Posizionarsi sulla chiave
  HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\BIOS 
  All'interno di tale chiave si trovano diverse informazioni tra cui il produttore del BIOS (BIOSVendor), la versione (BIOSVersion), la data di rilascio (BIOSReleaseDate) e altre informazioni relative al sistema.

FIG 1 - Registro di sistema, informazioni relative al BIOS

Le informazioni possono essere visualizzate anche interrogando il registro di sistema dal prompt dei comandi tramite reg query:
reg query HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\BIOS

FIG 2 - Prompt dei comandi, interrogare chiavi di registro tramite REG QUERY

PowerShell: Visualizzare le patch di sicurezza installate sul sistema

Il cmdlet Get-CimInstance, incluso in PowerShell 3.0 e successivi, cattura le istanze Common Information Model (CIM) di una classe da un server CIM. Per poter visualizzare la patch di sicurezza installate su un sistema si può utilizzare Get-CimInstance con la classe Win32_QuickFixEngineering che permette la visualizzazione degli aggiornamenti forniti da CBS (Component Based Servicing). 
Il comando da eseguire in PowerShell è il seguente
Get-CimInstance -Class Win32_QuickFixEngineering

FIG 1 - Visualizzare le patch di sicurezza installare utilizzando la classe Win32_QuickFixEngineering

Per visualizzare le patch di sicurezza installate negli ultimi 2 mesi si può utilizzare il comando
Get-CimInstance -Class Win32_QuickFixEngineering | Where-Object { $_.InstalledOn -gt (Get-Date).AddMonths(-2) }

PowerShell: Recuperare la password da un oggetto PSCredential

Diversi cmdlet PowerShell permettono l'utilizzo di un oggetto PSCredential per essere eseguiti con un particolare account. Proprio per questo l'oggetto PSCredential viene spesso utilizzato per memorizzare le credenziali in modo da  poterle richiamare in diverse parti di uno script.
Per creare un'istanza di un oggetto PSCredential può essere utilizzato il cmdlet Get-Credential. 
Ad es. eseguendo da PowerShell il comando
$credenziali=Get-Credential
verrà aperta una finestra di richiesta credenziali (FIG 1). Inserendo utenza e password queste verranno memorizzate all'interno dell'oggetto PSCredential $credenziali. 

FIG 1 - Richiesta credenziali di Windows PowerShell

Per visualizzare i membri (metodi e proprietà) dell'oggetto viene utilizzato il cmdlet Get-Member 
$credenziali | Get-Member

FIG 2 - Visualizzare i membri di un oggetto PSCredential

Analizzando le proprietà di un oggetto PSCredential (FIG 2), salta subito all'occhio che l'utenza viene memorizzata in chiaro all'interno di una comune stringa mentre la password viene memorizzata come securestring e pertanto non visibile (almeno non direttamente).

Per visualizzare il nome utente memorizzato all'interno dell'oggetto PSCredential basta utilizzare il comando
$credenziali.UserName

Eseguendo il comando
$credenziali.Password | Get-Member
verranno mostrati i metodi e le proprietà disponibili per la password (FIG 3). Tale informazioni sono d'aiuto per conoscere quali operazioni è possibile effettuare sulla password.
Ad es. per conoscere la lunghezza della password bisogna interrogare la proprietà Length
$credenziali.Password.Length
mentre per cancellarla va utilizzato il metodo Clear()
$credenziali.Password.Clear()

FIG 3 - Recuperare informazioni sulla password da un oggetto PSCredential

Per "scoprire" la password memorizzata all'interno dell'oggetto PSCredential è possibile lanciare il seguente comando
$credenziali.GetNetworkCredential().Password

FIG 4 - Visualizzare la password memorizzata all'interno di un oggetto PSCredential

Dalla FIG 4 si evince che la password memorizzata è "123456" (tra le password più sicure e diffuse al mondo), non resta che scrivere le credenziali su un post-it da attaccare al monitor (ndr Per chi non se ne fosse resto conto, ero sarcastico!!!).

Windows Quick Tip: Migliorare la leggibilità del testo sullo schermo

Sin da Windows XP, Microsoft ha incluso all'interno del sistema operativo uno strumento per l'ottimizzazione dei caratteri ClearType: una tecnologia complessa, con molti livelli di intervento, sviluppata da Microsoft con l'obbiettivo di aumentare la leggibilità del testo visualizzato sugli schermi LCD. Tale tecnologia effettua una sorta di rendering dei pixel tramite tecniche di antialiasing in modo da arrotondare i caratteri, garantendo una linea morbida e continua, e ridurre l'effetto di 'scalettamento' (aliasing).

Per richiamare il tool di calibrazione e procedere all'ottimizzazione del testo visualizzato:

• Premere la combinazione di tasti WIN+R e digitare cttune seguito da invio;
  

  

  FIG 1 - Eseguire CTTUNE

• Nella finestra che appare selezionare la casella Attiva ClearType e cliccare su Avanti;
  

  

  FIG 2 - Attiva ClearType

• Viene effettuata una verifica sul monitor e sulla risoluzione impostata (per i monitor LCD è consigliabile impostare la risoluzione nativa). Cliccare su Avanti per proseguire;
  
  

  

  FIG 3 - Verifica impostazioni risoluzione nativa monitor

• Nelle finestre successive viene richiesto di selezionare il riquadro con il testo che risulta più leggibile tra quelli proposti. Selezionato il riquadro che si ritiene più opportuno cliccare su Avanti per procedere nella calibrazione.
  

  

  FIG 4 - Scelta visualizzazione migliore

• Al termine verrà visualizzato il messaggio si sintonizzazione completata.
  
  

  

  FIG 5 - Sintonizzazione del testo sul monitor completata

Windows Quick Tip: Copiare l'elenco dei file di una cartella all'interno della Clipboard

In alcune circostanze può essere utile avere la possibilità di esportare, in un file di testo o in un documento, l'elenco dei file presenti all'interno di una cartella. Purtroppo Windows non implementa questa funzione all'interno di Esplora File ma è possibile possibile porvi rimedio agendo tramite il Prompt dei Comandi.

Se tale esigenza è frequente può essere utile implementarla all'interno del menu contestuale di Esplora File agendo tramite il registro di sistema:

• Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio); 
• Posizionarsi sulla chiave  HKEY_CLASSES_ROOT\Directory\shell
• All'interno della chiave shell creare una nuova sottochiave e assegnargli un nome (ad es. ListFileToClipboard).
• Selezionare la chiave appena creata, eseguire un doppio click su (Predefinito) e, in Dati valore, inserire la stringa che si intende visualizzare nel menu contestuale (ad es. Invia elenco file alla Clipboard) quindi cliccare su OK.
  

  

  FIG 1 - Creazione chiave di registro relativa al menu contestuale

• Selezionare la chiave creata precedentemente e creare, al suo interno, una nuova sottochiave rinominandola in Command.
• All'interno della chiave Command, cliccare 2 volte su (Predefinito) e in Dati valore inserire il seguente comando 

  cmd /c dir "%1" /b /a:-d /o:n | clip 

  A questo punto aprendo Esplora File e cliccando con il tasto destro su una cartella, apparirà la voce inserita che permette di copiare l'elenco dei file contenuti all'interno della clipboard.
  

  

  FIG 2 - Comando del menu contestuale per inviare l'elenco dei file alla clipboard

La stringa del comando è composta da diversi parti:

dir "%1"	richiede l'elenco dei file nella cartella selezionata.
/b	utilizza liste senza intestazione e informazioni di riepilogo.
/a:-d	esclude le cartelle.
/o:n	visualizza l'elenco in ordine alfabetico.
| clip	indirizza l'output del comando alla clipboard.

Per inserire/rimuovere la nuova voce all'interno del menu contestuale è possibile scaricare i file .reg dal seguente link
DOWNLOAD

Ransomware Dharma: Recuperare i dati

Il ransomware Dharma provvede a cifrare i dati dell'utente e aggiunge ai file cifrati una nuova estensione usando il formato .[indirizzo_email].Dharma. L'indirizzo email aggiunto al nome del file varia a seconda della versione del ransomware. Di seguito alcuni esempi:

.[3angle@india.com].dharma

.[amagnus@india.com].dharma

.[base_optimal@india.com].dharma

.[bitcoin143@india.com].dharma

.[blackeyes@india.com].dharma

.[doctor.crystal@mail.com].dharma

.[dr_crystal@india.com].dharma

.[emmacherry@india.com].dharma

.[google_plex@163.com].dharma

.[mr_lock@mail.com].dharma

.[opened@india.com].dharma

.[oron@india.com].dharma

.[payforhelp@india.com].dharma

.[savedata@india.com].dharma

.[singular@india.com].dharma

.[suppforhelp@india.com].dharma

.[SupportForYou@india.com].dharma

.[tombit@india.com].dharma

.[worm01@india.com].dharma

Dopo che su alcuni forum sono apparse alcune master key relative al ransomware, Kaspersky ed Eset hanno rilasciato i loro tool per la decriptazione dei file. In questo articolo mostrerò come recuperare i propri file utilizzando il tool di Kaspersky che ritengo più semplice da usare anche per i meno esperti.

Recupero dei dati

• Eseguire il download del tool di Kaspersky RakhniDecryptor;
• Scompattare il file .zip appena scaricato ed avviare il tool cliccando 2 volte sull'eseguibile RakhniDecryptor.exe;
  

  

  FIG 1 - Kaspersky RakhniDecryptor

• Cliccando su Change parameters è possibile indicare i dischi su cui il tool dovrà intervenire e se cancellare o meno i file cifrati una volta decriptati. Per confermare le impostazioni e ritornare alla schermata principale, cliccare su OK.
  
  

  

  FIG 2 - Kaspersky RakhniDecryptor, Settings

• Cliccare su Start Scan;
• Nella finestra successiva verrà richiesto di indicare un file criptato. Selezionare un file e cliccare su Apri per avviare il processo di recupero dei dati che può richiedere molto tempo a seconda del numero di file da analizzare e decriptare.
  
  

  

  FIG 3 - Kaspersky RakhniDecryptor, encrypted file