Сообщения
Как нам кажется, в предыдущем разделе мы довольно убедительно показали, что для того, чтобы сделать систему Win 9x доступной для удаленного проникновения, пользователю нужно так или иначе потрудиться. К сожалению, в том случае, когда злоумышленник имеет физический доступ к системе, картина меняется на противоположную: теперь пользователю нужно потрудиться, чтобы сделать систему по-настоящему недоступной. В большинстве случаев, располагая достаточным запасом времени и пользуясь отсутствием должного контроля, а также наличием свободного черного хода, злоумышленники рассматривают физический доступ как возможность простого хищения компьютера. Однако в данном разделе мы не будем рассматривать угрозы, связанные с массовыми хищениями самих компьютеров, а сосредоточимся на некоторых скрытых (а также явных) методах, позволяющих похитить критическую информацию, содержащуюся на компьютере с системой Win 9x
Обход средств защиты Win 9x: перезагрузка!
В отличие от Windows NT в системе Win 9x не используется концепция безопасного многопользовательского доступа к консоли. Таким образом, любому, кто имеет возможность приблизиться к системе с Win 9x на расстояние вытянутой руки, для получения доступа нужно просто включить компьютер либо выполнить "жесткую" перезагрузку (hard reboot), если он заблокирован с помощью экранной заставки (screen saver). Ранние версии Win 95 позволяли обходить заставку даже с помощью комбинаций клавиш
Контрмеры: защита консоли
Одним из традиционных методов решения этой проблемы является установка пароля, хранящегося в BIOS. BIOS (Basic Input Output System) — это система низкоуровневых процедур, код которых хранится в специальной микросхеме, которая устанавливается на системной плате и обеспечивает начальную инициализацию оборудования совместимых с IBM PC компьютеров и загрузку операционной системы. Таким образом, система BIOS первой получает доступ к ресурсам, поэтому практически все разработчики BIOS предоставляют возможность защиты доступа к компьютеру с помощью пароля, что может остановить не очень искушенного злоумышленника. Профессионалы, конечно, могут просто извлечь из компьютера жесткий диск и подключить его к другому компьютеру без пароля BIOS или же воспользоваться одним из многочисленных средств взлома пароля BIOS, которые можно найти в Internet.
Конечно, для экранной заставки также нужно обязательно задать пароль. Это можно осуществить в диалоговом окне Display Properties во вкладке Screen Saver. Одна из наиболее досадных особенностей системы Win 9x заключается в том, что в ней отсутствует встроенный механизм ручной активизации экранной заставки. Однажды для этого мы воспользовались одной хитростью. Ключ -s программы загрузки Microsoft Office (osa.exe -s) позволяет активизировать заставку и, таким образом, эффективно блокировать экран при каждом ее запуске. Для удобства мы поместили соответствующий ярлык в меню Start, так что этой командой можно было воспользоваться при первой необходимости. Более подробную информацию можно получить в базе знаний компании Microsoft в статье Q210875 (http://search.support.microsoft.com).
Кроме того, существует несколько коммерческих пакетов, предназначенных для зашиты Win 9x, которые блокируют доступ к системе или шифруют содержимое жесткого диска. Шифрование файлов с применением открытого ключа выполняет и очень известная в настоящее время, но по-прежнему бесплатная для частных лиц программа PGP (Pretty Good Privacy), которую распространяет компания Network Associates, Inc. (http://www.nai.com).
Автозапуск и взлом пароля экранной заставки
Перезапуск компьютера с помощью кнопки Reset системного блока или с помощью комбинации клавиш
Лучше всего проблема автоматического распознавания компакт-дисков описывается в статье Q14I059 базы знаний компании Microsoft.
"Windows постоянно опрашивает дисковод CD-ROM, чтобы определить момент, когда в него будет помещен компакт-диск. Как только это произойдет, выполняется проверка наличия файла Autorun.ini. Если такой файл существует, то автоматически будут запушены программы, указанные в строке ореn= этого файла."
Нетрудно догадаться, что такой "сервис" может обернуться несанкционированным запуском любой программы (как вы относитесь к идее автозапуска Back Orifice или NetBus с пиратского компакт-диска?). Однако сейчас для нас важнее другая сторона этой медали — в системе Win 9x программа, указанная в файле Autorun.ini, запускается лаже во время работы экранной заставки.
Теперь перейдем ко второму недостатку. Общеизвестно, что Win 9x помешает пароль, используемый для отключения экранной заставки, в ключе системного реестра HKEY\Users\.Default\Control Panel\ScreenSave_Data, а механизм преобразования (шифрованием это назвать трудно) пароля уже изучен. Поэтому не составляет никакого труда извлечь это значение из системного реестра (если не используются профили пользователей, то системный реестр хранится в файле С: Windows\ USER.DAT), восстановить его, а затем передать полученный пароль системе через вызов стандартной процедуры. Вуаля — экранная заставка исчезла!
Такой трюк умеет проделывать программа SSBypass компании Amecisco (http://www.amecisco.com/ssbypass.htm), которая стоит $39.95. Существуют и отдельные программы-взломщики пароля экранной заставки, такие, например, как 95sscr4. Там же можно познакомиться и со многими другими интересными утилитами. Программа 95sscrk не обходит экранную заставку, а просто извлекает пароль из системного реестра и расшифровывает его. С: \TEMP>95sscrk
Win9b Screen Saver Password Cracker vl.I - Coded by Nobody
(noboaySengaiska.se)
(c) Cupyrite 1997 Burnt Toad/AK
Enterprises - lead 95SSCRK.TXT before usage!
=====================================
• No filena-e in command line,
using default! (C:\WINDOWS\USER.DAT)
• Rav, registry file detected, ripping out strings...
• Scanning strings for password key...
Found password data! Decrypting ...
Password is GUESSME"
_ Cracking complete!
Enjoy the passwords!
Контрмеры: защита экранной заставки Win 9х
Компания Microsoft разработала модуль обновления, который обеспечивает гораздо более высокий уровень зашиты пароля экранной заставки, под названием Windows NT/2000. Однако для упрямых приверженцев Win9x, которые могут согласиться лишь на отключение режима автоматического распознавания компакт-дисков, приведем выдержку из статьи Q126025 базы знаний Microsoft Knowledge Base.
1. В панели управления щелкните дважды на пиктограмме System.
2. Перейдите во вкладку Device Manager открывшегося диалогового окна.
3. Щелкните дважды на элементе, соответствующем устройствам чтения компакт-дисков, а затем — на элементе списка, соответствующем вашему устройству.
4. В открывшемся диалоговом окне перейдите во вкладку Settings и сбросьте флажок Auto Insert Notification.
5. Щелкайте на кнопках ОК или Close до тех пор, пока не закроются все открытые окна и вы не вернетесь в окно панели управления. Когда появится сообщение с предложением перезагрузить компьютер, щелкните на кнопке Yes.
Обнаружение паролей Win 9x в памяти
Если после обхода экранной заставки у злоумышленника еще остался некоторый запас времени, он может воспользоваться средствами обнаружения и получить другие системные пароли, которые в соответствующих строках диалоговых окон представляются символами "*". Такие средства скорее можно отнести к утилитам, которые могут помочь забывчивым пользователям, чем к инструментам взломщика, однако они настолько хороши, что нельзя их не упомянуть и в данной книге.
Одной из самых популярных утилит обнаружения паролей является Revelation, созданная компанией SnadBoy Software (http://www.snadboy.com)
Еще одной подобной утилитой является ShoWin Робина Кейра (Robin Keir). Среди других утилит такого же класса можно отметить Unhide, написанную Витасом Раманчаускасом. Там же можно получить и утилиту pwltool, о которой МЫ поговорим в следующем разделе. Во многих архивах Internet можно отыскать программу Dial-Up Ripper (dripper) Корхана Кая (Korhan Kaya), которая позволяет получить пароли удаленных соединений, если в их свойствах был установлен режим их сохранения. Еще раз напомним, что для использования данных утилит необходимо иметь физический доступ к компьютеру, на котором легальный пользователь начал сеанс работы. (Строго говоря, если злоумышленник имеет такую возможность, то зачем ему пароли, — ведь в его распоряжении весь компьютер?) Однако такие программные средства все же могут представлять собой угрозу в том случае, если кто-либо имеет возможность беспрепятственного доступа к разным компьютерам организации и располагает обычной дискетой с такими программами, как Revelation. Просто представьте на минуту. что все пароли организации могут попасть, например, в руки студента, приглашенного для администрирования сети на время летних отпусков! Да, кстати. Система Windows NT также не может противостоять таким средствам. Упомянутые выше утилиты окажутся бессильными лишь в одном случае: если в диалоговых окнах не сохраняются пароли (проще говоря, если после открытия окна в соответствующей строке вы не видите звездочек, то можно спать спокойно).
Взлом файлов *.PWL
Злоумышленнику вовсе не обязательно получить доступ к компьютеру на несколько часов — он может за пару минут переписать нужные ему файлы на дискету, а затем расшифровать их в свободное время, как это обычно и делается при использовании "классических" утилит взлома паролей, таких как crack для UNIX или LOphtcrack для Windows NT.
Зашифрованные файлы паролей Win 9x (с расширением PWL), находятся в корневом каталоге Windows (обычно С:\windows\). Эти файлы именуются аналогично пользовательским профилям системы. Поэтому достаточно воспользоваться простым командным файлом, чтобы скопировать на дискету все найденные файлы паролей,
сору С:\Windows\*.pwl a:
По сути дела. PWL-файл представляет собой кэшированный список паролей, используемых для получения доступа к следующим сетевым ресурсам:
* Совместно используемые ресурсы, защищенные с помощью пароля.
* Приложения, использующие программный интерфейс (API — Application Programming Interface) для доступа к кэшированным паролям (например, Dial-Up Networking).
* Компьютеры Windows NT, не входящие в домен.
* Пароли для входа в сеть Windows NT, которые не являются основными паролями входа в сеть.
* Серверы NetWare.
До появления версии OSR2 в системе Windows 95 применялся очень простой алгоритм шифрования PWL-файлов, который можно было взломать с помощью широко распространенных средств без особых усилий. OSR2 (OEM System Release 2) — это промежуточная версия Windows 95, которая не продавалась в розничной сети, а устанавливалась производителями аппаратных средств (OEM — Original Equipment Manufacturer). В настоящее время при шифровании РWL-файлов используется более надежный алгоритм, однако он по-прежнему основывается лишь на данных учетной записи пользователя Windows. Это означает, что время, необходимое на подбор пароля, возросло, но сама задача взлома пароля осталась по-прежнему вполне выполнимой.
Одним из средств для взлома PWL-файлов является утилита pwltool, написанная уже упоминавшимся Витасом Раманчаускасом и Евгением Королевым. Эта утилита может применяться для взлома заданного PWL-файла как с помощью словаря, так и путем обычного перебора всех возможных вариантов. Таким образом, успех взлома зависит всего лишь от размера словаря (pwltool требует, чтобы все слова в списке состояли из прописных символов) и вычислительной мощности компьютера. Хотим еще раз подчеркнуть, что pwltool скорее нужно расценивать как полезную утилиту для забывчивых пользователей, а не как инструмент хакинга. На наш взгляд, время можно провести гораздо полезнее, чем тратить его на взлом PWL-файла. С другой стороны, если судить формально, то такие утилиты все же представляют собой достаточно серьезную опасность.
Еще одним хорошим средством для взлома РWL-файлов является CAIN от Break-Dance (http://www.confine.com). Эта утилита позволяет также получить из системного реестра пароль экранной заставки, выполнить инвентаризацию локальных совместно используемых ресурсов, кэшированных паролей и другой системной информации.
Контрмеры: защита PWL-файлов
Для тех администраторов, которых действительно беспокоит данная проблема. можно посоветовать воспользоваться редактором системной политики Win 9x и запретить кэширование паролей. Эту задачу можно решить и другим способом, создав (при необходимости) и установив следующий параметр системного реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ Network\DisablePwdCaching = 1
Если вы до сих пор пользуетесь одной из ранних версий Win 95 (выпушенных до появления OSR2), то из Internet можно получить и установить модуль обновления. обеспечивающий более надежное шифрование РWL-файла. Для этого необходимо выполнить инструкции, приведенные в статье базы знаний компании Microsoft по адресу http://support.microsoft.com/support/kb/articles/Ql32/8/07.asp.
PWL-файлы -- это далеко не единственная жертва программистов-взломщиков. Например, на Web-узле, расположенном по адресу http: //www. lostpasswcrc..com. содержится перечень утилит, предназначенных для взлома практически любых паролей, начиная от FST-файлов Microsoft Outlook и заканчивая файлами Microsoft Word. Excel и PowerPoint (так и хочется спросить: "Что вы хотите взломать сегодня?"). Имеется также несколько программ для взлома ZIP-файлов, в которых многие пользователи пересылают важную информацию, надеясь на защиту таких архивов с помощью пароля. Например, утилита Advanced Zip Password Recovery (AZPR) компании Elcomsoft позволяет выполнить взлом с помошью словаря или посредством перебора всех возможных вариантов. Кроме того, она является чрезвычайно быстрой, в процессе одного сеанса работы за одну секунду в среднем осуществлялась проверка 518783 паролей.
Еще одним хорошим узлом с богатым выбором утилит тестирования и восстановления паролей является Web-страница Джо Песцеля. Приятно знать, что как бы вы запутались в паролях, вам всегда поможет сосед-хакер, не так ли?
Безопасность в интернете, то что должен знать каждый человек у которого есть компьютер! Информация будет полезна для администраторов, занимающихся обеспечением безопасности сетей, для программистов, стремящихся к созданию защищенных приложений, а также для всех тех, кто интересуется вопросами сетевой защиты.
0 коментарии:
Оставить коментарий