|
Безмалый В.Ф.
http://www.zahist.kiev.ua
Безмалая Е.В. Компьютер, к которому кто-то получил физический доступ, больше не ваш компьютер. Оглавление
Введение
Что такое парольный взломщик?
Как работает парольный взломщик?
Взлом операционных систем (на примере Windows NT/2000/9x)
База
данных учетных записей пользователей
Хранение паролей пользователей
Использование пароля
Возможные атаки на
базу данных SAM
Защита Windows NT/2000/ХР от парольных взломщиков
Взлом шифрованной файловой системы (Encrypted File System)
Взлом паролей ОС Windows 9x
Что такое - PWL файл?
Оценка надежности PWL файлов
Версии
Windows
Методы взлома пароля
Последовательный перебор
Исследование словаря
Усиленная
"атака в лоб"
Взлом паролей архивов
Advanced ARJ Password Recovery
Advanced ZIP
Password Recovery
Advanced RAR Password Recovery
Взлом паролей документов MS Office
Защита
документов MS Excel
Пароли MS Access
Взлом паролей учетных записей электронной почты
The
Bat! Password Viewer
Outlook Password Viewer.exe
DeBat
Заключение
Введение Проблему безопасности компьютерных сетей надуманной не назовешь. Практика показывает: чем масштабнее сеть и чем более ценная информация доверяется подключенным к ней компьютерам,
тем больше находится желающих нарушить ее нормальное функционирование ради материальной выгоды или просто из праздного любопытства. Идет постоянная виртуальная война, в ходе которой организованности системных
администраторов противостоит изобретательность компьютерных взломщиков.
Основным защитным рубежом против злонамеренных атак в компьютерной сети является система парольной защиты, которая имеется во
всех современных программных продуктах. В соответствии с установившейся практикой, перед началом сеанса работы с операционной системой пользователь обязан зарегистрироваться, сообщив ей свое имя и пароль.
Имя требуется для идентификации пользователя, а пароль служит подтверждением правильности произведенной идентификации. Информация, введенная пользователем в диалоговом режиме, сравнивается с той, что имеется
в распоряжении операционной системы. Если проверка дает положительный результат, то пользователю становятся доступны все ресурсы операционной системы, связанные с его именем.
Целью настоящей работы
являлось:
" рассмотрение принципов работы парольных взломщиков различных программных продуктов;
" проверка уровня защиты операционных систем Windows 9x/NT/2000;
" проведение
попыток взлома паролей пользователей операционных систем;
" выработка рекомендаций по повышению устойчивости парольной защиты операционных систем;
" применение парольных взломщиков для
оценки уровня защищенности компьютеров и компьютерных сетей на базе вышеуказанных операционных систем. Что такое парольный взломщик? Наиболее эффективным является метод
взлома парольной защиты операционной системы (в дальнейшем - ОС), при котором атаке подвергается системный файл, содержащий информацию о легальных пользователях и их паролях. Однако любая современная ОС
надежно защищает пользовательские пароли, которые хранятся в этом файле, при помощи шифрования. Кроме того, доступ к таким файлам, как правило, по умолчанию запрещен даже для системных администраторов,
не говоря уже о рядовых пользователях операционной системы. Тем не менее, в ряде случаев злоумышленнику удается путем различных ухищрений получить в свое распоряжение файл с именами пользователей и их зашифрованными
паролями. И тогда ему на помощь приходят так называемые парольные взломщики - специализированные программы, которые служат для взлома паролей операционных систем. Как работает
парольный взломщик? Криптографические алгоритмы, применяемые для шифрования паролей пользователей в современных ОС, используют необратимое шифрование, что делает невозможным более эффективный
алгоритм взлома, чем тривиальный перебор возможных вариантов. Поэтому парольные взломщики иногда просто шифруют все пароли с использованием того же самого криптографического алгоритма, который применяется
для их засекречивания в атакуемой ОС. Затем они сравнивают результаты шифрования с тем, что записано в системном файле, где находятся шифрованные пароли пользователей этой системы. При этом в качестве вариантов
паролей парольные взломщики используют символьные последовательности, автоматически генерируемые из некоторого набора символов. Данный способ позволяет взломать все пароли, если известно их представление
в зашифрованном виде, и они содержат только символы из данного набора.
За счет очень большого числа перебираемых комбинаций, которое растет экспоненциально с увеличением числа символов в исходном наборе,
такие атаки парольной защиты ОС могут отнимать слишком много времени. Однако хорошо известно, что большинство пользователей операционных систем особо не затрудняют себя выбором стойких паролей, то есть
таких, которые трудно взломать. Поэтому для более эффективного подбора паролей взломщики обычно используют специальные словари, которые представляют собой заранее сформированный список слов, наиболее часто
используемых на практике в качестве паролей.
(Большой набор словарей можно найти на сайте http://www.password.ru)
К каждому слову из словаря парольный взломщик применяет одно или несколько правил,
в соответствии с которыми оно видоизменяется и порождает дополнительное множество опробуемых паролей:
" производится попеременное изменение буквенного регистра, в котором набрано слово;
"
порядок следования букв в слове меняется на обратный;
" в начало и в конец каждого слова приписывается цифра 1;
" некоторые буквы изменяются на близкие по начертанию цифры.
В результате,
например, из слова password получается pa55w0rd).
Это повышает вероятность нахождения пароля, поскольку в современных ОС, как правило, различаются пароли, набранные заглавными и строчными буквами,
а пользователям этих систем настоятельно рекомендуется выбирать такие, в которых буквы чередуются с цифрами.
Одни парольные взломщики поочередно проверяют каждое слово из специального словаря, применяя
к нему определенный набор правил для генерации дополнительного множества опробуемых паролей.
Другие предварительно обрабатывают весь словарь при помощи этих же правил, получая новый словарь большего
размера, из которого затем черпают проверяемые пароли. Учитывая, что обычные словари естественных человеческих языков состоят всего из нескольких сотен тысяч слов, а скорость шифрования паролей достаточно
высока, парольные взломщики, осуществляющие поиск по словарю, работают достаточно быстро (до одной минуты).
Взлом операционных систем (на примере Windows NT/2000/9x)
База данных учетных записей пользователей
Одним из основных компонентов системы безопасности Windows NT/2000/XP является диспетчер учетных записей пользователей.
Он обеспечивает взаимодействие других компонентов системы безопасности, приложений и служб Windows NT/2000/XP с базой данных учетных записей пользователей (Security Account Management Database, сокращенно
SAM). Эта база обязательно имеется на каждом компьютере с Windows NT/2000/XP. В ней хранится вся информация, используемая для аутентификации пользователей Windows NT/2000/XP при интерактивном входе в систему
и при удаленном доступе к ней по компьютерной сети.
База данных SAM представляет собой один из разделов (hive) системного реестра (registry) Windows NT/2000/XP. Этот раздел принадлежит ветви (subtree)
HKEY_LOCAL_MACHINE и называется SAM.
Он располагается в каталоге \winnt_root\System32\Config (winnt_root - условное обозначение каталога с системными файлами Windows NT/2000/XP) в отдельном файле, который
тоже называется SAM. Основная часть информации в базе данных SAM хранится в двоичном виде. Доступ к ней обычно осуществляется с помощью диспетчера учетных записей. Изменять записи, хранящиеся в базе данных
SAM, при помощи программ, которые напрямую редактируют реестр Windows NT/2000/ХР(REGEDT или REGEDT32), не рекомендуется. По умолчанию этого и нельзя делать, т. к. доступ к базе данных SAM запрещен для всех
без исключения категорий пользователей Windows NT/2000/XP.
Хранение паролей пользователей
Именно в учетных записях базы данных SAM находится информация
о пользовательских именах и паролях, которая необходима для идентификации и аутентификации пользователей при их интерактивном входе в систему. Как и в любой другой современной многопользовательской ОС,
эта информация хранится в зашифрованном виде. В базе данных SAM каждый пароль пользователя обычно бывает представлен в виде двух 16-байтовых последовательностей, полученных разными методами (Windows NT/2000/ХР
и LAN).
В методе Windows NT/2000/ХР строка символов пользовательского пароля хешируется с помощью функции MD4. (В алгоритме хеширования MD4 исходная битовая последовательность дополняется так, чтобы
ее длина в битах плюс 64 нацело делилась на 512. Затем к ней приписывается 64-битовое значение ее первоначальной длины. Полученная таким образом новая последовательность обрабатывается блоками по 512 бит
с помощью специальной итерационной процедуры. В результате на выходе MD4 получается так называемая "выжимка" исходной последовательности, имеющая длину 128 бит. Алгоритм MD4 оптимизирован для
32-разрядных аппаратных платформ и работает довольно быстро).
В итоге из введенного пользователем символьного пароля получается 16-байтовая последовательность - хешированный пароль Windows NT/2000/ХР.
Эта последовательность затем шифруется по DES-алгоритму, и результат шифрования сохраняется в базе данных SAM. При этом в качестве ключа используется так называемый относительный идентификатор пользователя
(Relative Identifier, сокращенно RID), который представляет собой автоматически увеличивающийся порядковый номер учетной записи данного пользователя в базе данных SAM. Для совместимости с другим программным
обеспечением корпорации Microsoft (Windows for Workgroups, Windows 95/98 и Lan Manager) в базе данных SAM хранится также информация о пароле пользователя в стандарте Lan Manager.
Для его формирования
все буквенные символы исходной строки пользовательского пароля приводятся к верхнему регистру, и если пароль содержит меньше 14 символов, то он дополняется нулями. Из каждой 7-байтовой половины преобразованного
таким образом пароля пользователя (длина пароля в Windows NT/2000/ХР ограничена 14 символами, ограничение накладывается диспетчером учетных записей), отдельно формируется ключ для шифрования некоторой фиксированной
8-байтовой последовательности по DES-алгоритму. DES-алгоритм является одним из самых распространенных алгоритмов шифрования данных. В США он имеет статус федерального стандарта. Это блочный алгоритм шифрования
с симметричным ключом длиной 64 бита, из которых только 56 непосредственно используются при шифровании, а остальные 8 предназначены для контроля четности байтов ключа. При этом в качестве ключа используется
PID (персональный идентификатор) пользователя).
Полученные в результате две 8-байтовые половины хешированного пароля Lan Manager еще раз шифруются по DES-алгоритму и помещаются в базу данных SAM.
1>>>2>>>3>>>4
Обсудить
в форуме...>>>> | |
