Ф Е Д Е РАЛ Ь Н О Е АГ Е Н Т С Т В О П О О БРАЗО В АН И Ю
В О РО Н Е Ж С КИ Й Г О С У Д АРС Т В Е Н Н Ы Й У Н И В Е РС ...
10 downloads
244 Views
155KB Size
Report
This content was uploaded by our users and we assume good faith they have the permission to share this book. If you own the copyright to this book and it is wrongfully on our website, we offer a simple DMCA procedure to remove your content from our site. Start by pressing the button below!
Report copyright / DMCA form
Ф Е Д Е РАЛ Ь Н О Е АГ Е Н Т С Т В О П О О БРАЗО В АН И Ю
В О РО Н Е Ж С КИ Й Г О С У Д АРС Т В Е Н Н Ы Й У Н И В Е РС И Т Е Т
П а рол ь н а я за щ и т а
У чебно-метод и ческоепособи епо специ альности 010501 (010200) “П ри клад наяматемати ка и и нформати ка ”
В О РО Н Е Ж 2005
2
У тв ерж д ено нау чно-метод и чески м сов етом факу льтета при клад ной математи ки , и нформати ки и мех ани ки 21 и ю ня2005 г., протокол № 6.
С остав и тель
Г олу б В .А.
У чебно-метод и ческоепособи е под готов лено на кафед ре тех ни ческой ки бернети ки и ав томати ческого регу ли ров ани яВ оронеж ского госу д арств енного у ни в ерси тета. Рекоменд у етсяд лясту д ентов 4 ку рса д нев ного отд елени яспеци альности 010501 “П ри клад наяматемати ка и и нформати ка ”
3
С О Д Е РЖ АН И Е
1. П арольнаязащ и та… … … … … … … … … … … … … … … … … … … … … … … … … 4 1.1. П рав и ла парольной защ и ты … … … … … … … … … … … … … … … … … ...5 1.2. П арольнаязащ и та BIOS… … … … … … … … … … … … … … … … … … … .6 1.3. П арольнаязащ и та Windows … … … … … … … … … … … … … … … … ..… 7 1.4. П арольнаязащ и та при лож ени й … … … … … … … … … … … … … … … … 8 2. В злом парольной защ и ты и его пред отв ращ ени е… … … … … … … … … … … … .9 2.1. М етод ы в злома парольной защ и ты … … … … … … … … … … … … … … ..9 2.2. В злом парольной защ и ты при лож ени й… … … … … … … … … … … … ..10 3. П рограммы -перех в атчи ки паролей и и х в ы явлени е… … … … … … … … … … ..11 Л и терату ра и и нтернет-и сточни ки … … … … … … … … … … … … … … … … … .14
4
1. П а рол ь н а я за щ и т а Ау тенти фи каци япользов ателей обеспечи в аетсяв перв у ю очеред ь пу тем и спользов ани япарольной защ и ты . П о д анны м опросов , пров ед енны х по заказу у строи телей меж д у народ ной в ы став ки Infosecurity Europe, при в ед енны х в [7], более 70% бри танцев при знали сь, что отд али бы постороннему пароль от св оего компью тера в обмен на пли тку ш околад а, а некоторы е и без какой бы то ни бы ло матери альной компенсаци и . Крометого, по резу льтатам д ру гого опроса 79% ж и телей В ели кобри тани и х оть раз отд ав али посторонни м ли цам и нформаци ю , котораямогла бы бы ть и спользов ана д лякраж и персональны х д анны х , необх од и мы х д лянезаконны х операци й с кред и тны ми карточками и д ру ги ми фи нансов ы ми и нстру ментами . П ред сед атель прав лени яMicrosoft Би лл Г ейтс пред сказал ги бель трад и ци онны м паролям, таккакони не в состояни и обеспечи ть серьезну ю и нформаци онну ю безопасность. Microsoft разработала программноеобеспечени ед лясозд ани яби ометри ческой и д енти фи каци онной карты при помощ и ци фров ой камеры , стру йного при нтера и сканера в и зи тны х карточек. П рограмма обработает фотографи ю и некотору ю д ополни тельну ю и нформаци ю о челов еке, напри мер и мяи д ату рож д ени яи в ы д аст ци фров у ю под пи сь, котораяв в и д е ш три х -код а наноси тсяна и д енти фи каци онну ю карту . В слу чае несоотв етств и я и нформаци и на карте ци фров ой под пи си , си стема отв ергнеттаку ю карту . О д на и з глав ны х особенностей си стемы состои т в том, что она не требу ет базы д анны х , таккакв сяи нформаци ях рани тсяна самой карте. С и стема д опу скает расш и рени е и мож ет при менятьсятакж е д лях ранени яотпечатков пальцев и ли ри су нка рад у ж ной оболочки глаза [10]. В в ед енны й пароль (и ли номер кред и тной карты и д ру гаяи нформаци я) мож етд олго остав атьсяв компью тереи стать д обы чей злоу мы ш ленни ка. Э то обу слов лено тем, что в в ед енны й пароль попад аетсначала в операти в ну ю память компью тера, а затем, в местесо в сем еесод ерж и мы м, копи ру етсяна ж естки й д и ск, гд емож етх рани тьсяпрод олж и тельноев ремя. П о сообщ ени ю , при в ед енному на сайте SecurityLab.ru [8], и сслед ов ани я, пров ед енны е в С тэнфорд ском у ни в ерси тете по парольной защ и те таки х программ какInternet Explorer, Windows login script и Apache server, показали , что ни в од ной и з ни х не пред при ни маетсяни каки х мер по ограни чени ю в ремени х ранени япаролей на д и ске, при чем ни в Windows, ни в Linux нетсред ств , ограни чи в аю щ и х сброс конфи д енци альной и нформаци и на д и ск. Реш и ть проблему мож но, напри мер, если в се в в од и мы е в операти в ну ю память д анны е замещ ать цепочкой ну лей сразу ж е по зав ерш ени и работы с ни ми ли бо ш и фров ать д анны ев моментв в од а ещ ед о того, какони бу д у тсох ранены в операти в ной памяти спослед у ю щ ей д еш и фров кой д ляработы сни ми .
5
В злом паролей мож ет бы ть основ ан на его у гад ы в ани и , под боре под х од ящ его в ари анта, напри мер, пу тем под бора слов а и з слов аряи ли на и спользов ани и метод а прямого перебора в сех в озмож ны х комби наци й знаков . П рограммнаяреали заци яметод а ав томати ческого перебора позв оляетв зломать лю бой пароль, но д ляслож ны х паролей мож ет потребов атьсязначи тельное в ремя. 1.1. П ра в и л а па рол ь н ой за щ и т ы В качеств еоснов ны х прав и л, которы м необх од и мо след ов ать, чтобы над еж ность парольной защ и ты небы ла ослаблена, мож но назв ать след у ю щ и е: 1) пароль д олж ен бы ть секретны м, неотображ аемы м на экране, в распечатках ; пароль нельзязапи сы в ать в местах , д осту пны х неав тори зов анны м ли цам, напри мер, на ли сточках , при клеи в аемы х к мони тору ; в сегд а, когд а это в озмож но, пароль не след у ет сох ранять в компью тере д аж е в специ альны х защ и щ енны х файлах , на соотв етств у ю щ ее при глаш ени е операци онной си стемы и ли д ру ги х программ ну ж но в сегд а отв ечать отказом; 2) пароль д олж ен состоять неменеечем и з 6… 8 си мв олов , и начеон легко мож етбы ть в зломан программами прямого перебора; наи болеенад еж ны епароли состоят и з 7 и ли 14 знаков , что обу слов лено способом код и ров ки [5]; д ля защ и ты отатаки со слов арем пароль нед олж ен пред став лять собой распространенны еслов а и и мена; 3) пароль д олж ен сод ерж ать нетолько бу кв ы , какпропи сны е, таки строчны е, но и ци фры , а такж еразли чны еси мв олы (` ~ ! @ # $ % ^ & * ( ) _ + - = { } | [ ] \ : " ; ' < > ? , . /), при чем, ж елательно, си зменени ями расклад ки клав и ату ры ; лу чш и ми паролями являю тся пароли , сгенери ров анны е как слу чайны е послед ов ательности ; 4) пароль д олж ен бы ть тру д но у гад ы в аемы м - нед опу сти мо сов пад ени е пароляс логи ном и ли и спользов ани е в качеств е пароляи мени , фами ли и , д ней рож д ени я, номеров телефонов пользов ателя и ли его род ств енни ков , кли чки лю би мы х собаки ли кош ек, назв ани ефу тбольной команд ы ; 5) пароль д олж ен значи тельно отли чатьсяот паролей, и спользов ав ш и х ся ранее; 6) пароль д олж ен регу лярно меняться, но и зменени яд олж ны осу щ еств лятьсяслу чайны м образом, а непо графи ку ; 7) файл паролей д олж ен и меть над еж ну ю защ и ту от несанкци они ров анного д осту па и , ж елательно, кри птографи ческу ю защ и ту ; 8) каж д ы й пароль д олж ен и спользов аться у ни кально – только од ни м пользов ателем и д ляполу чени яд осту па только к од ной и з си стем и ли программ, т. е. нельзяи спользов ать од и н и тотж епароль д ляд осту па, напри мер, к сеансу работы скомпью тером и д ляд осту па кэлектронному почтов ому ящ и ку ; 9) неслед у ети спользов ать под сказки кпаролям, пред лагаю щ и епри зад ани и пароляу казать д ополни тельны е св ед ени я(рост, лю би мое блю д о, д ев и чью фами ли ю матери и т.п.) и в слу чае, если пользов атель забы л пароль, разреш аю щ и ед опу скв си стему , при прав и льном отв етена соотв етств у ю щ и й пароль
6
– злоу мы ш ленни ку мож ет оказатьсялегче под обрать отв ет на под сказку , чем пароль; 10) пароль не д олж ен пересы латьсяпо электронной почте, перед ав аться по телефону , факсу и ли по д ру ги м нед остаточно над еж но защ и щ енны м каналам св язи . Более эффекти в но проти в од ейств ов ать несанкци они ров анному д осту пу мож но сочетаяпарольну ю защ и ту с д ру ги ми метод ами ограни чени яд осту па, напри мер, и спользу ю щ и м би ометри чески е тех нологи и , которы е осу щ еств ляю т и д енти фи каци ю , напри мер, по отпечаткам пальцев , рад у ж ной оболочке глаза и ли д ру ги м и нд и в и д у альны м х арактери сти кам. 1.2. П а ро л ь н а я за щ и т а BIOS Базов аяси стема в в од а-в ы в од а BIOS пред став ляет собой набор базов ы х программ д ляпров ерки обору д ов ани яв о в ремязапу ска, д лязагру зки операци онной си стемы , а такж е д ляпод д ерж ки обмена д анны ми меж д у у стройств ами . Базов аяси стема в в од а-в ы в од а х рани тсяв энергонезав и си мом постоянном запоми наю щ ем у стройств е (П ЗУ ), благод арячему ее программы могу т бы ть в ы полнены при в клю чени и компью тера. Н астройка параметров BIOS, в том чи сле у станов ка пароляи разреш ени е на загру зку со съемного носи теля, мож етбы ть в ы полнена в реж и ме SETUP, д ляв х од а в которы й след у ет наж ать клав и ш у в опред еленны й момент в начале загру зки си стемы . Зад анны е у станов ки х ранятсяв перепрограмми ру емой CMOS-памяти си стемы BIOS. В у станов ках BIOS мож ет пред лагаться у станов и ть д в а пароля – user password и supervisor password. П ерв ы й и з ни х (user password) обеспечи в аетпарольну ю защ и ту какначала загру зки BIOS, таки реж и ма у станов ки параметров (SETUP) BIOS, а в торой (supervisor password) закры в аеттолько реж и м у станов ки параметров BIOS. П оэтому у станов ка пароляпользов ателяuser password обеспечи в ает“д в ойну ю ”защ и ту на этапезагру зки . О тсу тств и е и ли в злом парольной защ и ты BIOS мож ет д ать в озмож ность злоу мы ш ленни ку и змени ть настройки BIOS, у станов и ть в качеств е перв оочеред ного загру зочного д и ска флоппи -д и ски ли CD и , загру зи в ш и сь с д и скеты и ли компакт-д и ска, полу чи ть в озмож ность полного д осту па к х ранящ ейсяв компью тере и нформаци и . В то ж е в ремяпарольнаязащ и та BIOS не является над еж ной. Е сли злоу мы ш ленни ки меетв озмож ность полу чи ть фи зи чески й д осту п ккомпью теру , то ему д остаточно на незначи тельное в ремяотклю чи ть располож енны й на матери нской платеэлементпи тани яCMOS-памяти BIOS, в которой х рани тсяпароль BIOS, что при в ед ет ксбросу пароля, ли бо перемкну ть располож енны е на матери нской плате д в е перемы чки (д ж амперы ), пред назначенны ед ляочи стки CMOS-памяти [9]. Разу меется, такаяатака на пароль BIOS бу д етнеи збеж но обнару ж ена по и змененному паролю BIOS. Кроме того, су щ еств у ю т программы , пред назначенны ед ляи зв лечени япаролей и з CMOS-памяти . В ряде слу чаев д ляв х од а в программу SETUP в место у станов ленного пароляBIOS в озмож но и спользов ани еу ни в ерсальны х паролей,
7
при год ны х д лялю бы х BIOS некоторы х прои зв од и телей. Т ак, напри мер, в стары х в ерси ях наи болеераспространенны х BIOS компани й Award и Phoenix и мели сь у ни в ерсальны е пароли : AWARD_SW и « phoenix» соотв етств енно [2,3,9]. 1.3. П а рол ь н а я за щ и т а Windows П ароли Windows 2000/XP могу т сод ерж ать д о 127 си мв олов . О д нако если Windows XP и спользу етсяв сети , в которой такж е работаю т компью теры с Windows 95/98, под д ерж и в аю щ и епароли д ли ной только д о 14 знаков , неслед у ети спользов ать пароли больш ей д ли ны , и начев ойти в сеть сэти х компью теров неу д астся. В операци онны х си стемах Windows 95/98 пароли и спользу ю тсятолько д ля защ и ты пользов ательски х профи лей и д ляд осту па ксетев ы м ресу рсам. В х од в си стему со станд артны ми настройками в озмож ен без в в од а пароляпросты м наж ати ем клав и ш и <Esc>, т.е. д ляпреод олени япарольной защ и ты Windows 95/98 д остаточно перезагру зи ться. П ароли экранной застав ки Windows 95/98, х ранящ и есяв си стемном реестре, такж е могу т бы ть и зв лечены с помощ ью специ альны х программ 95sscrk, SSBypass и д р., д лязапу ска которы х мож ет бы ть реали зов ана « атака с помощ ью ав тозапу ска». С у ть такой атаки заклю чается в том, что если в CDд и сков од у станов и ть компакт-д и ск, то при в клю ченной фу нкци и ав тозапу ска компью тер с Windows 95/98 ав томати чески (и в обх од застав ки с требов ани ем пароля) загру зи тпрограмму , у казанну ю в файлеAutorun.ini [9]. Т акаяатака позв оляетзагру зи ть на компью тер сWindows 95/98 программу злоу мы ш ленни ка. Защ и та от атакс помощ ью ав тозапу ска неслож на – д остаточно, и спользу я станд артны е процед у ры настройки Windows 95/98, отклю чи ть фу нкци ю ав тозапу ска. В Windows 9x/Me пароли х ранятсяв заш и фров анном в и д ев файлах с расш и рени ем .pwl в корнев ом каталоге Windows, при чем и спользу емаякри птографи ческаязащ и та паролей в есьма ненад еж на и срав ни тельно легко в зламы в аетсяспеци альны ми у ти ли тами , напри мер, Pwltool [9]. Ч то касаетсяболее над еж ной тех нологи и Windows NT, то пров ерка од ной и з кру пны х в ы сокотех нологи чески х компани й С Ш А на у стойчи в ость кв злому паролей показала след у ю щ ее: с помощ ью программы L0phtCrack 2.5 (www.l0pht.com/ l0phtcrack) бы ло в скры то около 90% в сех паролей д осту па менее, чем за 48 часов работы компью тера Pentium II 300, при чем 18% паролей бы ли в скры ты менеечем за 10 ми ну т. [2]. В операци онны х си стемах Windows NT/2000/XP у четны езапи си пользов ателей, в клю чаю щ и е логи ны и пароли , х ранятсяв базе д анны х SAM (SAM – Security Accounts Manager – д и спетчер у четны х д анны х си стемы защ и ты . Э то под си стема, обеспечи в аю щ аяв ед ени ебазы у четны х запи сей пользов ателей, сод ерж ащ и х св ед ени яоб у ров нях пользов ательски х при в и леги й, паролях и т.п. Д ляполу чени яд осту па клокальному компью теру злоу мы ш ленни кмож ет при бегну ть кв злому базы д анны х SAM. Д ляэтого послепрони кнов ени яв ком-
8
пью тер, напри мер, загру зи в ш и сь со съемного носи теля, копи ру ется, напри мер, на д и скету , файл sam и з си стемной папки компью тера WINDOWS\ \system32\config\sam, сд альнейш ей д еш и фраци ей спомощ ью специ альной программы (напри мер, LC4 – в ерси ей и зв естной программы L0phtCrack [9]). База д анны х SAM пред став ляет собой од и н и з ку стов (hive) си стемного реестра (registry) Windows NT/2000/XP. Э тот ку ст при над леж и т в етв и (subtree) HKEY_LOCAL_MACHINE и назы в аетсяsam. О н располагаетсяв файле sam в каталоге\ WINDOWS \system32\config\sam [1]. Ч тобы защ и ти ть у четны езапи си пользов ателей на слу чай, если они забы ли пароль, каж д ому и з локальны х пользов ателей рекоменд у етсясозд ать с и спользов ани ем сред ств Windows д и скету сброса пароляи х рани ть ее в над еж ном месте. Т огд а, если пользов атель забу д ет пароль, при помощ и д и скеты сброса паролямож но сброси ть пароль и снов а полу чи ть д осту п клокальной у четной запи си пользов ателя. Д и скета сброса пароляд олж на созд ав атьсязаблагов ременно, таккакэта процед у ра требу ет знани ятеку щ его пароляпользов ателя. Т акаямера являетсязащ и той от в озмож ны х д ейств и й злоу мы ш ленни ка, которы й мог бы в оспользов атьсятакой в озмож ностью сброса пароляд ляпрони кнов ени яв си стему . Е сли д и скеты сброса паролянет, то д ляреги страци и в си стеме пользов ателю необх од и мо обрати тьсякси стемному ад ми ни стратору с просьбой созд ать нов ы й пароль. Ад ми ни стратор компью тера не мож етв осстанов и ть забы ты й пароль пользов ателя(в целях безопасности ад ми ни стратор не и меет д осту па кпользов ательски м паролям), а мож ет только созд ать нов ы й, которы й мож етбы ть и зменен пользов ателем сразу , послев х од а в си стему [5]. 1.4. П а рол ь н а я за щ и т а при л ож ен и й Ряд при лож ени й и программ пред у сматри в аю т в озмож ность парольной защ и ты , напри мер, программы MSOffice: Word, Excel, Access, арх и в аторы WinZIP, WinRAR, WinARJ и д р. Какправ и ло, в строенны е сред ств а парольной защ и ты при лож ени й не относятсякд остаточно над еж ны м и могу т бы ть в зломаны спомощ ью специ альны х программ П арольнаязащ и та, пред у смотреннаяв MS Word, пред остав ляетпользов ателю разли чны ев ари анты защ и ты д оку мента спомощ ью паролей, которы емогу т состоять и з лю бого сочетани ябу кв , ци фр, пробелов и ли д ру ги х знаков и и меть д ли ну д о 15 знаков . П ри в ы боре д ополни тельны х параметров ш и фров ани ямож но созд ав ать пароли больш ей д ли ны . П ароли в MS Word мож но и спользов ать д ляразны х целей: мож но требов ать в в од пароляд ляоткры ти яфайла, чтобы полностью пред отв рати ть откры ти е д оку мента пользов ателями , не прош ед ш и ми пров ерку ; мож но требов ать в в од пароляд ляи зменени яфайла, чтобы разреш и ть откры ти е д оку мента в сем пользов ателям, а в несени е в него и зменени й — только пользов ателям, прош ед ш и м пров ерку . П ользов атель, и змени в ш и й д оку мент без в в од а пароляд ляи зменени я, смож ет сох рани ть этот д оку менттолько сд ру ги м и менем файла. Т ак, в меню С ерв и с мож но в ы брать команд у У ст а н ов и т ь за щ и т у д ля в ы бора в ари антов запрета лю бы х и зменени й д оку мента, кроме запи си и справ -
9
лени й, в став ки при мечани й и ли в в од а д анны х в поляформ, при чем у станов ленны й запретна и зменени ямож етбы ть закры тпаролем. П ри необх од и мости ограни чени яд осту па коткры ти ю файла в MS Word такж е в озмож но и спользов ани е парольной защ и ты . В этом слу чае необх од и мо в ы брать в меню С ерв и с команд у П а ра м ет ры и перейти на в клад ку Безопа сно ст ь , гд еслед у етв ы полни ть след у ю щ и ед ейств и я: в полеП а рол ь дл я откры т и я фа йл а над о в в ести пароль, а затем наж ать кнопку OK, после чего в поле Вв еди т е па ро л ь ещ е ра з над о пов торно в в ести пароль, а затем в нов ь наж ать кнопку OK. Аналоги чно мож но у станов и ть пароль д ляи зменени яфайла. Д ляэтого в меню С ерв и с в ы би раетсякоманд а П а ра м ет ры и , после перех од а на в клад ку Б езо па сн о ст ь , в в од и тсяпароль в поле П а рол ь ра зреш ен и я за пи си , затем, после наж ати якнопки OK, осу щ еств ляетсяпод тв ерж д ени еправ и льности в од а пароля пу тем его пов торени яв поле Вв еди т е па ро л ь ещ е ра з наж ати якнопки OK. Ч тобы зад ать пароль, сод ерж ащ и й д о 255 знаков , наж ми те кнопку Допол н и т ел ь н о, а затем в ы бери тети п ш и фров ани яRC4.
2. Взл ом па рол ь н ой за щ и т ы и егопредотв ра щ ен и е 2.1. М ет о ды в зл ом а па рол ь н ой за щ и т ы П реод олени епарольной защ и ты пу тем у гад ы в ани япаролясперебором ограни ченного коли честв а сочетани й бу кв , ци фр и си мв олов , в в од и мы х склав и ату ры , мож ет при в ести злоу мы ш ленни ка к у спех у ли ш ь в том слу чае, когд а пользов атель и гнори ру ет элементарны е прав и ла в ы бора пароля. Е сли в ы бран нетри в и альны й и д остаточно д ли нны й пароль, его у спеш ны й под бор в озмож ен только си спользов ани ем специ альны х программ-в зломщ и ков . О бы чно, если нет ни какой апри орной и нформаци и об и спользов анны х в пароле си мв олах , которая мож ет бы ть у чтена в настройках программы – в зломщ и ка, преж д е в сего пред у сматри в аю т под бор пароляпо слов арю . В настоящ ее в ремяд ляопред елени япароляразработан ряд специ альны х слов арей, опу бли ков анны х и ли размещ енны х в И нтернете. Т аки е слов ари сод ерж ат д есятки и сотни ты сячслов , и мен, назв ани й, наи болеечасто у потребляемы х в качеств епаролей, и могу тпод клю чатьсякпрограммам в злома паролей. П арольны ев зломщ и ки могу тнетолько пров ерять в сеслов а и з слов аря, но и форми ров ать множ еств о д ополни тельны х в ари антов , при меняяопред еленны е прав и ла в и д ои зменени яслов д лягенераци и в озмож ны х паролей. Н апри мер, прои зв од и тсяпопеременное и зменени е бу кв енного реги стра, в котором набрано слов о; меняетсяна обратны й порядокслед ов ани ябу кв в слов е; в начало и в конец каж д ого слов а при пи сы в аетсяци фра 1; некоторы е бу кв ы заменяю тсяна бли зки е по начертани ю ци фры (в резу льтате, напри мер, и з слов а password полу чаетсяpa55w0rd) и т.д . [1]. В слу чае неу д ачи слов арной атаки при меняетсяпрямой перебор разны х сочетани й бу кв , ци фр и си мв олов , что, конечно, требу ет значи тельного в реме-
10
ни , особенно у чи ты в ая в озмож ное переклю чени е в ерх него и ни ж него реги стров и расклад ки клав и ату ры . В сов ременны х операци онны х си стемах пароли закры в аю тсяс помощ ью д остаточно над еж ны х кри птографи чески х алгори тмов , что не позв оляет рассчи ты в ать на и х бы стру ю д еш и фраци ю . П оэтому парольны ев зломщ и ки и ногд а просто ш и фру ю т в се под би раемы е и ли ав томати чески генери ру емы е пароли с и спользов ани ем того ж е самого кри птографи ческого алгори тма, которы й при меняетсяд лязасекречи в ани япаролей в атаку емой операци онной си стеме, и срав ни в аю т резу льтаты ш и фров ани яс запи сями в си стемном файле, гд е х ранятсяш и фров анны епароли пользов ателей этой си стемы [1]. 2.2. Взл о м па рол ь н ой за щ и т ы при л ож ен и й Н а сегод няш ни й д ень разработано множ еств о программ по преод олени ю парольной защ и ты файлов арх и в ов (в частности , zip-арх и в ов – самы х попу лярны х в ми ре и наи более часто и спользу емы х в сети Internet). В и х чи сле Advanced ZIP Password Recovery, Fast ZIP Cracker, Ultra ZIP Password Cracker, ZIP Crack и д р., какправ и ло, и спользу ю щ и е метод перебора д ляопред елени я пароляzip-арх и в а. П арольнаякри птозащ и та программы -арх и в атора PKZIP мож ет бы ть в скры та, напри мер, разработанной корпораци ей AccessData программой, позв оляю щ ей неболеечем за д в а часа (при и спользов ани и Pentium II 500) в скры ть лю бой защ и щ енны й zip-файл. Ф айлы больш и нств а д ру ги х попу лярны х при лож ени й эта программа в скры в аетещ ебы стрее[2]. С пеци ально д ля в злома д оку ментов MS Office разработана программа OfficePassword 3.5, котораяпозв оляетпров ести в злом пароляв трех реж и мах – полностью ав томати ческом, пользов ательском, позв оляю щ ем в ру чну ю настрои ть процед у ру пои ска пароля, что особенно в аж но, если пред полагаемы й пароль сод ерж и т небу кв енны е си мв олы , и реж и ме гаранти ров анного в осстанов лени япароляпрои зв ольной д ли ны [9]. П ри отображ ени и в строкев в од а паролязв езд очек, и ногд а зв езд очки только скры в аю т сод ерж и мое этого поля, при том что и нформаци я, относящ аясяк полю в в од а у ж е нах од и тсяв памяти компью тера. В эти х слу чаях пароль, отображ енны й строкой зв езд очек, мож ет бы ть опред елен специ альны ми программами , напри мер, спомощ ью программы Revelation компани и SnadBoy [9].
3. П рогра м м ы -перех в а т чи ки па рол ей и и х в ы яв л ен и е О д ной и з наи болееопасны х атакна компью терны еси стемы являетсяатака посред ств ом программны х заклад ок, некоторы еи з которы х специ ально пред назначены д ляперех в ата паролей. П р огр ам м н ая зак л ад к а– это программа и ли фрагментпрограммы , скры тно в нед ряемы й в защ и щ енну ю си стему и позв оляю щ и й злоу мы ш ленни ку , в нед ри в ш ему его, осу щ еств лять несанкци они ров анны й д осту п ктем и ли и ны м ресу рсам защ и щ енной си стемы . [4].
11
К наи более распространенной разнов и д ности программны х заклад ок - перех в атчи ков паролей относятсяпрограммы , которы ебу д у чи в нед ренны ми в операци онну ю си стему , полу чаю т д осту п кпаролям, в в од и мы м пользов ателями , перех в аты в аю т и х , запи сы в аю т в специ альны й файл и ли в д ру гое место, д осту пноезлоу мы ш ленни ку , в нед ри в ш ему заклад ку в си стему . М ож но в ы д ели ть три разнов и д ности перех в атчи ков паролей. П ерех в а т чи ки па рол ей перв огорода (“и ми таторы ”) после запу ска и ми ти ру ю т при глаш ени е пользов ателю зареги стри ров атьсяд ляв х од а в си стему . Когд а пользов атель в в од и т и мяи пароль, заклад ка сох раняет и х в д осту пном злоу мы ш ленни ку месте, после чего зав ерш аетработу и осу щ еств ляетв ы х од и з си стемы , а на экране появляетсянастоящ ее реги страци онное при глаш ени е д ля в х од а пользов ателяв си стему [4,6]. П ред полагая, что при в в од е пароляпрои зош ла ош и бка, пользов атель пов торно в в од и т и мяи пароль, после чего в х од в си стему и д альнейш аяработа прох од ят нормально. Н екоторы е заклад ки перед зав ерш ени ем работы в ы д аю т на экран прав д опод обноесообщ ени еоб ош и бкев в од а пароля. П ри знаком, позв оляю щ и м запод озри ть нали чи е в си стеме программной заклад ки – перех в атчи ка паролей перв ого род а, являетсяпов торяю щ аясяси ту аци яснев озмож ностью в х од а в си стему сперв ой попы тки и необх од и мости пов торного в в од а пароля. Н аи более у язв и мы ктаки м перех в атчи кам паролей операци онны е си стемы , в которы х при глаш ени епользов ателю на в х од и меетпростой в и д . Д остаточно над еж ну ю защ и ту от перех в атчи ков паролей перв ого род а обеспечи в аю т операци онны е си стемы Windows NT/2000/XP. В эти х си стемах процесс Winlogon, полу чаю щ и й отпользов ателяи мяи пароль, в ы полняетсяна отд ельном рабочем поле (рабочем поле ау тенти фи каци и ), ккоторому ни какой д ру гой процесс, в том чи слеи перех в атчи кпаролей, неи меетд осту па [4]. П ри старте си стемы на экране компью тера появляетсяпри глаш ени е наж ать комби наци ю клав и ш , после чего отображ аетсярабочее поле ау тенти фи каци и , на котором в в од ятсяи мяи пароль. О д нако пользов атель в в од и ти мяи пароль несразу , а только посленаж ати я. Ч тобы перех в атчи кпаролей перв ого род а смог перех в ати ть пароль, он д олж ен су меть обработать наж ати е пользов ателем , и наче при наж ати и этой комби наци и клав и ш прои зойд ет переклю чени е на рабочее поле ау тенти фи каци и , а рабочее поле при клад ны х программ, гд е в ы полняю тсяв се программы , в клю чаяперех в атчи кпаролей, станетнеакти в ны м, и сообщ ени яо наж аты х клав и ш ах бу д у т при х од и ть на нед осту пное программной заклад ке рабочее поле [4]. П ерех в атчи кпаролей мож ет и ми ти ров ать не начальное при глаш ени е операци онной си стемы , гд е пользов ателю пред лагаетсянаж ать , а реги страци онное при глаш ени е, которое в ы св ечи в аетсяпосле наж ати япользов ателем этой комби наци и и пред лагает в в ести и д енти фи каци онное и мяи пароль пользов ателя[4,6]. О бы чно при отсу тств и и в си стемеперех в атчи ков паролей-и ми таторов это в тороепри глаш ени еав томати чески отменяетсячерез некотороев ремя(30… 60 секу нд ) и заменяетсяна начальное, если за это в ремяполь-
12
зов атель пы талсязареги стри ров атьсяв си стеме. Е сли в торое при глаш ени е (окно реги страци и ) при су тств у ет на экране компью тера д олгое в ремя, это мож етоказатьсяпри знаком при су тств и я в си стемепрограммной заклад ки . О пред еленну ю защ и ту от перех в атчи ков паролей перв ого род а мож ет обеспечи ть рекоменд аци яв сегд а начи нать работу с си стемой с наж ати я незав и си мо оттого, какоепри глаш ени еотображ аетсяна экране. П ерех в а т чи ки па рол ей в т орогорода (“фи льтры ”, клав и ату рны е мони торы , кей-логгеры ) перех в аты в аю т в се д анны е, в в од и мы е пользов ателем с клав и ату ры . П рограммы , реги стри ру ю щ и е наж ати яклав и ш клав и ату ры и перех в аты в аю щ и е д анны е, в в од и мы е с клав и ату ры , назы в аю тсяклав и ату рны ми мони торами и ли кей-логгерами . Э ти заклад ки пред став ляю т собой рези д ентны е программы , перех в аты в аю щ и е преры в ани япроцессора, и мею щ и е отнош ени е кработе с клав и ату рой. П олу ченная и нформаци я запи сы в ается в специ альны й файл, сох раняемы й на ж естком д и ске, при чем часто пред у сматри в аетсяв озмож ность пересы лки этой и нформаци и по сети . Более сов ерш енны е заклад ки анали зи ру ю т перех в аченны е д анны е и отфи льтров ы в аю т и нформаци ю , зав ед омо неи мею щ у ю отнош ени якпаролям. О д ни м и з наи болееи зв естны х являетсяклав и ату рны й ш пи он IKS (Invisible KeyLogger Stealth – нев и д и мы й клав и ату рны й ш пи он), которы й, в нед ряясь в ядро си стемы , д ейств у ет под обно д райв еру клав и ату ры и способен перех в аты в ать и запи сы в ать в ж у рнальны й файл в се наж ати яклав и ш , д аж е при в х од ной реги страци и в си стеме [9]. В ы явлени е этой программы в озмож но по нали чи ю файла iks.sys, если он не бы л переи менов ан злоу мы ш ленни ком д лясокры ти я программы . Д ру гой способ обнару ж ени якей-логгера основ ан на анали зе си стемного реестра, так как файл iks.sys пропи сы в ается не только в каталог WINDOWS\system32\drivers, но и реги стри ру етсяв реестре. И менно запи си в си стемном реестре позв оляю тв ы являть кей-логгеры с помощ ью анти в и ру сны х программ и программ пои ска троянцев ; эффекти в но нах од и т кей-логгеры , напри мер, программа The Cleaner [9]. Н екоторы е кей-логгеры , напри мер, 007 Stealth Monitor и ни ци и ру ю т процессы , которы е в и д ны в д и спетчере зад ач Windows. П ереи менов ани ефайлов клав и ату рны х мони торов являетсяод ни м и з основ ны х при емов скры ти яи х нали чи яв си стеме. Какпоказано в [4], если операци оннаяси стема д опу скает переклю чени е расклад ки клав и ату ры при в в од е пароля, то д ляэтой операци онной си стемы мож но напи сать перех в атчи кпаролей в торого род а, таккаклю бой ру си фи катор клав и ату ры , работаю щ и й в сред е Windows, перех в аты в ает в сю и нформаци ю , в в од и му ю пользов ателем склав и ату ры , в том чи слеи пароли . Защ и та отперех в атчи ков паролей в торого род а требу етв ы полнени яв след у ю щ и х у слов и й [4]: - нев озмож ность переклю чени ярасклад ки клав и ату ры в процессе в в од а пароля; - нали чи етолько у ад ми ни стратора си стемы в озмож ности конфи гу ри ров ани яцепочки программны х мод у лей, у частв у ю щ и х в полу чени и операци -
13
онной си стемой пароляи д осту па на запи сь кфайлам эти х программны х мод у лей. Л у чш е, если д осту п на запи сь кфайлам программны х мод у лей, у частв у ю щ и х в полу чени и пароля, бу д етполностью запрещ ен, а ад ми ни стратор, и ни кто кроменего, бу д ети меть д осту п на запи сь только катри бу там защ и ты эти х файлов . Л ю бы е обращ ени якэти м файлам с целью запи си , а такж е ки х атри бу там защ и ты , д олж ны реги стри ров атьсяв си стемном ж у рналеау д и та. У слов и е нев озмож ности переклю чени ярасклад ки клав и ату ры в процессе в в од а пароля, ав томати чески в ы полняемое в неру сскоязы чны х в ерси ях операци онны х си стем, нереали зу емо д ляру сскоязы чны х в ерси й, тем в аж нее в ы полнени е в торого у слов и я, которое обеспечи в аетсясоотв етств у ю щ ей поли ти кой безопасности . П ерех в а т чи ки па рол ей т рет ь егорода (“замести тели ”) полностью и ли части чно под меняю т собой под си стему ау тенти фи каци и операци онной си стемы . Т аки е программны е заклад ки ли бо в нед ряю тсяв од и н и ли несколько си стемны х файлов , ли бо, и спользу яи нтерфейсны е св язи меж д у программны ми мод у лями под си стемы ау тенти фи каци и , в страи в аю т себяв цепочку обработки в в ед енного пользов ателем пароля[4,6]. Защ и та от перех в атчи ков паролей третьего род а требу ет, чтобы под си стема ау тенти фи каци и бы ла самы м защ и щ енны м местом операци онной си стемы . Кроме того, необх од и мо строгое соблю д ени е ад екв атной поли ти ки безопасности , д елаю щ еенев озмож ны м в нед рени ев си стему каки х -ли бо программны х заклад ок, в том чи сле и перех в атчи ков паролей третьего род а [6]. С лед у ет у чи ты в ать, что ед и нств енной ош и бки в си стемном ад ми ни стри ров ани и мож етоказатьсяд остаточно д ляпрони кнов ени яв си стему программной заклад ки , котораямож ет пред при ни мать меры по пред отв ращ ени ю ее обнару ж ени я. П осле этого лю баяполи ти ка безопасности и ее неу косни тельное и сполнени е станов ятсянеэффекти в ны ми . В св язи с эти м требу етсяпри менени е д ополни тельны х мер защ и ты , ккоторы м относятсяконтроль целостности и сполняемы х файлов операци онной си стемы и и нтерфейсны х св язей каксобств енно под си стемы защ и ты , таки и спользу емы х ею [6]. Защ и та от перех в атчи ков паролей третьего род а пред полагает неу косни тельноесоблю д ени еполи ти ки безопасности , пред у сматри в аю щ ей, в частности , что только си стемны й ад ми ни стратор и меет прав о конфи гу ри ров ать цепочки программны х мод у лей, у частв у ю щ и х в процессе ау тенти фи каци и пользов ателей и осу щ еств лять д осту п ки х файлам, а такж еконфи гу ри ров ать саму под си стему ау тенти фи каци и . [4,6].
14
Ли т ера т у рн ы е и и н т ерн ет -и ст очн и ки 1. Ани н Б. П арольны е в зломщ и ки / Б. Ани н. (http://www.realdosug.ru/hack/porolnyae_vzlomchiki.html). 2. Берд К и в и . Защ и ти св ои файлы / Ки в и Берд . - « И нфоБи знес». (http://www.ibusiness.ru/offline/2000/124/10356/). 3. Л еонтьев Б. Хаки нг без секретов / Б. Л еонтьев . - М : П ознав ательнаякни га плю с, 2000. - 736 с. 4. П роску ри н В .Г . П ерех в атчи ки паролей пользов ателей операци онны х си стем / В .Г . П роску ри н.- - (http://www.crime-research.ru/library/paswper.htm). 5. С лу ж ба справ ки и под д ерж ки Windows XP. 6. С ы рков Б. П ерех в атчи ки паролей пользов ателей операци онны х си стем / Б. С ы рков . – « Internet Zone». (http://www. izone.com.ua, http://www.submarine.ru) 7. (http://www.internet.ru). 8. (http://www.securitylab.ru). 9. WebKnacKer Alex. Бы стро и легко. Хаки нг и анти х аки нг: защ и та и напад ени е/ Alex WebKnacKer. – М .: Л у чш и екни ги , 2004. – 400 с. 10. (http://www. zdnet.ru).
15
С остав и тель В лад и ми рАлександ ров и чГ олу б Ред актор О .А. Т и х оми ров а