Вічна проблема паролів …

Павло Агафонов, Комп'ютерна газета

На сьогоднішній день у зв'язку з розвитком мережевих та Інтернет технологій,
коли все більша кількість, як простий, так і критично важливою
інформації людина довіряє комп'ютерів і мережі, особливої актуальності
набуває проблема безпеки в комп'ютерному світі. Багато хто вже помітили,
що поки комп'ютери не були об'єднані в мережу, про безпеку ходили лише
чутки. Тепер ви зможете відчути все це вже на собі. Як усім відомо,
більшість використовуваних сьогодні в білоруських мережах систем комп'ютерної
безпеки грунтується на контролі доступу по паролях і ключів. У цій статті
розглядається проблема крадіжок мережевих паролів.

Мета цієї статті не довести до користувачів багатотомні
теоретичні викладки зі спеціалізованої літератури, але допомогти людям,
яким в даний час все більше і більше доводиться стикатися з
інформаційними технологіями впритул, придбати деякі практичні
навички, які вже здавна у професіоналів в крові.

Ви можете заперечувати, що прочитали стандартну інструкцію типу "не
записуй пароль на манжетах ", але це далеко не ідеальний засіб захисту
вашого пароля.

Чим же небезпечне попадання вашого пароля до зловмисникові, яким може,
наприклад, стати ваш збирається звільнитися співробітник чи початківець
хакер студент.

У першому випадку, якщо ваша мережа, наприклад, побудована на основі систем
Windows NT і Windows 95, ваш співробітник-шпигун протягом двох-трьох діб
елементарними загальнодоступними засобами зламає всю вашу з великої літери
корпоративну мережу, включаючи паролі адміністраторів та інших співробітників і
далеко не в одиничному екземплярі. Після вдалого декодування паролів, а
пароль нашого помічника адміністратора з чотирьох символів розшифровувався
за лічені частки секунди, зловмисник отримає доступ до всіх без
обмеження інформаційних ресурсів вашої мережі, включаючи бухгалтерію, облік
кадрів, звіти та іншу недоступну для нього раніше інформацію.

У другому випадку, якщо ви, наприклад, маєте комутований доступ до
постачальнику послуг мережі Інтернет, або якщо ви адміністратор локальної мережі в
освітньої організації, студент настільки ж елементарними і загальнодоступними
засобами вкраде ваш пароль. У результаті ви будете втрачати кровні
зароблені гроші і не зможете додзвонюватися до постачальника послуг Інтернет
або під загрозою опиняться довгі години, дні, а може і місяці роботи інших
студентів або викладачів.

Багато зустрічали оголошення в комп'ютерній газеті з заголовками типу
"Продам пароль …" і, на основі цього, будували різні припущення. На
Насправді все виявляється настільки просто, що вкрасти чужий пароль зможе
навіть тямущий школяр на одному з перших занять з інформатики.

Перш ніж читати далі, слід врахувати, що всі матеріали в цьому
документі представлені тільки з метою інформації і не є яким би то
не було спонуканням до дії або бездіяльності. Автор статті в будь-якому випадку
не несе відповідальності ні перед ким, за якої б то не було прямої,
непрямий, фактичний або непрямий збиток, отриманий в результаті
використання цього матеріалу і матеріалів, на які є посилання в
даній статті.

Для початку розглянемо різні види контролю доступу за паролем для
того, щоб пізніше зрозуміти, наскільки прості методи крадіжки паролів. Серед
сучасних комп'ютерних технологій існують кілька видів контролю
доступу за паролем або ключу, які за технічним методам можна розділити
на три основних види.

Для всіх видів характерно, коли, при початку роботи з інформаційним
ресурсом, під час запиту доступу до нього, програмним забезпеченням у
користувача в діалоговій формі запитується введення пароля з пристрою введення
або клавіатури. Під час введення пароля в найбільш відсталих, з технологічної
точки зору, програмах пароль відображається на екрані прямим текстом, в
більш просунутому програмному забезпеченні він ховається символами
замінниками, наприклад, зірочками, або не відображається зовсім. До паролю
зазвичай додається ім'я користувача або найменування системного профілю
(Рахунки) користувача. На деяких системах імені користувача не потрібно,
але такі системи вже застаріли. Схожий алгоритм використовується тепер у
основному тільки при захисті ліцензійного програмного забезпечення від
копіювання, наприклад, серійні номери.

Отже, перший вид контролю доступу, коли отриманий пароль відправляється
або пересилається через мережу або програмі клієнту у вигляді чистого тексту.
Такий вид контролю, наприклад, використовується, в таких програмах як TELNET,
FTP, POP3, IMAP та інших, в основному програмах низького рівня зв'язку. Злом
тут не потрібно зовсім і крадіжка таких паролів не вимагає ніяких хитрощів.

Другий вид контролю доступу, коли отриманий пароль пересилається на
сервер у зашифрованому вигляді. Такий вид контролю доступу використовують,
наприклад, Windows NT, Windows 95 і інші. Зокрема додатковими
прикладами можуть послужити види контролю доступу до ресурсів серверів WWW у
Інтернет. У цьому випадку доведеться пошукати засоби для злому і розшифровки
паролів, який можуть зайняти час, хоча і не настільки тривалий,
як це описують в рекламі.

Існує ще й третій вид контролю доступу, коли пароль є
доповненням до багаторівневу систему безпеки на основі сертифікатів
(Прості і багаторівневі). Природно, що сертифікати, як і сам пароль,
передаються в зашифрованому вигляді. Таких систем досить багато. З однією з
таких систем Я постійно маю справу з обов'язку служби. Це сімейство продуктів
фірми Lotus – Notes / Domino. Система Notes / Domino (тип клієнт-сервер)
використовує ієрархічну структуру сертифікатів, і відповідає
специфікації стандарту безпеки C2. При встановленні з'єднання з такою
системою перевіряється не тільки пароль, а й проводиться пошук однакових
сертифікатів. Після цього ви отримуєте доступ тільки до тих ресурсів, які
відповідають цьому сертифікату або сертифікату, що знаходиться на більш
низькому рівні.

Існують також види контролю доступу, які є комбінаціями
більш простих видів контролю доступу і засновані на трьох описаних вище і
інших методах.

При крадіжці пароля і злом мережі зловмисники також як і
адміністратори при захисті мереж повинні обов'язково враховувати фактор
операційних систем. Цей фактор полягає в тому, що за допомогою імені
користувача та пароль, які призначені для доступу до одного
інформаційного ресурсу, можна також отримати доступ до самої операційної
системі та інших інформаційних ресурсів. Прикладом може служити одержання
електронної пошти за протоколом POP3. В результаті за допомогою перехопленого
поштового пароля можна отримати доступ до інших інформаційних ресурсів.
Саме з цієї причини у таких грамотних постачальників послуг мережі Інтернет,
як, наприклад, Відкритий Контакт, використовуються різні паролі на доступ до
комутованому з'єднанню і поштової скриньки. Далі я буду мати на увазі під
Windows системами Windows 95, Windows 98 і Windows NT, а під UNIX системами
ті, з якими я працював або працюю в даний час, а це такі системи
як Linux, AIX, Solaris та FreeBSD.

Тепер розглянемо методи крадіжки паролів. Як усім відомо, самий
простий спосіб крадіжки паролів це просте підглядання. Крім
підглядання ще існує кілька найпростіших методів крадіжки паролів
і різних їх комбінацій. За технікою виконання методи крадіжки паролів можна
розділити на: підглядання, перехоплення і метод троянського коня. У останній
метод також входить використання так званих програм "exploit", що в
перекладі з англійської означає "розробляти копальні". Природно ми
виключили метод риття в сміттєвих корзинах, оскільки на папір паролі
записують тільки воістину дурні, і метод підслуховування стуку клавіатури,
оскільки не всі мають дуже хорошим слухом і великим досвідом
використання клавіатури.

Перший метод на перший погляд простий, але з прогресом техніки і
людського розуму деякі шкідливі програмісти придумали ховати паролі
під зірочками та іншими символами, що ускладнило завдання хакерів, а й
хакери виявилися на висоті. Тепер хакери крім очей використовують
спеціалізоване програмне забезпечення. Це програмне забезпечення в
стані записати пароль на доступ до Інтернет у файл і відіслати його по
електронною поштою. При цьому пароль "підглядає" такий програмою безпосередньо в
віконці для введення пароля під зірочками, прочитавши пароль безпосередньо з пам'яті.
Зокрема достатньо поширена і відома програма HOOKDUMP, як
написано в інструкції, призначена для запису всього, що набрано на
клавіатурі, у файл, визначає назва вікна і програми, де набирається
текст, і є оптимальною для стеження і визначення чужих паролів під
управлінням операційних систем Windows. Для UNIX систем також існують
аналогічні засоби.

Другий метод теж простий для тих, хто знайомий хоча б теоретично з
теорією комп'ютерних мереж та мережевих протоколів пакетного типу. В основі
цього протоколу лежить спосіб передачі інформації з ентропії мережі. У мережі
Token Ring, наприклад, за замовчуванням інформація переходить безпосередньо від
клієнта до сервера, в мережі Ethernet інформація в момент передачі від клієнта до
сервера проходить по всіх мережевих інтерфейсів, в мережі Інтернет, що складається з
безлічі мереж з різними топологіями, інформація передається від клієнта до
сервера минувши ланцюжок проміжних вузлів. Але є і виключення, наприклад,
при передачі інформації з Token Ring до інших кільцям, при передачі
інформації з мережі Ethernet через хороші і дуже дорогі "розумні" пристрої
маршрутизації, при пересиланні інформації з мережі Інтернет до найближчого вузла.
У будь-якому випадку інформацію у вигляді пакетів даних можуть перехоплювати
проміжні вузли у вигляді мостів, комутаторів, маршрутизаторів і клієнтів
мережі Ethernet. Особливо вразливою у цьому плані є мережа Ethernet, навіть
при використанні сполук на основі мережних пристроїв, кручений пари і
оптико-волоконних перетворювачів. Таким чином, спеціальне програмне
забезпечення, яке використовують хакери, в змозі відслідковувати і
перехоплювати як прості паролі у вигляді гладкого тексту, так і паролі в
зашифрованому вигляді. В основному такі програми написані для Linux і Solaris,
але оскільки C / C + + мова переносимий компілюються практично на будь-який UNIX
системі. Для Windows таких програм трохи і однією з найвідоміших
є спочатку написана для Solaris програма під назвою
L0phtCrack. Програма L0phtCrack особливо небезпечна, тому що, навіть при
використанні розумною мережевої апаратури, залишається можливість перехоплення
паролів при зчитуванні файлів по мережі, наприклад, адміністратором з
локального жорсткого диска комп'ютера, на якому встановлена програма
L0phtCrack. При роботі в звичайному Ethernet L0phtCrack в змозі не тільки
красти зашифрований пароль Windows з реєстру, а й перехоплювати паролі
інших користувачів при їх вході в систему, oepeohq {b `mhh фалів по мережі і
мережевого друку. Для розшифровки Windows паролів L0phtCrack потрібні лише
лічені частки секунди. Також L0phtCrack здійснює так звану атаку
грубої сили, в перекладі від brute force attack, коли пароль Windows
зламується методом підбору. Для UNIX систем таким засобом є,
наприклад, дуже відома програма LINUX SNIFFER, яка перехоплює
паролі під час їх введення користувачами при з'єднаннях через TELNET, FTP,
POP3, IMAP, WWW BASIC AUTHENTICATION і багатьом іншим протоколам. Це
означає, що пароль для доступу до відомого платного ресурсу з фінансової
інформації http://www.finance.minsk.by/, а також до інших інформаційних
ресурсів для дилерів відомих російських компаній може бути легко
перехоплений при втраті обережності.

Третій спосіб обговорювати не буду, так як більшість стандартів
що стосуються третього способу є закритими, можливо, тільки крім
Pretty Good Privacy (PGP). Також більшість систем такого роду мають
параноїдальну систему захисту на базі багаторівневого шифрування на основі
симетричних і несиметричних ключів, сертифікатів, електронного підпису та
паролів. Наприклад, до цих пір жоден сервер на базі Lotus Domino Server НЕ
був зламаний хакерами.

Перейдемо до теми захисту від крадіжки паролів. Для того щоб ваш пароль
ніхто не дізнався, і він залишився з вами навіть у могилі необхідно слідувати
правилами і принципами, які описані нижче, і намагатися прищепити ці правила
і принципи так, щоб, вони були у вас в крові.

Перший принцип, один з головних в тому, що ви повинні встановити паролі
на все що можна. Це можуть бути паролі на доступ до установок BIOS, на
включення, комп'ютера, на жорсткий диск, на Інтернет, на пошту, на програму
заставки, на кожний окремий вхід в систему і на багато інших речей,
включаючи мережеві пристрої. Пароль повинен бути не менше восьми символів і
бути складений з великих, малих літер, спеціальних та цифрових символів
одночасно. На кожне окремо взяте пристрій, системний рахунок або
інший ресурс необхідно встановити неоднакові і несхожі паролі, не
є синонімами чи паліндромами, а також простими словосполученнями
чи словами. До речі, при використанні PGP навіть при перехопленні вашої пошти
злодії не зможуть її прочитати, не маючи вашого ключа, який при отриманні
вашого пароля на ваш комп'ютер можна легко впізнати.

Стати параноїком по відношенню до комп'ютерної безпеки, навіть якщо
пізніше доведеться лікуватися, і міняйте всі паролі як мінімум щотижня.
Змінюйте всі паролі негайно при найменшому порушенні наведених
принципів.

Ніде, ніколи і ні за яких умов не записуйте свій пароль на
папір, не гравіруються його на годиннику, кришці столу і так далі. У разі ж
необхідності замкніть пароль в самий надійний сейф в межах будівлі вашої
фірми, не довіряючи сейфу банку.

Ніде, ніколи і ні за яких обставин не вводите свій пароль на
чужому комп'ютері або робочої станції значно віддаленій від сервера по
мережевої топології. Особливо якщо вас про це попросить людина, у якої
доступу до інформаційного ресурсу немає або доступ більш обмежений, ніж ваш.

Якщо користуєтеся послугами постачальника послуг Інтернет і, наприклад,
оновлюєте свій сервер WWW через FTP, то робите оновлення
категорично тільки через пряме постійне або комутоване з'єднання з
сервером постачальника послуг. Це також відноситься до зміни паролів, отриманню
електронної пошти та інших захищених паролем службам Інтернет.

Якщо до вас підійшов співробітник і попросив переписати файл з його диска по
мережі, то намагайтеся не робити цього, тому що існує дуже ймовірна
можливість того, що він має намір вкрасти ваш пароль. У такому випадку
необхідно посилити контроль над співробітником.

На закінчення хочеться сказати, що багато розробники допускають огріхи
у створенні програмного забезпечення, що дозволяє хакерам їх знаходити і
використовувати. Ще багато не зламаних і незвіданих дірок в безпеці
комп'ютерних систем, але як кажуть "і на стару, буває помилка".

Для адміністраторів окремий рада. Необхідно відмовитися від TELNET,
FTP і інших і використовувати Secure Shell (SSH), а також регулярно
аналізувати журнали системних подій. Особливу увагу слід приділити
проектування мереж з урахуванням нових вимог безпеки і використанню
спеціальних програм "детекторів", які визначають коли, хто, звідки і
де намагається зламати вашу інформаційну систему. Ні в якому разі не
використовувати метод BASIC WWW AUTHENTICATION для доступу до ресурсів WWW
серверів, навіть при використанні Secure Server Layer (SSL) використовуйте метод
DIGEST WWW AUTHENTICATION з шифруванням на основі стандарту RSA MD5C.
Обов'язково необхідно встановити систему FIREWALL і посилених обмежень
доступу. Постійно вдосконалюйте свої пізнання в області комп'ютерної
безпеки.

Удачи в боротьбі з шкідливими зловмисниками і хакерами!

Додаткові ресурси для вивчення за темою статті:

Найвідоміший сервер з комп'ютерної безпеки, на якому можна
знайти приклади програм, вихідні тексти, новини, документацію:
http://www.rootshell.com/
Найвідоміший хакерський сервер пошуку:
http://astalavista.box.sk/
Сервер, присвячений UNIX систем і адміністрування мереж:
http://www.freshmeat.org/
Сервер, присвячений UNIX систем і адміністрування мереж:
http://www.slashdot.org/
Російський сервер з базою програм, на якому можна знайти HOOKDUMP:
http://www.download.ru/
Сервер відомої фірми, на якому можна знайти L0phtCrack:
http://www.l0pht.com/l0phtcrack/
Список розсилки з комп'ютерної безпеки:
mailto:BUGTRAQ@NETSCAPE.ORG

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*