Чим нас намагаються зламати?

Стаття являє собою огляд популярних вломшіков паролів і принципів їх роботи: для злому операційних систем, шифрованого файлової системи (Encrypted File System), для злому паролів архівів (Advanced ARJ Password Recovery, Advanced ZIP Password Recovery, Advanced RAR Password Recovery, для злому паролів документів MS Office, для злому паролів облікових записів електронної пошти (The Bat! Password Viewer, Outlook Password Viewer, DeBat).



1. Введення

Проблему безпеки комп’ютерних мереж надуманою не назвеш. Практика показує: чим масштабніша мережа і чим більш цінна інформація довіряється підключеним до неї комп’ютерів, тим більше знаходиться бажаючих порушити її нормальне функціонування заради матеріальної вигоди або просто з цікавості. Йде постійна віртуальна війна, в ході якої організованості системних адміністраторів протистоїть винахідливість комп’ютерних зломщиків.

Основним захисним кордоном проти зловмисних атак в комп’ютерній мережі є система парольного захисту, яка є у всіх сучасних програмних продуктах. Відповідно до встановленої практики, перед початком сеансу роботи з операційною системою користувач зобов’язаний зареєструватися, повідомивши їй своє ім’я і пароль. Ім’я вимагається для ідентифікації користувача, а пароль служить підтвердженням правильності виробленої ідентифікації. Інформація, введена користувачем в діалоговому режимі, порівнюється з тією, що є в розпорядженні операційної системи. Якщо перевірка дає позитивний результат, то користувачеві стають доступні всі ресурси операційної системи, пов’язані з його ім’ям.

Метою цієї роботи було:




2. Що таке парольний зломщик?

Найбільш ефективним є метод злому парольного захисту операційної системи (надалі – ОС), при якому атаці піддається системний файл, що містить інформацію про легальні користувачів і їх паролі. Однак будь-яка сучасна ОС надійно захищає користувача паролі, які зберігаються в цьому файлі, за допомогою шифрування. Крім того, доступ до таких файлів, як правило, за замовчуванням заборонений навіть для системних адміністраторів, не кажучи вже про рядових користувачів операційної системи. Тим не менш, у ряді випадків зловмиснику вдається шляхом різних хитрувань отримати в своє розпорядження файл з іменами користувачів і їх зашифрованими паролями. І тоді йому на допомогу приходять так звані парольні зломщики – спеціалізовані програми, які служать для злому паролів операційних систем.


3. Як працює парольний зломщик?

Криптографічні алгоритми, які застосовуються для шифрування паролів користувачів в сучасних ОС, використовують необоротне шифрування, що робить неможливим більш ефективний алгоритм злому, ніж тривіальний перебір можливих варіантів. Тому парольні зломщики іноді просто шифрують всі паролі з використанням того ж самого криптографічного алгоритму, який застосовується для їх засекречування в атакується ОС. Потім вони порівнюють результати шифрування з тим, що записано в системному файлі, де знаходяться шифровані паролі користувачів цієї системи. При цьому в якості варіантів паролів парольні зломщики використовують символьні послідовності, автоматично генеруються з деякого набору символів. Даний спосіб дозволяє зламати всі паролі, якщо відомо їх подання в зашифрованому вигляді, і вони містять тільки символи з даного набору.

За рахунок дуже великого числа перебираються комбінацій, яке зростає експоненціально зі збільшенням числа символів у вихідному наборі, такі атаки парольного захисту ОС можуть віднімати надто багато часу. Однак добре відомо, що більшість користувачів операційних систем особливо не утруднюють себе вибором стійких паролів, тобто таких, які важко зламати. Тому для більш ефективного підбору паролів зломщики зазвичай використовують спеціальні словники, які являють собою заздалегідь сформований список слів, найбільш часто використовуваних на практиці як паролі. Великий набір словників можна знайти на сайті http://www.password.ru.

До кожного слова зі словника парольний зломщик застосовує одне або кілька правил, відповідно до яких воно видозмінюється й породжує додаткове безліч опробуемих паролів:



У результаті, наприклад, зі слова password виходить pa55w0rd). Це підвищує ймовірність знаходження пароля, оскільки в сучасних ОС, як правило, розрізняються паролі, набрані великими та малими літерами, а користувачам цих систем настійно рекомендується вибирати такі, в яких букви чергуються з цифрами. Одні парольні зломщики черзі перевіряють кожне слово зі спеціального словника, застосовуючи до нього певний набір правил для генерації додаткового безлічі опробуемих паролів.

Інші попередньо обробляють весь словник за допомогою цих же правил, отримуючи новий словник більшого розміру, з якого потім черпають перевіряються паролі. Враховуючи, що звичайні словники природних людських мов складаються всього з декількох сотень тисяч слів, а швидкість шифрування паролів досить висока, парольні зломщики, що здійснюють пошук за словником, працюють досить швидко (до однієї хвилини).



3.1 Злом операційних систем (на прикладі Windows NT/2000/9x)

Одним з основних компонентів системи безпеки Windows NT/2000/XP є диспетчер облікових записів користувачів. Він забезпечує взаємодію інших компонентів системи безпеки, додатків і служб Windows NT/2000/XP з базою даних облікових записів користувачів (Security Account Management Database, скорочено SAM). Ця база обов’язково мається на кожному комп’ютері з Windows NT/2000/XP.

У ній зберігається вся інформація, використовувана для аутентифікації користувачів Windows NT/2000/XP при інтерактивному вході в систему і при віддаленому доступі до неї по комп’ютерній мережі. База даних SAM являє собою один з розділів (hive) системного реєстру (registry) Windows NT/2000/XP. Цей розділ належить гілці (subtree) HKEY_LOCAL_MACHINE і називається SAM.

Він розташовується в каталозі winnt_rootSystem32Config (winnt_root – умовне позначення каталога з системними файлами Windows NT/2000/XP) в окремому файлі, який теж називається SAM. Основна частина інформації в базі даних SAM зберігається в двійковому вигляді. Доступ до неї зазвичай здійснюється за допомогою диспетчера облікових записів.

Змінювати записи, що зберігаються в базі даних SAM, за допомогою програм, які безпосередньо редагують реєстр Windows NT/2000/ХР (REGEDT або REGEDT32), не рекомендується. За замовчуванням цього і не можна робити, т. оскільки доступ до бази даних SAM заборонений для всіх без винятку категорій користувачів Windows NT/2000/XP.



3.2 Зберігання паролів користувачів

Саме в облікових записах бази даних SAM знаходиться інформація про користувальницьких імена і паролі, яка необхідна для ідентифікації і аутентифікації користувачів при їх інтерактивному вході в систему. Як і в будь-який інший сучасної багатокористувацької ОС, ця інформація зберігається в зашифрованому вигляді. У базі даних SAM кожен пароль користувача зазвичай буває представлений у вигляді двох 16-байтових послідовностей, отриманих різними методами (Windows NT/2000/ХР і LAN).

У методі Windows NT/2000/ХР рядок символів пароля користувача хешіруется за допомогою функції MD4. (В алгоритмі хешування MD4 вихідна бітова послідовність доповнюється так, щоб її довжина в бітах плюс 64 остачі ділилася на 512. Потім до неї приписується 64-бітове значення її первісної довжини. Отримана таким чином нова послідовність обробляється блоками по 512 біт за допомогою спеціальної ітераційної процедури. У результаті на виході MD4 виходить так звана “витримка” вихідної послідовності, що має довжину 128 біт. Алгоритм MD4 оптимізований для 32-розрядних апаратних платформ і працює досить швидко).

У підсумку з введеного користувачем символьного пароля виходить 16-байтовая послідовність – хешірованний пароль Windows NT/2000/ХР. Ця послідовність потім шифрується по DES-алгоритму, і результат шифрування зберігається в базі даних SAM. При цьому в якості ключа використовується так званий відносний ідентифікатор користувача (Relative Identifier, скорочено RID), який являє собою автоматично збільшується порядковий номер облікового запису даного користувача в базі даних SAM. Для сумісності з іншим програмним забезпеченням корпорації Microsoft (Windows for Workgroups, Windows 95/98 і Lan Manager) в базі даних SAM зберігається також інформація про пароль користувача в стандарті Lan Manager.

Для його формування всі літерні символи вихідної рядки користувальницького пароля наводяться до верхнього регістра, і якщо пароль містить менше 14 символів, то він доповнюється нулями. З кожної 7-байтовой половини перетвореного таким чином пароля користувача (довжина пароля в Windows NT/2000/ХР обмежена 14 символами, обмеження накладається диспетчером облікових записів), окремо формується ключ для шифрування деякої фіксованої 8-байтовой послідовності по DES-алгоритму. DES-алгоритм є одним з найпоширеніших алгоритмів шифрування даних. У США він має статус федерального стандарту. Це блоковий алгоритм шифрування з симетричним ключем довжиною 64 біта, з яких тільки 56 безпосередньо використовуються при шифруванні, а інші 8 призначені для контролю парності байтів ключа. При цьому в якості ключа використовується PID (персональний ідентифікатор) користувача).

Отримані в результаті дві 8-байтові половини хешірованного пароля Lan Manager ще раз шифруються по DES-алгоритму і поміщаються в базу даних SAM.



3.3 Використання пароля

Інформація про паролі, занесена в базу даних SAM, служить для аутентифікації користувачів Windows NT/2000. При інтерактивному або мережевому вході в систему введений пароль спочатку хешіруется і шифрується, а потім порівнюється з 16-байтовой послідовністю, записаної в базі даних SAM. Якщо ці величини співпадають, користувачеві дозволяється вхід в систему. Зазвичай в базі даних SAM зберігаються в зашифрованому вигляді обидва хешірованних пароля. Однак у деяких випадках ОС обчислює тільки один з них. Наприклад, якщо користувач домену Windows NT/2000/2003 змінить свій пароль, працюючи на комп’ютері з Windows for Workgroups, то в його облікового запису залишиться тільки пароль Lan Manager. А якщо пароль користувача містить більше 14 символів або вони не входять в так званий набір постачальника обладнання (original equipment manufacturer, скорочено OEM), то в базу даних SAM буде занесений тільки пароль Windows NT/2000/ХР.



3.4 Можливі атаки на базу даних SAM

Зазвичай основним об’єктом атаки є адміністративні повноваження. Їх можна отримати, дізнавшись у хешірованном або символьному вигляді пароль адміністратора системи, який зберігається в базі даних SAM. Тому саме на базу даних SAM буває спрямований головний удар зломщика парольного захисту Windows NT/2000/ХР.

За замовчуванням у Windows NT/2000/ХР доступ до файлу winnt_rootSystem32ConfigSAM заблокований для всіх без винятку її користувачів. Тим не менш, за допомогою програми NTBACKUP будь володар права на резервне копіювання файлів і каталогів Windows NT/2000/ХР може перенести цей файл з жорсткого диска на магнітну стрічку. Резервну копію реєстру можна також створити утилітою REGBAK зі складу Windows NT Resource Kit. Крім того, безсумнівний інтерес для будь-якого зломщика представляють резервна копія файлу SAM (SAM.SAV) в каталозі winnt_rootSystem32Config і стисла архівна копія SAM (файл SAM._) в каталозі winnt_rootRepair.

Також вказаний файл можна отримати, завантажившись з дискети або CD-ROM і скориставшись програмою NTFSDOS або аналогічної. У разі наявності завантаження двох операційних систем (наприклад, Windows 98 і Windows 2000) процес копіювання файлу SAM істотно спрощується.

За наявності фізичної копії файлу SAM витягти збережену в ньому інформацію не представляє великої праці. Завантаживши файл SAM до реєстру будь-якого іншого комп’ютера з Windows NT/2000/ХР (наприклад, за допомогою команди Load Hive програми REGEDT32), можна детально вивчити облікові записи користувачів, щоб визначити їх значення PID і шифровані варіанти хешірованних паролів. Знаючи PID користувача і маючи зашифровану версію його хешірованного пароля, комп’ютерний зломщик може спробувати розшифрувати цей пароль, щоб використовувати його для отримання мережевого доступу до іншого комп’ютера. Однак для інтерактивного входу в систему одного лише знання хешірованного пароля недостатньо. Необхідно отримати його символьне уявлення.

Для відновлення користувацьких паролів ОС Windows NT в символьному вигляді існують спеціальні парольні зломщики. Вони виконують як прямий підбір паролів, так і пошук за словником, а також використовують комбінований метод злому парольного захисту, коли в якості словника задіюється файл із заздалегідь обчисленими хешірованнимі паролями, відповідними символьним послідовностям, які часто застосовуються в якості паролів користувачів операційних систем. Однією з найвідоміших програм злому паролів Windows NT/2000/ХР є LC4. На малюнку 1 наведено основне робоче вікно цієї програми, призначеної для роботи на комп’ютерах з ОС Windows 95/98, Windows NT/2000/XP.

Малюнок 1: Основне робоче вікно парольного зломщика LC4

Основне робоче вікно парольного зломщика LC4

 

Проте слід розуміти, що програмою злому можна скористатися так само і для перевірки надійності ваших паролів. Для цього необхідно:



Після завдання імені та пароля слід натиснути на кнопку обчислити. Результат можна зберегти у вигляді PwDump-або Sniff-файлу.
Також існує завдання параметрів атаки по словнику:



Іншим прикладом зломщика паролів є програма SAMInside (http://www.insidepro.com)

Малюнок 2: Вікно програми SamInside

 

Програма SAMInside виконує такі функції:



SAMInside є першою в світі програмою, яка ламає захист ключем Syskey. Додатково включає в себе наступні можливості:





3.5 Захист Windows NT/2000/ХР від пральних зломщиків

Висновок однозначний: одне з головних завдань системного адміністратора Windows NT/2000/ХР полягає в захисті інформації, яка зберігається в базі даних SAM, від несанкціонованого доступу. З цією метою йому необхідно:



Якщо комп’ютер з Windows NT/2000/ХР входить в домен, то за замовчуванням імена і хешірованние паролі останніх десяти користувачів, реєструвати на цьому комп’ютері, зберігаються (кешуються) в його локальному системному реєстрі (в розділі SECURITYPolicySecrets розділу HKEY_LOCAL_MACHINE). Щоб скасувати кешування паролів на комп’ютерах домену, потрібно за допомогою утиліти REGEDT32 в розділ MicrosoftWindowsNTCurrentVersionWinlogon розділу HKEY_LOCAL_MACHINE додати параметр CashedLogonsCount, встановивши його значення рівним нулю, а тип – REG_SZ.

Для захисту бази даних SAM можна застосувати утиліту SYSKEY. Ця утиліта дозволяє включити режим додаткового шифрування інформації про паролі, яка зберігається в базі даних SAM. Унікальний 128-бітовий ключ для додаткового шифрування паролів (так званий ключ шифрування паролів – Password Encryption Key, скорочено – PEK) автоматично зберігається в системному реєстрі для подальшого використання.

Малюнок 3: Діалогове вікно утиліти SYSKEY для завдання способу зберігання системного ключа.

Діалогове вікно утиліти SYSKEY для завдання способу зберігання системного ключа

Перед приміщенням в системний реєстр ключ PEK шифрується за допомогою іншого 128-бітового ключа, який називається системним ключем (System Key) і може зберігатися або в системному реєстрі, або у файлі з ім’ям STARTUP.KEY в кореневому каталозі на окремій гнучкої дискеті.

Можна не зберігати системний ключ на магнітному носії (малюнок 3), і тоді кожен раз при запуску ОС він буде обчислюватися за допомогою алгоритму MD5 (Алгоритм хешування MD5 дуже схожий на MD4 і за способом доповнення вихідної бітової послідовності, і по методу її обробки, і за розміром одержуваної “вичавки” (ті ж 128 біт). Однак кожен 512-бітовий блок піддається не трьох, як в MD4, а чотирьом циклам перетворень, і тому алгоритм MD5 працює трохи повільніше, ніж MD4) на основі пароля, що набирається на клавіатурі в діалоговому вікні утиліти SYSKEY. Останні два способи зберігання системного ключа забезпечують максимальний захист паролів в базі даних SAM. Однак вони призводять до неможливості автоматичного перезавантаження ОС, оскільки для завершення процесу перезавантаження буде потрібно або вставити дискету з системним ключем і підтвердити її наявність в дисководі шляхом натискання кнопки OK у діалоговому вікні, або вручну ввести з клавіатури системний ключ.

Для підвищення стійкості паролів користувачів операційної системи Windows NT/2000/ХР до злому рекомендується за допомогою утиліти Диспетчер користувачів (User Manager) встановити довжину користувальницьких паролів не менше 8 символів і активізувати режим застарівання паролів, щоб користувачі періодично їх оновлювали (малюнок 4). Чим вища ймовірність атак на парольний захист Windows NT/2000/ХР, тим коротшим повинен бути термін такого застарівання. А щоб користувачі не вводили свої старі паролі повторно, необхідно включити режим зберігання деякого числа раніше використовувалися паролів.

Малюнок 4: Завдання правил роботи з паролями за допомогою Диспетчера користувачів.

Завдання правил роботи з паролями за допомогою Диспетчера користувачів.

Також необхідно в локальній політиці безпеки вказати, що пароль повинен відповідати вимогам складності. Тоді за допомогою політики безпеки можна буде стежити за тим, щоб кожен користувальницький пароль складався не менше ніж з 5 символів, не містив у собі імені користувача, включав символи, принаймні, трьох наборів з чотирьох можливих, складених з великих літер, рядкових букв, цифр і спеціальних символів (знаків пунктуації і т. д.).

У ході дослідження стійкості паролів до злому використовувалося програмне забезпечення для злому Windows NT/2000/ХР SAMInside. Дослідження проводилося на комп’ютері AMD 2400 XP +. Обсяг застосовуваного словника склав 9 мегабайт.

З’ясовано наступне:



 



3.6 Злом шифрованого файлової системи (Encrypted File System)

Для злому Encrypted File System (EFS) може бути використане програмне забезпечення Advanced EFS Data Recovery виробництва компанії “Елкомсофт” (Російська Федерація). Демонстраційну версію даного програмного забезпечення можна отримати за адресою http://www.elcomsoft.com/aefsdr.html.

Малюнок 5: Стартове вікно Advanced EFS Data Recovery

Стартове вікно Advanced EFS Data Recovery

Програма може розшифрувати захищені файли, тільки якщо ключі шифрування (не всі, а хоча б деякі з них) – все ще існують в системі і не змінювалися.

Для файлів, зашифрованих в операційній системі Windows 2000, якщо Ключ Бази даних Облікового запису (SYSKEY) збережена на гнучкому диску, або якщо опція “Password Startup” була встановлена, Ви повинні знати один з наступних паролів, щоб бути зуміти розшифрувати файли:



Якщо комп’ютер був частиною домену, коли файли були зашифровані, Ви не можете розшифрувати файли в деяких случаях.Еслі пароль користувача (зашифрувала файли), був змінений після кодування, можливо, буде потрібно ввести старий пароль в програму.

 



4. Злом паролів ОС Windows 9x

Однак не варто забувати, що існує набагато простіший спосіб злому мережевих паролів. Так як в більшості організацій сьогодні ОС клієнтської машини є Windows 95/98, то відповідно, набагато простіше організувати злом парольного захисту даної ОС, адже пароль в такому файлі зберігається тільки у верхньому регістрі (великими літерами), знаючи це набагато зручніше і простіше потім підібрати необхідний пароль мережі.

Для злому паролів Windows 95/98 існує велика кількість програм, але зупинимося на найпопулярнішою з них PwlTool 6.0, на прикладі якої проводилися дослідження.

На малюнку 6 наведено основне робоче вікно цієї програми, призначеної для роботи на комп’ютерах з ОС Windows 95/98, Windows NT/2000.

Малюнок 6: Робоче вікно програми PwlTool 6.01

Робоче вікно програми PwlTool 6.01

PwlTool – набір інструментальних засобів відновлення пароля. Основна програма – RePwl. Ця програма дозволяє відновити іноді забутий або загублений пароль входу в систему для Windows 3.11, Windows 95 (початкова версія і OSR2) і Windows 98. Це також дає можливість переглянути паролі, збережені в PWL файлі.

 



4.1 Що таке – PWL файл?

Windows 95/98 зберігає пароль у PWL файлі. PWL файли можуть бути знайдені в каталозі Windows. Їх імена зазвичай зберігаються як USERNAME.PWL. PWL файл зашифрований і не просто з нього витягти паролі. Перший алгоритм шифрування версії Windows “95 був створений таким, який дозволяв створити програми для розшифровки PWL файлів. Однак у версії OSR2 цей недолік був усунений.

 



4.2 Оцінка надійності PWL файлів

Система захисту паролів в OSR2 зроблена професійно і достовірна в термінах криптографії. Однак, незважаючи на це, містить кілька серйозних недоліків, а саме:



Система кешування пароля по суті ненадійна. Пароль може бути збережений тільки, якщо ніякої недозволений персонал не може звертатися до вашого комп’ютера.

 



4.3 Версії Microsoft Windows

Первісна версія Windows 95 (також як Windows 3.11) містила грубу помилку, яка допускала просте декодування PWL файлів. У OSR2 версії ця похибка була виправлена, хоча проблеми захисту зберігаються. Windows 98 не відрізняється від OSR2 за змістом захисту.

Існують два формати PWL файлів. “Старий”, підтримуваний Windows 3.11 і Windows95 і “новий”, застосовуваний в Windows95 OSR2 і Windows 98.

Старі PWL файли значно менше захищені, ніж нові. Зазвичай існує можливість прочитати збережені паролі негайно, навіть якщо ви не знаєте пароль входу в систему. Відома програма, glide.exe, показує всі паролі, збережені в старому PWL файлі. Однак вона працює не завжди коректно, тому що використовує неправильний алгоритм. PwlTool забезпечений подібною функцією (також названої glide).

 



4.4 Методи злому пароля


Послідовний перебір

Виберіть довжину пароля і набір символів (AZ за замовчуванням)

Дослідження словника

Люди використовують деякі слова як паролі частіше інших. Частотні словники перераховують найбільш популярні слова. Хороші словники містять сотні тисячі слів. Хороший частотний словник містить назви корпорацій, заголовків кінофільму, торгові марки і т.д. Злом за допомогою словника зазвичай відбувається дуже швидко, навіть якщо використовується величезний словник. У пакет PwlTool не включаються словники. Можна використовувати відносно малі словники (~ 80 КБ) словник від http://webdon.com/DownLoad/DIC1.ZIP або величезний (~ 9 МБ) http://www.kull.ch/Bauersachs/download/allwords2.zip У версії v6.0 є “гібридне дослідження”. Цей метод корисний для злому паролів типу john43. Коли перемикач “гібридне дослідження” включений, RePwl буде пробувати всі варіанти подібно wordXXX, де слово – слово від словника, і XXX – суфікс, сформований згідно параметрам настройки рішення “в лоб”.

Важливо! Перевірки, що всі слова в словнику знаходяться у верхньому регістрі.

Посилена “атака в лоб” (Brute-Forсe)

“Атака в лоб” (пошук усіх можливих паролів) не підходить для довгих паролів, тому що потрібно занадто багато часу. Головним чином маються комбінації подібно jkqmzwd, які є повністю безглуздими серед мільярдів і квінтильйонів обшукуваних паролів. Посилена “атака в лоб” – оптимізований алгоритм дослідження, який тільки пробує “розумні” паролі. У результаті час злому скорочується. Але це також має деякі недоліки:



Для отримання додаткової інформації відвідайте: http://soft4you.com/vitas/psw.htm.

В результаті проведеного аналізу встановлено максимальний час злому паролів. Швидкість перебору паролів 106000 паролів в секунду (Pentium III/550) наведена в наступній таблиці (підрахунок часу злому здійснюється самою програмою PwlTool).

 


Таблиця 1: Загальна оцінка часу для злому методом “грубої сили”




















































Довжина пароля Довжина набору 26 (тільки літери) 36 (літери та цифри) 70 (всі друковані символи) Російські літери
4 Негайно Негайно 3 хвилини Негайно
5 1 хвилина 48 секунд 9 хвилин 3:00 5 хвилин
6 50 хвилин 5 годин 48 хвилин 10 днів 17 годин 2 години 53 хвилини
7 22 години 8 днів 17 годин 2 роки 3 дні 26 годин
8 24 дні 314 днів 17 годин 138 років 123 дні 12:00
9 1 рік 248 днів 30 років 9363 10 років

 



5. Злом паролів архівів

Багато користувачів архівують свої дані за допомогою популярних архіваторів ARJ, ZIP, RAR. Потім цих архівів задається пароль, а їх вміст шифрується. Але підбір паролів до архівів не ARJ, ZIP, RAR не складає особливих труднощів. Досить скористатися програмами Advanced ARJ Password Recovery, Advanced ZIP Password Recovery, Advanced RAR Password Recovery. Всі вони використовують наступні види злому:



Даний вид зломщиків ми розглянемо на прикладі декількох програм.

 



5.1 Advanced ARJ Password Recovery

Ця програма (Advanced ARJ Password Recovery або, коротше, AAPR) може бути використана для знаходження загублених паролів ARJ архівів. Для добування паролів використовуються як метод “грубої сили”, так метод “Атаки по словнику”.

Малюнок 7: Вікно програми Advanced ARJ Password Recovery

Advanced ARJ Password Recovery

Особливості програми:



 



5.2 Advanced ZIP Password Recovery

Ця програма (Advanced ZIP Password Recovery або AZPR) може бути використана для відновлення загублених паролів ZIP архівів.

Малюнок 8: Вікно програми Advanced ZIP Password Recovery

Advanced ZIP Password Recovery

Коротка характеристика можливостей AZPR:



 



5.3 Вікно програми Advanced RAR Password Recovery

Програма Advanced RAR Password Recovery (ARPR) може бути використана для відновлення загублених паролів RAR архівів.

Advanced RAR Password Recovery

В даний час, немає відомого методу вилучення пароля стисненого файлу, так що єдині доступні методи – “brute force” (“метод посимвольного перебору”), злом на основі словника і нападу known-plaintext attacks (на основі відомого тексту). Ось – короткий список переваг ARPR:



Якщо архів містить тільки один зашифрований файл, і це збережено без стиснення, тільки з шифруванням – швидкість виконання може бути нижче очікуваної в зв’язку з тим, що потрібно розшифровка цілого файлу. Для архіву RAR, створеного у версіях 2.9 і 3.x, швидкість відновлення надзвичайно низька (через дуже сильний шифрування).

 



6. Злом паролів документів MS Office

При використанні утиліти Advanced Office XP Password Recovery можливе відновлення паролів всіх документів. Незважаючи на те, що MS Word, шифруємо документ, використовує досить складний алгоритм (пароль не зберігається всередині файлу), він може бути розкритий з використанням методу “грубої сили” або атаки по словнику. Середня швидкість при використанні процесора Pentium II складає 80-100 тисяч паролів в секунду.

Малюнок 10: Вікно програми Advanced Office XP Password Recovery 2.0

Advanced Office XP Password Recovery 2.0

 



6.1 Захист документів MS Excel

У MS Excel використовуються ті ж технології захисту, що і в MS Word. Відмінність становлять тільки паролі на книги / листи. Хеши паролів зберігаються в документі. Найпарадоксальніше, що довжина хешу всього 16 біт. Отже для кожного хешу існує безліч підходящих паролів. Наприклад можна захистити аркуш паролем “test” і спробувати його відкрити за допомогою пароля “zzyw”. Відмінність пароля захисту книги від пароля аркуша складається в тому, що документ шифрується.

 



6.2 Паролі MS Access

Паролі зберігаються в заголовку файлу. Тема зашифрований по RC4, але ключ шифрування має довжину 32 біта і зберігається в одній із системних DLL. Знаючи цей ключ, можна знайти будь-який пароль на базу MS Access.

 



7. Злом паролів облікових записів електронної пошти

Для огляду зломщиків паролів облікових записів скористаємося двома програмами. Так як найбільш популярними клієнтами пошти є The Bat! і Microsoft Outlook Express, то саме облікові записи цих клієнтів ми і будемо розглядати, хоча існують програми злому паролів і під більш “екзотичні” клієнти.

 



7.1 The Bat! Password Viewer

Не вимагає інсталяції. Працює практично миттєво. Робоче вікно програми наведено на малюнку 11.

Малюнок 11: Робоче вікно The Bat! Password Viewer

The Bat! Password Viewer

 



7.2 Outlook Password Viewer

Так як дана програма виконана тим же автором, то вона теж не вимагає інсталяції і працює практично миттєво. Робоче вікно програми полность ідентично, наведеним на попередньому малюнку.

 



7.3 DeBat

Програма написана аналогічно попереднім, проте має опцію збереження результатів в окремому текстовому файлі. Робоче вікно програми представлено на рисунку 12. Дану програму можна завантажити з сайту розробника http://ucol.cjb.net. Як бачите, в даному випадку не рятує і довжина пароля.

Малюнок 12: Робоче вікно DeBat

DeBat

 



8. Висновок

Прочитавши все вищевикладене, можна прийти до висновку, що захистити свої дані за допомогою паролів неможливо. Але це не вірно. Слід лише дотримуватися певних правил роботи з паролями:



Також необхідно відзначити, що хоча в умілих руках зловмисника програми злому паролів операційних систем представляють величезну небезпеку для їх парольного захисту, самі програми-зломщики все ж є не менш цінним інструментом для системних адміністраторів, які зацікавлені у виявленні слабких місць в парольного захисту своїх систем.

Основна проблема полягає не в тому, що на світі існують парольні зломщики, а в тому, що ними недостатньо часто користуються системні адміністратори.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*