Pavel Agafonov. Vechnaya problema parolej...
---------------------------------------------------------------
© Copyright Pavel Agafonov
Email: paully@minsk.lug.net
Origin: http://www.nestor.minsk.by/kg/kg9903/kg91207.htm
---------------------------------------------------------------
Na segodnyashnij den' v svyazi s razvitiem setevyh i Internet tehnologij,
kogda vse bol'shee kolichestvo, kak prostoj, tak i kriticheski vazhnoj
informacii chelovek doveryaet komp'yuteram i seti, osobuyu aktual'nost'
priobretaet problema bezopasnosti v komp'yuternom mire. Mnogie uzhe zametili,
chto poka komp'yutery ne byli ob®edineny v set', o bezopasnosti hodili lish'
sluhi. Teper' vy smozhete oshchutit' vse eto uzhe na sebe. Kak vsem izvestno,
bol'shinstvo ispol'zuemyh segodnya v belorusskih setyah sistem komp'yuternoj
bezopasnosti osnovano na kontrole dostupa po parolyam i klyucham. V etoj stat'e
rassmatrivaetsya problema vorovstva setevyh parolej.
Cel' nastoyashchej stat'i ne dovesti do pol'zovatelej mnogotomnye
teoreticheskie vykladki iz specializirovannoj literatury, no pomoch' lyudyam,
kotorym v nastoyashchee vremya vse bol'she i bol'she prihoditsya stalkivat'sya s
informacionnymi tehnologiyami vplotnuyu, priobresti nekotorye prakticheskie
navyki, kotorye uzhe izdavna u professionalov v krovi.
Vy mozhete vozrazhat', chto prochitali standartnuyu instrukciyu tipa "ne
zapisyvaj parol' na manzhetah", no eto daleko ne ideal'noe sredstvo zashchity
vashego parolya.
CHem zhe opasno popadanie vashego parolya k zloumyshlenniku, kotorym mozhet,
naprimer, okazat'sya vash sobirayushchijsya uvolit'sya sotrudnik ili nachinayushchij
haker student.
V pervom sluchae, esli vasha set', naprimer, postroena na osnove sistem
Windows NT i Windows 95, vash sotrudnik-shpion v techenie dvuh-treh sutok
elementarnymi obshchedostupnymi sredstvami vzlomaet vsyu vashu s bol'shoj bukvy
korporativnuyu set', vklyuchaya paroli administratorov i drugih sotrudnikov i
daleko ne v edinichnom ekzemplyare. Posle udachnogo dekodirovaniya parolej, a
parol' nashego pomoshchnika administratora iz chetyreh simvolov rasshifrovyvalsya
za schitannye doli sekundy, zloumyshlennik poluchit dostup ko vsem bez
ogranicheniya informacionnym resursam vashej seti, vklyuchaya buhgalteriyu, uchet
kadrov, otchety i prochuyu nedostupnuyu dlya nego ranee informaciyu.
Vo vtorom sluchae, esli vy, naprimer, imeete kommutiruemyj dostup k
postavshchiku uslug seti Internet, ili esli vy administrator lokal'noj seti v
obrazovatel'noj organizacii, student stol' zhe elementarnymi i obshchedostupnymi
sredstvami ukradet vash parol'. V rezul'tate vy budete teryat' krovnye
zarabotannye den'gi i ne smozhete dozvanivat'sya do postavshchika uslug Internet
ili pod ugrozoj okazhutsya dolgie chasy, dni, a mozhet i mesyacy raboty drugih
studentov ili prepodavatelej.
Mnogie vstrechali ob®yavleniya v komp'yuternoj gazete s zagolovkami tipa
"Prodam parol'..." i, na osnove etogo, stroili razlichnye predpolozheniya. Na
samom dele vse okazyvaetsya nastol'ko prosto, chto ukrast' chuzhoj parol' smozhet
dazhe ponyatlivyj shkol'nik na odnom iz pervyh zanyatij po informatike.
Prezhde chem chitat' dal'she, sleduet uchest', chto vse materialy v nastoyashchem
dokumente predstavleny tol'ko s cel'yu informacii i ne yavlyayutsya kakim by to
ni bylo pobuzhdeniem k dejstviyu ili bezdejstviyu. Avtor stat'i v lyubom sluchae
ne neset otvetstvennosti ni pered kem, za kakoj by to ni bylo pryamoj,
nepryamoj, fakticheskij ili kosvennyj ushcherb, poluchennyj v rezul'tate
ispol'zovaniya nastoyashchego materiala i materialov, na kotorye sdelany ssylki v
dannoj stat'e.
Dlya nachala rassmotrim razlichnye vidy kontrolya dostupa po parolyu dlya
togo, chtoby pozzhe ponyat', naskol'ko prosty metody vorovstva parolej. Sredi
sovremennyh komp'yuternyh tehnologij sushchestvuyut neskol'ko vidov kontrolya
dostupa po parolyu ili klyuchu, kotorye po tehnicheskim metodam mozhno razdelit'
na tri osnovnyh vida.
Dlya vseh vidov harakterno, kogda, pri nachale raboty s informacionnym
resursom, vo vremya zaprosa dostupa k nemu, programmnym obespecheniem u
pol'zovatelya v dialogovoj forme zaprashivaetsya vvod parolya s ustrojstva vvoda
ili klaviatury. Vo vremya vvoda parolya v naibolee otstalyh, s tehnologicheskoj
tochki zreniya, programmah parol' otobrazhaetsya na ekrane pryamym tekstom, v
bolee prodvinutom programmnom obespechenii on skryvaetsya simvolami
zamenitelyami, naprimer, zvezdochkami, ili ne otobrazhaetsya vovse. K parolyu
obychno prilagaetsya imya pol'zovatelya ili naimenovanie sistemnogo profilya
(scheta) pol'zovatelya. Na nekotoryh sistemah imeni pol'zovatelya ne trebuetsya,
no takie sistemy uzhe ustareli. Shodnyj algoritm ispol'zuetsya teper' v
osnovnom tol'ko pri zashchite licenzionnogo programmnogo obespecheniya ot
kopirovaniya, naprimer, serijnye nomera.
Itak, pervyj vid kontrolya dostupa, kogda poluchennyj parol' otpravlyaetsya
ili peresylaetsya cherez set' ili programme klientu v vide chistogo teksta.
Takoj vid kontrolya, naprimer, ispol'zuetsya, v takih programmah kak TELNET,
FTP, POP3, IMAP i drugih, v osnovnom programmah nizkogo urovnya svyazi. Vzlom
zdes' ne trebuetsya vovse i krazha takih parolej ne trebuet nikakih uhishchrenij.
Vtoroj vid kontrolya dostupa, kogda poluchennyj parol' peresylaetsya na
server v zashifrovannom vide. Takoj vid kontrolya dostupa ispol'zuyut,
naprimer, Windows NT, Windows 95 i drugie. V chastnosti dopolnitel'nymi
primerami mogut posluzhit' vidy kontrolya dostupa k resursam serverov WWW v
Internet. V etom sluchae pridetsya poiskat' sredstva dlya vzloma i rasshifrovki
parolej, kotoryj mogut zanyat' vremya, hotya i ne nastol'ko prodolzhitel'noe,
kak eto opisyvayut v reklame.
Sushchestvuet eshche i tretij vid kontrolya dostupa, kogda parol' yavlyaetsya
dopolneniem k mnogourovnevoj sisteme bezopasnosti na osnove sertifikatov
(prostye i mnogourovnevye). Estestvenno, chto sertifikaty, kak i sam parol',
peredayutsya v shifrovannom vide. Takih sistem dostatochno mnogo. S odnoj iz
takih sistem YA postoyanno imeyu delo po dolgu sluzhby. |to semejstvo produktov
firmy Lotus - Notes/Domino. Sistema Notes/Domino (tip klient- server)
ispol'zuet ierarhicheskuyu strukturu sertifikatov, i sootvetstvuet
specifikacii standarta bezopasnosti C2. Pri ustanovlenii soedineniya s takoj
sistemoj proveryaetsya ne tol'ko parol', no i proizvoditsya poisk odinakovyh
sertifikatov. Posle etogo vy poluchaete dostup tol'ko k tem resursam, kotorye
sootvetstvuyut etomu sertifikatu ili sertifikatu, nahodyashchemusya na bolee
nizkom urovne.
Sushchestvuyut takzhe vidy kontrolya dostupa, kotorye yavlyayutsya kombinaciyami
bolee prostyh vidov kontrolya dostupa i osnovany na treh opisannyh vyshe i
drugih metodah.
Pri krazhe parolya i vzlome seti zloumyshlenniki takzhe kak i
administratory pri zashchite setej dolzhny obyazatel'no uchityvat' faktor
operacionnyh sistem. |tot faktor zaklyuchaetsya v tom, chto s pomoshch'yu imeni
pol'zovatelya i parolya, kotorye prednaznacheny dlya dostupa k odnomu
informacionnomu resursu, mozhno takzhe poluchit' dostup k samoj operacionnoj
sisteme i drugim informacionnym resursam. Primerom mozhet sluzhit' poluchenie
elektronnoj pochty po protokolu POP3. V rezul'tate s pomoshch'yu perehvachennogo
pochtovogo parolya mozhno poluchit' dostup k drugim informacionnym resursam.
Imenno po etoj prichine u takih gramotnyh postavshchikov uslug seti Internet,
kak, naprimer, Otkrytyj Kontakt, ispol'zuyutsya raznye paroli na dostup k
kommutiruemomu soedineniyu i pochtovomu yashchiku. Dalee ya budu podrazumevat' pod
Windows sistemami Windows 95, Windows 98 i Windows NT, a pod UNIX sistemami
te, s kotorymi ya rabotal ili rabotayu v nastoyashchee vremya, a eto takie sistemy
kak Linux, AIX, Solaris i FreeBSD.
Teper' rassmotrim metody vorovstva parolej. Kak vsem izvestno, samyj
prostoj sposob vorovstva parolej eto prostoe podglyadyvanie. Krome
podglyadyvaniya eshche sushchestvuet neskol'ko prostejshih metodov vorovstva parolej
i razlichnyh ih kombinacij. Po tehnike ispolneniya metody krazhi parolej mozhno
razdelit' na: podglyadyvanie, perehvat i metod troyanskogo konya. V poslednij
metod takzhe vhodit ispol'zovanie tak nazyvaemyh programm "exploit", chto v
perevode s anglijskogo oznachaet "razrabatyvat' kopi". Estestvenno my
isklyuchili metod ryt'ya v musornyh korzinah, poskol'ku na bumagu paroli
zapisyvayut tol'ko voistinu glupcy, i metod podslushivaniya stuka klaviatury,
poskol'ku ne vse obladayut ochen' horoshim sluhom i bol'shim opytom
ispol'zovaniya klaviatury.
Pervyj metod na pervyj vzglyad prost, no s progressom tehniki i
chelovecheskogo uma nekotorye vrednye programmisty pridumali pryatat' paroli
pod zvezdochkami i drugimi simvolami, chto oslozhnilo zadachu hakerov, no i
hakery okazalis' na vysote. Teper' hakery krome glaz ispol'zuyut
specializirovannoe programmnoe obespechenie. |to programmnoe obespechenie v
sostoyanii zapisat' parol' na dostup k Internet v fajl i otoslat' ego po
elektronnoj pochte. Pri etom parol' "podglyadyvaetsya" takoj programmoj pryamo v
okoshke dlya vvoda parolya pod zvezdochkami, prochitav parol' napryamuyu iz pamyati.
V chastnosti dostatochno rasprostranennaya i izvestnaya programma HOOKDUMP, kak
napisano v instrukcii, prednaznachena dlya zapisi vsego, chto nabrano na
klaviature, v fajl, opredelyaet nazvanie okna i programmy, gde nabiraetsya
tekst, i yavlyaetsya optimal'noj dlya slezheniya i opredeleniya chuzhih parolej pod
upravleniem operacionnyh sistem Windows. Dlya UNIX sistem takzhe sushchestvuyut
analogichnye sredstva.
Vtoroj metod tozhe prost dlya teh, kto znakom hotya by teoreticheski s
teoriej komp'yuternyh setej i setevyh protokolov paketnogo tipa. V osnove
etogo protokola lezhit sposob peredachi informacii po entropii seti. V seti
Token Ring, naprimer, po umolchaniyu informaciya perehodit neposredstvenno ot
klienta k serveru, v seti Ethernet informaciya v moment peredachi ot klienta k
serveru prohodit po vsem setevym interfejsam, v seti Internet, sostoyashchej iz
mnozhestva setej s razlichnymi topologiyami, informaciya peredaetsya ot klienta k
serveru minuya cepochku promezhutochnyh uzlov. No est' i isklyucheniya, naprimer,
pri peredache informacii po Token Ring k drugim kol'cam, pri peredache
informacii po seti Ethernet cherez horoshie i ochen' dorogie "umnye" ustrojstva
marshrutizacii, pri peresylke informacii po seti Internet k blizhajshemu uzlu.
V lyubom sluchae informaciyu v vide paketov dannyh mogut perehvatyvat'
promezhutochnye uzly v vide mostov, kommutatorov, marshrutizatorov i klientov
seti Ethernet. Osobenno uyazvimoj v etom plane yavlyaetsya set' Ethernet, dazhe
pri ispol'zovanii soedinenij na osnove setevyh ustrojstv, vitoj pary i
optiko-volokonnyh preobrazovatelej. Takim obrazom, special'noe programmnoe
obespechenie, kotoroe ispol'zuyut hakery, v sostoyanii otslezhivat' i
perehvatyvat' kak prostye paroli v vide gladkogo teksta, tak i paroli v
zashifrovannom vide. V osnovnom takie programmy napisany dlya Linux i Solaris,
no poskol'ku C/C++ yazyk perenosimyj kompiliruyutsya prakticheski na lyuboj UNIX
sisteme. Dlya Windows takih programm nemnogo i odnoj iz samyh izvestnyh
yavlyaetsya iznachal'no napisannaya dlya Solaris programma pod nazvanie
L0phtCrack. Programma L0phtCrack osobo opasna, tak kak, dazhe pri
ispol'zovanii umnoj setevoj apparatury, ostaetsya vozmozhnost' perehvata
parolej pri schityvanii fajlov po seti, naprimer, administratorom s
lokal'nogo zhestkogo diska komp'yutera, na kotorom ustanovlena programma
L0phtCrack. Pri rabote v obychnom Ethernet L0phtCrack v sostoyanii ne tol'ko
vorovat' zashifrovannyj parol' Windows iz reestra, no i perehvatyvat' paroli
drugih pol'zovatelej pri ih vhode v sistemu, oepeohq{b`mhh falov po seti i
setevoj pechati. Dlya rasshifrovki Windows parolej L0phtCrack trebuyutsya lish'
schitannye doli sekundy. Takzhe L0phtCrack osushchestvlyaet tak nazyvaemuyu ataku
gruboj sily, v perevode ot brute force attack, kogda parol' Windows
vzlamyvaetsya metodom podbora. Dlya UNIX sistem takim sredstvom yavlyaetsya,
naprimer, ochen' izvestnaya programma LINUX SNIFFER, kotoraya perehvatyvaet
paroli vo vremya ih vvoda pol'zovatelyami pri soedineniyah cherez TELNET, FTP,
POP3, IMAP, WWW BASIC AUTHENTICATION i mnogim drugim protokolam. |to
oznachaet, chto parol' dlya dostupa k izvestnomu platnomu resursu po finansovoj
informacii http://www.finance.minsk.by/, a takzhe k drugim informacionnym
resursam dlya dilerov izvestnyh rossijskih kompanij mozhet byt' legko
perehvachen pri utere ostorozhnosti.
Tretij sposob obsuzhdat' ne budu, tak kak bol'shinstvo standartov
kasayushchihsya tret'ego sposoba yavlyayutsya zakrytymi, vozmozhno, tol'ko krome
Pretty Good Privacy (PGP). Takzhe bol'shinstvo sistem takogo roda imeyut
paranoidal'nuyu sistemu zashchity na baze mnogourovnevogo shifrovaniya na osnove
simmetrichnyh i nesimmetrichnyh klyuchej, sertifikatov, elektronnoj podpisi i
parolej. Naprimer, do sih por ni odin server na baze Lotus Domino Server ne
byl vzloman hakerami.
Perejdem k teme zashchity ot vorovstva parolej. Dlya togo chtoby vash parol'
nikto ne uznal, i on ostalsya s vami dazhe v mogile neobhodimo sledovat'
pravilam i principam, kotorye opisany nizhe, i starat'sya privit' eti pravila
i principy tak, chtoby, oni byli u vas v krovi.
Pervyj princip, odin iz glavnyh v tom, chto vy dolzhny ustanovit' paroli
na vse chto mozhno. |to mogut byt' paroli na dostup k ustanovkam BIOS, na
vklyuchenie, komp'yutera, na zhestkij disk, na Internet, na pochtu, na programmu
zastavki, na kazhdyj otdel'nyj vhod v sistemu i na mnogie drugie veshchi,
vklyuchaya setevye ustrojstva. Parol' dolzhen byt' ne menee vos'mi simvolov i
byt' sostavlen iz propisnyh, strochnyh, special'nyh i cifrovyh simvolov
odnovremenno. Na kazhdoe otdel'no vzyatoe ustrojstvo, sistemnyj schet ili
drugoj resurs neobhodimo ustanovit' neodinakovye i neshozhie paroli, ne
yavlyayushchiesya sinonimami ili palindromami, a takzhe prostymi slovosochetaniyami
ili slovami. Kstati, pri ispol'zovanii PGP dazhe pri perehvate vashej pochty
vory ne smogut ee prochitat', ne imeya vashego klyucha, kotoryj pri poluchenii
vashego parolya na vash komp'yuter mozhno legko uznat'.
Stan'te paranoikom v otnoshenii komp'yuternoj bezopasnosti, dazhe esli
pozzhe pridetsya lechit'sya, i menyajte vse paroli kak minimum kazhduyu nedelyu.
Izmenyajte vse paroli nemedlenno pri malejshem narushenii privedennyh
principov.
Nigde, nikogda i ni pri kakih usloviyah ne zapisyvajte svoj parol' na
bumagu, ne gravirujte ego na chasah, kryshke stola i tak dalee. V sluchae zhe
neobhodimosti zaprite parol' v samyj nadezhnyj sejf v predelah zdaniya vashej
firmy, ne doveryaya sejfu banka.
Nigde, nikogda i ni pri kakih obstoyatel'stvah ne vvodite svoj parol' na
chuzhom komp'yutere ili rabochej stancii znachitel'no udalennoj ot servera po
setevoj topologii. Osobenno esli vas ob etom poprosit chelovek, u kotorogo
dostupa k informacionnomu resursu net ili dostup bolee ogranichen, chem vash.
Esli pol'zuetes' uslugami postavshchika uslug Internet i, naprimer,
obnovlyaete svoj server WWW cherez FTP, to proizvodite obnovlenie
kategoricheski tol'ko cherez pryamoe postoyannoe ili kommutiruemoe soedinenie s
serverom postavshchika uslug. |to takzhe otnositsya k smene parolej, polucheniyu
elektronnoj pochty i drugim zashchishchennym parolem sluzhbam Internet.
Esli k vam podoshel sotrudnik i poprosil perepisat' fajl s ego diska po
seti, to starajtes' ne delat' etogo, tak kak sushchestvuet ochen' veroyatnaya
vozmozhnost' togo, chto on namerevaetsya ukrast' vash parol'. V takom sluchae
neobhodimo usilit' kontrol' nad sotrudnikom.
V zaklyuchenie hochetsya skazat', chto mnogie razrabotchiki dopuskayut ogrehi
v sozdanii programmnogo obespecheniya, chto pozvolyaet hakeram ih nahodit' i
ispol'zovat'. Eshche mnogo ne vzlomannyh i neizvedannyh dyr v bezopasnosti
komp'yuternyh sistem, no kak govoritsya "i na staruhu, byvaet proruha".
Dlya administratorov otdel'nyj sovet. Neobhodimo otkazat'sya ot TELNET,
FTP i prochih i ispol'zovat' Secure Shell (SSH), a takzhe regulyarno
analizirovat' zhurnaly sistemnyh sobytij. Osobennoe vnimanie sleduet udelit'
proektirovaniyu setej s uchetom novyh trebovanij bezopasnosti i ispol'zovaniyu
special'nyh programm "detektorov", kotorye opredelyayut kogda, kto, otkuda i
gde pytaetsya vzlomat' vashu informacionnuyu sistemu. Ni v koem sluchae ne
ispol'zovat' metod BASIC WWW AUTHENTICATION dlya dostupa k resursam WWW
serverov, dazhe pri ispol'zovanii Secure Server Layer (SSL) ispol'zujte metod
DIGEST WWW AUTHENTICATION s shifrovaniem na osnove standarta RSA MD5C.
Obyazatel'no neobhodimo ustanovit' sistemu FIREWALL i usilennyh ogranichenij
dostupa. Postoyanno sovershenstvujte svoi poznaniya v oblasti komp'yuternoj
bezopasnosti.
Udachi v bor'be s vrednymi zloumyshlennikami i hakerami!
S uvazheniem,
Agafonov Pavel (paully@minsk.lug.net),
Minskaya Gruppa Pol'zovatelej Linux (http://www.minsk.lug.net).
Dopolnitel'nye resursy dlya izucheniya po teme stat'i:
Samyj izvestnyj server po komp'yuternoj bezopasnosti, na kotorom mozhno
najti primery programm, ishodnye teksty, novosti, dokumentaciyu:
http://www.rootshell.com.
Samyj izvestnyj hakerskij server poiska:
http://astalavista.box.sk.
Server, posvyashchennyj UNIX sistemam i administrirovaniyu setej:
http://www.freshmeat.org.
Server, posvyashchennyj UNIX sistemam i administrirovaniyu setej:
http://www.slashdot.org.
Russkij server s bazoj programm, na kotorom mozhno najti HOOKDUMP:
http://www.download.ru.
Server izvestnoj firmy, na kotorom mozhno najti L0phtCrack:
http://www.l0pht.com/l0phtcrack/
Spisok rassylki po komp'yuternoj bezopasnosti:
BUGTRAQ@NETSCAPE.ORG.
Last-modified: Sun, 18 Apr 1999 19:17:19 GMT