- •Лабораторна робота № 4 Дослідження захисту операційної системи windows 2k.
- •Вимоги до лабораторної бази та перелік необхідного програмного забезпечення
- •Теоретичні відомості
- •Структура файла учетных записей sam.
- •Алгоритм формирования lm-хеша
- •Алгоритм формирования nt-хеша
- •Защита файла sam
- •Возможные атаки на файл sam
- •Меры повышения безопасности Windows 2k.
- •Порядок выполнения лабораторной работы № 4
Возможные атаки на файл sam
Теперь, когда изучены основные составляющие системы безопасности Windows 2k, рассмотрим ее уязвимости, чтобы иметь представление о методах проведения атак взломщиками.
Поскольку получить доступ к ресурсам компьютера можно только легитимному пользователю, то основные усилия хакеры направляют на взлом файла учетных записей SAM. Понятно, что вряд ли кто разрешит хакеру заниматься его взломом непосредственно на том же компьютере, поэтому он будет стремиться скопировать этот файл, благо его размер в несколько десятков килобайт это позволяет. Однако операционная система это не разрешит сделать даже администратору (см. выше). Выход может быть найден в загрузке какой-либо другой операционной системы и доступе к файлу SAM через нее. Это возможно, если в разных разделах «винчестера» имеются несколько ОС, например LINUX, Windows 98 и т.п. (вариант с подключением «винчестера» вторым к другому компьютеру здесь, понятно, рассматривать не будем). Правда, в этом случае нужно учесть, что далеко не каждая ОС поддерживает NTFS-разделы, поэтому они будут попросту не «видны».
Однако взломщик может применить утилиту NTFSDOS (авторы Mark Russinovich, Bryce Cogswell), с помощью которой NTFS-разделы становятся доступными даже после загрузки с системной дискеты MS-DOS. После этого файл SAM без проблем может быть скопирован на ту же дискету. При наличии защиты с помощью SYSKEY придется еще копировать из той же папки и файл системного реестра SYSTEM длиной несколько мегабайт, в котором хранится ключ System Key, но при наличии архиватора, привода флоппи-дисков и времени эта проблема тоже решаема.
Далее скопированные файлы могут быть подвергнуты детальному анализу с помощью специальных программ класса «парольные взломщики».
Первой программой, выполняющей восстановление паролей Windows 2х, была L0phtCrack (сегодняшнее название - LC4). Авторами L0phtCrack являются Peiter Mudge Zatko и Chris Wysopal из фирмы L0pht Heavy Industries, Inc. (сейчас @stake, Inc.).
Программа L0phtCrack позволяет вычислять пароли, используя три метода, известным нам по программе PWL Tools:
поиск по словарной таблице;
поиск путем изменения словарных слов;
поиск путем полного перебора заданного подмножества символов.
При использовании первого метода применяется поисковая словарная таблица, которую определяет специальный файл словаря. Хешированные пароли для всех слов в файле словаря уже являются вычисленными и сравниваются со всеми паролями для пользователей данной SAM. Когда фиксируется соответствие - пароль становится известен. Этот метод чрезвычайно быстр. Тысячи пользователей могут быть проверены при помощи 300 КБ файла словаря всего за несколько минут на обычном PII. Недостаток этого метода состоит в том, что при помощи словаря можно определить только очень простые пароли, которые существуют в английском языке (словарный запас которого не превышает 100 тыс. слов).
Второе метод, использует ту же таблицу, варьируя слова из таблицы.
Третий метод использует последовательный перебор символов типа A-Z, 0-9 и других наборов с вычислением хеша для каждого возможного пароля для этих символов. Единственный недостаток данного метода - время. Набор символов A-Z требует приблизительно 7 часов вычислений на 600 герцовых процессорах PIII или Athlon. Полный перебор набора символов A-Z и 0-9 требует приблизительно трое суток.
Однако, при использовании в пароле нелатинских букв программа L0phtCrack оказывается бессильной, и тогда для восстановления паролей рекомендуется использовать ее модификацию LC+4. Эта программа также имеет русскоязычный интерфейс, а также не требует инсталляции.
Из других программ такого класса наиболее известна SAMInside (автор Александр Полуэктов). Данная программа написана на ассемблере и оптимизирована под разные процессоры, что обеспечивает более высокую скорость перебора сочетаний символов. Программа восстанавливает пароли пользователей Windows NT/2000/XP/2003, импортированных из SAM-файлов и зашифрованных системным ключом SYSKEY. Программа также имеет размер всего несколько десятков килобайт и также не требует инсталляции.
Несколько особняком стоит утилита Offline NT Password & Registry Editor (автор Petter Nordahl-Hagen), которая представляет собой загрузочную дискету с возможностью доступа и редактирования учетных записей в файле SAM.