1.4.2 Описание процессов реализации угроз
1.4.2.1 Описание процессов реализации непосредственного доступа в ос компьютера
Рассмотрим первое направление преодоления парольной защиты на вход в ОС компьютера, т.е. подбор паролей.
Попытка подобрать имя и пароль для входа в ОС, по очереди перебирая в уме все возможные варианты и вводя их с клавиатуры неэффективна. Скорость такого подбора пароля будет чрезвычайно низкой, тем более что в ОС с хорошо продуманной парольной защитой количество подряд идущих повторных вводов конкретного пользовательского имени и соответствующего ему пароля всегда можно ограничить двумя-тремя и сделать так, что если это число будет превышено, то вход в систему с использованием данного имени блокируется в течение фиксированного периода времени или до прихода системного администратора. Гораздо более эффективным является другой метод взлома парольной защиты ОС, при котором используется системный файл, содержащий информацию о ее легальных пользователях и их паролях. Однако любая современная ОС надежно защищает при помощи шифрования пользовательские пароли, которые хранятся в этом файле. Доступ к таким файлам, как правило, по умолчанию запрещен даже для системных администраторов, не говоря уже об обычных пользователях. Тем не менее, в ряде случаев злоумышленнику удается путем различных ухищрений получить в свое распоряжение файл с именами пользователей и их зашифрованными паролями. И тогда ему на помощь приходят так называемые парольные взломщики – специализированные программы, которые служат для взлома паролей ОС [2, 5, 26].
Парольный взломщик работает следующим образом: Криптографические алгоритмы, применяемые для шифрования паролей пользователей в современных ОС, в подавляющем большинстве случаев являются слишком стойкими, чтобы можно было надеяться отыскать методы их дешифрования, которые окажутся более эффективными, чем тривиальный перебор возможных вариантов. Поэтому парольные взломщики иногда просто шифруют все пароли с использованием того же самого криптографического алгоритма, который применяется для их засекречивания в ОС, и сравнивают результаты шифрования с тем, что записано в системном файле, где находятся шифрованные пароли ее пользователей. При этом в качестве вариантов паролей парольные взломщики используют символьные последовательности, автоматически генерируемые из некоторого набора символов. Данный способ позволяет взломать все пароли, если известно их представление в зашифрованном виде, и они содержат только символы из данного набора. Максимальное время, которое потребуется для взлома пароля, можно вычислить по следующей формуле:
(1.1)
где N – число символов в наборе;
L – предельная длина пароля;
S – количество проверок в секунду (зависит от ОС и быстродействия компьютера, на котором производится взлом ее парольной защиты).
Из приведенной формулы видно, что за счет очень большого числа перебираемых комбинаций, которое растет экспоненциально с увеличением числа символов в исходном наборе, такое преодоление парольной защиты на вход ОС компьютера может занимать слишком много времени. Однако хорошо известно, что большинство пользователей ОС не затрудняют себя выбором стойких паролей (т. е. таких, которые трудно взломать). Поэтому для более эффективного подбора паролей парольные взломщики обычно используют так называемые словари, представляющие собой заранее сформированный список слов, наиболее часто применяемых на практике в качестве паролей. Для каждого слова из словаря парольный взломщик использует одно или несколько правил. В соответствии с этими правилами слово изменяется и порождает дополнительное множество опробуемых паролей. Это повышает вероятность подбора пароля, поскольку в современных ОС, как правило, различаются пароли, набранные заглавными и строчными буквами, а пользователям этих систем настоятельно рекомендуется выбирать пароли, в которых буквы чередуются с цифрами. Учитывая, что обычные словари человеческих языков состоят всего из нескольких сотен тысяч слов, а скорость шифрования паролей достаточно высока, парольные взломщики, осуществляющие поиск с использованием словаря работают достаточно быстро [37].
Рассмотрим второе направление преодоления парольной защиты на вход в ОС компьютера, посредством сброса паролей. Сброс паролей на вход в ОС компьютера – способ, при котором можно сбросить или изменить любой пароль. Для этого удобнее всего использовать программу ERD Commander или Offline NT Password & Registry Editor. Можно сбрасывать пароли локальных учетных записей также такие универсальные программы, как О&О BlueCon XXL, в составе которого, между прочим, имеется еще и неплохой консольный редактор реестра и похожего назначения утилита CIA Commander. Но надо учитывать, что эти программы очень не любят, когда имя учетной записи записано кириллицей (Администратор), и в этих случаях могут возникнуть серьезные проблемы с последующей загрузкой ОС компьютера. Поэтому лучше использовать программы ERD Commander или Offline NT Password & Registry Editor.
Сброс паролей, посредством удаления файла SAM приведет всего лишь к невозможности загрузить ОС компьютера, поэтому даже пытаться это делать бессмысленно.
Осуществить сброс паролей на вход в ОС компьютера можно путем замены системной библиотеки MSV1_O.DLL на ее модифицированную версию, в которой отключена проверка пароля при авторизации пользователя в системе. Фактически, модификация состоит в исправление кода этой библиотеки, чтобы изменить порядка десяти условных переходов на безусловные. Правда, для злоумышленника, плохо знакомого с «ассемблером», это вряд ли будет легкой задачей. Возможно, было бы проще предоставить модифицирование этого файла вирусу Bolzano версий 3628, 3904, 5396. Этот вирус изменяет две процедуры в системных файлах WinNT:NTOSKRNL разрешает запись во все файлы системы вне зависимости от прав доступа к файлам, а в MSV1_O.DLL отключает проверку паролей, в результате чего любая введенная строка воспринимается системой как пароль, необходимый для доступа к системным ресурсам [3, 20, 45].