19.1Пароли. Хранение и передача по сети.
Одними из наиболее важных свойств безопасности, используемых сегодня, являются пароли. Для начала рассмотрим различные виды контроля доступа по паролю для того, чтобы понять, насколько просты методы воровства паролей.
Среди современных компьютерных технологий существуют несколько видов контроля доступа по паролю или ключу, которые по техническим методам можно разделить на три основных вида. Для всех видов характерно, когда, при начале работы с информационным ресурсом, во время запроса доступа к нему, программным обеспечением у пользователя в диалоговой форме запрашивается ввод пароля с устройства ввода или клавиатуры. Во время ввода пароля в наиболее отсталых, с технологической точки зрения, программах пароль отображается на экране прямым текстом, в более продвинутом программном обеспечении он скрывается символами заменителями, например, звездочками, или не отображается вовсе. К паролю обычно прилагается имя пользователя или наименование системного профиля (счета) пользователя. На некоторых системах имени пользователя не требуется, но такие системы уже устарели.
Сходный алгоритм используется теперь в основном только при защите лицензионного программного обеспечения от копирования, например, серийные номера.
Итак, первый вид контроля доступа, когда полученный пароль отправляется или пересылается через сеть или программе клиенту в виде чистого текста. Нарушитель с помощью анализатора протоколов может "слушать" сеть в поисках таких паролей. Никаких дальнейших усилий не требуется; нарушитель может начать немедленно использовать эти пароли для регистрации в систему (сеть).
Второй вид контроля доступа, который с точки зрения системного администратора надежнее защищает пароли, это когда полученный пароль пересылается на сервер в зашифрованном виде. Такой вид контроля доступа используют, например, Windows NT, Windows 95 и другие. В частности дополнительными примерами могут послужить виды контроля доступа к ресурсам серверов WWW в Интернет. В этих случаях нарушителю потребуется провести атаку по словарю или "подбор пароля" для того, чтобы попытаться провести дешифрование. Заметим, что вы по-прежнему не знаете о присутствии нарушителя, поскольку он/она является полностью пассивным и ничего не передает по сети. Взлом пароля не требует того, чтобы передавать что-нибудь в сеть, тогда как собственный компьютер нарушителя используется для аутентификации вашего пароля. Приходится искать средства для взлома и расшифровки паролей, который могут занять время, хотя и не настолько продолжительное, как это описывают в рекламе. В некоторых случаях нарушителям нет необходимости расшифровывать пароль. Они могут повторно передать зашифрованный пароль в процессе аутентификации.
Второй метод тоже прост для тех, кто знаком хотя бы теоретически с теорией компьютерных сетей и сетевых протоколов пакетного типа. В основе этого протокола лежит способ передачи информации по узлам сети. В сети Token Ring, например, по умолчанию информация переходит непосредственно от клиента к серверу, в сети Ethernet информация в момент передачи от клиента к серверу проходит по всем сетевым интерфейсам, в сети Интернет, состоящей из множества сетей с различными топологиями, информация передается от клиента к серверу минуя цепочку промежуточных узлов.
Но есть и исключения, например, при передаче информации по Token Ring к другим кольцам, при передаче информации по сети Ethernet через хорошие и очень дорогие "умные" устройства маршрутизации, при пересылке информации по сети Интернет к ближайшему узлу. В любом случае информацию в виде пакетов данных могут перехватывать промежуточные узлы в виде мостов, коммутаторов, маршрутизаторов и клиентов сети Ethernet. Особенно уязвимой в этом плане является сеть Ethernet, даже при использовании соединений на основе сетевых устройств, витой пары и оптико-волоконных преобразователей. Таким образом, специальное программное обеспечение, которое используют хакеры, в состоянии отслеживать и перехватывать как простые пароли в виде гладкого текста, так и пароли в зашифрованном виде.
Кража файла с паролями – еще один вид контроля доступа. Вся база данных пользователя обычно хранится в одном файле на диске. В ОС UNIX этим файлом является /etc/passwd (или некоторое зеркало этого файла) и в ОС Windows NT это SAM-файл («хранилище паролей»). В любом случае, как только нарушитель получает этот файл, он/она может запускать программы взлома (описанные выше) для того, чтобы найти слабые пароли внутри данного файла.
Одна из традиционных проблем при защите паролей заключается в том, что пароли должны быть длинными и трудными для расшифровки. Однако часто такие пароли очень трудно запомнить, поэтому пользователи записывают их где-нибудь. Нарушители могут часто обыскивать рабочие места пользователей для того, чтобы найти пароли, записанные на небольших клочках бумаги (обычно под клавиатурой). Нарушители могут также подглядывать пароли, стоя за спиной пользователя.
Наиболее распространенный (удивительно успешный) метод - социальный инжиниринг – просто позвонить пользователю и сказать: "Привет, это Леха из отдела автоматизации. Мы пытаемся решить некоторые проблемы в сети, кажется, что они исходят от твоего компьютера. Какой пароль ты используешь?". Многие пользователи в такой ситуации называют свой пароль. Во многих корпорациях существует политика, которая предписывает пользователям никогда не выдавать свой пароль, даже своим собственным подразделениям автоматизации, но этот метод по-прежнему является успешным. Одним из легких способов выполнить его заключает в звонке новичку, который работает менее месяца, и спросить у него пароль, затем взломать их, сделав это таким образом, что они долго будут помнить.
Существует еще один вид контроля доступа, когда пароль является дополнением к многоуровневой системе безопасности на основе сертификатов (простые и многоуровневые). Естественно, что сертификаты, как и сам пароль, передаются в шифрованном виде. Таких систем достаточно много. Это семейство продуктов фирмы Lotus - Notes/Domino. Система Notes/Domino (тип клиент- сервер) использует иерархическую структуру сертификатов, и соответствует спецификации стандарта безопасности C2.
При установлении соединения с такой системой проверяется не только пароль, но и производится поиск одинаковых сертификатов. После этого вы получаете доступ только к тем ресурсам, которые соответствуют этому сертификату или сертификату, находящемуся на более низком уровне.
Существуют также виды контроля доступа, которые являются комбинациями более простых видов контроля доступа и основаны на трех описанных выше и других методах. При краже пароля и взломе сети злоумышленники также как и администраторы при защите сетей должны обязательно учитывать фактор операционных систем. Этот фактор заключается в том, что с помощью имени пользователя и пароля, которые предназначены для доступа к одному информационному ресурсу, можно также получить доступ к самой операционной системе и другим информационным ресурсам. В результате с помощью перехваченного почтового пароля можно получить доступ к другим информационным ресурсам. Именно по этой причине рекомендуется использовать разные пароли на доступ к коммутируемому соединению и почтовому ящику.
Рассмотрим уязвимости паролей, приводящие к несанкционированному доступу к защищенной информации в Windows NT, по аналогии с системами. Пароли в Windows NT находятся в файле \\WINNT\SYSTEM32\CONFIG\SAM, базе данных безопасности системы. Данный файл является по умолчанию читаемым, но "запертым", т.к. используется прочими компонентами системы. Копия данного файла содержится в директории \\WINNT\REPAIR\ после создания администратором repair-диска и легко может быть скопирована оттуда. После инсталляции база данных безопасности системы содержит только бюджеты пользователей Administrator и Guest.
Но сами пароли не содержатся в данном файле. В нем содержатся хэш-значения, полученные следующим образом. Пароль пользователя конвертируется и превращается в 16-байтное значение. Это значение и является паролем Windows NT.
Таким образом, для того, чтобы сломать пароль в Windows NT, злоумышленнику необходимо выделить из базы данных безопасности системы имя пользователя и соответствующее ему хэш-значение. Данная процедура может быть выполнена с использованием программы PWDUMP, разработанной Jeremy Allison и свободно распространяемой. Использование данной программы требует привилегий Administrator (для того, чтобы иметь доступ по чтению к соответствующим значениям registry), но она может использоваться в том случае, если с атакуемой системы удалось получить копию базы данных безопасности системы.
После выделения паролей и соответствующих им хэш-значений может быть использована одна из многих программ взлома пароля методом перебора или атаки по словарю - скорость перебора составляет примерно 2500 паролей/сек на компьютере класса Pentium.
Именно поэтому хэш-значение тщательно охраняется, и не передается по сети в открытом виде при аутентификации пользователя на сервере. Вместо этого используется стандартная схема "запрос-отклик": сервер посылает случайную последовательность. Рабочая станция шифрует ее с вычисленным хэш-значением введенного пароля и отсылает обратно. Сервер делает то же самое с имеющимся у него хэш-значением. В случае совпадения двух строк пользователь успешно регистрируется в системе.
Но для этого как-то хэш-значение должно оказаться на сервере? Нетрудно понять, что, по крайней мере, оно должно попадать туда при смене пароля пользователем. А раз так, то злоумышленник, чтобы перехватить хэш, должен дождаться, пока пользователь захочет поменять свой пароль. А это, к несчастью для него, может произойти в неопределенный момент времени. Если только он не знает этого момента заранее или не сможет заставить пользователя сделать это. Высока вероятность того, что пользователь, узнав о многочисленных попытках взлома своего ресурса (или обнаружив его заблокированным) захочет поменять свой пароль. (Впрочем, если он немного подумает, то он не попадется на эту удочку, и, скорее всего, попросит администратора отключить блокировку его ресурса в случае "обнаружения нарушителя").
Но на помощь нарушителю может прийти другое мощное средство повышения безопасности операционных систем, а именно "заставлять периодически менять пароль". Зная, что администратор системы "повысил" ее защищенность путем периодической обязательной смены паролей, злоумышленнику остается только дождаться момента плановой смены паролей, и золотой ключик, т.е. хэш-значение администратора у него в кармане.
- 1Угрозы информационным системам. Факторы, приводящие к информационным потерям
- 1.1Введение
- 1.2Осуществление угроз информационным ресурсам
- 1.3Факторы, приводящие к информационным потерям
- 1.4Виды угроз информации
- 1.5Источники возникновения угроз
- 2Криптография. Симметричные алгоритмы шифрования.
- 2.1Введение
- 2.2Терминология
- 2.3Симметричные криптосистемы
- 2.4Алгоритм Цезаря
- 2.5Алгоритм замены полиалфавитный
- 2.6Алгоритм замены с большим ключом
- 2.7Перестановки.
- 2.8Гаммирование.
- 3Криптография. Несимметричные алгоритмы шифрования.
- 3.1Системы с открытым ключом
- 3.2Алгоритм Диффи-Хеллмана – протокол генерации секретного ключа.
- 3.3Описание системы с открытым ключом
- 3.4Алгоритм rsa
- 3.5Практическая реализация rsa
- 3.6Пример 1 rsa.
- 3.7Пример 2 rsa.
- 3.8Пример 3 rsa.
- 3.9Немного об арифметических операциях по модулю n.
- 3.10Сложение.
- 3.11Вычитание.
- 3.12Умножение.
- 3.13Деление.
- 3.14Обратное по модулю.
- 3.15Стандарт шифрования данных гост 28147-89
- 3.16Простые числа
- 4Электронная подпись
- 4.1Эцп - зашифрованный текст
- 4.2Эцп - открытый текст
- 4.3Использование хэш-функций
- 4.4Сертификация
- 4.5Имитовставка или mac-код
- 4.6 Шифрование больших сообщений и потоков данных
- 4.7Шифрование, кодирование и сжатие информации
- 4.8Аппаратные шифраторы.
- 5Управление ключами
- 5.1Генерация ключей
- 5.2Накопление ключей
- 5.3Распределение ключей
- 5.4Использование “блуждающих ключей”
- 6Стеганография
- 6.1Введение
- 6.2Электронные «водяные знаки».
- 6.3Скрытие текста в 24-разрядном bmp файле.
- 8.2Технология шифрования
- 8.3Взаимодействие с пользователем
- 8.4Восстановление данных
- 8.5Немного теории
- Процесс шифрования
- Процесс восстановления
- 8.6Реализация в Windows 2000
- 8.7Выводы
- 9Протокол ipSec в Window 2000.
- 9.1Реализация промышленных стандартов
- 9.2Реализация Windows ip Security
- 9.3Пример
- 9.4О совместимости
- 10Защищенные каналы. Аутентификация.
- 10.1Введение
- 10.2Аутентификация на основе хэш-функций.
- 10.3Аутентификация на основе общего секретного ключа
- 10.4Аутентификация на основе открытого ключа
- 10.5Аутентификация с использованием центра распределения ключей
- 11Протокол Kerberos в Windows 2000.
- 11.1Аутентификация в Windows 2000
- 11.2Преимущества аутентификации по протоколу Kerberos
- 11.3Начальная аутентификация.
- 11.4Метка времени в качестве средства для взаимной аутентификации.
- 11.5Аутентификация за пределами домена
- 11.6Срок годности билетов. Обновляемые билеты.
- 11.7Подпротоколы
- 11.8Подпротокол tgs Exchange
- 11.9Подпротокол cs Exchange
- 11.10Билеты
- 11.11Какие данные из билета известны клиенту
- 11.12Как служба kdc ограничивает срок действия билета
- 11.13Что происходит после истечения срока действия билета
- 11.14Обновляемые билеты tgt
- 11.15Делегирование аутентификации
- 11.16Представительские билеты
- 11.17Передаваемые билеты
- 12Криптографические протоколы
- 12.1Стегоканал
- 12.1.1Скрытие сообщения с одноразовым блокнотом
- 12.1.2Скрытие сообщения с одноразовым блокнотом и ключевой фразой
- 12.2Защищенный канал
- 12.2.1Протокол взаимоблокировки
- 12.2.2В92 – протокол.
- 12.3Аутентификация
- 12.3.1Аутентификация skey
- 12.3.2Взаимная аутентификация - однонаправленные сумматоры
- 12.6Протокол разбиения секрета
- 13.2Криптоанализ и атаки на криптосистемы
- 13.3Атака 1. Расшифровка ранее полученного сообщения при помощи специально подобранного текста.
- 13.4Атака 2. Подпись нотариуса на неверном документе.
- 13.5Атака 3. Подпись на документе вторым способом.
- 13.6Атака 4. Атака при использовании общего модуля.
- 13.7Выводы
- 14Вредоносные программы. Вирусы. Защита.
- 14.1Классификация компьютерных вирусов
- 14.2Загрузочные вирусы
- 14.3Файловые вирусы
- 14.3.1Способы заражения - запись поверх.
- 14.3.2Способы заражения - паразитические
- 14.3.3Способы заражения - Вирусы без точки входа
- 14.3.4Способы заражения - Компаньон-вирусы
- 14.3.5Способы заражения - Файловые черви
- 14.3.6Способы заражения - Link-вирусы
- 14.3.7Алгоритм работы файлового вируса
- 14.4Макро-вирусы
- 14.4.1Алгоритм работы Word макро-вирусов
- 14.5Полиморфик-вирусы
- 14.5.1Полиморфные расшифровщики
- 14.5.2Уровни полиморфизва
- 14.5.3Изменение выполняемого кода
- 14.6Стелс-вирусы. Загрузочные вирусы
- 14.6.1Стелс-вирусы. Файловые вирусы
- 14.6.2Стелс-вирусы. Макро-вирусы
- 14.7Резидентные вирусы в Windows
- 14.8Прочие "вредные программы"
- 14.9Троянские кони (логические бомбы)
- 14.10Утилиты скрытого администрирования (backdoor) компьютеров в сети.
- 14.11Intended-вирусы
- 14.12Конструкторы вирусов
- 14.13Полиморфные генераторы
- 14.14Irc-черви
- 14.15Сетевые вирусы
- 14.16Методы обнаружения и удаления компьютерных вирусов.
- 14.17Типы антивирусов. Сканеры.
- 14.17.1Crc-сканеры
- 14.17.2Блокировщики
- 14.17.3Иммунизаторы
- 14.17.4Правила защиты
- 15Анализ защищенности tcp/ip
- 15.1Пассивные атаки на уровне tcp. Подслушивание
- 15.2Активные атаки на уровне tcp
- 15.2.1Предсказание tcp sequence number
- 15.2.2Описание
- 15.2.3Детектирование и защита
- 15.3.1Ранняя десинхронизация
- 15.3.2Десинхронизация нулевыми данными
- 15.3.3Ack-буря
- 15.4Пассивное сканирование
- 15.5Затопление icmp-пакетами
- 15.6Локальная буря
- 15.7Затопление syn-пакетами
- 16Атака через Internet
- 16.1Понятие удалённой атаки через Internet
- 16.2Пример удалённой атаки через интернет
- 16.3Классификация удаленных атак через систему Internet
- 16.4Понятие типовой удаленной атаки
- 16.5Причины успеха удаленных атак на сеть Internet
- 17Защита локальной сети и одиночного компьютера от атак через Internet.
- 17.1Программно-аппаратные методы защиты от удаленных атак в сети Internet
- 17.2Аппаратные шифраторы сетевого трафика
- 17.3Можно организовать прокси - сервер.
- 17.4Firewall или брандмауэр.
- 17.5Skip-технология и криптопротоколы ssl, s-http как основное средство защиты соединения и передаваемых данных в сети Internet
- 17.6Основные виды межсетевых экранов (брандмауэров)
- 17.7Фильтрующие маршрутизаторы
- 17.8Пример работы фильтрующего маршрутизатора
- 17.9Недостатки и преимущества фильтрующих маршрутизаторов
- 17.10Шлюзы сетевого уровня
- 17.11Шлюзы прикладного уровня
- 17.12Преимущества и недостатки шлюзов прикладного уровня
- 17.13Усиленная аутентификация
- 17.14Применение межсетевых экранов для организации виртуальных корпоративных сетей
- 18Правовое обеспечение безопасности ис.
- 18.1Предмет законодательства
- 18.2Уголовная ответственность
- 18.3Требования к безопасности ис в сша
- 18.4Стандартизация аппаратных средств
- 18.5Требования к безопасности информационных систем в России
- 18.6Показатели защищенности средств вычислительной техники
- 18.7Заключение
- 18.8Рекомендации
- 19Пароли ис.
- 19.1Пароли. Хранение и передача по сети.
- 19.2Безопасность паролей и шифрование
- 19.3Идентификация и аутентифокация. Использование токенов.
- 19.4Равнозначность паролей
- 19.5Восстановление паролей текстовом виде
- 19.6Поиск по словарю
- 19.7Прямой подбор
- 19.8“Комбинированный” метод
- 19.9Работа программ вскрытия паролей Windows nt
- 19.10Основные меры защиты.
- 19.11Программы подбора паролей
- 19.16Троянская конница
- 19.17Программно-технические мероприятия защиты.
- 19.18Защита паролем
- 19.19Создание надежных паролей