Парольная защита: Учебно-методическое пособие

Ф Е Д Е РАЛ Ь Н О Е АГ Е Н Т С Т В О П О О БРАЗО В АН И Ю

В О РО Н Е Ж С КИ Й Г О С У Д АРС Т В Е Н Н Ы Й У Н И В Е РС И Т Е Т

П а рол ь н а я за щ и т а

У чебно-метод и ческоепособи епо специ альности 010501 (010200) “П ри клад наяматемати ка и и нформати ка ”

В О РО Н Е Ж 2005

2

У тв ерж д ено нау чно-метод и чески м сов етом факу льтета при клад ной математи ки , и нформати ки и мех ани ки 21 и ю ня2005 г., протокол № 6.

С остав и тель

Г олу б В .А.

У чебно-метод и ческоепособи е под готов лено на кафед ре тех ни ческой ки бернети ки и ав томати ческого регу ли ров ани яВ оронеж ского госу д арств енного у ни в ерси тета. Рекоменд у етсяд лясту д ентов 4 ку рса д нев ного отд елени яспеци альности 010501 “П ри клад наяматемати ка и и нформати ка ”

3

С О Д Е РЖ АН И Е

1. П арольнаязащ и та… … … … … … … … … … … … … … … … … … … … … … … … … 4 1.1. П рав и ла парольной защ и ты … … … … … … … … … … … … … … … … … ...5 1.2. П арольнаязащ и та BIOS… … … … … … … … … … … … … … … … … … … .6 1.3. П арольнаязащ и та Windows … … … … … … … … … … … … … … … … ..… 7 1.4. П арольнаязащ и та при лож ени й … … … … … … … … … … … … … … … … 8 2. В злом парольной защ и ты и его пред отв ращ ени е… … … … … … … … … … … … .9 2.1. М етод ы в злома парольной защ и ты … … … … … … … … … … … … … … ..9 2.2. В злом парольной защ и ты при лож ени й… … … … … … … … … … … … ..10 3. П рограммы -перех в атчи ки паролей и и х в ы явлени е… … … … … … … … … … ..11 Л и терату ра и и нтернет-и сточни ки … … … … … … … … … … … … … … … … … .14

4

1. П а рол ь н а я за щ и т а Ау тенти фи каци япользов ателей обеспечи в аетсяв перв у ю очеред ь пу тем и спользов ани япарольной защ и ты . П о д анны м опросов , пров ед енны х по заказу у строи телей меж д у народ ной в ы став ки Infosecurity Europe, при в ед енны х в [7], более 70% бри танцев при знали сь, что отд али бы постороннему пароль от св оего компью тера в обмен на пли тку ш околад а, а некоторы е и без какой бы то ни бы ло матери альной компенсаци и . Крометого, по резу льтатам д ру гого опроса 79% ж и телей В ели кобри тани и х оть раз отд ав али посторонни м ли цам и нформаци ю , котораямогла бы бы ть и спользов ана д лякраж и персональны х д анны х , необх од и мы х д лянезаконны х операци й с кред и тны ми карточками и д ру ги ми фи нансов ы ми и нстру ментами . П ред сед атель прав лени яMicrosoft Би лл Г ейтс пред сказал ги бель трад и ци онны м паролям, таккакони не в состояни и обеспечи ть серьезну ю и нформаци онну ю безопасность. Microsoft разработала программноеобеспечени ед лясозд ани яби ометри ческой и д енти фи каци онной карты при помощ и ци фров ой камеры , стру йного при нтера и сканера в и зи тны х карточек. П рограмма обработает фотографи ю и некотору ю д ополни тельну ю и нформаци ю о челов еке, напри мер и мяи д ату рож д ени яи в ы д аст ци фров у ю под пи сь, котораяв в и д е ш три х -код а наноси тсяна и д енти фи каци онну ю карту . В слу чае несоотв етств и я и нформаци и на карте ци фров ой под пи си , си стема отв ергнеттаку ю карту . О д на и з глав ны х особенностей си стемы состои т в том, что она не требу ет базы д анны х , таккакв сяи нформаци ях рани тсяна самой карте. С и стема д опу скает расш и рени е и мож ет при менятьсятакж е д лях ранени яотпечатков пальцев и ли ри су нка рад у ж ной оболочки глаза [10]. В в ед енны й пароль (и ли номер кред и тной карты и д ру гаяи нформаци я) мож етд олго остав атьсяв компью тереи стать д обы чей злоу мы ш ленни ка. Э то обу слов лено тем, что в в ед енны й пароль попад аетсначала в операти в ну ю память компью тера, а затем, в местесо в сем еесод ерж и мы м, копи ру етсяна ж естки й д и ск, гд емож етх рани тьсяпрод олж и тельноев ремя. П о сообщ ени ю , при в ед енному на сайте SecurityLab.ru [8], и сслед ов ани я, пров ед енны е в С тэнфорд ском у ни в ерси тете по парольной защ и те таки х программ какInternet Explorer, Windows login script и Apache server, показали , что ни в од ной и з ни х не пред при ни маетсяни каки х мер по ограни чени ю в ремени х ранени япаролей на д и ске, при чем ни в Windows, ни в Linux нетсред ств , ограни чи в аю щ и х сброс конфи д енци альной и нформаци и на д и ск. Реш и ть проблему мож но, напри мер, если в се в в од и мы е в операти в ну ю память д анны е замещ ать цепочкой ну лей сразу ж е по зав ерш ени и работы с ни ми ли бо ш и фров ать д анны ев моментв в од а ещ ед о того, какони бу д у тсох ранены в операти в ной памяти спослед у ю щ ей д еш и фров кой д ляработы сни ми .

5

В злом паролей мож ет бы ть основ ан на его у гад ы в ани и , под боре под х од ящ его в ари анта, напри мер, пу тем под бора слов а и з слов аряи ли на и спользов ани и метод а прямого перебора в сех в озмож ны х комби наци й знаков . П рограммнаяреали заци яметод а ав томати ческого перебора позв оляетв зломать лю бой пароль, но д ляслож ны х паролей мож ет потребов атьсязначи тельное в ремя. 1.1. П ра в и л а па рол ь н ой за щ и т ы В качеств еоснов ны х прав и л, которы м необх од и мо след ов ать, чтобы над еж ность парольной защ и ты небы ла ослаблена, мож но назв ать след у ю щ и е: 1) пароль д олж ен бы ть секретны м, неотображ аемы м на экране, в распечатках ; пароль нельзязапи сы в ать в местах , д осту пны х неав тори зов анны м ли цам, напри мер, на ли сточках , при клеи в аемы х к мони тору ; в сегд а, когд а это в озмож но, пароль не след у ет сох ранять в компью тере д аж е в специ альны х защ и щ енны х файлах , на соотв етств у ю щ ее при глаш ени е операци онной си стемы и ли д ру ги х программ ну ж но в сегд а отв ечать отказом; 2) пароль д олж ен состоять неменеечем и з 6… 8 си мв олов , и начеон легко мож етбы ть в зломан программами прямого перебора; наи болеенад еж ны епароли состоят и з 7 и ли 14 знаков , что обу слов лено способом код и ров ки [5]; д ля защ и ты отатаки со слов арем пароль нед олж ен пред став лять собой распространенны еслов а и и мена; 3) пароль д олж ен сод ерж ать нетолько бу кв ы , какпропи сны е, таки строчны е, но и ци фры , а такж еразли чны еси мв олы (` ~ ! @ # $ % ^ & * ( ) _ + - = { } | [ ] \ : " ; ' < > ? , . /), при чем, ж елательно, си зменени ями расклад ки клав и ату ры ; лу чш и ми паролями являю тся пароли , сгенери ров анны е как слу чайны е послед ов ательности ; 4) пароль д олж ен бы ть тру д но у гад ы в аемы м - нед опу сти мо сов пад ени е пароляс логи ном и ли и спользов ани е в качеств е пароляи мени , фами ли и , д ней рож д ени я, номеров телефонов пользов ателя и ли его род ств енни ков , кли чки лю би мы х собаки ли кош ек, назв ани ефу тбольной команд ы ; 5) пароль д олж ен значи тельно отли чатьсяот паролей, и спользов ав ш и х ся ранее; 6) пароль д олж ен регу лярно меняться, но и зменени яд олж ны осу щ еств лятьсяслу чайны м образом, а непо графи ку ; 7) файл паролей д олж ен и меть над еж ну ю защ и ту от несанкци они ров анного д осту па и , ж елательно, кри птографи ческу ю защ и ту ; 8) каж д ы й пароль д олж ен и спользов аться у ни кально – только од ни м пользов ателем и д ляполу чени яд осту па только к од ной и з си стем и ли программ, т. е. нельзяи спользов ать од и н и тотж епароль д ляд осту па, напри мер, к сеансу работы скомпью тером и д ляд осту па кэлектронному почтов ому ящ и ку ; 9) неслед у ети спользов ать под сказки кпаролям, пред лагаю щ и епри зад ани и пароляу казать д ополни тельны е св ед ени я(рост, лю би мое блю д о, д ев и чью фами ли ю матери и т.п.) и в слу чае, если пользов атель забы л пароль, разреш аю щ и ед опу скв си стему , при прав и льном отв етена соотв етств у ю щ и й пароль

6

– злоу мы ш ленни ку мож ет оказатьсялегче под обрать отв ет на под сказку , чем пароль; 10) пароль не д олж ен пересы латьсяпо электронной почте, перед ав аться по телефону , факсу и ли по д ру ги м нед остаточно над еж но защ и щ енны м каналам св язи . Более эффекти в но проти в од ейств ов ать несанкци они ров анному д осту пу мож но сочетаяпарольну ю защ и ту с д ру ги ми метод ами ограни чени яд осту па, напри мер, и спользу ю щ и м би ометри чески е тех нологи и , которы е осу щ еств ляю т и д енти фи каци ю , напри мер, по отпечаткам пальцев , рад у ж ной оболочке глаза и ли д ру ги м и нд и в и д у альны м х арактери сти кам. 1.2. П а ро л ь н а я за щ и т а BIOS Базов аяси стема в в од а-в ы в од а BIOS пред став ляет собой набор базов ы х программ д ляпров ерки обору д ов ани яв о в ремязапу ска, д лязагру зки операци онной си стемы , а такж е д ляпод д ерж ки обмена д анны ми меж д у у стройств ами . Базов аяси стема в в од а-в ы в од а х рани тсяв энергонезав и си мом постоянном запоми наю щ ем у стройств е (П ЗУ ), благод арячему ее программы могу т бы ть в ы полнены при в клю чени и компью тера. Н астройка параметров BIOS, в том чи сле у станов ка пароляи разреш ени е на загру зку со съемного носи теля, мож етбы ть в ы полнена в реж и ме SETUP, д ляв х од а в которы й след у ет наж ать клав и ш у в опред еленны й момент в начале загру зки си стемы . Зад анны е у станов ки х ранятсяв перепрограмми ру емой CMOS-памяти си стемы BIOS. В у станов ках BIOS мож ет пред лагаться у станов и ть д в а пароля – user password и supervisor password. П ерв ы й и з ни х (user password) обеспечи в аетпарольну ю защ и ту какначала загру зки BIOS, таки реж и ма у станов ки параметров (SETUP) BIOS, а в торой (supervisor password) закры в аеттолько реж и м у станов ки параметров BIOS. П оэтому у станов ка пароляпользов ателяuser password обеспечи в ает“д в ойну ю ”защ и ту на этапезагру зки . О тсу тств и е и ли в злом парольной защ и ты BIOS мож ет д ать в озмож ность злоу мы ш ленни ку и змени ть настройки BIOS, у станов и ть в качеств е перв оочеред ного загру зочного д и ска флоппи -д и ски ли CD и , загру зи в ш и сь с д и скеты и ли компакт-д и ска, полу чи ть в озмож ность полного д осту па к х ранящ ейсяв компью тере и нформаци и . В то ж е в ремяпарольнаязащ и та BIOS не является над еж ной. Е сли злоу мы ш ленни ки меетв озмож ность полу чи ть фи зи чески й д осту п ккомпью теру , то ему д остаточно на незначи тельное в ремяотклю чи ть располож енны й на матери нской платеэлементпи тани яCMOS-памяти BIOS, в которой х рани тсяпароль BIOS, что при в ед ет ксбросу пароля, ли бо перемкну ть располож енны е на матери нской плате д в е перемы чки (д ж амперы ), пред назначенны ед ляочи стки CMOS-памяти [9]. Разу меется, такаяатака на пароль BIOS бу д етнеи збеж но обнару ж ена по и змененному паролю BIOS. Кроме того, су щ еств у ю т программы , пред назначенны ед ляи зв лечени япаролей и з CMOS-памяти . В ряде слу чаев д ляв х од а в программу SETUP в место у станов ленного пароляBIOS в озмож но и спользов ани еу ни в ерсальны х паролей,

7

при год ны х д лялю бы х BIOS некоторы х прои зв од и телей. Т ак, напри мер, в стары х в ерси ях наи болеераспространенны х BIOS компани й Award и Phoenix и мели сь у ни в ерсальны е пароли : AWARD_SW и « phoenix» соотв етств енно [2,3,9]. 1.3. П а рол ь н а я за щ и т а Windows П ароли Windows 2000/XP могу т сод ерж ать д о 127 си мв олов . О д нако если Windows XP и спользу етсяв сети , в которой такж е работаю т компью теры с Windows 95/98, под д ерж и в аю щ и епароли д ли ной только д о 14 знаков , неслед у ети спользов ать пароли больш ей д ли ны , и начев ойти в сеть сэти х компью теров неу д астся. В операци онны х си стемах Windows 95/98 пароли и спользу ю тсятолько д ля защ и ты пользов ательски х профи лей и д ляд осту па ксетев ы м ресу рсам. В х од в си стему со станд артны ми настройками в озмож ен без в в од а пароляпросты м наж ати ем клав и ш и <Esc>, т.е. д ляпреод олени япарольной защ и ты Windows 95/98 д остаточно перезагру зи ться. П ароли экранной застав ки Windows 95/98, х ранящ и есяв си стемном реестре, такж е могу т бы ть и зв лечены с помощ ью специ альны х программ 95sscrk, SSBypass и д р., д лязапу ска которы х мож ет бы ть реали зов ана « атака с помощ ью ав тозапу ска». С у ть такой атаки заклю чается в том, что если в CDд и сков од у станов и ть компакт-д и ск, то при в клю ченной фу нкци и ав тозапу ска компью тер с Windows 95/98 ав томати чески (и в обх од застав ки с требов ани ем пароля) загру зи тпрограмму , у казанну ю в файлеAutorun.ini [9]. Т акаяатака позв оляетзагру зи ть на компью тер сWindows 95/98 программу злоу мы ш ленни ка. Защ и та от атакс помощ ью ав тозапу ска неслож на – д остаточно, и спользу я станд артны е процед у ры настройки Windows 95/98, отклю чи ть фу нкци ю ав тозапу ска. В Windows 9x/Me пароли х ранятсяв заш и фров анном в и д ев файлах с расш и рени ем .pwl в корнев ом каталоге Windows, при чем и спользу емаякри птографи ческаязащ и та паролей в есьма ненад еж на и срав ни тельно легко в зламы в аетсяспеци альны ми у ти ли тами , напри мер, Pwltool [9]. Ч то касаетсяболее над еж ной тех нологи и Windows NT, то пров ерка од ной и з кру пны х в ы сокотех нологи чески х компани й С Ш А на у стойчи в ость кв злому паролей показала след у ю щ ее: с помощ ью программы L0phtCrack 2.5 (www.l0pht.com/ l0phtcrack) бы ло в скры то около 90% в сех паролей д осту па менее, чем за 48 часов работы компью тера Pentium II 300, при чем 18% паролей бы ли в скры ты менеечем за 10 ми ну т. [2]. В операци онны х си стемах Windows NT/2000/XP у четны езапи си пользов ателей, в клю чаю щ и е логи ны и пароли , х ранятсяв базе д анны х SAM (SAM – Security Accounts Manager – д и спетчер у четны х д анны х си стемы защ и ты . Э то под си стема, обеспечи в аю щ аяв ед ени ебазы у четны х запи сей пользов ателей, сод ерж ащ и х св ед ени яоб у ров нях пользов ательски х при в и леги й, паролях и т.п. Д ляполу чени яд осту па клокальному компью теру злоу мы ш ленни кмож ет при бегну ть кв злому базы д анны х SAM. Д ляэтого послепрони кнов ени яв ком-

8

пью тер, напри мер, загру зи в ш и сь со съемного носи теля, копи ру ется, напри мер, на д и скету , файл sam и з си стемной папки компью тера WINDOWS\ \system32\config\sam, сд альнейш ей д еш и фраци ей спомощ ью специ альной программы (напри мер, LC4 – в ерси ей и зв естной программы L0phtCrack [9]). База д анны х SAM пред став ляет собой од и н и з ку стов (hive) си стемного реестра (registry) Windows NT/2000/XP. Э тот ку ст при над леж и т в етв и (subtree) HKEY_LOCAL_MACHINE и назы в аетсяsam. О н располагаетсяв файле sam в каталоге\ WINDOWS \system32\config\sam [1]. Ч тобы защ и ти ть у четны езапи си пользов ателей на слу чай, если они забы ли пароль, каж д ому и з локальны х пользов ателей рекоменд у етсясозд ать с и спользов ани ем сред ств Windows д и скету сброса пароляи х рани ть ее в над еж ном месте. Т огд а, если пользов атель забу д ет пароль, при помощ и д и скеты сброса паролямож но сброси ть пароль и снов а полу чи ть д осту п клокальной у четной запи си пользов ателя. Д и скета сброса пароляд олж на созд ав атьсязаблагов ременно, таккакэта процед у ра требу ет знани ятеку щ его пароляпользов ателя. Т акаямера являетсязащ и той от в озмож ны х д ейств и й злоу мы ш ленни ка, которы й мог бы в оспользов атьсятакой в озмож ностью сброса пароляд ляпрони кнов ени яв си стему . Е сли д и скеты сброса паролянет, то д ляреги страци и в си стеме пользов ателю необх од и мо обрати тьсякси стемному ад ми ни стратору с просьбой созд ать нов ы й пароль. Ад ми ни стратор компью тера не мож етв осстанов и ть забы ты й пароль пользов ателя(в целях безопасности ад ми ни стратор не и меет д осту па кпользов ательски м паролям), а мож ет только созд ать нов ы й, которы й мож етбы ть и зменен пользов ателем сразу , послев х од а в си стему [5]. 1.4. П а рол ь н а я за щ и т а при л ож ен и й Ряд при лож ени й и программ пред у сматри в аю т в озмож ность парольной защ и ты , напри мер, программы MSOffice: Word, Excel, Access, арх и в аторы WinZIP, WinRAR, WinARJ и д р. Какправ и ло, в строенны е сред ств а парольной защ и ты при лож ени й не относятсякд остаточно над еж ны м и могу т бы ть в зломаны спомощ ью специ альны х программ П арольнаязащ и та, пред у смотреннаяв MS Word, пред остав ляетпользов ателю разли чны ев ари анты защ и ты д оку мента спомощ ью паролей, которы емогу т состоять и з лю бого сочетани ябу кв , ци фр, пробелов и ли д ру ги х знаков и и меть д ли ну д о 15 знаков . П ри в ы боре д ополни тельны х параметров ш и фров ани ямож но созд ав ать пароли больш ей д ли ны . П ароли в MS Word мож но и спользов ать д ляразны х целей: мож но требов ать в в од пароляд ляоткры ти яфайла, чтобы полностью пред отв рати ть откры ти е д оку мента пользов ателями , не прош ед ш и ми пров ерку ; мож но требов ать в в од пароляд ляи зменени яфайла, чтобы разреш и ть откры ти е д оку мента в сем пользов ателям, а в несени е в него и зменени й — только пользов ателям, прош ед ш и м пров ерку . П ользов атель, и змени в ш и й д оку мент без в в од а пароляд ляи зменени я, смож ет сох рани ть этот д оку менттолько сд ру ги м и менем файла. Т ак, в меню С ерв и с мож но в ы брать команд у У ст а н ов и т ь за щ и т у д ля в ы бора в ари антов запрета лю бы х и зменени й д оку мента, кроме запи си и справ -

9

лени й, в став ки при мечани й и ли в в од а д анны х в поляформ, при чем у станов ленны й запретна и зменени ямож етбы ть закры тпаролем. П ри необх од и мости ограни чени яд осту па коткры ти ю файла в MS Word такж е в озмож но и спользов ани е парольной защ и ты . В этом слу чае необх од и мо в ы брать в меню С ерв и с команд у П а ра м ет ры и перейти на в клад ку Безопа сно ст ь , гд еслед у етв ы полни ть след у ю щ и ед ейств и я: в полеП а рол ь дл я откры т и я фа йл а над о в в ести пароль, а затем наж ать кнопку OK, после чего в поле Вв еди т е па ро л ь ещ е ра з над о пов торно в в ести пароль, а затем в нов ь наж ать кнопку OK. Аналоги чно мож но у станов и ть пароль д ляи зменени яфайла. Д ляэтого в меню С ерв и с в ы би раетсякоманд а П а ра м ет ры и , после перех од а на в клад ку Б езо па сн о ст ь , в в од и тсяпароль в поле П а рол ь ра зреш ен и я за пи си , затем, после наж ати якнопки OK, осу щ еств ляетсяпод тв ерж д ени еправ и льности в од а пароля пу тем его пов торени яв поле Вв еди т е па ро л ь ещ е ра з наж ати якнопки OK. Ч тобы зад ать пароль, сод ерж ащ и й д о 255 знаков , наж ми те кнопку Допол н и т ел ь н о, а затем в ы бери тети п ш и фров ани яRC4.

2. Взл ом па рол ь н ой за щ и т ы и егопредотв ра щ ен и е 2.1. М ет о ды в зл ом а па рол ь н ой за щ и т ы П реод олени епарольной защ и ты пу тем у гад ы в ани япаролясперебором ограни ченного коли честв а сочетани й бу кв , ци фр и си мв олов , в в од и мы х склав и ату ры , мож ет при в ести злоу мы ш ленни ка к у спех у ли ш ь в том слу чае, когд а пользов атель и гнори ру ет элементарны е прав и ла в ы бора пароля. Е сли в ы бран нетри в и альны й и д остаточно д ли нны й пароль, его у спеш ны й под бор в озмож ен только си спользов ани ем специ альны х программ-в зломщ и ков . О бы чно, если нет ни какой апри орной и нформаци и об и спользов анны х в пароле си мв олах , которая мож ет бы ть у чтена в настройках программы – в зломщ и ка, преж д е в сего пред у сматри в аю т под бор пароляпо слов арю . В настоящ ее в ремяд ляопред елени япароляразработан ряд специ альны х слов арей, опу бли ков анны х и ли размещ енны х в И нтернете. Т аки е слов ари сод ерж ат д есятки и сотни ты сячслов , и мен, назв ани й, наи болеечасто у потребляемы х в качеств епаролей, и могу тпод клю чатьсякпрограммам в злома паролей. П арольны ев зломщ и ки могу тнетолько пров ерять в сеслов а и з слов аря, но и форми ров ать множ еств о д ополни тельны х в ари антов , при меняяопред еленны е прав и ла в и д ои зменени яслов д лягенераци и в озмож ны х паролей. Н апри мер, прои зв од и тсяпопеременное и зменени е бу кв енного реги стра, в котором набрано слов о; меняетсяна обратны й порядокслед ов ани ябу кв в слов е; в начало и в конец каж д ого слов а при пи сы в аетсяци фра 1; некоторы е бу кв ы заменяю тсяна бли зки е по начертани ю ци фры (в резу льтате, напри мер, и з слов а password полу чаетсяpa55w0rd) и т.д . [1]. В слу чае неу д ачи слов арной атаки при меняетсяпрямой перебор разны х сочетани й бу кв , ци фр и си мв олов , что, конечно, требу ет значи тельного в реме-

10

ни , особенно у чи ты в ая в озмож ное переклю чени е в ерх него и ни ж него реги стров и расклад ки клав и ату ры . В сов ременны х операци онны х си стемах пароли закры в аю тсяс помощ ью д остаточно над еж ны х кри птографи чески х алгори тмов , что не позв оляет рассчи ты в ать на и х бы стру ю д еш и фраци ю . П оэтому парольны ев зломщ и ки и ногд а просто ш и фру ю т в се под би раемы е и ли ав томати чески генери ру емы е пароли с и спользов ани ем того ж е самого кри птографи ческого алгори тма, которы й при меняетсяд лязасекречи в ани япаролей в атаку емой операци онной си стеме, и срав ни в аю т резу льтаты ш и фров ани яс запи сями в си стемном файле, гд е х ранятсяш и фров анны епароли пользов ателей этой си стемы [1]. 2.2. Взл о м па рол ь н ой за щ и т ы при л ож ен и й Н а сегод няш ни й д ень разработано множ еств о программ по преод олени ю парольной защ и ты файлов арх и в ов (в частности , zip-арх и в ов – самы х попу лярны х в ми ре и наи более часто и спользу емы х в сети Internet). В и х чи сле Advanced ZIP Password Recovery, Fast ZIP Cracker, Ultra ZIP Password Cracker, ZIP Crack и д р., какправ и ло, и спользу ю щ и е метод перебора д ляопред елени я пароляzip-арх и в а. П арольнаякри птозащ и та программы -арх и в атора PKZIP мож ет бы ть в скры та, напри мер, разработанной корпораци ей AccessData программой, позв оляю щ ей неболеечем за д в а часа (при и спользов ани и Pentium II 500) в скры ть лю бой защ и щ енны й zip-файл. Ф айлы больш и нств а д ру ги х попу лярны х при лож ени й эта программа в скры в аетещ ебы стрее[2]. С пеци ально д ля в злома д оку ментов MS Office разработана программа OfficePassword 3.5, котораяпозв оляетпров ести в злом пароляв трех реж и мах – полностью ав томати ческом, пользов ательском, позв оляю щ ем в ру чну ю настрои ть процед у ру пои ска пароля, что особенно в аж но, если пред полагаемы й пароль сод ерж и т небу кв енны е си мв олы , и реж и ме гаранти ров анного в осстанов лени япароляпрои зв ольной д ли ны [9]. П ри отображ ени и в строкев в од а паролязв езд очек, и ногд а зв езд очки только скры в аю т сод ерж и мое этого поля, при том что и нформаци я, относящ аясяк полю в в од а у ж е нах од и тсяв памяти компью тера. В эти х слу чаях пароль, отображ енны й строкой зв езд очек, мож ет бы ть опред елен специ альны ми программами , напри мер, спомощ ью программы Revelation компани и SnadBoy [9].

3. П рогра м м ы -перех в а т чи ки па рол ей и и х в ы яв л ен и е О д ной и з наи болееопасны х атакна компью терны еси стемы являетсяатака посред ств ом программны х заклад ок, некоторы еи з которы х специ ально пред назначены д ляперех в ата паролей. П р огр ам м н ая зак л ад к а– это программа и ли фрагментпрограммы , скры тно в нед ряемы й в защ и щ енну ю си стему и позв оляю щ и й злоу мы ш ленни ку , в нед ри в ш ему его, осу щ еств лять несанкци они ров анны й д осту п ктем и ли и ны м ресу рсам защ и щ енной си стемы . [4].

11

К наи более распространенной разнов и д ности программны х заклад ок - перех в атчи ков паролей относятсяпрограммы , которы ебу д у чи в нед ренны ми в операци онну ю си стему , полу чаю т д осту п кпаролям, в в од и мы м пользов ателями , перех в аты в аю т и х , запи сы в аю т в специ альны й файл и ли в д ру гое место, д осту пноезлоу мы ш ленни ку , в нед ри в ш ему заклад ку в си стему . М ож но в ы д ели ть три разнов и д ности перех в атчи ков паролей. П ерех в а т чи ки па рол ей перв огорода (“и ми таторы ”) после запу ска и ми ти ру ю т при глаш ени е пользов ателю зареги стри ров атьсяд ляв х од а в си стему . Когд а пользов атель в в од и т и мяи пароль, заклад ка сох раняет и х в д осту пном злоу мы ш ленни ку месте, после чего зав ерш аетработу и осу щ еств ляетв ы х од и з си стемы , а на экране появляетсянастоящ ее реги страци онное при глаш ени е д ля в х од а пользов ателяв си стему [4,6]. П ред полагая, что при в в од е пароляпрои зош ла ош и бка, пользов атель пов торно в в од и т и мяи пароль, после чего в х од в си стему и д альнейш аяработа прох од ят нормально. Н екоторы е заклад ки перед зав ерш ени ем работы в ы д аю т на экран прав д опод обноесообщ ени еоб ош и бкев в од а пароля. П ри знаком, позв оляю щ и м запод озри ть нали чи е в си стеме программной заклад ки – перех в атчи ка паролей перв ого род а, являетсяпов торяю щ аясяси ту аци яснев озмож ностью в х од а в си стему сперв ой попы тки и необх од и мости пов торного в в од а пароля. Н аи более у язв и мы ктаки м перех в атчи кам паролей операци онны е си стемы , в которы х при глаш ени епользов ателю на в х од и меетпростой в и д . Д остаточно над еж ну ю защ и ту от перех в атчи ков паролей перв ого род а обеспечи в аю т операци онны е си стемы Windows NT/2000/XP. В эти х си стемах процесс Winlogon, полу чаю щ и й отпользов ателяи мяи пароль, в ы полняетсяна отд ельном рабочем поле (рабочем поле ау тенти фи каци и ), ккоторому ни какой д ру гой процесс, в том чи слеи перех в атчи кпаролей, неи меетд осту па [4]. П ри старте си стемы на экране компью тера появляетсяпри глаш ени е наж ать комби наци ю клав и ш , после чего отображ аетсярабочее поле ау тенти фи каци и , на котором в в од ятсяи мяи пароль. О д нако пользов атель в в од и ти мяи пароль несразу , а только посленаж ати я. Ч тобы перех в атчи кпаролей перв ого род а смог перех в ати ть пароль, он д олж ен су меть обработать наж ати е пользов ателем , и наче при наж ати и этой комби наци и клав и ш прои зойд ет переклю чени е на рабочее поле ау тенти фи каци и , а рабочее поле при клад ны х программ, гд е в ы полняю тсяв се программы , в клю чаяперех в атчи кпаролей, станетнеакти в ны м, и сообщ ени яо наж аты х клав и ш ах бу д у т при х од и ть на нед осту пное программной заклад ке рабочее поле [4]. П ерех в атчи кпаролей мож ет и ми ти ров ать не начальное при глаш ени е операци онной си стемы , гд е пользов ателю пред лагаетсянаж ать , а реги страци онное при глаш ени е, которое в ы св ечи в аетсяпосле наж ати япользов ателем этой комби наци и и пред лагает в в ести и д енти фи каци онное и мяи пароль пользов ателя[4,6]. О бы чно при отсу тств и и в си стемеперех в атчи ков паролей-и ми таторов это в тороепри глаш ени еав томати чески отменяетсячерез некотороев ремя(30… 60 секу нд ) и заменяетсяна начальное, если за это в ремяполь-

12

зов атель пы талсязареги стри ров атьсяв си стеме. Е сли в торое при глаш ени е (окно реги страци и ) при су тств у ет на экране компью тера д олгое в ремя, это мож етоказатьсяпри знаком при су тств и я в си стемепрограммной заклад ки . О пред еленну ю защ и ту от перех в атчи ков паролей перв ого род а мож ет обеспечи ть рекоменд аци яв сегд а начи нать работу с си стемой с наж ати я незав и си мо оттого, какоепри глаш ени еотображ аетсяна экране. П ерех в а т чи ки па рол ей в т орогорода (“фи льтры ”, клав и ату рны е мони торы , кей-логгеры ) перех в аты в аю т в се д анны е, в в од и мы е пользов ателем с клав и ату ры . П рограммы , реги стри ру ю щ и е наж ати яклав и ш клав и ату ры и перех в аты в аю щ и е д анны е, в в од и мы е с клав и ату ры , назы в аю тсяклав и ату рны ми мони торами и ли кей-логгерами . Э ти заклад ки пред став ляю т собой рези д ентны е программы , перех в аты в аю щ и е преры в ани япроцессора, и мею щ и е отнош ени е кработе с клав и ату рой. П олу ченная и нформаци я запи сы в ается в специ альны й файл, сох раняемы й на ж естком д и ске, при чем часто пред у сматри в аетсяв озмож ность пересы лки этой и нформаци и по сети . Более сов ерш енны е заклад ки анали зи ру ю т перех в аченны е д анны е и отфи льтров ы в аю т и нформаци ю , зав ед омо неи мею щ у ю отнош ени якпаролям. О д ни м и з наи болееи зв естны х являетсяклав и ату рны й ш пи он IKS (Invisible KeyLogger Stealth – нев и д и мы й клав и ату рны й ш пи он), которы й, в нед ряясь в ядро си стемы , д ейств у ет под обно д райв еру клав и ату ры и способен перех в аты в ать и запи сы в ать в ж у рнальны й файл в се наж ати яклав и ш , д аж е при в х од ной реги страци и в си стеме [9]. В ы явлени е этой программы в озмож но по нали чи ю файла iks.sys, если он не бы л переи менов ан злоу мы ш ленни ком д лясокры ти я программы . Д ру гой способ обнару ж ени якей-логгера основ ан на анали зе си стемного реестра, так как файл iks.sys пропи сы в ается не только в каталог WINDOWS\system32\drivers, но и реги стри ру етсяв реестре. И менно запи си в си стемном реестре позв оляю тв ы являть кей-логгеры с помощ ью анти в и ру сны х программ и программ пои ска троянцев ; эффекти в но нах од и т кей-логгеры , напри мер, программа The Cleaner [9]. Н екоторы е кей-логгеры , напри мер, 007 Stealth Monitor и ни ци и ру ю т процессы , которы е в и д ны в д и спетчере зад ач Windows. П ереи менов ани ефайлов клав и ату рны х мони торов являетсяод ни м и з основ ны х при емов скры ти яи х нали чи яв си стеме. Какпоказано в [4], если операци оннаяси стема д опу скает переклю чени е расклад ки клав и ату ры при в в од е пароля, то д ляэтой операци онной си стемы мож но напи сать перех в атчи кпаролей в торого род а, таккаклю бой ру си фи катор клав и ату ры , работаю щ и й в сред е Windows, перех в аты в ает в сю и нформаци ю , в в од и му ю пользов ателем склав и ату ры , в том чи слеи пароли . Защ и та отперех в атчи ков паролей в торого род а требу етв ы полнени яв след у ю щ и х у слов и й [4]: - нев озмож ность переклю чени ярасклад ки клав и ату ры в процессе в в од а пароля; - нали чи етолько у ад ми ни стратора си стемы в озмож ности конфи гу ри ров ани яцепочки программны х мод у лей, у частв у ю щ и х в полу чени и операци -

13

онной си стемой пароляи д осту па на запи сь кфайлам эти х программны х мод у лей. Л у чш е, если д осту п на запи сь кфайлам программны х мод у лей, у частв у ю щ и х в полу чени и пароля, бу д етполностью запрещ ен, а ад ми ни стратор, и ни кто кроменего, бу д ети меть д осту п на запи сь только катри бу там защ и ты эти х файлов . Л ю бы е обращ ени якэти м файлам с целью запи си , а такж е ки х атри бу там защ и ты , д олж ны реги стри ров атьсяв си стемном ж у рналеау д и та. У слов и е нев озмож ности переклю чени ярасклад ки клав и ату ры в процессе в в од а пароля, ав томати чески в ы полняемое в неру сскоязы чны х в ерси ях операци онны х си стем, нереали зу емо д ляру сскоязы чны х в ерси й, тем в аж нее в ы полнени е в торого у слов и я, которое обеспечи в аетсясоотв етств у ю щ ей поли ти кой безопасности . П ерех в а т чи ки па рол ей т рет ь егорода (“замести тели ”) полностью и ли части чно под меняю т собой под си стему ау тенти фи каци и операци онной си стемы . Т аки е программны е заклад ки ли бо в нед ряю тсяв од и н и ли несколько си стемны х файлов , ли бо, и спользу яи нтерфейсны е св язи меж д у программны ми мод у лями под си стемы ау тенти фи каци и , в страи в аю т себяв цепочку обработки в в ед енного пользов ателем пароля[4,6]. Защ и та от перех в атчи ков паролей третьего род а требу ет, чтобы под си стема ау тенти фи каци и бы ла самы м защ и щ енны м местом операци онной си стемы . Кроме того, необх од и мо строгое соблю д ени е ад екв атной поли ти ки безопасности , д елаю щ еенев озмож ны м в нед рени ев си стему каки х -ли бо программны х заклад ок, в том чи сле и перех в атчи ков паролей третьего род а [6]. С лед у ет у чи ты в ать, что ед и нств енной ош и бки в си стемном ад ми ни стри ров ани и мож етоказатьсяд остаточно д ляпрони кнов ени яв си стему программной заклад ки , котораямож ет пред при ни мать меры по пред отв ращ ени ю ее обнару ж ени я. П осле этого лю баяполи ти ка безопасности и ее неу косни тельное и сполнени е станов ятсянеэффекти в ны ми . В св язи с эти м требу етсяпри менени е д ополни тельны х мер защ и ты , ккоторы м относятсяконтроль целостности и сполняемы х файлов операци онной си стемы и и нтерфейсны х св язей каксобств енно под си стемы защ и ты , таки и спользу емы х ею [6]. Защ и та от перех в атчи ков паролей третьего род а пред полагает неу косни тельноесоблю д ени еполи ти ки безопасности , пред у сматри в аю щ ей, в частности , что только си стемны й ад ми ни стратор и меет прав о конфи гу ри ров ать цепочки программны х мод у лей, у частв у ю щ и х в процессе ау тенти фи каци и пользов ателей и осу щ еств лять д осту п ки х файлам, а такж еконфи гу ри ров ать саму под си стему ау тенти фи каци и . [4,6].

14

Ли т ера т у рн ы е и и н т ерн ет -и ст очн и ки 1. Ани н Б. П арольны е в зломщ и ки / Б. Ани н. (http://www.realdosug.ru/hack/porolnyae_vzlomchiki.html). 2. Берд К и в и . Защ и ти св ои файлы / Ки в и Берд . - « И нфоБи знес». (http://www.ibusiness.ru/offline/2000/124/10356/). 3. Л еонтьев Б. Хаки нг без секретов / Б. Л еонтьев . - М : П ознав ательнаякни га плю с, 2000. - 736 с. 4. П роску ри н В .Г . П ерех в атчи ки паролей пользов ателей операци онны х си стем / В .Г . П роску ри н.- - (http://www.crime-research.ru/library/paswper.htm). 5. С лу ж ба справ ки и под д ерж ки Windows XP. 6. С ы рков Б. П ерех в атчи ки паролей пользов ателей операци онны х си стем / Б. С ы рков . – « Internet Zone». (http://www. izone.com.ua, http://www.submarine.ru) 7. (http://www.internet.ru). 8. (http://www.securitylab.ru). 9. WebKnacKer Alex. Бы стро и легко. Хаки нг и анти х аки нг: защ и та и напад ени е/ Alex WebKnacKer. – М .: Л у чш и екни ги , 2004. – 400 с. 10. (http://www. zdnet.ru).

15

С остав и тель В лад и ми рАлександ ров и чГ олу б Ред актор О .А. Т и х оми ров а