Противодействие - Подбор (перехват) пароля

Каковы методы борьбы с подбором пароля? Во-первых, надо всегда помнить о том, что чем пароль длиннее, тем большее число комбинаций необходимо перебрать взломщику. Поэтому, во-первых, пароль должен иметь достаточно большую длину (а во многих системах пароли менее 5-7 символов просто отвергаются, как некорректные).

Также следует помнить, что не все программы и системы передают пароли по сети в защищенном виде. Так, пароль для доступа к почтовому ящику посредством протокола http передается открытым текстом, может быть легко перехвачен и использован для того, чтобы выполнить взлом почты

Во-вторых, не следует применять в качестве пароля общеупотребительные слова. В-третьих, пароли следует периодически менять. И, наконец, в-четвертых, – самым радикальным средством является ввод в систему ограничения на ввод неправильных паролей. Скажем, после того как пользователь ввел пароль неправильно три раза подряд – скорее всего имеет место попытка подбора пароля.

Операционные системы семейства Windows NT всегда позиционировались как операционные системы высокого уровня информационной защиты. Например, в них важен регистр паролей. Пароли хранятся в специальном файле SAM (Security Account Manager), находящемся в каталоге\systemroot\\system32\ config. Точнее, в файле хранятся не сами пароли, а их хэши (hash), то есть пароли в зашифрованном виде.

Эти ОС внимательно следят за разграничением доступа к различным ресурсам. Поэтому просто так в ОС семейства Windows NT получить доступ к SAM-файлу нельзя. Теоретически, ввиду того, что обычно используется файловая система NTFS (а не FAT), другой операционной системой и не воспользоваться. Но, увы, уже давно существуют драйверы NTFS for Windows 98 и NTFS for DOS. Кроме того, SAM-файл (именуемый sam, без расширения) можно найти на диске аварийного восстановления системы или резервном носителе.

Еще один способ получения парольных хэшей – из реестра (ветки HKLM\SAM\SAM и HKLM\SECURITY), но для этого необходимо иметь административные права.

Итак, получить хэши паролей – вполне осуществимая задача. После этого с полученными хэшами взломщик может работать абсолютно спокойно и безбоязненно.

Максимальная длина пароля составляет 14 символов. Хэши паролей хранятся дважды в двух разных форматах: NT Hash и LanMan Hash. Каждая из семисимвольных половин пароля шифруется независимо от другой в LanMan Hash по алгоритму DES; NT Hash получается в результате шифрования всего пароля по алгоритму MD4. LanMan Hash содержит информацию о пароле без учета регистра (прописными буквами), а NT Hash с учетом регистра. Поэтому взломщику проще работать с LanMan Hash, а потом уже перебором получать пароль с учетом регистра. Таким образом, если пароль состоит из четырнадцати символов, то придется узнавать два пароля по семь символов каждый, а не один четырнадцатисимвольный, что гораздо проще.

Для получения файла с паролями необходимо либо иметь физический доступ к компьютеру, либо установить каким-либо способом на компьютере жертвы специальное программное обеспечение (чаще всего представляющее собой "троянские” программы, они же «backdoor»).

Однако большинство современных атак проводится удаленно. В этом случае применяется перехват паролей в сетевых пакетах. Как известно, пакеты в сети передаются от компьютера к компьютеру. В них – вся информация, которая вообще передается. В том числе и пароли, которые вводятся при процедуре аутентификации. Если злоумышленник может перехватывать пакеты, то, опять-таки, ему по силам прочесть и информацию о паролях. Тем более, что пароли зачастую передаются в открытом виде. Например, часто ли вы используете защищенное соединение при получении электронной почты?

Перехват хэша пароля.

Протокол Kerberos, неуязвимый для атак L0phtCrack, заменил протокол NTLM в качестве основного протокола аутентификации. Но это утверждение справедливо только в следующей ситуации: если в процедуре аутентификации участвуют системы на базе Windows 2000 и выше, которые находятся в одном и том же домене (или доменах, связанных доверительными отношениями – другими словами, в лесу). Во всех других случаях операционная система Windows по-прежнему использует протокол NTLM. Например, когда пользователь со станции Windows 2000 выполняет команду подсоединения к сетевому диску серверной системы Windows 2000, не входящей в состав какого-либо домена, для аутентификации используется протокол NTLM. Всякий раз, когда система Windows 2000 или выше устанавливает соединение со станцией WindowsNT 4.0, или наоборот, протоколом аутентификации также является NTLM, поскольку операционная система NT 4.0 протокол Kerberos не использует.

Конечно, лучше всего сразу же перейти на протокол Kerberos. Однако, в тех случаях, когда полностью от протокола NTLM избавиться не удается, например при взаимодействии систем NT и Windows 2000, рекомендую рассмотреть возможность дополнительной настройки параметров LMCompatibilityLevel. Параметр LMCompatibilityLevel – это настройка в реестре, которую можно отыскать в реестре по адресу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\LSA. Установив значение этого параметра, по крайней мере, в 1, можно решить проблему уязвимости пакетов LAN Manager при передаче данных по сети. Такое действие заставит программу L0phtCrack «взламывать» не пакеты LAN Manager, а пакеты самой NT, что во много раз дольше, чем расшифровка пакетов LAN Manager. С помощью параметра LMCompatibility Level можно потребовать соблюдения соглашений протокола NTLMv2 при установлении всех сетевых соединений, а это уже полностью парализует работу программы L0phtCrack.

Далее...