Ocenite etot tekst:


---------------------------------------------------------------
 © Copyright Pavel Agafonov
 Email: paully@minsk.lug.net
 Origin: http://www.nestor.minsk.by/kg/kg9903/kg91207.htm
---------------------------------------------------------------

     Na segodnyashnij den' v  svyazi s razvitiem setevyh i Internet tehnologij,
kogda  vse  bol'shee   kolichestvo,  kak  prostoj,  tak  i  kriticheski  vazhnoj
informacii  chelovek  doveryaet  komp'yuteram  i   seti,  osobuyu   aktual'nost'
priobretaet problema bezopasnosti v  komp'yuternom mire. Mnogie uzhe zametili,
chto  poka komp'yutery ne byli ob®edineny v  set', o bezopasnosti  hodili lish'
sluhi.  Teper' vy smozhete  oshchutit'  vse  eto uzhe na sebe. Kak vsem izvestno,
bol'shinstvo  ispol'zuemyh segodnya  v belorusskih  setyah sistem  komp'yuternoj
bezopasnosti osnovano na kontrole dostupa po parolyam i klyucham. V etoj stat'e
rassmatrivaetsya problema vorovstva setevyh parolej.

     Cel'  nastoyashchej   stat'i   ne  dovesti   do  pol'zovatelej  mnogotomnye
teoreticheskie vykladki iz specializirovannoj literatury,  no  pomoch'  lyudyam,
kotorym  v nastoyashchee vremya  vse bol'she i  bol'she prihoditsya  stalkivat'sya  s
informacionnymi  tehnologiyami  vplotnuyu, priobresti  nekotorye  prakticheskie
navyki, kotorye uzhe izdavna u professionalov v krovi.

     Vy mozhete  vozrazhat',  chto prochitali standartnuyu  instrukciyu  tipa  "ne
zapisyvaj  parol'  na manzhetah", no eto daleko ne ideal'noe sredstvo  zashchity
vashego parolya.

     CHem zhe opasno  popadanie vashego parolya k zloumyshlenniku, kotorym mozhet,
naprimer, okazat'sya  vash  sobirayushchijsya  uvolit'sya  sotrudnik  ili nachinayushchij
haker student.

     V  pervom sluchae, esli vasha set', naprimer, postroena  na osnove sistem
Windows NT i  Windows  95,  vash sotrudnik-shpion  v  techenie  dvuh-treh sutok
elementarnymi obshchedostupnymi  sredstvami vzlomaet  vsyu vashu s bol'shoj  bukvy
korporativnuyu  set',  vklyuchaya paroli  administratorov i drugih sotrudnikov i
daleko ne v edinichnom  ekzemplyare. Posle udachnogo  dekodirovaniya parolej,  a
parol' nashego pomoshchnika administratora iz chetyreh  simvolov  rasshifrovyvalsya
za  schitannye  doli  sekundy,  zloumyshlennik  poluchit  dostup  ko  vsem  bez
ogranicheniya informacionnym resursam vashej  seti, vklyuchaya  buhgalteriyu,  uchet
kadrov, otchety i prochuyu nedostupnuyu dlya nego ranee informaciyu.

     Vo  vtorom sluchae,  esli  vy, naprimer,  imeete  kommutiruemyj dostup k
postavshchiku uslug seti Internet, ili esli  vy administrator lokal'noj seti  v
obrazovatel'noj organizacii, student stol' zhe elementarnymi i obshchedostupnymi
sredstvami  ukradet  vash  parol'.  V  rezul'tate  vy budete  teryat'  krovnye
zarabotannye den'gi i ne smozhete dozvanivat'sya do postavshchika uslug  Internet
ili pod ugrozoj okazhutsya dolgie  chasy,  dni, a mozhet i mesyacy raboty  drugih
studentov ili prepodavatelej.

     Mnogie vstrechali  ob®yavleniya v  komp'yuternoj gazete s zagolovkami  tipa
"Prodam parol'..." i, na osnove  etogo,  stroili razlichnye predpolozheniya. Na
samom dele vse okazyvaetsya nastol'ko prosto, chto ukrast' chuzhoj parol' smozhet
dazhe ponyatlivyj shkol'nik na odnom iz pervyh zanyatij po informatike.

     Prezhde chem chitat' dal'she, sleduet uchest', chto vse materialy v nastoyashchem
dokumente predstavleny tol'ko s cel'yu informacii i ne  yavlyayutsya kakim by  to
ni bylo pobuzhdeniem  k dejstviyu ili bezdejstviyu. Avtor stat'i v lyubom sluchae
ne  neset otvetstvennosti ni  pered  kem, za kakoj  by  to  ni  bylo pryamoj,
nepryamoj,  fakticheskij   ili  kosvennyj   ushcherb,  poluchennyj   v  rezul'tate
ispol'zovaniya nastoyashchego materiala i materialov, na kotorye sdelany ssylki v
dannoj stat'e.

     Dlya nachala rassmotrim razlichnye vidy  kontrolya  dostupa po  parolyu  dlya
togo, chtoby pozzhe ponyat', naskol'ko prosty  metody vorovstva parolej.  Sredi
sovremennyh  komp'yuternyh  tehnologij  sushchestvuyut neskol'ko  vidov  kontrolya
dostupa po parolyu ili klyuchu, kotorye po tehnicheskim  metodam mozhno razdelit'
na tri osnovnyh vida.

     Dlya vseh  vidov harakterno, kogda, pri  nachale raboty s  informacionnym
resursom,  vo  vremya  zaprosa  dostupa  k nemu,  programmnym  obespecheniem u
pol'zovatelya v dialogovoj forme zaprashivaetsya vvod parolya s ustrojstva vvoda
ili klaviatury. Vo vremya vvoda parolya v naibolee otstalyh, s tehnologicheskoj
tochki  zreniya,  programmah parol' otobrazhaetsya na  ekrane pryamym  tekstom, v
bolee   prodvinutom   programmnom   obespechenii  on   skryvaetsya   simvolami
zamenitelyami,  naprimer,  zvezdochkami, ili  ne otobrazhaetsya vovse. K  parolyu
obychno  prilagaetsya  imya pol'zovatelya ili  naimenovanie  sistemnogo  profilya
(scheta) pol'zovatelya. Na nekotoryh sistemah imeni pol'zovatelya ne trebuetsya,
no takie  sistemy  uzhe  ustareli.  Shodnyj  algoritm  ispol'zuetsya teper'  v
osnovnom  tol'ko  pri   zashchite  licenzionnogo  programmnogo  obespecheniya  ot
kopirovaniya, naprimer, serijnye nomera.

     Itak, pervyj vid kontrolya dostupa, kogda poluchennyj parol' otpravlyaetsya
ili peresylaetsya  cherez set' ili  programme klientu v  vide chistogo  teksta.
Takoj vid kontrolya, naprimer,  ispol'zuetsya,  v takih programmah kak TELNET,
FTP, POP3, IMAP i drugih,  v osnovnom programmah nizkogo urovnya svyazi. Vzlom
zdes' ne trebuetsya vovse i krazha takih parolej ne trebuet nikakih uhishchrenij.

     Vtoroj  vid  kontrolya dostupa, kogda  poluchennyj parol' peresylaetsya na
server  v  zashifrovannom  vide.  Takoj   vid  kontrolya  dostupa  ispol'zuyut,
naprimer, Windows  NT,  Windows  95 i  drugie.  V  chastnosti dopolnitel'nymi
primerami mogut  posluzhit'  vidy kontrolya dostupa k resursam serverov WWW  v
Internet. V etom sluchae pridetsya poiskat' sredstva dlya vzloma  i rasshifrovki
parolej, kotoryj  mogut zanyat'  vremya, hotya  i ne nastol'ko prodolzhitel'noe,
kak eto opisyvayut v reklame.

     Sushchestvuet eshche i  tretij  vid kontrolya  dostupa, kogda  parol' yavlyaetsya
dopolneniem k mnogourovnevoj  sisteme  bezopasnosti  na  osnove sertifikatov
(prostye i mnogourovnevye). Estestvenno, chto sertifikaty, kak i sam  parol',
peredayutsya v shifrovannom  vide. Takih  sistem dostatochno  mnogo.  S odnoj iz
takih sistem YA  postoyanno imeyu delo po dolgu sluzhby. |to semejstvo produktov
firmy  Lotus  -  Notes/Domino.  Sistema  Notes/Domino  (tip klient-  server)
ispol'zuet   ierarhicheskuyu   strukturu    sertifikatov,   i    sootvetstvuet
specifikacii  standarta bezopasnosti C2. Pri ustanovlenii soedineniya s takoj
sistemoj  proveryaetsya ne tol'ko parol',  no i proizvoditsya poisk  odinakovyh
sertifikatov. Posle etogo vy poluchaete dostup tol'ko k tem resursam, kotorye
sootvetstvuyut  etomu sertifikatu  ili  sertifikatu,  nahodyashchemusya  na  bolee
nizkom urovne.

     Sushchestvuyut  takzhe vidy kontrolya dostupa, kotorye  yavlyayutsya kombinaciyami
bolee  prostyh vidov  kontrolya dostupa i  osnovany  na treh opisannyh vyshe i
drugih metodah.

     Pri   krazhe  parolya  i   vzlome  seti  zloumyshlenniki   takzhe   kak   i
administratory   pri  zashchite  setej  dolzhny  obyazatel'no  uchityvat'   faktor
operacionnyh sistem.  |tot  faktor zaklyuchaetsya  v  tom, chto s pomoshch'yu  imeni
pol'zovatelya   i   parolya,  kotorye  prednaznacheny  dlya  dostupa  k   odnomu
informacionnomu resursu,  mozhno  takzhe poluchit' dostup  k samoj operacionnoj
sisteme  i drugim informacionnym resursam. Primerom mozhet sluzhit'  poluchenie
elektronnoj  pochty po protokolu POP3. V  rezul'tate s pomoshch'yu perehvachennogo
pochtovogo  parolya mozhno poluchit' dostup  k  drugim informacionnym  resursam.
Imenno  po etoj prichine u takih gramotnyh postavshchikov  uslug  seti Internet,
kak,  naprimer, Otkrytyj Kontakt, ispol'zuyutsya  raznye  paroli  na dostup  k
kommutiruemomu soedineniyu i pochtovomu yashchiku.  Dalee ya budu podrazumevat' pod
Windows sistemami Windows 95, Windows 98 i Windows  NT, a pod UNIX sistemami
te, s kotorymi ya  rabotal ili rabotayu v nastoyashchee vremya, a eto takie sistemy
kak Linux, AIX, Solaris i FreeBSD.

     Teper' rassmotrim  metody vorovstva parolej. Kak  vsem  izvestno, samyj
prostoj  sposob   vorovstva   parolej   eto   prostoe  podglyadyvanie.  Krome
podglyadyvaniya eshche sushchestvuet neskol'ko  prostejshih metodov vorovstva parolej
i razlichnyh  ih kombinacij. Po tehnike ispolneniya metody krazhi parolej mozhno
razdelit' na: podglyadyvanie, perehvat i metod troyanskogo  konya. V  poslednij
metod  takzhe vhodit  ispol'zovanie tak nazyvaemyh programm "exploit",  chto v
perevode  s  anglijskogo  oznachaet  "razrabatyvat'  kopi".   Estestvenno  my
isklyuchili  metod  ryt'ya  v  musornyh korzinah,  poskol'ku  na  bumagu paroli
zapisyvayut tol'ko voistinu  glupcy, i metod  podslushivaniya stuka klaviatury,
poskol'ku  ne  vse  obladayut   ochen'   horoshim  sluhom  i   bol'shim   opytom
ispol'zovaniya klaviatury.

     Pervyj  metod  na  pervyj  vzglyad  prost,  no  s  progressom tehniki  i
chelovecheskogo  uma  nekotorye vrednye programmisty  pridumali pryatat' paroli
pod zvezdochkami  i  drugimi  simvolami, chto oslozhnilo zadachu  hakerov,  no i
hakery   okazalis'  na   vysote.   Teper'   hakery  krome   glaz  ispol'zuyut
specializirovannoe  programmnoe  obespechenie. |to programmnoe  obespechenie v
sostoyanii  zapisat' parol'  na  dostup k Internet v  fajl i otoslat' ego  po
elektronnoj pochte. Pri etom parol' "podglyadyvaetsya" takoj programmoj pryamo v
okoshke dlya vvoda parolya pod zvezdochkami, prochitav parol' napryamuyu iz pamyati.
V chastnosti dostatochno rasprostranennaya i izvestnaya  programma HOOKDUMP, kak
napisano  v  instrukcii,  prednaznachena dlya  zapisi  vsego,  chto  nabrano na
klaviature,  v fajl, opredelyaet  nazvanie okna  i  programmy, gde nabiraetsya
tekst, i  yavlyaetsya optimal'noj  dlya slezheniya i opredeleniya chuzhih parolej pod
upravleniem  operacionnyh sistem Windows. Dlya UNIX sistem  takzhe  sushchestvuyut
analogichnye sredstva.

     Vtoroj  metod tozhe prost  dlya  teh, kto  znakom hotya by  teoreticheski s
teoriej komp'yuternyh setej  i setevyh protokolov paketnogo  tipa.  V  osnove
etogo protokola lezhit sposob  peredachi  informacii po  entropii seti. V seti
Token  Ring, naprimer,  po umolchaniyu informaciya perehodit neposredstvenno ot
klienta k serveru, v seti Ethernet informaciya v moment peredachi ot klienta k
serveru prohodit  po vsem setevym interfejsam, v seti Internet, sostoyashchej iz
mnozhestva setej s razlichnymi topologiyami, informaciya peredaetsya ot klienta k
serveru  minuya cepochku  promezhutochnyh uzlov. No est' i isklyucheniya, naprimer,
pri  peredache  informacii  po  Token  Ring  k  drugim kol'cam, pri  peredache
informacii po seti Ethernet cherez horoshie i ochen' dorogie "umnye" ustrojstva
marshrutizacii,  pri peresylke informacii po seti Internet k blizhajshemu uzlu.
V  lyubom  sluchae  informaciyu  v  vide  paketov  dannyh  mogut  perehvatyvat'
promezhutochnye  uzly v  vide mostov, kommutatorov, marshrutizatorov i klientov
seti Ethernet. Osobenno  uyazvimoj v etom plane yavlyaetsya  set' Ethernet, dazhe
pri  ispol'zovanii  soedinenij na  osnove  setevyh  ustrojstv,  vitoj pary i
optiko-volokonnyh preobrazovatelej. Takim  obrazom, special'noe  programmnoe
obespechenie,   kotoroe   ispol'zuyut   hakery,  v   sostoyanii  otslezhivat'  i
perehvatyvat'  kak prostye paroli v  vide gladkogo  teksta,  tak i  paroli v
zashifrovannom vide. V osnovnom takie programmy napisany dlya Linux i Solaris,
no poskol'ku C/C++ yazyk perenosimyj kompiliruyutsya  prakticheski na lyuboj UNIX
sisteme.  Dlya  Windows  takih programm nemnogo  i  odnoj iz samyh  izvestnyh
yavlyaetsya  iznachal'no  napisannaya   dlya  Solaris   programma   pod   nazvanie
L0phtCrack.  Programma  L0phtCrack   osobo   opasna,  tak   kak,  dazhe   pri
ispol'zovanii  umnoj  setevoj  apparatury,  ostaetsya  vozmozhnost'  perehvata
parolej  pri  schityvanii  fajlov  po  seti,  naprimer,   administratorom   s
lokal'nogo  zhestkogo  diska  komp'yutera,  na kotorom  ustanovlena  programma
L0phtCrack. Pri rabote v  obychnom Ethernet  L0phtCrack v sostoyanii ne tol'ko
vorovat' zashifrovannyj parol' Windows iz reestra, no  i perehvatyvat' paroli
drugih pol'zovatelej  pri  ih vhode v sistemu, oepeohq{b`mhh falov po seti i
setevoj  pechati. Dlya  rasshifrovki Windows parolej L0phtCrack trebuyutsya  lish'
schitannye  doli sekundy. Takzhe  L0phtCrack osushchestvlyaet tak nazyvaemuyu ataku
gruboj  sily,  v  perevode ot  brute  force  attack,  kogda  parol'  Windows
vzlamyvaetsya  metodom podbora.  Dlya UNIX sistem  takim  sredstvom  yavlyaetsya,
naprimer,  ochen' izvestnaya  programma  LINUX SNIFFER, kotoraya  perehvatyvaet
paroli vo  vremya ih vvoda pol'zovatelyami  pri soedineniyah cherez TELNET, FTP,
POP3,  IMAP,  WWW  BASIC  AUTHENTICATION  i  mnogim  drugim protokolam.  |to
oznachaet, chto parol' dlya dostupa k izvestnomu platnomu resursu po finansovoj
informacii  http://www.finance.minsk.by/,  a  takzhe  k drugim informacionnym
resursam  dlya  dilerov  izvestnyh  rossijskih  kompanij  mozhet  byt'   legko
perehvachen pri utere ostorozhnosti.

     Tretij  sposob  obsuzhdat'  ne  budu,  tak  kak  bol'shinstvo  standartov
kasayushchihsya  tret'ego  sposoba  yavlyayutsya  zakrytymi, vozmozhno,  tol'ko  krome
Pretty Good  Privacy (PGP).  Takzhe  bol'shinstvo  sistem  takogo  roda  imeyut
paranoidal'nuyu  sistemu zashchity na  baze mnogourovnevogo shifrovaniya na osnove
simmetrichnyh  i nesimmetrichnyh klyuchej, sertifikatov,  elektronnoj podpisi  i
parolej. Naprimer, do sih por ni odin server na  baze Lotus Domino Server ne
byl vzloman hakerami.

     Perejdem k teme zashchity ot vorovstva parolej. Dlya togo chtoby  vash parol'
nikto  ne uznal,  i on ostalsya s  vami  dazhe  v mogile neobhodimo  sledovat'
pravilam i  principam, kotorye opisany nizhe, i starat'sya privit' eti pravila
i principy tak, chtoby, oni byli u vas v krovi.

     Pervyj princip, odin iz glavnyh v tom, chto vy dolzhny  ustanovit' paroli
na  vse chto mozhno.  |to mogut  byt'  paroli na  dostup k ustanovkam BIOS, na
vklyuchenie, komp'yutera, na zhestkij disk,  na Internet, na pochtu, na programmu
zastavki,  na kazhdyj otdel'nyj  vhod  v  sistemu i na  mnogie  drugie  veshchi,
vklyuchaya  setevye ustrojstva. Parol' dolzhen  byt' ne menee  vos'mi simvolov i
byt'  sostavlen  iz  propisnyh,  strochnyh,  special'nyh i cifrovyh  simvolov
odnovremenno.  Na  kazhdoe  otdel'no  vzyatoe ustrojstvo,  sistemnyj  schet ili
drugoj  resurs  neobhodimo  ustanovit'  neodinakovye  i neshozhie paroli,  ne
yavlyayushchiesya sinonimami  ili  palindromami, a takzhe prostymi  slovosochetaniyami
ili slovami. Kstati, pri ispol'zovanii PGP  dazhe  pri perehvate vashej  pochty
vory ne smogut  ee  prochitat', ne  imeya  vashego klyucha, kotoryj pri poluchenii
vashego parolya na vash komp'yuter mozhno legko uznat'.

     Stan'te  paranoikom v  otnoshenii  komp'yuternoj bezopasnosti, dazhe  esli
pozzhe  pridetsya lechit'sya, i  menyajte vse paroli kak  minimum kazhduyu  nedelyu.
Izmenyajte  vse   paroli  nemedlenno  pri   malejshem   narushenii  privedennyh
principov.

     Nigde,  nikogda i  ni pri kakih usloviyah ne zapisyvajte  svoj parol' na
bumagu,  ne gravirujte  ego na  chasah, kryshke stola i tak dalee. V sluchae zhe
neobhodimosti zaprite parol'  v samyj  nadezhnyj sejf v predelah zdaniya vashej
firmy, ne doveryaya sejfu banka.

     Nigde, nikogda i ni pri kakih obstoyatel'stvah ne vvodite svoj parol' na
chuzhom  komp'yutere ili rabochej  stancii znachitel'no  udalennoj ot  servera po
setevoj topologii. Osobenno  esli vas ob  etom poprosit chelovek,  u kotorogo
dostupa k informacionnomu resursu net ili dostup bolee ogranichen, chem vash.

     Esli  pol'zuetes'  uslugami  postavshchika  uslug  Internet  i,  naprimer,
obnovlyaete   svoj   server   WWW  cherez   FTP,  to   proizvodite  obnovlenie
kategoricheski tol'ko cherez pryamoe postoyannoe ili kommutiruemoe soedinenie  s
serverom postavshchika  uslug.  |to takzhe otnositsya k smene  parolej, polucheniyu
elektronnoj pochty i drugim zashchishchennym parolem sluzhbam Internet.

     Esli  k vam podoshel sotrudnik i poprosil perepisat' fajl s ego diska po
seti,  to  starajtes'  ne delat'  etogo,  tak kak sushchestvuet ochen' veroyatnaya
vozmozhnost'  togo, chto on namerevaetsya ukrast'  vash parol'.  V  takom sluchae
neobhodimo usilit' kontrol' nad sotrudnikom.

     V zaklyuchenie  hochetsya skazat', chto mnogie razrabotchiki dopuskayut ogrehi
v  sozdanii programmnogo  obespecheniya, chto pozvolyaet  hakeram ih nahodit'  i
ispol'zovat'.  Eshche mnogo ne  vzlomannyh i neizvedannyh  dyr  v  bezopasnosti
komp'yuternyh sistem, no kak govoritsya "i na staruhu, byvaet proruha".

     Dlya  administratorov  otdel'nyj sovet. Neobhodimo otkazat'sya ot TELNET,
FTP  i  prochih  i  ispol'zovat'  Secure   Shell  (SSH),  a  takzhe  regulyarno
analizirovat' zhurnaly sistemnyh sobytij. Osobennoe vnimanie  sleduet udelit'
proektirovaniyu  setej s uchetom novyh trebovanij bezopasnosti i ispol'zovaniyu
special'nyh programm "detektorov",  kotorye  opredelyayut kogda, kto, otkuda i
gde  pytaetsya  vzlomat' vashu  informacionnuyu sistemu. Ni  v  koem sluchae  ne
ispol'zovat' metod  BASIC  WWW  AUTHENTICATION dlya dostupa  k  resursam  WWW
serverov, dazhe pri ispol'zovanii Secure Server Layer (SSL) ispol'zujte metod
DIGEST  WWW  AUTHENTICATION s  shifrovaniem  na  osnove standarta  RSA  MD5C.
Obyazatel'no neobhodimo ustanovit'  sistemu FIREWALL i  usilennyh ogranichenij
dostupa. Postoyanno  sovershenstvujte  svoi poznaniya  v  oblasti  komp'yuternoj
bezopasnosti.

     Udachi v bor'be s vrednymi zloumyshlennikami i hakerami!

     S uvazheniem,
Agafonov Pavel (paully@minsk.lug.net),
Minskaya Gruppa Pol'zovatelej Linux (http://www.minsk.lug.net).

     Dopolnitel'nye resursy dlya izucheniya po teme stat'i:
Samyj  izvestnyj  server po komp'yuternoj bezopasnosti,  na  kotorom  mozhno
najti   primery   programm,   ishodnye  teksty,   novosti,   dokumentaciyu:
 http://www.rootshell.com.
Samyj izvestnyj hakerskij server poiska:
 http://astalavista.box.sk.
Server,    posvyashchennyj   UNIX   sistemam   i   administrirovaniyu    setej:
 http://www.freshmeat.org.
Server,    posvyashchennyj   UNIX   sistemam   i   administrirovaniyu    setej:
 http://www.slashdot.org.
Russkij  server  s  bazoj  programm,  na  kotorom  mozhno  najti  HOOKDUMP:
 http://www.download.ru.
Server    izvestnoj   firmy,   na   kotorom   mozhno   najti    L0phtCrack:
 http://www.l0pht.com/l0phtcrack/
Spisok rassylki po komp'yuternoj bezopasnosti:
 BUGTRAQ@NETSCAPE.ORG.


Last-modified: Sun, 18 Apr 1999 19:17:19 GMT
Ocenite etot tekst: