Справочник по безопасности - Несанкционированный доступ к информации \ Информационно-обучающий проект раскрывает практические сведения по проблемам безопасности

Несанкционированный доступ к информации

Только у нас есть настоящий патч, исправляющий любые глюки! И мы готовы предложить его всем практически бесплатно. Hо он не будет работать, если вы не уверуете, что он действительно исправляет глюки. Если вы поставили патч, а глюки не исчезли, значит вы не уверовали.

(Свидетели Иеговы глазами программиста)

Итак рассмотрев общие принципы ЗИ в компьютерных системах, можно заняться попытками ее похищения. Рассмотрим общие алгоритмы.

Аппаратные средства взлома

1. Похищение информации с КС

Подкуп должностных лиц, имеющих доступ к атакуемой КС, и похищение требуемой информации. Я думаю, комментарии здесь излишни. Будьте внимательны, чтобы люди, которых вы подкупаете, не оказались сотрудниками службы безопасности атакуемого учреждения…

2. Обход электронно-механических ключей для запуска ПК

По данному вопросу можно было бы писать очень много, т.к. стандартных систем и ключей защиты на нашей обширной родине в принципе не выпускается, и делают их либо электротехники-любители, либо узкоспециализированные фирмы по конкретному заказу отдельных учреждений. А поэтому системы и принципы функционирования могут варьироваться от обычного замка на корпусе ПК в месте кнопки включения питания, до специальных электронных ключей, включающихся в цепь блока питания ПК и блокирующих возможность включения питания без соответствующего электронного или электронно-механического ключа. Тут как говорится без топора не обойтись, причем в прямом смысле слова… Проще физически взломать защиту и бесследно исчезнуть с места, чем ломать себе голову как более эффективно обойти защиту.

Программные средства взлома

3. Сброс CMOS и паролей на начальную загрузку ПК / изменение установок BIOS

OТеория. Все настройки и в частности пароли BIOS (являются неотъемлимой частью настроек) хранятся в памяти CMOS RTC RAMª, подпитываемой аккумулятором, который расположен на материнской плате ПК. Стереть настройки можно двумя способами – аппаратным и программным.

N Цель. Технология сброса данных CMOS используется для обхода User Password и/или Supervisor Password, установленных в BIOS, и/или внесения требуемых временных изменений в настройки BIOS. Т.е. конечной целью является получение доступа к установленной ОС в ПК.

@ Методика. Чтобы аппаратно стереть CMOS проделайте следующее:

1) Отключите компьютер если это необходимо.

2) Выберите удобный вам способ сброса CMOS:

þ Мягкий. Быстрый и стандартный. Найдите на материнской плате 3-х контактный джампер (перемычку на 2 положения) с надписью Clear CMOS§ / Hold CMOS и замкните на несколько секунд джампер в противоположное положение (Clear CMOS). Затем верните перемычку назад в исходное положение (Hold CMOS). Если вы не уверены – лучше используйте жесткий метод (см. ниже).

þ Жесткий. Более медленный, но более надежный по сравнению с предыдущим. Найдите на материнской плате круглый аккумулятор. Выньте его из разъема ~ на 15 секунд и вложите обратно.

3) Включите компьютер.

Данный метод будет работать только в случае отсутствия пломб на системном блоке ПК, хотя если вы производите единичное вторжение и выбрали именно этот способ – вскрытие пломб неизбежно.

+ Помните! Опытные хакеры не оставляют следов!

Более приемлимым, однако менее работоспособным, является программный способ очистки CMOS. В этом способе используются специальные утилиты очистки данных CMOS (что-то вроде KillCmos, RemPass и т.п.). Найти их можно в Интернете почти на любом уважаемом хаккерском сайте.

+ Внимание! При очистке данных CMOS вы сбросите установленные пароли BIOS и другие настройки BIOS, что сразу же укажет на несанкционированный доступ к ПК (особенно если в BIOS установлен User Password).

Чтобы обойти это при возможности загрузки хотя бы в DOS, можно воспользоваться специальными утилитами для сохранения и восстановления настроек CMOS – напр. англ.: Flash Memory Writer для BIOS фирмы Award. Их можно скачать в Internet на сайтах производителей материнских плат под конкретную версию BIOS. Если версия и тип BIOS атакуемого ПК неизвестен – лучше запастись утилитами под максимально более обширный диапазон версий и типов BIOS (наиболее распространенные Award, AMI).

План любой атаки будет иметь 2 возможные реализации и выглядеть примерно так:

§ Есть возможность загрузиться в любую ОС.

ú Загрузка в доступную ОС и сохранение настроек CMOS с помощью указанной утилиты (см. выше).

ú Сброс данных CMOS программным или аппаратным способом.

ú Установка требуемых временных настроек CMOS (например, разрешение загрузки с дискеты).

ú Непосредственно сама атака: похищение требуемой информации, установка клавиатурных шпионов, троянов и т.п.

ú Загрузка сохраненных настроек CMOS с помощью все той же вышеупомянутой утилиты.

§ Нет возможности загрузиться в любую ОС.

ú Сброс данных CMOS аппаратным способом.

ú Установка требуемых временных настроек CMOS.

ú Непосредственно сама атака: похищение требуемой информации, установка клавиатурных шпионов, троянов и т.п.

ú Загрузка сохраненных настроек CMOS с помощью все той же вышеупомянутой утилиты.

+ Примечание. В случае если в системе был установлен пароль(и) на BIOS, был осуществлен сброс CMOS, а восстановление настроек CMOS по каким-либо причинам не возможно, для запутывания противника можно установить свой пароль на BIOS – это даст выигрыш во времени и в определенной степени смутит неопытного владельца.

4. Разрешение загрузки ПК с дискеты

OТеория. Если загрузка с дискеты запрещена, ее можно разрешить, что даст доступ к жесткому диску компьютера и данных на нем. Причем даже если это NTFS-раздел, данные можно как минимум похитить. Подробнее см. ниже.

N Цель. Досуп к ОС, а также информации на жестком диске.

@ Методика.

1) Если нет доступа к BIOS – сбросьте CMOS (см. Пункт 3).

2) Войдите в режим настройки BIOS (см. Глава 9.2 Пункт 3.1).

3) Затем в секции Advanced BIOS Features [Boot] пункт Legasy Floppy нужно установить на первую позицию в Boot Sequence чтобы попытка загрузки с гибкого диска была первой.

4) Сохраните внесенные изменения BIOS (см. Глава 9.2 Пункт 3.3).

5. Похищение пароля пользователя с помощью клавиатурного шпиона

OТеория. Существует множество клавиатурных шпионов, однако у всех у них есть один существенный недостаток – в ОС семейства Windows NT похищение пароля + не возможно по следующей причине – автоматический запуск программ происходит намного позже после аутентификации. Единственная возможность – надежда на введение паролей в прикладные программы во время рабочего сеанса, либо же подмена системного драйвера клавиатуры. При выборе "шпиона" руководствуйтесь следующими принципами:

ú "Шпионы" различаются конкретной системной реализацией, т.е. на какую ОС рассчитан данный шпион (будьте внимательны – некоторые шпионы не работают под ОС семейства Windows NT);

ú Не используйте популярных "шпионов", т.к. скорее всего они засвечены в среде популярных антивирусов. Т.н. известный и очень популярный шпион HookDump предоставляет обширные опции, однако его существенным недостатком является обнаружение оного большинством антивирусных программ (DrWeb, Kaspersky Antivirus и т.п.).

ú Возможность отправки отчета по электронной почте не заметно от владельца компьютера.

N Цель. Похищение пароля пользователя и доступ к информации под видом легального пользователя.

@ Методика.

Установите в компьютерной системе клавиатурного шпиона. Метод автор оставляет за вами.

6. Стандартные пароли в операционных системах

OТеория. © Автор метода неизвестен. Как говорилось ранее, в некоторых случаях возможен подбор пароля, для входа в систему. До недавнего времени, пользователи выбирали пароли которые легко запомнить, или даже оставляли те, которые стоят в системе по умолчанию при инсталляции. Также, очень часто пользователи используют в качестве паролей, свое имя, фамилию, имя своего бюджета, или вообще его не ставят.

@ Методика. Если у вас не хватает фантазии, вы можете поэкспериментировать с этим списком:

admin, ann, anon, anonymous/anonymous, backup, batch, bin, checkfsys, daemon, demo, diag, field, ftp, games, guest/guest, guest/anonymous, help, install, listen, lp, lpadmin, maint, makefsys, mountfsys, network, news, nobody, nuucp, nuucpa, operator, powerdown, printer, pub, public, reboot, rje, rlogin, root, sa, setup, shutdown, startup, sync, sys/sys, sysadm, sysadmin, sysbin/sysbin, sysbin/bin, sysman, system, tech, test, trouble, tty, umountfsys, user/user, user1/user1, uucp, uucpa, visitor.

+ Примечание. Вы уже поменяли свой пароль?

7. Похищение информации / паролей с помощью трояна

OТеория. Для похищения различной информации с удаленного компьютера, к которому вы не имеете доступа, можно использовать всяческие сетевые вирусы-троянцы, которые можно замаскировать под ускоритель DirectX или еще чего ни будь в этом роде. При этом желательно пользоваться самописными троянцами и проверять их популярными антивирусами перед забросом во вражеский лагерь. Или, например, пересоздать инсталляционный пакет того же DirectX (например, DirectX 10 beta – актуально на 08.10.03) с сохранением всех опций и файлов, но добавив в него клавиатурного шпиона с файлом заранее установленных настроек. Причем нужно настроить инсталляционный пакет так, чтобы шпион был запущен сразу же после инсталляции продукта или в процессе оной. Некоторые шпионы поддерживают опцию "тихой" пересылки LOG-файла по электронной почте, т.е. скрытую от глаз пользователя. Опытный администратор может элементарно отследить это, поэтому параллельно со шпионом можно самому написать программу, которая в определенное установленное время сотрет и шпиона и себя с атакуемого компьютера (это может быть дополнительная функция в самом шпионе). З.Ы.: О том как вы будете впаривать ваш "типа" самый последний beta DirectX владельцам атакуемого ПК – думайте сами!

Исходя из личного опыта могу дать совет прикладного характера по примерным местам похищения паролей. Обычно в корпоративных сетях услуги Интернета предоставляются через т.н. прокси-сервер, т.е. это может быть отдельный компьютер (специально выделенный для этих целей), а может быть и главный сервер. С программной точки зрения прокси-сервер выгоден тем, что он является шлюзом между Интернетом и общей сетью. С его помощью можно установить привилегии пользователей, напр. запретить кому-нибудь из пользователей качать из Интернета музыку и т.п. Однако для этого должна использоваться технология Авторизации Пользователей. В последнем случае неграмотный пользователь при очередном запросе логина и пароля может устать от его ввода и установить галочку "Запомнить пароль"… С точки зрения человека, который не имеет доступа к его компьютеру это ничего не даст. Однако если использовать троянца, можно украсть эти логин и пароль, ведь они хранятся в КЭШе. Таким образом, вы сможете получить доступ к системе. Конечную реализацию я оставляю на продвинутых хакеров-программистов.

Еще одним уязвимым местом подобного характера являются системы обмена сообщениями в реальном времени, например, одна из наиболее популярных – ICQ. Она также запрашивает в настройках параметры прокси-сервера в числе которых есть пункт авторизации, т.е. те самые пресловутые логин и пароль, которые нам так нужны. Опять же реализация за вами. Данный метод автором лично не проверялся, однако с теоретической точки зрения он может подтвердиться в 10% случаев (зависит от установок авторизации на прокси-сервере), что тоже хорошо.

8. Дешифрование защищенной информации / восстановление паролей

OТеория. Сие знание здесь явно не будет раскрыто, ибо для дешифрования информации нужно быть хоть чуть-чуть крипто-аналитиком, знать основные принципы шифрования, наиболее распространенные крипто-алгоритмы (см. "Криптографическая ЗИ" PAGEREF _Ref49343587 \p \h на стр. 277) и владеть несколькими языками программирования. Т.е. по сути, быть инженером-программистом. Это отдельная тема разговора в отдельной книге.

Однако не расстраивайтесь. Если данные зашифрованы в файле стандартного формата, не стоит тратить время на дешифрование данных, проще подобрать пароль, что и реализовано в множестве программ. Как известно при шифровании данных в файле хранится не сам пароль, а его хеш-сумма. Зная положение этой хеш-суммы, можно осуществить атаку по подбору оригинального пароля. Обычно используется либо метод полного перебора – при этом перебираются все возможные комбинации паролей, а на каждом шаге получения комбинации из нее формируется ее хеш-сумма, которая и сравнивается с хеш-суммой в файле. Другим вариантом является атака по словарю – в этом случае всё аналогично методу перебора, только вместо перебора комбинаций используется отдельный файл, содержащий наиболее употребимые пароли, и из них уже формируются сравниваемые хеш-суммы.

N Цель. Взлом защищенных данных.

@ Методика.

Существуют множество программ для взлома наиболее популярных и распространенных форматов файлов.

ú PWLInside 1.22

ÿ Поддерживаемые ОС: Win 9x/Me/2000/XP.

L Технические характеристики:

þ Подбор забытых паролей к *.PWL-файлам операционных систем Windows'3.11/95/OSR2/98/ME методом полного перебора.

þ Подбор забытых паролей к *.PWL-файлам операционных систем Windows'OSR2/98/ME по внешнему словарю.

þ Получение списка всех ресурсов с паролями к ним, расположенных в исходном *.PWL-файле при нахождении правильного пароля, либо при использовании ключа /P с верным паролем.

þ Расшифровка паролей к ресурсам из реестра от всех вышеперечисленных операционных систем, сохраненного в текстовом виде.

C Преимущества: Перебор паролей в 2-3 раза быстрее, чем у аналогичных программ.

ü Официальный сайт: http://www.insidepro.com/rus/pwlinside.shtml/.

+ Примечание. Так называемые PWL-файлы – это файлы с именами пользователей компьютера и с расширениями *.PWL (к примеру, Master.PWL, Sales.PWL и пр.), которые находятся в системной директории Windows. Это файлы, в которых хранятся различные аккаунты конкретного пользователя, т.е. в нем находятся пароли к расшаренным ресурсам сети (к которым подключался данный юзер, а не к ресурсам текущего компьютера), пароли на вход в NetWare/NT-сервера, пароли на Dial-Up-соединения и пр. Естественно, эти данные зашифрованы определенными алгоритмами и для их дешифрования необходимо знать пароль пользователя – а это фактически пароль на вход в Windows. А так как людям свойственно забывать свои пароли, то подбор пароля, во-первых, позволяет его "вспомнить", а, во-вторых, позволяет просмотреть список аккаунтов этого пользователя, которые Windows сохраняет в этом PWL-файле.

ú SAMInside 2.1

ÿ Поддерживаемые ОС: Win 9x/Me/2000/XP.

L Технические характеристики:

þ Получение информации о пользователях из SAM-файлов Windows'NT/2000/XP.

þ Подбор паролей пользователей из SAM-файлов операционной системы Windows'NT.

þ Подбор паролей пользователей из SAM-файлов операционных систем Windows'2000/XP, зашифрованных системным ключом Syskey!

C Преимущества: Перебор паролей в несколько раз быстрее, чем у аналогичных программ.

D Недостатки: Программа платная, в демо-версии нельзя использовать другой алфавит для перебора (цифры, национальные символы и пр.), кроме заглавных латинских букв, а также нельзя производить перебор паролей по словарю.

ü Официальный сайт: http://www.insidepro.com/rus/saminside.shtml/.

ú PacketCatch 1.0

ÿ Поддерживаемые ОС: Win 9x/Me/2000/XP.

L Технические характеристики:

þ Перехват SMB-пакетов операций входа в сеть пользователей и отображение следующей полученной информации: имя пользователя; IP адрес, с которого произведен вход; IP адрес сервера, на который произведен вход; Challenge сессии; зашифрованный LMHash; зашифрованный NTHash.

þ Установка маски подсети, в которой производить перехват.

þ Сохранение результатов в формате, который понимают другие программы для восстановления паролей к хэшам пользователей.

ü Официальный сайт: http://www.insidepro.com/rus/packetcatch.shtml/.

9. Восстановление удаленных данных

OТеория. См. "Невосстановимое удаление данных" PAGEREF _Ref52634043 \p \h на стр. 283.

N Цель. Восстановить удаленные данные с носителей информации.

@ Методика. Программное обеспечение:

ú Active@ UNERASER

ÿ Поддерживаемые ОС: Win 9x/Me/NT/2000/XP.

L Технические характеристики:

þ Восстановление удаленных файлов и папок с разделов на жестком диске, а также данных после форматирования разделов или вирусных атак;

þ Возможность запуска с дискеты;

þ Поддерживаемые устройства: IDE, ATA и SCSI жесткие диски, дискеты;

þ Съемные устройства: CompactFlash, SmartMedia, Secure Digital / MultiMediaCard, и т.п.;

þ Диски большого размера (больше 8Гб), длинные имена файлов с локализацией языка;

þ Восстановление сжатых и фрагментированых файлов на NTFS разделах;

þ Создание "образа" раздела(ов);

þ Архивация/восстановление загрузочной записи (MBR), таблицы размещения файлов и загрузочных секторов разделов жесткого диска.

þ Поддержка LBA-режима для доступа к дискам большого размера;

þ Чтение и копирование файлов с NTFS на FAT разделы.

Ó Поддерживаемые файловые системы.

þ FAT12, FAT16, FAT32, NTFS, NTFS5;

D Недостатки: Программа платная, в демо-версии стоит ограничение на максимальный размер восстанавливаемого файла.

ü Официальный сайт: http://www.uneraser.com/.

ú GetDataBack

ÿ Поддерживаемые ОС: Win 9x/Me/NT/2000/XP.

L Технические характеристики:

þ Восстановление удаленных файлов и папок с разделов на жестком диске даже в случае повреждения таблицы размещения файлов, загрузочной записи, а также данных после форматирования разделов, вирусных атак или потери питания, переразбивки диска с помощью утилиты fdisk;

þ Возможность восстановления данных с сетевого диска (необходима дополнительная утилита);

þ Длинные имена файлов;

þ Поддерживаемые устройства: жесткие диски, дискеты;

þ Съемные устройства: Zip/Jaz диски, CompactFlash, SmartMedia, Secure Digital карты, USB Flash;

Ó Поддерживаемые файловые системы. Существует в двух версиях для файловых систем:

þ FAT;

þ NTFS.

D Недостатки: Программа платная (для FAT систем – $69, для NTFS – $79).

ü Официальный сайт: http://www.runtime.org/gdb.htm.

10. Доступ к данным на NTFS разделах

OТеория. FAT файловая система была переходным звеном от ОС DOS к Windows 9x/ME, а посему ни о какой защите личной информации не может быть и речи. NTFS сменила FAT с выходом ОС нового поколения – семейства Windows NT. В NTFS файловой системе реализована аутентификация доступа к данным. Доступ к NTFS разделам из ранних версий Windows запрещен в силу политики защиты информации, а также чисто с технической позиции – принципиально разная структура файловых систем.

N Цель. Получить доступ к данным на NTFS разделе.

@ Методика. Программное обеспечение:

ú NTFS for Windows

ÿ Поддерживаемые ОС: Win 9x.

L Технические характеристики:

þ Чтение данных с NTFS разделов жесткого диска;

D Недостатки: Программа платная.

ü Официальный сайт: http://www.sysinternals.com/ntw2k/freeware/ntfswin98.shtml.

ú NTFS for DOS

ÿ Поддерживаемые ОС: DOS/Windows.

L Технические характеристики:

þ Чтение и выполнение файлов с NTFS разделов жесткого диска в обход NTFS защиты;

D Недостатки: Программа платная.

ü Официальный сайт: http://www.sysinternals.com/ntw2k/freeware/ntfsdos.shtml.

ª RTC RAM (англ.: Real Time Clock Random Access Memory) – оперативная память часов реального времени.

§ Возможный вариант – англ.: Reset CMOS.