На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

КАК ХАКЕРЫ   ВЗЛАМЫВАЮТ ПАРОЛИ

Чтобы узнать пароли для работы в чужой сети, хакер должен получить доступ к чьему-либо имени и используемой в Windows NT реализации алгоритма MD4. Скопировав базу данных с паролями, хакер попытается взломать ее с помощью атаки словаря.
К каталогу sam могут обратиться только администраторы. Поэтому, чтобы запо­лучить базу данных с паролями, хакеру понадобится консоль или резервная ко­пия базы. Другими словами, хакер должен обладать физическим доступом к системе. Обеспечивая физическую безопасность сервера и резервных копий фай­лов, вы существенно уменьшаете шансы нападающего.
АТАКИ ГРУБОЙ силы
При проведении атаки на систему Windows NT хакер первым делом постарается заполучить чей-либо пароль. Если вы не установите блокировку учетных записей (Account Lockout), хакер сможет найти нужный пароль с помощью простейшего
перебора всех возможных комбинаций. Для упрощения подобной операции он может воспользоваться специальной программой, которая будет перебирать па­роли до тех пор, пока не получит правильный. Этот метод называется методом взлома паролей с применением грубой силы. В Internet широко распространена
439


одна из таких программ. Все они пытаются заполучить пароль, подставляя про­стейшие комбинации, вроде аа, ab, ас и т. д. В конце концов эта программа найдет хоть одну подходящую комбинацию. Весь вопрос только во времени.
По своей природе атака грубой силы требует консольного доступа к серверу или чтобы хакер обладал копией базы данных паролей. Если же хакер все-таки мо­жет провести такую атаку, то для взлома пароля, состоящего из 16 символов,
ему понадобится не более недели.
Наилучшим методом защиты от подобных атак является обеспечение физиче­ской безопасности сервера. Благодаря этому у хакера не останется шансов для проведения подобной атаки.
ATAKI; словаря
Для более быстрого получения паролей хакер может воспользоваться атакой сло­варя. Эта атака может проводиться двумя способами. Во-первых, хакер может попытаться перебрать все возможные слова (они расположены в файле со слова­рем) для входа в систему. Во-вторых, если у хакера есЛ копия базы данных
паролей и алгоритм вычисления смешанных значений Windows NT, то он может
попытаться зашифровать слова из словаря и сравнить их с записями базы дан­ных. Если какое-либо из значений совпадет с одним из элементов базы, то
связанное с этим значением слово является паролем.
Чтобы защититься от таких атак, попросите всех своих пользователей регулярно изменять пароли. Кроме того, вы должны периодически запускать программу Капе Security Analyst (о ней мы поговорим в главе 18) или любую другую про­грамму анализа системных паролей. Обязательно скажите своим пользователям о том, чтобы они придумывали пароли длиной не менее восьми символов. Па­роли должны состоять из чисел, букв и символов. Ни в коем случае нельзя использовать в качестве пароля какие-либо осмысленные слова, применяемые в
человеческой речи.
как заставить   ПОЛЬЗОВАТЕЛЕЙ «правильно-   составлять пароли
gjHg^  В Web существует несколько бесплатных программ, с помо-Щ щью которых можно заставить пользователей соблюдать пра­вила создания удачных паролей. Одна из таких программ вхо­дит в состав Server 4.0 Resource Kit. Мы говорим об утилите passprop. Она генерирует случайные наборы символов, кото-.»; рые могут быть использованы в качестве пароля. Кроме того, Service Pack 2 содержит динамическую библиотеку (DLL) passfilt, которая также генериру­й ет случайные наборы символов, используемые в качестве пароля.
WINDOWS NT БЕЗ ИСПОЛЬЗОВАНИЯ БЛОКИРОВКИ
Если вы не воспользуетесь блокировкой учетных записей, то по умолчанию си­стема установит нулевой период блокировки для пользователей, некорректно
регистрировавшихся в системе много раз. Благодаря этому хакер может спокой­но провести на системе атаку грубой силы. Обязательно установите блокировку учетных записей. Однако не следует устанавливать слишком большой период блокировки, иначе хакер сможет провести атаку отказа служб. Компания Microsoft рекомендует установить систему блокировки учетных пользователей, отключаю­щую пользователя после пяти неудачных попыток регистрации в системе.
АДМИНИСТРАТОР БЕЗ ПАРОЛЯ
Наиболее опасным для систем Windows NT является наличие учетных записей группы Администраторы без пароля. Несмотря на это, некоторые поставщики продают серверы Windows NT именно с такими учетными записями. Поэтому сразу же после приобретения системы проверьте ее на наличие подобных, мягко
говоря, казусов. После обнаружения такой учетной записи измените ее пароль. УЧЕТНАЯ ЗАПИСЬ АДМИНИСТРАТОРА   WINDOWS NT
По умолчанию Windows NT не может заблокировать администратора после не­скольких неудачных попыток регистрации в системе. А это значит, что он наи­более уязвим для атак словаря. Чтобы избавиться от этого недостатка системы, проделайте следующие операции:
Переименуйте учетную запись администратора так, чтобы хакер не мог
догадаться о ее предназначении.
2. Добавьте нового пользователя с именем «администратор» к группе Гости. Дайте этому пользователю очень длинный пароль. И наконец, подключи­те средства аудита неудачных попыток регистрации в системе. После этого вы должны тщательно наблюдать за «поведением» подобного «гостя».
3. Измените права администраторов так, чтобы они не могли производить удаленную регистрацию в сети. После этого для регистрации в системе они должны будут использовать консоль. Таким образом, для взлома учет­ной записи администратора хакеру не обойтись без системной консоли.
Не забудьте также блокировать всех пользователей, неудачно регистриро­вавшихся в сети пять раз подряд.
ГОСТЬ БЕЗ ПАРОЛЯ
Несмотря на то что по умолчанию в Windows NT 4.0 учетная запись Гость отклю­чена, она является неотъемлемой частью версий 3.5 и 3.51. Если вы не отключи­те учетные записи гостей, у которых нет паролей, то хакер сможет зарегистри­роваться на хосте в качестве гостя, т. е. зарегистрироваться под любым именем и с помощью любого пароля. А теперь представим худшее в этой ситуации — вы не изменили прав доступа гостей к реестру Windows и некоторым важным фай­лам. В этом случае хакер сможет нанести непоправимый вред вашей системе и
даже разрушить ее. Очевидно, что для избежания подобных ситуаций нужно
отключить учетную запись Гость. Кроме того, тщательно просмотрите права гостей; запретите им доступ к особо важным файлам вашей системы — береже­ного бог бережет.
ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ СЕРВЕРА
Как уже безопасность сервера — это
один из наиболее важных аспектов безопасности системы в целом. Далее в этой главе я расскажу вам о различных типах атак на сети Windows NT. Многие из них построены на возмож­ности доступа к серверу или к хранящейся на нем информации.
Многие администраторы утверждают, что прежде, чем начать работать сервере, хакер должен сначала зарегистрироваться. Некоторые из них при­бегают к блокировке входа. Однако все не так просто.
Если хакер получит доступ к серверу, то он может перегрузить его с помо­щью загрузочной дискеты MS-DOS I воспользоваться программой ntfsdos.exe, которая позволяет получить доступ к файловой системе NTFS. Несмотря на то что хакер может только считывать информацию, он узнает много полез­ной информации для последующего проведения атаки грубой силы. Напри­мер, он может скопировать базу данных паролей. же у него будет воз­можность воспользоваться компакт-диском с Linux, то он сможет легко взло­мать сервер с помощью этой операционной системы.
Итак, если хакер получит физический доступ к то он может взло-
мать его.
Связь NT с TCP/IP и HTTP
Машины Windows NT не поддерживают команд Unix (вроде команд NFS, NIS, Sun RPC и команд удаленной работы). И поэтому разработчикам гораздо проще удалить недостатки безопасности TCP/IP в операционной системе Windows NT, чем в Unix-системах. Кроме того, для удаленного доступа к системам Windows NT пользователи должны использовать службу удаленного доступа (RAS - Remote Access Service), а не Telnet. Благодаря этому у администратора появляется боль­ше возможностей для управления такими пользователями. Как будет рассказано далее, эта служба обладает средствами защиты от использования удаленными пользователями параметров командной строки.
Наиболее опасными для систем Windows NT являются атаки с использованием SMTP (Simple Mail Transport Protocol) и HTTP (Hypertext Transport Protocol). Поэтому, нужно сделать так, чтобы при загрузке системы службы этих протоко­лов обладали ограниченными (до прав пользователя) правами доступа. Напри­мер, службе протокола HTTP нужно предоставить только права на чтение ката­логов, содержащих Web-файлы. Если же какой-либо сценарий CG1 сгенерирует во время выполнения специфическую страницу, то в этом случае нужно предо­ставить ему права чтения-записи только для этой страницы. Ни в коем случае нельзя предоставлять службам SMTP и HTTP полный доступ   жесткому диску
сервера Windows NT.
Как уже говорилось в главе 6, HTTP — это простой протокол, в состав которого входит достаточно маленький набор команд. К сожалению, самые первые реа­лизации служб Web-серверов (Internet-Information Server - IIS), обслуживаю­щие протокол HTTP в рамках операционной системы Windows NT, обладали несколькими существенными недостатками. Благодаря им хакер мог нанести вред системе даже с помощью такого небольшого набора команд. Например, с помощью удаленного доступа к серверу любой человек (а если сервер подключен к Internet, то любой пользователь Internet) мог удалить файлы, у которых есть разрешение на удаление. При этом злоумышленнику не нужно беспокоиться о возможности своего обнаружения — все его действия не будут зарегистрированы (если, например, администратор не подключил средства аудита). Именно по­этому вы должны строго ограничить права сетевых служб и разрешения доступа к
необходимым им файлам. Кроме того, необходимо в обязательном порядке ис­пользовать средства аудита (12).
Чтобы исправить ошибку IIS, установите в системе наиболее свежую и наиболее полную версию.
Щбета-версия iis
Не так давно компания Microsoft выпустила третью бета-вер­сию которая распространяется в бесплатного программного обеспечения. В нее вошли под­держка ASP (Active Server Page), расширенная поддержка Java и поддержка динамического HTML и т. д. Чтобы загрузить бета-версию IIS 4.0, посетите Web-сайт компании Microsoft, рас­положенный по адресу http://www.microsoft.com/.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика