На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Перехват данных аутентификации

В случае, если пароль подобрать не удастся, злоумышленник может попытаться получить данные пользовательской учетной записи, "подслушивая" информацию, которой системы обмениваются при входе в системы семейства Windows NT. Для проведения таких атак суще­ствует множество средств и технологий, но в этом разделе будут описаны только самые рас­пространенные из них:
▼ анализ аутентифи кационных данных, перехватываемых непосредственно из линии пе­редачи данных (sniffing); ■ захват данных аутентификации с использованием ложного сервера; * атаки посредника.
НА ЗАМЕТКУ
Термин сниффинг (sniffing), которым обозначается перехват и анализ данных, передаваемых по сети, произошел от названия популярного набора программ для мониторинга сети Network Associates Sniffer.
Поскольку атаки данного типа довольно специфические, для них лучше всего использо­вать специализированные средства, которые мы и рассмотрим в этом разделе.
НА ЗАМЕТИ*
Изучение этого материала предполагает знакомство с протоколами аутенти­фикации для глобальных сетей, в том числе и с механизмом "запрос-ответ" протокола NTLM, который был описан в главе 2, "Архитектура системы безо­пасности Windows Server 2003".
Перехват данных аутентификации по протоколу Kerberos


Популярность

5

 

Простота

3

 

Опасность

9

 

Степень риска

6

 

Да, все правильно: перехват ауте нтф и кап ионных данных Kerberos. Возможность перехвата данных при аутентификации по протоколам LM/NTLM известна давно, а вот то, что то же самое касается и входа в системы Windows 2000 (и следующие версии Windows) при аутенти­фикации по протоколу Kerberos, еще не получило такой широкой огласки. Для перехвата данных применяются программы KerbSniftyKcrbCrack, созданные Арне Видстромом (Агпе Vidstrom) и доступные по адресу ntsecurlty. ни. Мы сами не верили в возможности этих программ, пока не опробовали их на практике и не получили реальных результатов.
Программы KerbSniff и KerbCrack работают в тандеме. Программа KerbSniff прослушивает сеть и извлекает аутентификационные данные для домена Kerberos. Полученная информация сохраня­ется в указанный пользователем файл (в нашем примере output. txt), как показано ниже.
С:\ikerbeniff output.txt
KerbSniff 1.2 -  (с) 2002, Arne Vidstrom
- http://ntsecurity.nu/toolbox/kerbcrack/
Available network adapters:
0 - 192.168.234.34
1 - 193.168.234.33
2 - 192.168.208.1 4  - 192.16S.223.1
Select the network adapter to sniff on: 1 Captured packets: *
Для прекращения перехвата данных нужно нажать комбинацию клавиш <CTRL+C>. Звездочка после строки Captured packets соответствует количеству зарегистрированных попыток входа в систему.
После перехвата данных можно воспользоваться программой KerbCrack, которая выпол­няет непосредственной подбор пароля или подбирает пароль по файлу словаря, в зависимо­сти от имеющегося в распоряжении времени и вычислительной мощности компьютера. В следующем примере мы использовали вариант подбора пароля по словарю.
С:\>1свгЬсгас1с output.txt -d dictionary.txt
KerbCrack 1.2 -   (c)   2002,  Arne Vidstrom
- http://ntsecurity.nu/toolbox/kerbcrack/
Loaded capture file.
Currently working on: Account name - administrator From domain - VEGAS2 Trying password - admin Trying password - guest fj-vi nn n;isswnr<i  - гопГ
Number of cracked passwords this far: 1 Done.
Последний в списке пароль — взломанный пароль (в нашем примере root).
Программа KerbCrack взламывает пароль только для последнего пользователя в записях файла KerbSniff. Для взлома паролей различных пользователей при­дется вручную рассортировать записи в разные файлы. Кроме того, мы замети­ли, что KerbSniff часто добавляет символ m или п к именам учетных записей.
Теоретическую основу этой атаке дал в своей статье Фрэнк О'Двайер (Frank O'Dwycr), кото­рая вышла в свет в марте 2002 года. (см. раздел "Дополнительная литература и ссылки" в конце этой главы). Дело в том, что в Windows-реализации протокола Kerberos до аутентификации от­правляется пакет, в котором содержится известный текст (временная метка), зашифрованный с помощью ключа, который был получен по паролю пользователя. Таким образом, прямоли­нейная атака или использование словаря, которые позволяют расшифровать этот предваритель­ный пакет и выделить из него структуру, подобную стандартной временной метке, позволяют взломать пароль пользователя. Эта проблема была актуальна для протокола Kerberos версии 5.
Меры противодействия перехвату паролей для протокола Kerberos


Бюллетень

Нет

BID

Нет

Исправлено в SP

Нет

Фиксируется

Да


В нашем эксперименте добавление шифрования для защищенного канала (см. главу 2, "Архитектура системы безопасности Windows Server 2003") не позволило остановить эту ата­ку. К моменту создания этой книги компания Microsoft никак не отреагировала на существо­вание этой проблемы. Поэтому остается только одно проверенное средство защиты — выби­рать надежные пароли. Фрэнк О'Двайер в своей статье говорит о том, что на взлом пароля длиной в восемь символов, который содержит буквы различных регистров и числа, потребу­ется 67 лет работы на стандартном компьютере Pentium 1.5 ГГц. Поэтому использование функции принудительной сложности паролей в системах Windows Server 2003 позволяет от­срочить взлом вашего пароля на какое-то время ©. Не забывайте, что если пароль можно найти в словаре, он будет немедленно взломан.
Перехват аутентификационных данных


для протокола LM

 

 

 

Популярность 7

 

-

Простота 2

 

 

 

 

 

Опасность 10

 

 

 

Степень риска 6

 

 

 

Программа аудита паролей LOphtcrack является одной из самых известных среди людей, связанных с зашитой систем, и даже среди тех, кто просто занимается программным обеспе­чением. Хотя ее главное назначение — взлом паролей после отключения от сети, последние версии поставлялись с дополнительным модулем SMBCapture, который может перехватывать аутентификационные данные при использовании сценария "запрос—ответ" и передавать их
механизму взлома пароля LOphtcrack. Взлом паролей и программу LOphtcrack мы опишем в главе 8, а в этой главе сосредоточим внимание на возможностях этой утилиты по перехвату аутентификанионных данных и их расшифровке.
Как указывалось в главе 2, "Архитектура системы безопасности Windows Server 2003", не­достатки алгоритма хеширования по протоколу LM дают взломщику возможность перехва­тить передаваемые по сети данные, чтобы определить хешированный пароль, и затем, уже от­ключившись от сети, спокойно попытаться взломать его. И это при том, что сам хеширован­ный пароль никогда не передается по сети! Подробное описание процесса получения хеши-рованного пароля по информации "запрос—ответ" протокола'ЬМ приведено в документации LC под заголовком "Technical Explanation of Network SMB Capture" ("Техническое описание программы Network SMB Capture"), но основные механизмы мы поясним здесь.
Основная проблема алгоритма LM состоит в способе создания хешированного пароля пользователя, который вычисляется по двум отдельным семисимвольным сегментам пароля учетной записи. Первые восемь байт получают по первым семи символам пароля пользовате­ля, а вторые восемь байт — по символам пароля С восьмого по четырнадцатый.
Первые 6 байт хешированного пароля LM
Вторые в байт хешированного пароля LM
Вычислены по первым 7 символам Вычислены по вторым 7 символам пароля учетной записи пароля учетной записи
Каждую часть можно атаковать полным перебором всех возможных 8-байтовых комбина­ций. Для процессора современного настольного компьютера это очень простая задача. Таким образом, если злоумышленник может узнать хешированный пароль пользователя, то в конце-концов он получит и сам пароль.
Так каким же образом программа SMB Packei Capture вычисляет хешированный пароль LM из данных обмена запросами и ответами? Как мы уже говорили в главе 2, "Архитектура системы безопасности Windows Server 2003", во время аутентификации по протоколу LM или NTLM хе­шированные пароли не передаются по сети. Оказывается, "ответ" для запроса NTLM создастся с использованием хешированного пароля для шифрования 8-байтового запроса. Поскольку де­лается очень простое преобразование, то зная ответ легко простым подбором определить исход-нос значение хешированного пароля. Эффективность этого процесса крайне зависит от длины пароля. В конечном счете программа SMB Packet Capture может выделять хешированные паро­ли из передающихся по сети данных, если она может перехватывать ответ протокола LM. Ис­пользуя похожий механизм, можно получить и хешированные пароли для механизма "запрос-ответ" протокола NTLM, но в настоящее время из аутентификациейных данных по протоколу NTLMv2 такую информацию извлечь невозможно. На 5 показано окно программы SMB Packet Capture во время получения из сети ответов LM и NTLM.
После захвата хешированных паролей LM или NTLM их можно импортировать в программу LOphtcrack для взлома (см. главу В, "Расширение сферы влияния"). В зависимости от надежно­сти паролей, расшифровка действительного пароля может занять от нескольких минут до не­скольких часов.
Некоторые важные замечания по программе SMB Packet Capture.
» В данный момент невозможно получить хешированные пароли перехватив аутенти­фикационные данные при установке соединения между системами под управлением Windows 2000 или более поздних версий Windows (одна из систем, клиент или сервер, должна работать под управлением этой версии Windows). В нашем эксперименте (мы применяли последнюю версию 4 пакета LC) нам удалось вычислить LM-ответы только при обмене данными систем под управлением Windows NT. Если на обоих концах со­единения работают системы под управлением Windows ХР, 2000 или Server 2003, то программа SMB Packet Capture не способна перехватать ни одного полезного пакета.
SMB Packet Capture позволяет перехватывать только данные, передаваемые по совместно используемым, а не коммутируемым каналам связи (хотя это ограничение можно обой­ти, применяя перенаправление ARP и подмену данных кэша DNS в сетях Ethernet, см. Секреты хакеров. Безопасность сетей — готовые решения, четвертое издание, глава 9).
Время взлома перехваченных хешированных паролей прямо пропорционально количеству взламываемых паролей. Замедление работы происходит из-за того, что все хешированные пароли шифруются независимо, и результаты работы, проделанной при взломе одного па­роля, нельзя использовать для взлома другого пароля (что не распространяется на хеширо­ванные пароли, полученные из памяти реестра). Таким образам, взлом десяти хеширован­ных паролей потребует в 10 раз больше времени, чем взлом одного пароля. Этим в опреде­ленных ситуациях ограничивается эффективность данного метода проверки паролей.
Во время работы программы SMB Packet Capture в системе должен быть установлен и запушен драйвер WinPcap v.2.1 (программа LC устанавливает его автоматически, по­сле этого драйвер запускается при каждой загрузке системы).
Чтобы проверить правильность установки драйвера WinPcap, посмотрите, появилось ли назва­ние этой программы в оснастке панели управления Add/Remove Programs (Установка и уда-пение программ). Вовремя работы SMB Packet Capture можно проверить, загружен ли драйвер, для этого необходимо запустить компонент Administrative Tools (Администрирование)^ Computer Management (Управление компьютером), это файл compmgmgt .rose. В левом окне от­кройте ветвь System Tools (Служебные nporpaMMbi)^System Information (Сведения о системе)1^ Software Environment (Программная среда)е>Огтиеге (Драйверы). Здесь должна быть запись pack.et_2 .1 с отметкой "Running" (выполняется). Также проверьте, нет ли в системе программы-брандмауэра, которая может помешать корректному перехвату пакетов драйвером WinPcap.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика