Безпосереднє проникнення

Як нам здається, в попередньому розділі ми досить переконливо показали, що для того, щоб зробити систему Win 9x доступною для видаленого проникнення, користувачеві потрібно так чи інакше потрудитися. На жаль, у тому випадку, коли зловмисник має фізичний доступ до системи, картина міняється на протилежну: тепер користувачеві потрібно потрудитися, щоб зробити систему по-справжньому недоступної. В більшості випадків, маючи в своєму розпорядженні достатній запас часу і користуючись відсутністю належного контролю, а також наявністю вільного чорного ходу, зловмисники розглядають фізичний доступ як можливість простого розкрадання комп'ютера. Проте в даному розділі ми не розглядатимемо погрози, пов'язані з масовими розкраданнями самих комп'ютерів, а зосередимося на деяких прихованих (а також явних) методах, що дозволяють викрасти критичну інформацію, що міститься на комп'ютері з системою Win 9x

Обхід засобів захисту Win 9x:  перезавантаження!

На відміну від Windows NT в системі Win 9x не використовується концепція безпечного многопользовательського доступу до консолі. Таким чином, будь-якому, хто має можливість наблизитися до системи з Win 9x на відстань витягнутої руки, для діставання доступу потрібно просто включити комп'ютер або виконати "жорстке" перезавантаження (hard reboot), якщо він заблокований за допомогою екранної заставки (screen saver). Ранні версії Win 95 дозволяли обходити заставку навіть за допомогою комбінацій клавіш <Ctrl+alt+del> або <Alt+tab>! Всі запрошення на введення пароля, які з'являються при початковому завантаженні, — не більше ніж косметичні заходи. Пароль Windows потрібний лише для активізації того або іншого призначеного для користувача профілю і не забезпечує захист яких-небудь ресурсів (окрім самого списку паролів, про що мовиться нижче в цьому розділі). Для обходу запрошення на введення пароля досить клацнути на кнопці Cancel, після чого продовжиться нормальне завантаження системи. Після її завершення доступ до системних ресурсів буде практично повним. Те ж саме відноситься і до всіх діалогових вікон мережевої реєстрації (їх вигляд може залежати від того, до якого типу мережі підключена система, але суть від цього не міняється).

Контрзаходи: захист консолі

Одним з традиційних методів вирішення цієї проблеми є установка пароля, що зберігається в BIOS. BIOS (Basic Input Output System) — це система низькорівневих процедур, код яких зберігається в спеціальній мікросхемі, яка встановлюється на системній платі і забезпечує початкову ініціалізацію устаткування сумісних з IBM РС комп'ютерів і завантаження операційної системи. Таким чином, система BIOS першою дістає доступ до ресурсів, тому практично всі розробники BIOS надають можливість захисту доступу до комп'ютера за допомогою пароля, що може зупинити не дуже досвідченого зловмисника. Професіонали, звичайно, можуть просто витягувати з комп'ютера жорсткий диск і підключити його до іншого комп'ютера без пароля BIOS або ж скористатися одним з численних засобів злому пароля BIOS, які можна знайти в Internet.
Звичайно, для екранної заставки також потрібно обов'язково задати пароль. Це можна здійснити в діалоговому вікні Display Properties у вкладці Screen Saver. Одна з найбільш прикрих особливостей системи Win 9x полягає в тому, що в ній відсутній вбудований механізм ручної активізації екранної заставки. Одного разу для цього ми скористалися однією хитрістю. Ключ -s програми завантаження Microsoft Office (osa.exe -s) дозволяє активізувати заставку і, таким чином, ефективно блокувати екран при кожному її запуску. Для зручності ми помістили відповідний ярлик в меню Start, так що цією командою можна було скористатися при першій необхідності. Докладнішу інформацію можна отримати в базі знань компанії Microsoft в статті Q210875 (http://search.support.microsoft.com).
Крім того, існує декілька комерційних пакетів, призначених для зашиті Win 9x, які блокують доступ до системи або шифрують вміст жорсткого диска. Шифрування файлів із застосуванням відкритого ключа виконує і дуже відома в даний час, але як і раніше безкоштовна для приватних осіб програма PGP (Pretty Good Privacy), яку поширює компанія Network Associates, Inc. (http: //www.nai.com).

Автозапуск і злом пароля екранної заставки

Перезапуск комп'ютера за допомогою кнопки Reset системного блоку або за допомогою комбінації клавіш <Ctrl+alt+del> — це дуже примітивно для зломщика-естета (або ж дуже обережного системного адміністратора, що забув пароль екранної заставки). До задоволення такої ранимої натури, існує красивіший спосіб обходу захисту системи Win 9x, в якій встановлений пароль екранної заставки. Він базується на двох недоліках системи безпеки Win 9x — режимі автоматичного розпізнавання компакт-дисків і примітивному алгоритмі шифрування пароля в системному реєстрі.
Краще всього проблема автоматичного розпізнавання компакт-дисків описується в статті Q14i059 бази знань компанії Microsoft.
"Windows постійно опитує дисковод CD-ROM, щоб визначити момент, коли в нього буде поміщений компакт-диск. Як тільки це відбудеться, виконується перевірка наявності файлу Autorun.ini. Якщо такий файл існує, то автоматично будуть запушені програми, вказані в рядку ореn= цього файлу."
Неважко здогадатися, що такий "сервіс" може обернутися несанкціонованим запуском будь-якої програми (як ви відноситеся до ідеї автозапуску Back Orifice або Netbus з піратського компакт-диска?). Проте зараз для нас важливіше інша сторона цієї медалі — в системі Win 9x програма, вказана у файлі Autorun.ini, запускається лажі під час роботи екранної заставки.
Тепер перейдемо до другого недоліку. Загальновідомо, що Win 9x перешкодить пароль, використовуваний для відключення екранної заставки, в ключі системного реєстру Hkey\users\.Default\Control Panel\screensave_data, а механізм перетворення (шифруванням це назвати важко) пароля вже вивчений. Тому не складає ніяких труднощів витягувати це значення з системного реєстру (якщо не використовуються профілі користувачів, то системний реєстр зберігається у файлі З: Windows\ USER.DAT), відновити його, а потім передати отриманий пароль системі через виклик стандартної процедури. Вуаля — екранна заставка зникла!
Такий трюк уміє проробляти програма Ssbypass компанії Amecisco (http://www.amecisco.com/ssbypass.htm), яка коштує $39.95. Існують і окремі програми-зломщики пароля екранної заставки, такі, наприклад, як 95sscr4.  Там же можна познайомитися і з багатьма іншими цікавими утилітами. Програма 95sscrk не обходить екранну заставку, а просто витягує пароль з системного реєстру і розшифровує його.

З: \TEMP>95sscrk
Win9b Screen Saver Password Cracker vl.I - Coded by Nobody
(noboaysengaiska.se)
(з) Cupyrite 1997 Burnt Toad/ak
Enterprises - lead 95sscrk.TXT before usage!
-----------------------------------------
• No filena-e in command line,
using default! (C:\windows\user.DAT)
• Rav, registry file detected, ripping out strings..
. • Scanning strings for password key...
Found password data! Decrypting ...
Password is GUESSME"
_ Cracking complete!
Enjoy the passwords!

Контрзаходи: захист екранної заставки Win 9х

Компанія Microsoft розробила модуль оновлення, який забезпечує набагато вищий рівень зашиті пароля екранної заставки, під назвою Windows Nt/2000. Проте для упертих прихильників Win9x, які можуть погодитися лише на відключення режиму автоматичного розпізнавання компакт-дисків, приведемо витяг із статті Q126025 бази знань Microsoft Knowledge Base.
1. У панелі управління клацніть двічі на піктограмі System.
2. Перейдіть у вкладку Device Manager діалогового вікна, що відкрилося.
3. Клацніть двічі на елементі, відповідному пристроям читання компакт-дисків, а потім — на елементі списку, відповідному вашому пристрою.
4. У діалоговому вікні, що відкрилося, перейдіть у вкладку Settings і скиньте прапорець Auto Insert Notification.
5. Клацайте на кнопках ОК або Close до тих пір, поки не закриються всі відкриті вікна і ви не повернетеся у вікно панелі управління. Коли з'явиться повідомлення з пропозицією перезавантажити комп'ютер, клацніть на кнопці Yes.

Виявлення паролів Win 9x  в пам'яті

Якщо після обходу екранної заставки у зловмисника ще залишився деякий запас часу, він може скористатися засобами виявлення і отримати інші системні паролі, які у відповідних рядках діалогових вікон представляються символами "*". Такі засоби швидше можна віднести до утиліт, які можуть допомогти забудькуватим користувачам, чим до інструментів зломщика, проте вони настільки хороші, що не можна їх не згадати і в даній книзі.
Однією з найпопулярніших утиліт виявлення паролів є Revelation, створена компанією Snadboy Software (http://www.snadboy.com), робота якої показана на мал. 4.7.
Ще однією подібною утилітою є Showin Робіна Кейра (Robin Keir). Серед інших утиліт такого ж класу можна відзначити Unhide, написану Вітасом Раманчауськасом. Там же можна отримати і утиліту pwltool, про яку МИ поговоримо в наступному розділі. У багатьох архівах Internet можна відшукати програму Dial-up Ripper (dripper) Корхана Кая (Korhan Kaya), яка дозволяє отримати паролі видалених з'єднань, якщо в їх властивостях був встановлений режим їх збереження. Ще раз нагадаємо, що для використання даних утиліт необхідно мати фізичний доступ до комп'ютера, на якому легальний користувач почав сеанс роботи. (Строго кажучи, якщо зловмисник має таку можливість, то навіщо йому паролі, — адже в його розпорядженні весь комп'ютер?) Проте такі програмні засоби все ж таки можуть бути загрозою в тому випадку, якщо хто-небудь має можливість безперешкодного доступу до різних комп'ютерів організації і має в своєму розпорядженні звичайну дискету з такими програмами, як Revelation. Просто представте на хвилину. що всі паролі організації можуть потрапити, наприклад, в руки студента, запрошеного для адміністрування мережі на час літніх відпусток! Так, до речі. Система Windows NT також не може протистояти таким засобам. Згадані вище утиліти виявляться безсилими лише в одному випадку: якщо в діалогових вікнах не зберігаються паролі (простіше кажучи, якщо після відкриття вікна у відповідному рядку ви не бачите зірочок, то можна спати спокійно).

Мал. 4.7. Утиліта Revelation 1.1 компаній Snadboy Software дозволяє побачити "прихований " пароль, використовуваний для доступу до спільно використовуваних ресурсів Windows

Злом файлів . PWL

Зловмисникові зовсім не обов'язково дістати доступ до комп'ютера на декілька годинників —- він може за пару хвилин переписати потрібні йому файли на дискету, а потім розшифрувати їх у вільний час, як це звичайно і робиться при використанні "класичних" утиліт злому паролів, таких як crack для UNIX або Lophtcrack для Windows NT.
Зашифровані файли паролів Win 9x (з розширенням PWL), знаходяться в кореневому каталозі Windows (зазвичай З: \windows). Ці файли іменуються аналогічно призначеним для користувача профілям системи. Тому досить скористатися простим командним файлом, щоб скопіювати на дискету всі знайдені файли паролів сміттю С:\windows\*.pwl а:
По суті справи. PWL-файл є кешированний список паролів, використовуваних для діставання доступу до наступних мережевих ресурсів.

•  Спільно використовувані ресурси, захищені за допомогою пароля.
•  Додатки, що використовують програмний інтерфейс (API — Application Programming Interface) для доступу до кешированним паролів (наприклад, Dial-up Networking).
•  Комп'ютери Windows NT, що не входять в домен.
• Паролі для входу в мережу Windows NT, які не є основними паролями входу в мережу. 
•  Сервери Netware.

Мал. 4.8. Утиліта pwltool дозволяє отримати паролі, що зберігаються в pwl-фашшх.

Ще одним хорошим засобом для злому РWL-файлов є CAIN від Break-dance (http://www.confine.com). Ця утиліта дозволяє також отримати з системного реєстру пароль екранної заставки, виконати інвентаризацію локальних спільно використовуваних ресурсів, кешированних паролів і іншої системної інформації.

Контрзаходи: захист PWL-файлов

Для тих адміністраторів, яких дійсно турбує дана проблема. можна порадити скористатися редактором системної політики Win 9x і заборонити кешування паролів. Цю задачу можна вирішити і іншим способом, створивши (при необхідності) і встановивши наступний параметр системного реєстру.
Hkey_local_machine\software\microsoft\ Windows\currentversion\policies\ Network\disablepwdcaching = 1
Якщо ви до цих пір користуєтеся однією з ранніх версій Win 95 (випушенних до появи Osr2), то з Internet можна отримати і встановити модуль оновлення. що забезпечує надійніше шифрування РWL-файла. Для цього необхідно виконати інструкції, приведені в статті бази знань компанії Microsoft за адресою http://support.microsoft.com/support/kb/articles/Ql32/8/07.asp.

PWL-файлы -- це далеко не єдина жертва програмістів-зломщиків. Наприклад, на Web-узле, розташованому за адресою http: //www. lostpasswcrc..com. міститься перелік утиліт, призначених для злому практично будь-яких паролів, починаючи від FST-файлов Microsoft Outlook і закінчуючи файлами Microsoft Word. Excel і Powerpoint (так і хочеться запитати: "Що ви хочете зламати сьогодні?"). Є також декілька програм для злому ZIP-файлов, в яких багато користувачів пересилають важливу інформацію, сподіваючись на захист таких архівів за допомогою пароля. Наприклад, утиліта Advanced Zip Password Recovery (AZPR) компанії Elcomsoft дозволяє виконати злом з помошью словника або за допомогою перебору всіх можливих варіантів. Крім того, вона є надзвичайно швидкою Т >до, і >. приведеного нижче малюнка видно, що в процесі одного сеансу роботи за одну секунду в середньому здійснювалася проверка.518783 паролів.
Ще одним хорошим вузлом з багатим вибором утиліт тестування і відновлення паролів є Web-страница Джо Песцеля. Приємно знати, що як би ви ш заплуталися в паролях, вам завжди допоможе сусід-хакер, чи не так?