Непосредственное проникновение
Взлом файлов. PWL.
Злоумышленнику вовсе не обязательно получить доступ к компьютеру на несколько часов – он может за пару минут переписать нужные ему файлы на дискету, а затем расшифровать их в свободное время, как это обычно и делается при использовании "классических" утилит взлома паролей, таких как crack для UNIX или LOphtcrack для Windows NT.
Зашифрованные файлы паролей WIN 9x (с расширением PWL), находятся в корневом каталоге Windows (обычно С: \windows). Эти файлы именуются аналогично пользовательским профилям системы. Поэтому достаточно воспользоваться простым командным файлом, чтобы скопировать на дискету все найденные файлы паролей:
сору С:\Windows\*.pwl a:
По сути дела. PWL-файл представляет собой кэшированный список паролей, используемых для получения доступа к следующим сетевым ресурсам.
- Совместно используемые ресурсы, защищенные с помощью пароля.
- Приложения, использующие программный интерфейс (API – Application Programming Interface) для доступа к кэшированным паролям (например, Dial-Up Networking).
- Компьютеры Windows NT, не входящие в домен.
- Пароли для входа в сеть Windows NT, которые не являются основными паролями входа в сеть.
- Серверы NetWare.
До появления версии OSR2 в системе Windows 95 применялся очень простой алгоритм шифрования PWL-файлов, который можно было взломать с помощью широко распространенных средств без особых усилий. OSR2 (OEM System Release 2) – это промежуточная версия Windows 95, которая не продавалась в розничной сети, а устанавливалась производителями аппаратных средств (OEM – Original Equipment Manufacturer). В настоящее время при шифровании РWL-файлов используется более надежный алгоритм, однако он по-прежнему основывается лишь на данных учетной записи пользователя Windows. Это означает, что время, необходимое на подбор пароля, возросло, но сама задача взлома пароля осталась по-прежнему вполне выполнимой.
Одним из средств для взлома PWL-файлов является утилита pwltool, написанная уже упоминавшимся Витасом Раманчаускасом и Евгением Королевым. Эта утилита (рис. 4.8) может применяться для взлома заданного PWL-файла как с помощью словаря, так и путем обычного перебора всех возможных вариантов. Таким образом, успех взлома зависит всего лишь от размера словаря (pwltool требует, чтобы все слова в списке состояли из прописных символов) и вычислительной мощности компьютера. Хотим еще раз подчеркнуть, что pwltool скорее нужно расценивать как полезную утилиту для забывчивых пользователей, а не как инструмент хакинга. На наш взгляд, время можно провести гораздо полезнее, чем тратить его на взлом PWL-файла. С другой стороны, если судить формально, то такие утилиты все же представляют собой достаточно серьезную опасность.
Рис. 4.8. Утилита pwltool позволяет получить пароли, хранящиеся в pWL-фашшх.
Еще одним хорошим средством для взлома РWL-файлов является CAIN от Break-Dance (http://www.confine.com). Эта утилита позволяет также получить из системного реестра пароль экранной заставки, выполнить инвентаризацию локальных совместно используемых ресурсов, кэшированных паролей и другой системной информации.
Контрмеры: защита PWL-файлов
Для тех администраторов, которых действительно беспокоит данная проблема. можно посоветовать воспользоваться редактором системной политики WIN 9x и запретить кэширование паролей. Эту задачу можно решить и другим способом, создав (при необходимости) и установив следующий параметр системного реестра.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network\DisablePwdCaching = 1
Если вы до сих пор пользуетесь одной из ранних версий WIN 95 (выпущенных до появления OSR2), то из Internet можно получить и установить модуль обновления. обеспечивающий более надежное шифрование РWL-файла. Для этого необходимо выполнить инструкции, приведенные в статье базы знаний компании Microsoft по адресу http://support.microsoft.com/support/kb/articles/Ql32/8/07.asp.
PWL-файлы – это далеко не единственная жертва программистов-взломщиков. Например, на Web-узле, расположенном по адресу http://www.lostpasswcrc.com содержится перечень утилит, предназначенных для взлома практически любых паролей, начиная от FST-файлов Microsoft Outlook и заканчивая файлами Microsoft Word, Excel и PowerPoint (так и хочется спросить: "Что вы хотите взломать сегодня?"). Имеется также несколько программ для взлома ZIP-файлов, в которых многие пользователи пересылают важную информацию, надеясь на защиту таких архивов с помощью пароля. Например, утилита Advanced Zip Password Recovery (AZPR) компании Elcomsoft позволяет выполнить взлом с помошью словаря или посредством перебора всех возможных вариантов. Кроме того, она является чрезвычайно быстрой. Так, из приведенного ниже рисунка видно, что в процессе одного сеанса работы за одну секунду в среднем осуществлялась проверка.518783 паролей.
Еще одним хорошим узлом с богатым выбором утилит тестирования и восстановления паролей является Web-страница Джо Песцеля. Приятно знать, что как бы вы ш запутались в паролях, вам всегда поможет сосед-хакер, не так ли?