[demo] Anti Hacker Toolkit

[ Pobierz całość w formacie PDF ]
.Bez ograni-czeń wynikających ze stosowania schematu LANMan (patrz omówienie implementacjiprogramu L0phtCrack), możemy tworzyć hasła 15-znakowe lub dłuższe.Możemy takżetak ustawić poniższy klucz, by zakazywał systemowi Windows przechowywanie kodówLANMan dla wszystkich haseł zmienianych w przyszłości:Wartość typu REG_DWORD powinna być równa 1.Takie rozwiązanie spo-woduje niezgodność naszego systemu z wszystkimi systemami Windows z serii 9x i Me,ale w żaden sposób nie wpłynie na zgodność z systemami 2000 i XP.Kiedy już ustawisz t�wartość, upewnij si�, że wszyscy użytkownicy zmienili swoje hasła tylko w ten sposóbmożemy wymusić obowiązywanie nowych ustawień.Jeśli nadal sądzisz, że ta prostazmiana wartości Rejestru nie wpływa na popraw� bezpieczeństwa systemu, przeanalizujnast�pujący przykład.Dla ośmioznakowego hasła różnica w przestrzeni przeszukiwania(która jest równoznaczna z różnicą czasu potrzebnego do przeprowadzenia pełnego atakupolegającego na przetestowaniu wszystkich możliwości) pomi�dzy kodem LANMana kodem MD4 jest ponad tysiąckrotna! Innymi słowy, istnieje 697 kombinacji dla koduLANMan (pami�taj, że rozważamy ośmioznakowe hasło, które w tym schemacie szyfro-wania jest rozkładane na hasło siedmioznakowe i hasło jednoznakowe) oraz 968 kombi-nacji dla kodu MD4.Studium przypadku: wykrywanie działania programu L0phtCrack w naszym systemieOprogramowanie antywirusowe może wskazać na program L0phtCrack jako program stwarzającyzagrożenie.Wynika to z faktu, że jest to bardzo przydatne narzędzie kontrolne w rękach admini-stratorów, ale także bardzo skuteczna broń w rękach hakerów, którzy instalują tę aplikację bezodpowiednich uprawnień.Program L0phtCrack pozostawia ślady w postaci plików z rozszerzeniem.lc.Jeśli narzędzie to jest aktualnie zainstalowane w systemie (nie jest uruchamiane z dyskietki),możemy przeanalizować Rejestr w poszukiwaniu ciągu znaków l0pht.Przyjrzyjmy się teraz kilkutestom, które może wykonać administrator systemu po dokonaniu odkrycia wskazującego na dostępstacji roboczej jednego z pracowników do zasobu ADMIN$ kontrolera PDC.Rozdział 8.Aamanie haseł: narzędzia testujące wszystkie możliwości 251Pominiemy kilka mniej istotnych kroków, np.sprawdzanie danych na stacji roboczej i analiza urucha-mianych poleceń.Zamiast tego skupimy się wyłącznie na hasłach w naszej sieci.Pracując w firmiezatrudniającej ponad 600 osób, musielibyśmy poświęcić mnóstwo czasu na dokładne sprawdzeniehasła każdego z pracowników; jeśli jednak od razu spróbujemy znalezć bezpośrednie dowodyłamania haseł na komputerze podejrzanego użytkownika, będziemy musieli przeanalizować tylkoniewielką ilość kluczowych danych.Najbardziej oczywistym dowodem przeprowadzonej na badanymkomputerze instalacji programu L0phtCrack jest generowany przez tę aplikację klucz Rejestru:Niestety, w podejrzanym systemie nie znalezliśmy takiego klucza.Istnieją jednak inne ślady insta-lacji programu w podejrzanym systemie.Jeden z kluczy odwołuje się do sterownika przechwytywaniapakietów, który jest wykorzystywany przez program L0phtCrack do nasłuchiwania sieci i wyłapywaniaprzesyłanych w niej kodów LANMan:Klucz ten mógł oczywiście zostać utworzony przez inne programy, jednak ustawiana przez nie po-prawna wartość powinna mieć następującą postać (zwróć uwagę na wielkość liter):W badanym Rejestrze znalezliśmy klucz NDlS3Pkt, możemy więc podejrzewać, że w systemie zo-stał zainstalowany program L0phtCrack.Sprytny pracownik mógł próbować zlikwidować większośćśladów obecności tego narzędzia; jeśli był bardzo ostrożny, mógł nawet defragmentować i nadpisaćwolną przestrzeń dysku twardego celem zabezpieczenia się przed zaawansowanymi narzędziamiodnajdującymi dane usunięte z dysku.System Windows przechowuje jednak jeszcze jeden wpiszawierający informacje o deinstalacji aplikacji L0phtCrack.Nawet po prawidłowym usunięciu pro-gramu, w Rejestrze jest pozostawiany następujący klucz:Jeśli administrator systemu znajdzie taki wpis w Rejestrze, może być absolutnie pewny, że w bada-nym systemie zainstalowano kiedyś program L0phtCrack.Kolejnym krokiem administratora możebyć przeanalizowanie wartości MRU (Most Recently Used) w poszukiwaniu plików z rozszerze-niem.lc.Nawet jeśli użytkownik przezornie usunął plik sam_pdc.lc z systemu plików, odwołaniado tego pliku nadal mogą się znajdować w Rejestrze!n n h hu nPo pobieżnym przejrzeniu poprzedniego podrozdziału poświ�conego aplikacji L0phtCrack,być może przypuszczasz, że zaszyfrowane kody haseł w systemach Windows mogą byćrównie łatwo przeglądanego przez administratora, jak plik tekstowy /etc/shadow w syste-mach Unix.Z drugiej strony, wykorzystywany w systemach Unix plik tekstowy /etc/shadowmoże być przeglądany w najprostszych edytorach tekstu lub po prostu skierowany na stan-dardowe wyjście (ekran).Utrzymywana w systemie Windows baza danych SAM manieczytelny format binarny i dodatkowo nie zezwala na tak łatwe kopiowanie czy prze-glądanie.Dlatego właśnie potrzebujemy takich narz�dzi jak pwdump lub lsadump, któregenerują na podstawie bazy danych SAM jej wersj� tekstową.252 Część II Narzędzia do testowania i ochrony komputerówuNapisany przez Todda Sabina program pwdump2 (patrz strona http://razor.bindview.com/tools/desc/pwdump2_readme.html) może być wykorzystywany do wydobywania zaszy-frowanych haseł z systemu Windows.To obsługiwane w wierszu poleceń narz�dziemusi być uruchamiane lokalnie w badanym systemie operacyjnym; w dalszej cz�ści tegopodrozdziału omówimy krótko program pwdump3, który może działać zdalnie.l nProgram musi być lokalnie uruchamiany w badanym systemie.Skupimy si� teraz na wer-sji 2.narz�dzia, które po raz pierwszy zostało opracowane przez Jeremy ego Allisonaz projektu Samba.Inaczej niż pierwsza wersja, program pwdump2 nie jest ograniczanyprzez stosowane w bazach danych SAM szyfrowanie SysKey.Metod� szyfrowania SysKeywprowadzono po raz pierwszy w systemie Windows NT miało to być dodatkowe za-bezpieczenie bazy danych SAM, jednak skuteczność tego mechanizmu pozostawia wieledo życzenia, czego dowodem jest choćby sprawne działanie narz�dzia pwdump2 [ Pobierz całość w formacie PDF ]

Linki