Технические средства, используемые для перехвата информации и для защиты от перехвата.
Доступ к удаленным компьютерам через 139 порт (NetBIOS) является одним из самых простых способов добыть интересующую вас информацию (пароли к почте, dial up. Windows, ICQ и др.). Имея необходимые программы и минимум знаний, осуществить такую атаку сможет любой неискушенный пользователь.
Мы рассмотрим системы Windows 95/98, т.к. другие системы используются реже, а их взлом данным способом гораздо сложнее. Вы, наверное, работали в локальной сети и знаете, что компьютеры в сети могут открывать друг другу ресурсы (допустим, дискС: или папку Мои документы) для записи/чтения. Обмен данными происходит по протоколу NetBIOS, который, в свою очередь, в 90 % случаев использует протокол транспортного уровня TCP. Другой транспортный протокол – IPX – мы не рассматриваем, как редко используемый. Работа в Интернет мало отличается от работы в локальной сети (это источник потенциальной уязвимости тех пользователей, которые этого не понимают).
Как уже упоминалось, удаленная работа производится через порт 139 клиентского компьютера. Для получения информации о чужих компьютерах также необходимо использовать порт 137 атакуемого ПК. Чтобы получить доступ к компьютеру, необходимы следующие условия:
Ваш провайдер не должен блокировать обращения (пакеты) на 137 и 139 порты.
Провайдер атакуемого не должен фильтровать эти обращения.
Вам необходимы: операционная система Windows 95/98 и выход в Интернет без использования локальной сети.
Доступ к атакуемым дискам должен быть открыт.
Убедиться, что проблем с провайдерами не будет, вам поможет программа Essential Nettools (www.tamos.com). Можно использовать программу Legion, это не очень хорошо сказывается на результате.
Далее делаем следующее: выходим в Интернет, загружаем программу Essen-NetTools, и если все условия выполнены, начинаем атаку.
На первой вкладке программы есть 2 окошка для ввода начального и конечного IР-адреса. Вначале просканируем всех пользователей собственного провайдера. Узнаем свой IP-адрес (в окне MS-DOS набираем IPCONFIG). Предположим, ваш IP-адрес оказался 192.148.210.23. Тогда начальный адрес будет 192.148.210.1, а конечный - 192.148.210.255. Прописываем их в окна NetTools. Щелкаем на кнопке SCAN. Процесс пошел. Если все хорошо, то через несколько минут в окне результатов начнут появляться сетевые адреса вашего провайдера. В противном случае - ждем окончания сканирования. Если окно результатов так и останется пустым, это значит, что ваш провайдер блокирует эти запросы. В случае успеха отобразится информация о сетевых соединениях вашего провайдера. Она будет разбита на несколько столбцов: имя компьютера, имя рабочей группы и т.д. Для нас важна колонкаRS - там указано либо "yes" либо "по". Нас интересуют только клиенты, отмеченные как "yes".
Перехватчики сканкодов клавиатуры
Представляют угрозу для безопасности ПК перехватчики сканкодов клавиатуры, которые записывают информацию, вводимую с клавиатуры, в том числе и пароли. Обычно они пишутся под MS-DOS. Перехватчики являются резидентными программами и, конечно же, действуют незаметно для пользователей. После запуска утилита записывает сканкоды нажатых клавиш в специальный файл. Это может быть фиксированное количество нажатий или запись всех кодов на момент явной выгрузки утилиты из оперативной памяти компьютера.
По своей сути, перехватчики сканкодов клавиатуры - это программы, способные перехватить секретный ключ или незашифрованные данные, которые вводятся с клавиатуры. Существуют утилиты, которые просто заменяют алгоритм шифровки некриптоустойчивым алгоритмом. В том случае, если программист не предусмотрел достаточных средств защиты, такие программы легко могут нарушить безопасность криптосистемы. Это особенно актуально для операционных систем, которые не имеют встроенных средств защиты или средств разграничения доступа (MS DOS или Windows 95/98/Me).
В качестве примера можно привести древнее средство похищения пароля, известное еще со времен большой ЭВМ. Программа-"фантом" эмулирует приглашение ОС, предлагая ввести имя пользователя и пароль, запоминает его в каком-либо файле и прекращает работу с сообщением "Invalid password".
Существует также возможность подмены криптоалгоритма. Примером реализации может служить, например, "закладка", которая маскируется под прикладную программу-"ускоритель" типа Turbo Krypton. Эта "закладка" заменяет алгоритм шифровки при помощи платы (по ГОСТ 28147-89), реализованный в "Krypton-3", другим простым алгоритмом, который легко поддается дешифровке.
Как пример, можно использовать программуHook Dump, созданную Ильей Осиновым (Россия).
Эта программа может автоматически загружаться при включении компьютера, никак не проявляя своего присутствия. Набранный на клавиатуре текст, названия программ, в которых набирался текст, и даже скрытый пароль в Dial-Up Networking, который вообще не вводился - все это записывается в файл, находящийся в любой директории и под любым именем. Программа имеет много настроек, что позволяет определять нужную конфигурацию.
Другая программа для Windows 95/98 -KeyLook, при загрузке превращается в малоприметный минимизированный прямоугольник на панели задач, который сливается с ней по цвету и не подписан. Максимизация приводит к появлению небольшого окна с заголовкомMinimize this window. У неискушенного пользователя это не вызывает ни малейших подозрений
Кроме того, программа Hidelt (70 Кбайт) позволяет убирать с экрана или панели задач любое окно (или несколько окон) и превращать их в маленькую иконку системного меню.
Существует и другая схема атаки. Для MS DOS и Windows есть множество "закладок" чтения и сохранения паролей, вводимых с клавиатуры (из-за перехвата соответствующего прерывания), например, при работе утилиты Diskreet v.6.0. Злоумышленник вносит в файл начальной загрузки команду запуска перехватчика сканкодов клавиатуры перед строкой инициализации подключения к сети, а после этого приглашает администратора для разрешения любой надуманной проблемы (искусственно созданной или настоящей). Если администратор регистрируется на этом ПК под своим именем, то его пароль перестает быть секретом. Администратор, как правило, не проверяет содержимое файлов начальной загрузки (и вряд ли это будет уместно в условиях дефицита времени).
Если есть возможность, то злоумышленник попробует поставить перехватчик; сканкодов на компьютеры других пользователей или замаскировать вызов перехватчика сетевыми программами. Для того чтобы перепрятать файлы и каталоги со сканкодами, в ход идут любые хитрости. Например, если имя каталога состоит из символов ALT+255, то в MS-DOS такой каталог делается незаметным.
В отличие от атак на файлы PWL, которые могут быть отсроченными, время использования перехватчиков сканкодов клавиатуры очень ограничено (велика вероятность обнаружения взломщика).
Как уже подчеркивалась, большинство перехватчиков написано для MS-DOS. Самые известные из них - Keytrap, Playback, Keycopy.
Можно реализовать перехватчик и для Windows 95/98, но поскольку есть более простые и эффективные средства атак (наподобие атаки на PWL-файлы), то они не получили широкого распространения.
Значительно сложнее написать утилиты перехвата для Windows NT/2000/XP. Здесь требуется знание операционной системы на уровне системного программиста. Кроме того, для установки такой утилиты на ПК необходимы полномочия администратора Windows NT/2000/XP.
Помимо универсальных утилит перехвата сканкодов, есть и специализированные. Например, для перехвата паролей в среде Novell NetWare используется программа Getit. Она отслеживает только обращение к функции LOGIN и, таким образом, не накапливает "мусор".
