Segítség, betörõk!
Computer Panoráma Online 2005.03.04. 23:30
Míg a Microsoft a professzionális területre készült termékek (Windows NT 4.0 és Windows 2000) tervezésénél tudatosan koncentrált a biztonságra, addig a Windows 95/98/ME fejlesztésénél, a felhasználóbarátság kedvéért, elhanyagolta ezt a témát. A hackereket egyenesen csalogatják a gyenge pontok, hogy behatoljanak a rendszerekbe. Írásunkban "hacker-szemmel" világítunk rá a Windows gyenge pontjaira, hogy azután ki-ki megvédhesse komputerét a támadásoktól.
Manapság szinte minden számítógép-használónak vannak olyan adatok a gépén, amelyeknek az elvesztése, illetve az újbóli elõállítása a PC árának többszörösébe kerülne. És akkor a további kockázatokat még figyelembe se vettük: ugyan ki szeretné az utolsó adóbevallását vagy bizonyos leveleit rossz kezekben tudni? Az egyedülálló PC-t ugyan inkább a külsõ hatások (vírusok, lopás stb.) vagy a hibás kezelés veszélyezteti, ennek ellenére rengeteg más lehetõség is van személyes adatokhoz jutni: otthon vagy az irodában alapvetõen mindenki hozzáfér a géphez - és még a legfifikásabb BIOS-jelszó sem ér sokat, ha a számítógép az ebédszünetben bekapcsolva marad. A magánfelhasználók, de gyakran még a vállalatok is visszariadnak egy jó tûzfal költségeitõl, vagy a kényelem kedvéért lemondanak a BIOS-jelszóról, így a jövõben is könnyû prédái lesznek mindenfajta hackertámadásnak.
A fizikai támadás
A számítógépek védelmének nem túl gyakori módja a BIOS-jelszó beállítása, amelyet a felhasználónak a számítógép minden indításához be kell írnia, mielõtt a grafikus felület megjelenne. Sajnos, a hackereknek arra is vannak módszereik, hogy ezt a védelmet megkerülve jussanak be a rendszerbe. Alapigazság, hogy minél öregebb egy számítógép és vele együtt a BIOS, annál könnyebb kikerülni, illetve feltörni a védelmet. A BIOS-jelszavas lezárás megkerülésének, illetve feltörésének három alapvetõ módját különböztetjük meg:
- általános jelszó használata
- a jelszó megszerzése a memóriából
- a CMOS szoftverének törlése
Az általános jelszó használata
A különbözõ BIOS-verziók gyártói egy általános vagy default jelszót adnak arra az esetre, ha a biztonságáért aggódó felhasználó egyszer el találná felejteni a jelszavát. Ezekkel a jelszavakkal a számítógépet az utoljára használt és mentett jelszótól függetlenül el lehet indítani. Ezeket a jelszavakat számos oldalról be lehet szerezni az interneten, de valójában a legtöbbnél kérdéses, hogy vajon még mûködnek-e, vagy már teljesen elavultak.
A jelszó megszerzése a memóriából
A jelszó memóriából történõ megszerzése feltételezi, hogy a gép már elindult, ilyenkor ugyanis segédprogramokkal el lehet érni a memóriában tárolt jelszót. A különbözõ BIOS-verziókhoz különbözõ programok vannak, amelyek megtalálhatók az interneten.
A CMOS szoftverének törlése
Ha a hacker nem talál általános jelszót vagy megfelelõ segédprogramot, nem marad más hátra, mint törölni a BIOS-t, és azzal együtt a jelszót is. Azt figyelembe kell vennie, hogy ilyenkor a rendszerbeállítások is elvesznek. A BIOS törléséhez megint csak segédprogramokat használnak a "betörõk", ezek közül az egyik legismertebb a KiLLCMOS32. Ez a segédprogram minden beállítást töröl, és minden BIOS-verzióhoz használható. Mindenesetre a rendszernek már futnia kell a használatához. A program egy érvénytelen értéket helyez el a CMOS-ban, és ez úgy hat, hogy minden ott tárolt adatot (a jelszót is) újra meg kell adni. A használatának a feltétele azonban az, hogy a számítógép már mûködjön, és szabad legyen a hozzáférés.
Támadás belülrõl
|
De mi van akkor, ha valaki mondjuk az ebédszünetben fizikailag fér hozzá a számítógéphez? | A jobban informált internet-felhasználók néha azt hiszik, hogy egy rendszert csak az internetrõl érhetnek támadások, és ez ellen egy tûzfallal jól meg is védik a gépüket. De mi van akkor, ha valaki mondjuk az ebédszünetben fizikailag fér hozzá a számítógéphez? Milyen módszereket fog alkalmazni, hogy kikerülje a képernyõvédõt és jelszavakat olvasson ki? Hogy a számítógépünk rövid távolléteink alatt védve legyen a kíváncsi szemektõl, arról a legegyszerûbben képernyõvédõ-jelszóval gondoskodhatunk a Windows 95/98/ME alatt. Ez a képernyõvédõ bekapcsolása után csak a megfelelõ jelszót megadó felhasználónak engedi meg a rendszer elérését. Windows 95/98/ME alatt a Képernyõ tulajdonságai ablakban a Képernyõkímélõ regiszterlapon a képernyõkímélõ bekapcsolása után zárolni lehet a rendszer elérését. Ha mások is hozzáférnek a PC-nkhez, alapvetõen be kell állítanunk ezt a jelszót, mert különben könnyen csúnya tréfát ûzhetnek velünk: képzeljük el, hogy valaki három perc után induló jelszavas képernyõvédõt állít be a gépünkön. Ezután elég egy rövid szünet (telefon vagy hasonló), és máris megakasztotta a munkánkat. Hiszen jelszó híján nem jutunk a PC-hez újraindítás nélkül. Akkor viszont elveszhetnek az adatok, amelyeket esetleg még nem mentettünk - nagy az ár.
A jelszóvédelem feltörése
Az alábbiakban megvilágítjuk, milyen könnyû egy képenyõkímélõ jelszavát kikapcsolni, illetve kikerülni, ha a hackernek ehhez elég ideje és tudása van. Valójában meglehetõsen primitív, ám hatásos módszer a képenyõkímélõ-jelszó kikerülésére: a számítógép újraindítása a reset gombbal. Ilyenkor a nem mentett adatok elvesznek, ami többnyire ahhoz vezet, hogy a rendszer felhasználója észreveszi az idegen behatolást. A Windows 95 alatt a Microsoft még egyszerûbb módot kínál a képernyõkímélõ kikerülésére: a Ctrl+Alt+Del billentyû-kombináció lenyomásával - mondhatni "majomfogással" - célzottan be lehet zárni a képernyõkímélõ program taskját. E támadás ellen csak a Windows 95 Windows 98/ME-re frissítése nyújt védelmet. A képernyõkímélõ-jelszó elkerülésének ilyen kísérletei az NT/2000-nél is hatástalanok.
A betörés elõkészítése CD-vel
A PC-t a BIOS-szal, a képernyõkímélõt jelszóval zároltuk, és talán még a jelszót is úgy választottuk meg, hogy az betûk és számok kombinációjából álljon - most aztán a PC-nk szünetben is bevehetetlen, vagy lehet, hogy mégsem? A következõkbõl kiderül, hogy milyen eszközöket vethet be ebédszünetben egy potenciális hacker, hogy minden igyekezetünk ellenére hozzáférjen az adatainkhoz. A Windows 95/98/ME a CD-ROM-meghajtóhoz alapértelmezésként az autoplay (automatikus lejátszás) opciót használja. Ez nagy baj, mert van néhány program, amelyeket az automatikus lejátszás funkcióval, a jelszómegadást kikerülve, fel lehet másolni.
Védekezés automatikus indításos támadások ellen
Ezeket a támadásokat úgy védhetjük ki, ha Windows 95/98/ME alatt kikapcsoljuk az automatikus lejátszás funkciót. Ez a következõképpen mûködik: A Vezérlõpulton kattintsunk duplán a Rendszerre, válasszuk az Eszközkezelõ fület, kattintsunk duplán a CD-ROM-ra, és aztán a CD-ROM meghajtójára. A Beállítások regiszterlapon távolítsuk el a pipát az Automatikus lejátszás elõl.
A jelszavak kikémlelése
A helyi támadásoknál nagy szerepe van a jelszavak kikémlelésének. Jelszófeltörõk segítségével a hackerek szinte minden, Windows alatt tárolt jelszót meg tudnak szerezni, hogy azután elérjenek velük jelszóval védett fájlokat, az internetet vagy a hálózatot, illetve ezek bizonyos területeit. Sajnos, a Microsoft nagyon megkönnyíti a betolakodóknak, hogy hozzáférjenek ezekhez az információkhoz, a felhasználóik pedig egyre nehezebbé teszi a jelszavak elrejtését. Az Internet Explorer a 4. verziótól kezdve egy automatikus kiegészítést használ, amely a belépési adatok megadása után megkérdezi a felhasználótól, hogy szeretné-e menteni ezeket. Az így tárolt információkat egy jelszófeltörõ segítségével nagyon könnyû kiolvasni. Különösen veszélyes ez a telefonos kapcsolatnál, mert akár odáig is vezethet, hogy valaki, az adatokat kiolvasva, a felhasználó költségén szörfözik az interneten.
A jelszófájlok
|
...a hackereknek számtalan eszköz áll a rendelkezésükre a hálón... | A Windows 95/98/ME PWL fájlokban tárolja a jelszavakat és felhasználói neveket. A PWL a PassWord Library rövidítése. Minden felhasználói profil tartalmaz egy saját PWL fájt, a fájlnév pedig a mindenkori felhasználó neve lesz. Példa: ha a Windowsba Jani néven jelentkezünk be, a PWL fájl neve Jani.pwl lesz. A Windows minden PWL-fájlt a Windows könyvtárban tárol, tehát a c:\windows\ alatt. Windows 95/98/ME alatt minden program eléri a PWL fájlokat, hogy adatokat tudjon elhelyezni bennük, így tárolódnak például a meghajtók és a nyomtatók hozzáférési jelszavai, a telefonos kapcsolat jelszavai és a Windows bejelentkezõ nevek. A Microsoft a Windows 95 elsõ verzióiban nem nagyon strapálta magát a kódolás algoritmusával, ami viszonylag egyszerûvé tette a hackereknek ezek megfejtését, illetve feltörését. A következõ verziókban már olyan kódolási technikákat használtak, amelyeket ugyan továbbra is számos segédprogrammal fel lehet törni, mindez azonban már sokkal több idõbe telik. Egy PWL fájl tartalmaz egy header-t, valamint a fájl létrejöttének a dátumát, továbbá úgynevezett rekordokat tárol, amelyek a tulajdonképpeni jelszavakat õrzik. A felhasználói névbõl és a jelszóból a Windows 9x egy 32 bit hosszúságú kódot generál. Mindegy, hogy a jelszó hosszabb vagy rövidebb 32 bitnél, a kód mindig ilyen hosszú. Ezzel a kóddal és az RC4 algoritmus egy változatával kódolják az adatokat a PWL fájlokban. Az RC4 egy szimmetrikus kódolási eljárás, amelynél mindkét kommunikációs partner ugyanazt teszi - csak ellenkezõ irányban. A feladó egy kulccsal kódolja az átvitelre szánt adatokat, a fogadó pedig ugyanezzel a kóddal fejti meg az üzenetet. A szimmetrikus kódolás elõnye mindenekelõtt a kódolás nagy sebessége, és az, hogy az eljárást könnyû implementálni. Hátrányként jelenik meg a kódkicserélés problémája és a ráfordítás-igényes kódnyilvántartás. Sajnos ezt a kódot a megfelelõ eszközzel másodpercek alatt fel lehet törni, ehhez a hackereknek számtalan eszköz áll a rendelkezésükre a hálón, továbbá a trójaiakba is gyakran vannak integrálva olyan programok, amelyek lehetõvé teszik a cél számítógép valamennyi jelszavának az azonnali kiolvasását.
Védekezés a jelszófeltörõk ellen
A Windowshoz sok jelszófeltörõ van, amelyek lehetõvé teszik a Windows jelszavak kikódolását, illetve kiolvasását. A nagyobb PWL fájloknál azonban sok idõ kell a jelszavak kiolvasásához. Ilyenkor a hackerek gyakran lemezre mentik a PWL fájlokat, amelyeket egy másik számítógépre másolhatnak, hogy ott zavartalanul és idõkorlát nélkül kikódolhassák azokat. Hogy a jelszófeltörõ programoktól megvédhessük magunkat, a Windows 95/98/ME alatt lehetõség van a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ Network\DisabledPwdCaching = 1 Registry-kulcs létrehozására. Ez a kulcs megakadályozza a megadott jelszavak tárolását, és ezzel lehetetlenné teszi a kiolvasásukat is. Továbbra is ajánlatos azonban, fõleg a Windows 95 felhasználóknak, a frissítés egy erõsebb kódoló algoritmusra. Ehhez az update-hez a http://support.microsoft.com/support/kb/articles/Q132/8/07.asp oldalon juthatunk hozzá. Van egy program is, amely megakadályozza a jelszavak kiolvasását: a PassSecure a Multimedia Network Systemstõl meggátolja, hogy a jelszófeltörõk elérjék a PWL fájlokat.
Jelszavak a Windows 2000 alatt
A Windows 2000 alatt egészen más a jelszavak kezelése, mint a Windows 95/98/ME alatt. A Windows 2000 automatikusan ellenõrzi a jelszavak biztonságosságát, s automatikusan figyelmeztet az általános jelszó-biztonság elleni vétségekre. A Windows 2000 ellenõrzi minden jelszó hosszát, a jelszavak rendszeres változtatását és a karakterek sokszínûségét. Ezeknek az adatoknak az alapján a Windows 2000 ki tudja számítani a jelszavak biztonsági kockázatát, és szükség esetén figyelmezteti a felhasználót. A Windows valamennyi jelszót egy SAM (Security Account Manager)-adatbázisban tárol, ez az adatbázis a Registry része. Ha Windows 2000 alatt bejentkezik egy felhasználó, az adatai a Security Account Manager-hez továbbítódnak, egyfajta "jogosultsági igazolványt" kap, amelyben rögzítve vannak a hozzáférési jogai, és hogy melyik felhasználói csoporthoz tartozik. A SAM azokat a felhasználói adatokat használja, amelyeket a winnt/system32/config/sam fájl tárol. Ez a Windows jelszó mellett a hálózati jelszót is õrzi. Ezt a fájlt nem lehet közvetlenül elérni, mivel a Windows állandóan használja. Idõközben azonban számos brute force program íródott, amelyek az NT és a Windows 2000 alatt is lehetõvé teszik jelszavak hackelését. Az egyik legismertebb közülük a legendás L0phtCrack 2.5. Ez a program úgy kerüli ki a hozzáférési védelmet, hogy a háttérben egyfajta másolatot készít a SAM-fájlról. A L0phtCrack kétféleképpen tud jelszavakat feltörni. Az elsõ dictionary cracking, amelynél gyakran használt jelszavak és karakterek listáját használja, hogy kitalálja a jelszót. A második a brute force cracking, ahol minden lehetséges szám és/vagy szókombinációt kipróbál.
Részletesebben érdekli a téma?
Szeptemberben jelent meg kiadónk gondozásában Thomas Vosseberg Hacker-könyv címû munkája, amelynek olvasói bepillantást nyerhetnek a színfalak mögé, ahol a hackerek ügyködnek, gondolkodásmódot és stratégiát ismerhetnek meg, emellett sokat meg fognak tudni biztonsági résekrõl és lyukakról. Ez a könyv persze nem használati utasítás a hackeléshez - még ha egyik vagy másik információt fel is lehetne ilyesmihez használni. Aki védekezni akar a betörõ ellen, az ne az ajtózárral legyen elfoglalva, miközben a pinceablak a leggyengébb pont. Ahhoz azonban, hogy ezt valaki fel tudja ismerni, a betörõ szemével kell néznie a házat. A könyvünk tehát éppen abban segíthet, hogy élesebb legyen a szemünk a gyenge pontok felismerésére. Tovább a megrendelõlaphoz...
Forrás: http://www.cp.hu
|