Часть 2. Автономный компьютер

В этой части книги мы обсуждаем методы локального вторжения хакеров в компьютер и ответные действия антихакера. Вначале обсуждаются препятствия, которые должен преодолеть хакер для входа в атакуемую систему. Далее описываются этапы хакерской атаки на компьютер с использованием локального доступа - проникновение в систему, расширение привилегий, реализация цели и сокрытие следов.

Проникновение в систему

Познакомившись в предыдущей главе с системой защиты Window 2000/XP, вы наверное, уже задались вопросом, а как же можно обойти все «ЗА» навороченных средств обеспечения безопасности, которые создавало большое число квалифицированных специалистов? Все зависит от обстоятельств, и в Главе 2, где были перечислены возможные пути вторжения в компьютер, первым в списке стояло локальное вторжение, когда хакер получает физический доступ к консоли управления компьютерной системы, что обеспечивает ему наибольшее число возможностей хакинга. Вот с него мы и начнем. (Только не подумайте, что вас будут учить лазить в форточку или обшаривать помойки - для этого вы можете обратиться к Интернету. Здесь же мы ограничимся компьютерными технологиями.)

Вообще-то возможность такого вторжения в наибольшей степени обуславливается ненадлежащим выполнением правил политики безопасности организации, а то и полным ее отсутствием. Ныне вполне заурядна ситуация, когда к компьютерной сети неведомо кем и как подключено множество компьютеров, а политика информационной безопасности сводится к листочку со списком паролей, приклеенным к монитору (потом их выбрасывают на помойку - ну и...).

Так что для получения локального доступа к компьютеру хакеру может и не потребоваться орудовать отмычками, лазить через забор или в открытую форточку, чтобы попасть в помещение с компьютерами. После чего, пройдя все испытания, бедный хакер, подсвечивая себе фонариком и пугливо озираясь, должен заняться выкручиванием винчестера для последующего исследования, или пытаться войти в компьютерную систему, поминутно рискуя быть схваченным и посаженным за решетку (поскольку все это - чистейшей воды уголовщина). Неужели все так страшно? Да нет же, нет - чаще всего нужно просто протянуть руку и сорвать плод, висящий над головой. Во многих случаях свободный доступ к компьютерному оборудованию - вещь достаточно обычная.

Итак, хакер сел за рабочий стол с компьютером и приступил к работе. Первое, что ему следует сделать - это войти в систему под учетной записью с высокими привилегиями, лучше всего - администратора системы. Тут существуют варианты, и мы их постараемся рассмотреть.

Во-первых, вполне возможна ситуация, когда и делать-то ничего не надо - сотрудник Вася Пупкин вышел на перекур и надолго застрял в курительной комнате за обсуждением вчерашнего футбольного матча, а его компьютер отображает на экране окно проводника Windows. Это вполне реально, как и то, что на мониторе может быть приклеен листочек со списком паролей доступа, и каждый пользователь - как минимум член группы опытных пользователей, которым разрешена установка программ и доступ почти ко всем ресурсам компьютера. И чего тут удивляться, что, рано или поздно, все такие системы попадают в лапы типов наподобие доктора Добрянского, а уме они-то найдут чем там заняться, мало не покажется. Описанная ситуация - это полный хаос в политике безопасности организации, и, повторяем, таких организаций - полным-полно.

Во-вторых, в более благополучных организациях на экране покинутых компьютеров может светиться заставка, защищенная паролем, или же при попытке входа хакеру отображается приглашение на ввод пароля системы Windows или системы BIOS компьютера. Тогда хакеру для входа в компьютер придется поработать с системой защиты, и один из путей получения доступа к ресурсам компьютера Windows 2000/XP состоит в загрузке системы со съемного носителя.

Если вход в компьютерную систему закрыт паролем доступа, то хакер может попытаться загрузить систему со съемного носителя - дискеты или компакт-диска (естественно, при наличии дисководов). Чего, казалось бы, проще - вставляй загрузочную дискету с системой MS-DOS в дисковод и включай компьютер! Однако подождите с выводами - все не так просто, и тут есть свои подводные камни. Во-первых, загрузка системы со съемного носителя может быть запрещена настройкой параметров BIOS системы, а доступ к параметрам BIOS закрыт паролем. Эту ситуацию мы рассмотрим в следующем разделе.

Во-вторых, даже если загрузка со съемного носителя в BIOS разрешена, то вы можете столкнуться с проблемой доступа к файловой системе NTFS, поддерживаемой только системами Windows 2000/XP. Таким образом, после загрузки системы MS-DOS вы просто-напросто не увидите жесткого диска - вожделенного хранилища информации, из-за которого все и было затеяно.

Конечно, можно быстро-быстро, потея и озираясь по сторонам, вывинтить жесткий диск и убежать (автор категорически не советует - если поймают - все, и надолго! И потом, как говаривал О. Бендер, все это «низкий сорт, грязная работа»), чтобы потом спокойно исследовать его содержимое на своем компьютере Windows 2000/XP. Но более квалифицированный хакер поступит иначе - он прибегнет к утилите NTFSDOS Professional (http://www.winternals.com) компании Winternals Software LP, которая позволяет получить доступ к дискам NTFS из системы MS-DOS. Помимо всего прочего, эта утилита чрезвычайно полезна при порче операционной системы, утрате пароля входа в Windows 2000/XP и в других случаях. Так что эта утилита полезна обоим участникам виртуальной битвы - и хакеру, и антихакеру. Поэтому опишем работу с утилитой NTFSDOS Professional - она это заслужила.

Применение утилиты NTFSDOS Pro заключается в следующем. После инсталляции программы в главном меню Windows создается папка NTFSDOS Professional с командой вызова мастера NTFSDOS Professional Boot Disk Wizard (Мастер загрузочных дисков NTFSDOS Professional). Запуск этого мастера создает загрузочную дискету или жесткий диск, который может быть использован для работы с томами NTFS. Опишем работу мастера по шагам.

Перед началом работы вы должны создать две загрузочные дискеты, воспользовавшись командами FORMAT/S или SYS системы MS-DOS. Или же можно создать эти дискеты с помощью команды форматирования Windows XP с установленным флажком Create an MS-DOS startup disk (Создать загрузочную дискету MS-DOS).

• Выберите команду главного меню Пуск * Программы * NTFSDOS Professional (Start * Programs * NTFSDOS Professional). На экране появится диалог с приветствием (Рис. 1).

• Щелкните мышью на кнопке Next (Далее). На экране появится следующий диалог (Рис. 2), в котором отображается напоминание о необходимости иметь под рукой две загрузочные дискеты, о них мы уже упоминали чуть выше.

• Щелкните на кнопке Next (Далее).

По умолчанию NTFSDOS Pro использует версию набора символов MS DOS для США (кодовая страница 437). В отобразившемся третьем диалоге мастера (Рис. 3) предлагается выбрать дополнительный набор символов.

• Выберите MS-DOS Russian (former USSR), code page 866 и щелкните мышью на кнопке Next (Далее). На экране появится следующий диалог мастера установки NTFSDOS Рro (Рис. 4).

В этом диалоге надо указать место хранения системных файлов Windows NT/2000/XP, необходимых NTFSDOS Pro.

• В своей папке на диске E:\ создайте папку Файлы для уроков по безопасносити.

• Найдите с помощью поисковика следующие системные файлы в корневом каталоге системы и скопируйте их в свою папку:

autochk.exe

c_1252.nls

c_866.nls

c_437.nls

l_intl.nls

ntdll.dll

ntfs.sys

ntoskrnl.exe

• Нажмите на кнопку Обзор и укажите путь к вашей папке в которую вы скопировали файлы из предыдушего пункта (Рис. 5). Нажмите ОК.

• Щелкните на кнопке Next (Далее). На экране появится следующий диалог мастера установки NTFSDOS Pro (Рис. 6).

В этом диалоге необходимо указать каталог или диск для инсталляции программы NTFSDOS Pro. Этот каталог или диск должен быть доступен для MS-DOS, т.е. должен быть томом FAT или FAT32. При указании диска А: мастер создаст три дискеты. Кнопка Advanced (Дополнительно) позволяет инсталлировать NTFSDOS Pro для других систем, отличных от MS-DOS.

• Вставьте первую дискету. Выберите диск A:\ и щелкните мышью на кнопке Next (Далее). На экране появится диалог мастера установки с сообщением о начале инсталляции NTFSDOS Pro (Рис. 7).

• Щелкните мышью на кнопке Next (Далее), чтобы начать копирование файлов.

• После завершения копирования на экране появится следующий диалог мастера установки. Вставьте вторую дискету и нажмите Next (Далее) (Рис. 8).

• Когда мастер завершит копирование файлов на экране появится следующий диалог мастера. Сдесь будет скопирована дискета с файлами программы NTFSCHK.EXE, позволяющая выполнить проверку дисков NTFS. Вставьте третью дискету и нажмите Next (Далее) (Рис. 9).

По завершении копирования файлов отобразится диалог (Рис. 10) с сообщением о создании набора дискет NTFSDOS Professional.

• Щелкните мышью на кнопке Finish (Завершить), чтобы завершить работу мастера.

Теперь вы готовы работать с программой NTFSDOS Pro, что не вызывает особых затруднений.

• Установите в дисковод загрузочную дискету и перезагрузите компьютер.

• Отобразиться следующее сообщение:

Microsoft Windows Millennium Startup Menu

1. Help

2. Start computer with CD-ROM support.

3. Start computer without CD-ROM support.

4. Minimal Boot.

• Выберите пункт 2 и нажмите Enter.

• После недолгих ожиданий, когда все успокоится, вставьте первую дискету созданную в программе NTFSDOS. Введите с клавиатуры NTFSPRO и нажмите Enter.

• Когда отобразиться диалог Please enter NTFSDOS Professional disk 2 and then press enter: вставьте вторую дискету в дисковод и нажмите Enter

Исполняемый файл NTFSPRO.EXE, смонтирует диски NTFS компьютера.

Последующая работа с этими дисками, как и со всем компьютером, выполняется с помощью команд MS-DOS так, как это делается при использовании файловых систем FAT и FAT32, причем утилита NTFSDOS Pro поддерживает длинные имена файлов и папок.

Загрузив систему MS-DOS и обеспечив поддержку NTFS, вы можете безо всяких помех со стороны системы входной регистрации Windows 2000/XP делать с системой что угодно. Вы сможете копировать файлы, форматировать жесткий диск (зачем - дело ваше), и выполнять другие, не менее увлекательные действия, которые едва ли понравятся хозяину компьютера. Однако, если вы - уважающий свое время и труд хакер, вам, прежде всего, следует подумать о будущем и заняться делом. Например, полезно встроить в только что взломанную систему различные инструменты для облегчения последующего доступа, что достигается установкой трояна, который будет сообщать вам обо всех действиях пользователей. Также очень неплохо скопировать на свой носитель информации разные файлы и папки взломанной системы для последующего изучения - и не забудьте о базе SAM, которая, напоминаем, находится в каталоге корень_системы/system32/config.

• Введите с клавиатуры copy f:\windows\system32\config\sam a:, которая скопирует SAM базу на вашу дискету.

Что делать дальше с файлом SAM, мы опишем чуть далее, в разделе «Взлом базы SAM», а пока подумаем вот над чем. Все эти наши действия молчаливо предполагали, что параметры BIOS компьютера установлены так, что они разрешают загрузку системы со съемных носителей. Однако хозяин системы, не будучи законченным ламером, вполне в состоянии запретить такую загрузку и закрыть доступ к программе Setup паролем BIOS (это стандартное правило политики безопасности - но кто ему следует...). Следовательно, хакер должен взломать эту защиту BIOS.

Параметры BIOS материнской платы хранятся записанными в микросхему постоянной памяти ПЗУ (Постоянное запоминающее устройство), сохраняющей информацию при выключении питания компьютера. Если при загрузке системы в определенный момент нажать клавишу Delete то отобразится диалог программы Setup, с помощью которой можно настраивать параметры BIOS, в том числе пароль и разрешение на загрузку со съемного носителя. Введенные значения сохраняются в перепрограммируемой памяти CMOS. Набор параметров BIOS и внешний вид диалога Setup сильно зависят от типа BIOS и с их содержимым лучше всего познакомиться в документации на материнскую плату.

Вообще-то пароли BIOS никогда не считались надежной защитой, поскольку их установку очень легко отменить простыми манипуляциями с оборудованием компьютера. Дело в том, что память CMOS требует постоянного электропитания, которое обеспечивает маленькая батарейка на материнской плате. Если батарейку снять, микросхема с памятью CMOS разрядится, и при загрузке системы BIOS будут использованы параметры, установленные по умолчанию в микросхеме ПЗУ, которые открывают доступ к настройкам BIOS. Так что главное - это суметь открыть корпус компьютера и произвести манипуляции с материнской платой (конечно, на выключенном компьютере!). Это не так-то просто, учитывая, что некоторые производители материнских плат и корпусов снабжают свои изделия защитой от вскрытия корпуса. Но это уже как повезет.

Если батарейка впаяна в материнскую плату, то лучше всего не возиться с паяльником, а просто закоротить две перемычки (джампера), которые, как правило, устанавливаются на материнской плате специально для очистки памяти CMOS. Положение этих джамперов можно выяснить по документации на материнскую плату, или найти методом «научного тыка», т.е. просто замыкая все пары джамперов вблизи микросхемы BIOS. Надеемся, что вам повезет; но что делать, если и тут ничего не вышло?

В этом случае можно прибегнуть к такому методу обхода паролей BIOS - попытаться использовать универсальные пароли, пригодные для любых программ Setup - списки таких паролей можно найти на хакерских сайтах и книгах по хакингу.

Обсудим еще одну интересную возможность. На некоторых Web-сайтах и компакт-дисках можно найти программы для чтения паролей BIOS. По сугубо личному мнению автора польза от таких программ для взлома доступа к системе сомнительна - ведь чтобы запустить такую программу, нужно вначале загрузить на компьютер операционную систему, а если вы это сумеете сделать, то зачем вам утилита взлома BIOS? Вдобавок ко всему прочему, такие программы пишутся программистами-любителями, поэтому эти программы порой способны нарушить работу компьютера, причем с тяжелыми последствиями; другая опасность связана с возможным заражением вирусами.

Тем не менее, на Рис. 10 представлен пример работы программы amipswd.exe группы известных авторов такого рода инструментов, извлекающей пароли BIOS фирмы AMI из памяти CMOS компьютера. Как видим, пароль извлечен - но ведь для этого хакеру уже потребовалось войти в систему! Ну может, когда-нибудь и пригодится...

Ну хорошо, с паролями BIOS мы управились, и вряд ли это было такой уж сложной задачей. Вообще-то, настройку BIOS способны выполнить, как правило, люди достаточно опытные, которых отнюдь не большинство, поэтому защита BIOS паролями - не слишком распространенная практика. Тем не менее, стандартная политика безопасности организации запрещает оставлять компьютеры без защиты, даже при кратковременном уходе с рабочего места. Как же это сделать - выйти из системы, и снова войти по возвращении? Но это крайне неудобно, поскольку предполагает закрытие документов, остановку работы приложений, закрытие соединений, и т.д. - короче говоря, разрушает рабочий стол пользователя.

Однако есть один выход, предусмотренный разработчиками Windows - запуск экранной заставки с паролем. В Windows 95/98/NT/2000/XP имеются встроенные заставки с парольной защитой, однако удобнее использовать программы электронных заставок сторонних производителей, поскольку они запускаются самими пользователями, а не автоматически, по прошествии некоторого времени, как это делается в Windows. Одной из наиболее удачных программ такого рода можно считать утилиту ScreenLock компании iJen Software. По мнению автора, основное преимущество такой утилиты - это принуждение пользователя задавать новый пароль при каждом запуске, что исключает необходимость запоминания пароля и затрудняет его взлом.

Заставки с паролем, предоставляемые системами Windows 95/98, по сути являются единственным методом защиты этих компьютеров от несанкционированного входа в систему, поскольку входная регистрация пользователей Windows 95/98 фактически выполняет только загрузку пользовательских профилей. Если вместо ввода пароля входной регистрации нажать на клавишу [Esc], то произойдет вход в систему со стандартными настройками. Таким образом, для преодоления защиты заставкой с паролем систем Windows 95/98 следует только перезагрузиться.

Если же перезагрузка нежелательна, поскольку разрушает рабочий стол компьютера, демаскирует взломщика звуками, издаваемыми компьютером при перезапуске, требует некоторого времени и т.д., то у хакера имеются в запасе еще два метода. Первый - извлечение паролей заставки Windows 95/98, хранимых в системном реестре Windows 95/98 с помощью специальных программ, например, 95sscrk. Запуск этой программы из командной строки Windows 95/98 приводит к отображению введенного пароля экранной заставки, как показано на Рис. 12.

Другой, более эффективный метод извлечения паролей из реестра Windows - использование функции автозапуска систем Windows. Если в устройство CD-ROM установить компакт-диск, то компьютер, при включенной функции автозапуска автоматически загрузит программу, указанную в файле Autorun.ini, причем в oбход заставки с паролем систем Windows 95/98 (но не систем Windows 2000/XP). То же самое касается программ экранных заставок независимых производителей - большинство из них (включая Screen Lock) «пропускают» атаку с помощью автозапуска компакт-дисков на компьютерах Windows.

Таким образом, функция автозапуска - это прекрасный метод локального вторжения в компьютер, поскольку для его применения достаточно создать компакт диск с файлом Autorun.ini, в котором указан автозапуск записанной на CD-ROM: хакерской программы. Далее, пока хозяин компьютера гуляет по коридору, надеясь на защиту экранной заставки с паролем (если она еще запущена), хакер помещает в дисковод свой компакт-диск с автозапуском инсталляционных файлов. Пятьдесять минут «работы» - и на компьютере «ламера» сидит троян, который «стучит» по сети своему хозяину обо всех действиях пользователя А всего то и делов...

Имеется даже программа, называемая SSBypass (http://www.amecisco.com), которая, используя автозапуск, взламывает пароль экранной заставки Windows 95/9E и отображает его пользователю. Программа SSBypass стоит около $40, но ее ценность представляется небесспорной. Все, что нужно для защиты от таких атак - это отключение функции автозапуска компьютера, что делается с помощью стандартных процедур настройки системы Windows.

Так или иначе, не мытьем, так катаньем, хакеру удалось загрузить операционную систему и получить доступ к ресурсам компьютера. Само собой, это уже хорошо, и для личностей, вроде доктора Добрянского вполне достаточно - теперь можно очистить жесткий диск компьютера этого ламера, или так откорректировать документы своего «друга», что его выгонят с работы (вот потеха-то!), или... Ну, в общем, читайте журнал «Хакер» и информацию на Web-сайтах.

Серьезный же хакер, потратив столько трудов, чтобы попасть в столь привлекательное место, как чужой компьютер, должен попытаться извлечь из этого максимум пользы. Самое главное на этом этапе - получить права доступа к максимально большому объему ресурсов компьютера.

В компьютерах Windows 95/98 любой вошедший в систему пользователь имеет одинаковые права, так что перед хакером стоит лишь задача взлома доступа к ресурсам компьютера. В компьютерах же Windows NT/2000/XP для этого необходимо зарегистрироваться под учетной записью с высокими привилегиями, лучше всего с привилегиями администратора.

Как указывалось в Главе 4, один из путей решения этой задачи - взлом базы SAM компьютера, хранящей пароли учетных записей в шифрованном виде. Посмотрим, что для этого можно сделать.

Чтобы взломать базу SAM, вначале следует получить доступ к файлу SAM. Для этого можно прибегнуть к описанной выше утилите NTFSDOS Pro, загрузить систему MS-DOS компьютера и скопировать файл SAM из системной папки компьютера /корень_системы/system32/config на дискету. Далее этот файл может быть использован для дешифрования какой-либо программой, например, LC4 - новейшей версией широко известной программы LOphtCrack (http://www.atstake.com).

На Рис. 11 представлено окно приложения LC4 с открытым меню Import (Импорт).

Как видим, возможности программы LC4 позволяют извлекать пароли учетных записей различными методами, включая снифинг локальной сети и подключение к другим сетевым компьютерам. Для взлома паролей в SAM следует выполнить такую процедуру:

• Скопируйте базу SAM с дискеты на диск E:\ в свою папку Файлы для уроков по безопасности.

• Выберите команду меню File * New Session (Файл * Создать сеанс). Отобразится диалог, подобный Рис. 13.

• Выберите команду меню Import * Import From SAM File (Импорт * Импорт из файла SAM). Откройте SAM базу из своей папки Файлы по безопасности. Нажмите кнопку OK.

• В отобразившемся диалоге (Рис. 14) выберите команду Session * Begin Aud (Сеанс * Запуск аудита) и запустите процедуру взлома паролей учетных записей.

В зависимости от сложности пароля, время, необходимое для взлома SAM, может быть весьма велико. При благоприятном исходе отобразится диалог, показанный на Рис. 15, в котором представлены взломанные пароли SAM.

Все это очень интересно, поскольку теперь мы знаем пароль учетной записи администратора - 007 и, следовательно, можем делать с компьютером что угодно. Время, потраченное на взлом пароля, составляет около 5 минут на компьютере Pentium 2 с частотой процессора 400 МГц. Такая скорость обусловлена простотой пароля - всего три цифры, что позволило программе LC4 быстро перебрать все комбинации цифр и символов.

Для настройки процедуры взлома fe программе LC4 применяется диалог Auditing Options For This Session (Параметры аудита для текущего сеанса), представленный на Рис. 16.

Как видим, параметры работы LC4 разделены на три группы:

Dictionary Crack (Взлом по словарю), в которой содержится кнопка Dictionary List (Список словарей), отображающая диалог для выбора словаря с тестируемым набором слов. Вместе с программой LC4 поставляется небольшой словарь английских слов, однако в Интернете можно найти весьма обширные словари, позволяющие хакеру быстро перебрать практически все общераспространенные слова английского языка. Отсюда понятно, почему не следует при выборе пароля использовать осмысленные словосочетания, например, имена, названия городов, предметов и т.д., поскольку все они элементарно взламываются словарной атакой.

Dictionary/Brute Hybrid Crack (Словарь/Комбинированный силовой взлом), где можно указать число цифр, добавляемых после и/или перед словом, выбранных из словаря, перед тестированием полученной строки. Так что если вы выберете, себе пароль типа Password???, его взлом неминуем.

Brute Force Crack (Взлом грубой силой), где вы можете настроить взлом паролей прямым перебором всех комбинаций символов из указанного набора. Это наиболее трудоемкий взлом паролей, и его успех зависит от сложности паролей и мощности компьютера. В открывающемся списке Character Set (Набор сим волов) можно выбрать набор применяемых при взломе символов или, выбран пункт Custom (Пользовательский), ввести в ставшее доступным поле Custom Character Set (List each character) (Пользовательский набор символов (перечислите каждый символ)) набор дополнительных символов. Установка флажка Distributed (Распределенный) предоставляет возможность вычислять пароль сразу на нескольких компьютерах. Для этого следует командой File * Save Distributed (Файл * Сохранить распределенный) сохранить файл сеанса в виде нескольких частей и исполнять их на нескольких компьютерах.

Программа LC4 представляет собой весьма мощный инструмент взлома защиты Windows NT/2000/XP.

Описанные в этой главе инструменты позволяют получить доступ к ресурсам компьютера, защищенного паролем BIOS, экранными заставками и средствами входной регистрации. Для их использования хакер должен работать непосредственно на консоли атакуемой системы, что несколько снижает ценность предложенных здесь технологий. В самом деле, опыт показывает, что при наличии физического доступа к компьютеру хакер просто похищает его жесткий диск для последующей «работы». Тем не менее, все описанные здесь средства - это отнюдь не игрушки, и если система защиты компьютера плохо настроена, а политика безопасности организации, мягко говоря, слабовата (что весьма традиционно), то хакер, овладев описанными в главе методами, может достичь очень и очень многого.

А для антихакера здесь наука - не будь ламером, защищай систему паролями достаточной сложности, не бросай компьютер без всякой защиты на растерзание типам вроде доктора Добрянского и иже с ним. Одна только установка шаблона безопасности для рабочей станции Windows 2000/XP вполне способна пресечь многие и многие штучки подобного рода персонажей. Что касается пользователей Windows 9х/Me, то их возможности по защите системы невелики - только применение методов шифрования, наподобие предоставляемых пакетом PGP Desktop Security, может защитить их компьютер от полного разгрома. Сама же по себе система защиты Windows 9x/Me весьма слаба, как мы могли только что убедиться.