Анализ методов перехвата паролей и противодействия им
Содержание
Введение
. Методы перехвата паролей
.1 Брутфорс
.2 Фишинг
.3 Вредоносное программное обеспечение
.4 Догадки
.5 Снифферы
.6 Клавиатурные шпионы
.7 Слежение за клавиатурным вводом при помощи перехвата API
функций
.8 Клавиатурный шпион на базе драйвера
.9 Аппаратные клавиатурные шпионы
. Методы противодействия перехватам паролей
.1 Методики поиска клавиатурных шпионов
.2 Защита от радужных таблиц
.3 Защита от фишинга
.4 Способы защиты от социальной инженерии
.5 Как определить атаку социального инженера
.6 Классификация угроз
.7 Основные защитные методы
.8 Многоуровневая модель обеспечения безопасности
.9 Программы для поиска и удаления клавиатурных шпионов
Заключение
Список используемой литературы и источников
Введение
В настоящее время трудно себе представить компьютерную жизнь без
постоянного ввода пароля. Пароль нам необходим везде - начиная от включения
компьютера, регистраций на различных сайтах и форумах, доступу к своим почтовым
ящикам и заканчивая созданием аккаунтов (страниц с личными данными и
настройками) в платежных системах и отправкой/получением платежей в электронном
виде. И если при одноразовой регистрации на каком-либо случайном сайте
(например, только лишь для скачивания игры) можно не задумываясь указать любой
пароль (даже «123456»), то при создании постоянного аккаунта на важном сайте
(тем более, если это связано с денежными операциями) пароль должен быть очень
надёжным. В противном случае пароль может быть взломан злоумышленником, а
полученные личные данные могут быть использованы для общения в сети от нашего
имени (в лучшем случае) либо для получения кредитов или открытия счетов.
Поэтому лучше позаботиться о защите заранее, и уже сегодня изменить все свои
«слабые» пароли на более надёжные.
Целью курсовой работы является проведение анализа методов перехвата
паролей и противодействия им.
Исходя из цели курсового проекта, я выделил следующие задачи:
. Рассмотреть методы перехвата паролей
. Найти методы противодействия перехвата паролей
. Провести анализ методов перехвата паролей
. Провести анализ методов противодействий перехвата паролей
Актуальность данной работы заключается в том, что в настоящее время
хакеры с легкостью могут перехватить ваши пароли и присвоить ваши данные. И
поэтому нужно найти методы противодействия им, что бы сохранить целостность
своих данных.
1. Методы
перехвата паролей
.1
Брутфорс
Брутфорс (от английского bruteforce - полный перебор или метод «грубой
силы») - один из популярных методов взлома паролей на серверах и в различных
программах. Заключается он в том, что программа-взломщик пытается получить
доступ к какой-либо программе (например, к почтовому ящику) путем перебора
паролей по критериям, заданным владельцем данной программы: по словарю, по
длине, по сочетаниям цифр, да в принципе таких критериев существует множество.
Способ взлома брутфорсом является достаточно долгим, но мощным, поэтому
остается на вооружении у хакеров и по сей день, а с учетом все увеличивающихся
мощностей компьютеров и пропускной способности интернет-каналов останется на
вооружении еще на долгое время.
Данный способ подбора паролей очень хорош тем, что пароль в конце концов
взламывается, но это может занять весьма и весьма долгое время, зачастую даже
столетия. Так что данный способ взлома оправдывает себя не всегда, если
пользователь-владелец взламываемого сервиса вел себя достаточно хитро и не
использовал простых паролей типа «123», «qwerty» и тому подобных, а использовал
и заглавные, и строчные символы, плюс ко всему этому задействовал и цифры, и
разрешенные специальные символы. Если пароль при всем этом обладает еще и
достаточной длинной (около 10 символов), то ему взлом методом брутфорса
практически не грозит.
При брутфорсе чаще всего используется словарная атака - подбор паролей
идет из текстового файла заранее составленного (выпрошенного, купленного,
украденного, скачанного бесплатно) словаря. Данный способ атаки очень
эффективен при массовом взломе, допустим, аккаунтов интернет-мессенджера ICQ,
когда злоумышленник, допустим, пытается взломать некий диапазон ICQ-номеров.
При этом существует довольно большая вероятность, что при атаке по словарю ему
это удастся. Примерами могут служить неоднократные факты взлома.
С 2005 года значительно увеличилось также количество атак, осуществляемых
на защищенные SSH-сервисы. Даже если у вас на сервере установлено самое
новейшее программное обеспечение, это вовсе не значит, что подобрать пароль к
нему невозможно, если межсетевой экран бездействует или настроен неправильно
или недостаточно. Так что для увеличения невозможности взлома настройте свой
firewall должным образом, это поможет оградить вас от неприятных сюрпризов в
дальнейшем.
Программ для проведения брута на просторах Интернета выложено очень
много, также существует большое количество бесплатных и платных словарей к ним. брутфорс программа пароль клавиатурный
Ну и напоследок поговорим немного о математической стороне брута.
Как говорит Википедия, любая задача из класса NP может быть решена путем
полного перебора. Но все это может потребовать экспоненциального времени.
При разработке различных криптографических шифров метод тотального
перебора используют при оценке его (шифра) стойкости к взлому. При этом новый
шифр считается достаточно стойким, если не существует более быстрого метода его
взлома, чем полный перебор всех возможных ключей. Такие криптографические
атаки, как и брут, являются самыми действенными, но и занимают зачастую очень
много времени.
При знании некоторых условий метод брута паролей использует отсев
неприемлемых значений (пустых паролей, одних и тех же повторяющихся символов и
т.д.). В математике этот метод называется метод ветвей и границ.
Также при бруте используются методы распараллеливания вычислений, когда
одновременно перебираются несколько паролей. Осуществляется это двумя методами:
методом конвейера и методом брута из непересекающихся подмножеств всех
возможных паролей
Атака с использованием радужной таблицы. Радужная таблица - это список
предварительно вычисленных хэшей (числовых значений зашифрованных паролей),
используемых большинством современных систем. Таблица включает в себя хэши всех
возможных комбинаций паролей для любого вида алгоритма хэширования. Время,
необходимое для взлома пароля с помощью радужной таблицы, сводится к тому
времени, которое требуется, чтобы найти захэшированный пароль в списке. Тем не менее,
сама таблица огромна и для просмотра требует серьезных вычислительных
мощностей. Также она будет бесполезна, если хэш, который она пытается найти был
усложнен добавлением случайных символов к паролю до применения алгоритма
хеширования.
Стоит сказать о возможности существования усложненных радужных таблиц, но
они были бы настолько велики, что их было бы трудно использовать на практике.
Они, скорее всего, работали бы только с набором заранее заданных
"случайных величин", при этом пароль должен состоять менее чем из 12
символов, иначе размер таблицы будет непомерно велик, даже для хакеров
государственного уровня.
1.2 Фишинг
Фишинг (англ. phishing, от fishing - рыбная ловля,
выуживание) - вид интернет-мошенничества, целью которого является получение
доступа к конфиденциальным данным пользователей - логинам и паролям. Это
достигается путём проведения массовых рассылок электронных писем от имени
популярных брендов, а также личных сообщений внутри различных сервисов,
например, от имени банков или внутри социальных сетей. В письме часто
содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на
сайт с редиректом. После того, как пользователь попадает на поддельную
страницу, мошенники пытаются различными психологическими приёмами побудить пользователя
ввести на поддельной странице свои логин и пароль, которые он использует для
доступа к определённому сайту, что позволяет мошенникам получить доступ к
аккаунтам и банковским счетам.
Самый простой способ взлома - спросить у пользователя его/ее пароль.
Фишинговое сообщение приводит ничего не подозревающего читателя на поддельные
сайты онлайн-банкинга, платежных систем или иные сайты, на которых нужно
обязательно ввести личные данные, чтобы "исправить какую-то страшную
проблему с безопасностью".
Зачем утруждать себя взломом пароля, когда пользователь с радостью
сообщит его сам?
Социальная инженерия
Социальная инженерия придерживается той же концепции, что и фишинг -
"спросить у пользователя пароль", но не с помощью почтового ящика, а
в реальном мире.
Любимый трюк социальной инженерии - позвонить в офис под видом сотрудника
ИТ-безопасности и просто попросить пароль доступа к сети. Вы будете удивлены,
как часто это работает. Некоторые преступники даже испытывают потребность -
надеть костюм и бейдж прежде, чем придти в компанию, чтобы задать
администратору в приемной тот же вопрос лицом к лицу.
.3
Вредоносное программное обеспечение
Программа перехвата вводимой с клавиатуры или выводимой на экран
информации может быть установлена вредоносным ПО, которое фиксирует всю
информацию, которую Вы вводите, или создает скриншоты во время процесса
авторизации, а затем направляет копию этого файла хакерам.
Некоторые вредоносные программы ищут существующий файл с паролями
веб-браузера клиента, затем копируют этот файл, который (кроме хорошо
зашифрованных) будет содержать легкодоступные сохраненные пароли из истории
страниц, посещенных пользователем.
1.4
Догадки
Лучшим другом взломщиков паролей, конечно, является предсказуемость
пользователей. Если действительно случайный пароль был создан с помощью
программного обеспечения, предназначенного для этой задачи, то пользовательский
"случайный" пароль, вряд ли будет напоминать что-то подобное.
Вместо этого, благодаря нашей эмоциональной привязанности к вещам,
которые нам нравятся, скорее всего, те "случайные" пароли, которые мы
создадим, будут основаны на наших интересах, хобби, именах домашних животных,
семье и так далее. На самом деле, пароли, как правило, строятся на основе всех
тех вещей, о которых мы так хотели бы поговорить в социальных сетях и даже
включить в наш профиль. Взломщики паролей, вполне вероятно, посмотрят на эту
информацию и сделают несколько, часто правильных, догадок при попытке взломать
пароль потребительского уровня, не прибегая к словарю или методу грубой силы.
Способ довольно примитивный и простой.
Есть версия для Windows, Unix систем и для андроид.
Рассматривать будем для Windows так как это самая популярная система и
здесь программа самая продвинутая.
Ваш браузер или антивирус может ругаться что программа опасна, но сами
понимаете это хак программа, а на такие всегда будет реагировать.
Скачивается программа в zip архиве, программу нужно лишь распаковать и в
папку и пользоваться устанавливать ничего нет необходимости.
Программа имеет возможность устраивать различные Mitm атаки на Wi Fi
сети.
Статья написана чисто в ознакомительных целях, чтобы показать на примере
о опасностях открытых точек WiFi любые указанные действия, вы выполняете на
свой страх и риск. И хочу напомнить об уголовной ответственности защищающей
чужие данные.
1.5
Снифферы
Сниффер (нюхач, eng) - это программа, которая устанавливается под NIC
(Сетевую Интерфейсную Карту), иначе называемую Ethernet карта(одна из
необходимых частей аппаратных средств, для физического соединения компьютеров в
локальной сети). Как известно информация по сети передается пакетами - от вашей
машины к удаленной, так вот сниффер, установленный на промежуточном компьютере,
через который будут проходить пакеты - способен захватывать их, пока они еще не
достигли цели. У разных снифферов процесс захвата информации реализован по
разному, ну об этом чуть ниже.
(ваш компьютер) -> (соседний компьютер) -> (компьютер со сниффером)
-> (удаленный компьютер) Стандартный пакет попутешествует из "вашего
компьютера" через сеть. Он пройдет через каждый компьютер в сети, начиная
с "соседнего ", через "компьютер со сниффером" и заканчивая
"удаленным ". Каждая машина должна игнорировать пакет если он не
предназначен для ее IP адреса. Тем не менее, машина со Сниффером игнорирует эти
правила и принимает ЛЮБОЙ пакет, который через нее проходит. Сниффер также
известен как сетевой анализатор. Нет реального различия между сетевым
анализатором и сниффером, но компании по безопасности и Федеральное
правительство предпочитают второе название поскольку оно звучит более
угрожающе.
Какой это тип Атаки?
Для хакеров, сниффер отличное средство для наблюдения за посылаемой
информацией, и это считается пассивным типом атаки. Пассивная атака - эта та
атака которой непосредственно не вторгаются в чужую сеть или компьютер,
например, используя сниффер, в надежде получить желаемую информацию, включая
пароли. С другой стороны, активная атака непосредственно связывается с
дистанционной машиной. Дистанционные переполнения буфера хоста, сетевые
наводнения и другое, попадают под категорию активной атаки. По сути, пассивная
атака сниффера не может быть обнаружена. Следы его деятельности ни где не
отражаются. И при этом атака сниффера также серьезна, как любая активная атака.
Достоинства
С помощью сниффера, вы можете получить любую информацию, которая была
передана в сети, как то: пароли, почта, конфиденциальные документы, и любую
другую незакодированную информацию. В сущности, сниффер действует как
регистратор программ, установленных на машинах, от которых передаются пакеты.
Захватывая эти пакеты, сниффер поможет вам создать точную карту сети и машин,
которые находятся в ней. Есть одно правило для сниффера: для эффективной атаки
сниффер должен устанавливаться в непосредственной близости к главному
компьютеру, либо на сам главный компьютер, так как не все машины из одной сети
могут поделиться информацией друг с другом. Следовательно если у злоумышленника
будет возможность доступа к главной машине или наиболее приближенной, то он
может злоупотребить этим и использовать эту машину как трамплин в остальную
часть сети. При установке сниффера в хостах близких к главной машине,
возможность получения секретной информации повышается.
Типы Снифферов:
Наиболее популярный тип Снифферов использует кратковременный забор
информации и работает в небольших сетях. Причина этого кроется в том, что
невозможно поставить сниффер, который бы постоянно отслеживал пакеты и при этом
не сильно использовал мощность центрального процессора. Чрезмерная загрузка
центрального процессора и файловой системы являются единственным путем
обнаружения снифферов. Эти снифферы осуществляют быстрый и кратковременный
забор информации, чтобы утилиты, подобные РS и IFCONFIG не смогли обнаружить
их. Если Вы обнаружили что загрузка центрального процессора была выше нормального,
или, каждый день, Вы теряете еще один мег. дискового пространства, и это ничем
не может быть объяснено, - это указывает на присутствие сниффера.
Следующий тип снифферов, работает на больших протоколах передачи данных,
соответственно, использует больше ресурсов в центральном процессоре. В больших
сетях, эти снифферы могут сгенерировать вплоть до десяти мегабайтных протоколов
в день, если в сниффере установлена регистрация всего диалогового движения. А
если стоит и обработка почты то объемы могут расти даже быстрее.
Популярные Снифферы
Снифферы являются инструментами как для хакера, так и для системных
администраторов. Следующий список содержит наиболее популярные снифферы:: Это -
один из первых снифферов и он по прежнему хорош. Этот сниффер сохраняет первые
400 байтов пакета по умолчанию, но может быть запрограммирован так, чтобы он
захватывал целую сессию и вырубал пароль.: Это - тоже хороший сниффер поскольку
скорректирован более четко чем Sniffit, имеет кучу опций.: Очень знаменитый
сниффер. Считается, профессиональным административным средством.: известная,
очень квалифицированная группа хакеров ADM написала хороший сниффер.: известный
сниффер разработанный для платформы Linux .: Это хорошо известный сниффер.:
этот сниффер сделан под платформу SunOS. Возможно один из наиболее известных
снифферов т.к. был сделан почти десять лет назад.: сниффер для Solaris. Это -
просто модификация Sunsniff разработанная, для компиляции на платформу Solaris.
Есть много хороших снифферов подобно Snort, которые умеют работать на
многочисленных платформах.
Обнаружение и Предотвращение атаки
Если необходимо проверить сеть на наличие снифферов, следующие программы
могут сильно в этом помочь. Первая программа которая вам поможет - promisc.c,
написаная на С. Когда она скомпилируется, она проверит локальную машину с любым
типом карты NICs. Следующая программа тоже на Сneped.c, умеет делать
дистанционные проверки на любые типы снифферов, но она компилируется только под
Linux. Для поиска вручную, следует набрать команду 'ifconfig -', и посмотреть
все сетевые интерфейсы, которые будут носить флаг PROMISC. Не так давно
комманда L0pht выпустила бета-версию программы
AntiSniff<#"896896.files/image001.jpg">
Рисунок 1. Модель аппаратного ввода системы Windows
При возникновении неких событии ввода (нажатии клавиш, перемещении мыши)
события обрабатываются соответствующим драйвером и помещается в системную
очередь аппаратного ввода. В системе имеется особый поток необработанного
ввода, называемый RIT (RawInputThread), который извлекает события из системной
очереди и преобразует их в сообщения. Полученные сообщения помещаются в конец
очереди виртуального ввода одного из потоков (виртуальная очередь потока
называется VIQ - VirtualizedInputQueue-). При этом RIT сам выясняет, в очередь
какого конкретно потока необходимо поместить событие. Для событий мыши поток
определяется поиском окна, над которым расположен курсор мыши. Клавиатурные
события отправляются только одному потоку - так называемому активному потоку
(т.е. потоку, которому принадлежит окно, с которым работает пользователь). На
самом деле это не совсем так - в частности, на рисунке 1 показан поток A, не
имеющий очереди виртуального ввода. В данном случае получатся, что потоки A и B
совместно используют одну очередь виртуального ввода. Это достигается при
помощи вызова API функции AttachThreadInput, которая позволяет одному потоку
подключиться к очереди виртуального ввода другого потока.
Следует отметить, что поток необработанного ввода отвечает за обработку
специальных сочетаний клавиш, в частности Alt+Tab и Ctrl+Alt+Del.
Слежение за клавиатурным вводом при помощи ловушек
Данная методика является классической для клавиатурных шпионов. Суть
метода состоит в применении механизма ловушек (hook) операционной системы.
Ловушки позволяют наблюдать за сообщениями, которые обрабатываются окнами
других программ. Установка и удаление ловушек производится при помощи хорошо
документированных функций API библиотеки user32.dll (функция SetWindowsHookEx
позволяет установить ловушку, UnhookWindowsHookEx - снять ее). При установке
ловушки указывается тип сообщений, для которых должен вызываться обработчик
ловушки. В частности, есть два специальных типа ловушки WH_KEYBOARD и WH_MOUSE
- для регистрации событий клавиатуры и мыши соответственно. Ловушка может быть
установлена для заданного потока и для всех потоков системы. Ловушка для всех
потоков системы очень удобна для построения клавиатурного шпиона.
Код обработчика событий ловушки должен быть расположен в DLL. Это
требование связано с тем, что DLL с обработчиком ловушки проецируется системой
в адресное пространство всех GUI процессов. Интересной особенностью является
то, что проецирование DLL происходит не в момент установки ловушки, а при
получении GUI процессом первого сообщения, удовлетворяющего параметрам ловушки.
Методика ловушек достаточно проста и эффективна, но у нее есть ряд
недостатков. Первым недостатком можно считать то, что DLL с ловушкой
проецируется в адресное пространство всех GUI процессов, что может применяться
для обнаружения клавиатурного шпиона. Кроме того, регистрация событий
клавиатуры возможна только для GUI приложений, это легко проверить при помощи
демонстрационной программы.
Слежение за клавиатурным вводом при помощи опроса клавиатуры
Данная методика основана на периодическом опросе состояния клавиатуры.
Для опроса состояния клавиш в системе предусмотрена специальная функция
GetKeyboardState, возвращающая массив из 255 байт, в котором каждый байт
содержит состояние определенной клавиши на клавиатуре. Данный метод уже не
требует внедрения DLL в GUI процессы и в результате шпион менее заметен.
Однако изменение статуса клавиш происходит в момент считывания потоком
клавиатурных сообщений из его очереди, и в результате подобная методика
работает только для слежения за GUI приложениями. От этого недостатка свободна
функция GetAsyncKeyState, возвращающая состояние клавиши на момент вызова
функции.
Недостатком клавиатурных шпионов такого типа является необходимость
периодического опроса состояния клавиатуры с достаточно высокой скоростью, не
менее 10-20 опросов в секунду.
1.7
Слежение за клавиатурным вводом при помощи перехвата API функций
Данная методика не получила широкого распространения, но тем не менее она
может с успехом применяться для построения клавиатурных шпионов.. Разница между
RootKit и клавиатурными шпионами в данном случае невелика - шпион будет
перехватывать функции с целью мониторинга, а не с целью модификации принципов
работы и результатов вызова.
Простейшим способом может быть перехват функций GetMessage, PeekMessage и
TranslateMessage библиотеки User32, что позволит вести мониторинг всех
сообщений, получаемых GUI приложениями.
.8
Клавиатурный шпион на базе драйвера
Данный метод еще более эффективен, чем описанные выше методы. Возможны
как минимум два варианта реализации этого метода - написание и установка в
систему своего драйвера клавиатуры вместо штатного или установка драйвера -
фильтра. Применение драйвера - фильтра является наиболее корректной методикой.
.9
Аппаратные клавиатурные шпионы
В ходе решения задач по защите от утечки информации часто рассматривают
только различные программные средства для шпионажа за работой пользователя.
Однако кроме программных возможны и аппаратные средства:
• Установка устройства слежения в разрыв кабеля клавиатуры
(например, устройство может быть выполнено в виде переходника PS/2);
• Встраивание устройства слежения в клавиатуру;
• Считывание данных путем регистрации ПЭМИН (побочных
электромагнитных излучений и наводок);
• Визуальное наблюдение за клавиатурой
Аппаратные клавиатурные шпионы встречаются намного реже, чем программные.
Однако при проверке особо ответственных компьютеров (например, применяемых для
совершения банковских операций) о возможности аппаратного слежения за
клавиатурным вводом не следует забывать.
В настоящее время сотни клавиатурных шпионов, рассмотрим в качестве
примера достаточно распространенную коммерческую программу ActualSpy
(http://www.actualspy.ru). Данная программа может регистрировать клавиатурный
ввод (с регистрацией заголовка окна и имени программы), снимать скриншоты
экрана по расписанию, регистрировать запуск/остановку программ, следить за
буфером обмена, принтером, создаваемыми пользователем файлами. Кроме того, в
программе реализовано слежение за Интернет-соединениями и посещаемыми сайтами.
ActualSpy выбран в качестве примера
Программа имеет простейшую маскировку от обнаружения - она не видна в
стандартном списке задач Windows. Для анализа собранной информации программа
формирует протоколы в формате HTML. Принцип работы программы ActualSpy основан
на ловушке, регистрирующей события клавиатуры.
В качестве других примеров могут выступить SpyAgent
(http://www.spytech-web.com), ActMon (http://www.actmon.com), SpyBuddy
(http://www.actmon.com), PC ActivityMonitor (http://www.keyloggers.com), KGB
Spy (http://www.refog.ru/)…. Этот список можно продолжать очень долго, однако в
большинстве случаев современные клавиатурные шпионы имеют примерно одинаковую
базовую функциональность и различаются сервисными функциями и качеством
маскировки в системе.
2. Методы
противодействия перехватам паролей
2.1
Методики поиска клавиатурных шпионов
• Поиск по сигнатурам. Данный метод не отличается от типовых методик
поиска вирусов. Сигнатурный поиск позволяет однозначно идентифицировать
клавиатурные шпионы, при правильном выборе сигнатур вероятность ошибки
практически равна нулю. Однако сигнатурный сканер сможет обнаруживать заранее
известные и описанные в его базе данных объекты;
• Эвристически алгоритмы. Как очевидно из названия, это методики
поиска клавиатурного шпиона по его характерным особенностям. Эвристический
поиск носит вероятностный характер. Как показала практика, этот метод наиболее
эффективен для поиска клавиатурных шпионов самого распространенного типа -
основанных на ловушках. Однако подобные методики дают много ложных
срабатываний. Исследования показали, что существуют сотни безопасных программ,
не являющихся клавиатурными шпионами, но устанавливающих ловушки для слежения
за клавиатурным вводом и мышью. Наиболее распространенный примеры - программы
PuntoSwitcher, словарь Lingvo, программное обеспечение от мультимедийных
клавиатур и мышей;
• Мониторинг API функций, используемых клавиатурными шпионами.
Данная методика основана на перехвате ряда функций, применяемых клавиатурным
шпионом - в частности, функций SetWindowsHookEx, UnhookWindowsHookEx,
GetAsyncKeyState, GetKeyboardState. Вызов данных функций каким либо приложением
позволяет вовремя поднять тревогу, однако проблемы многочисленных ложных
срабатываний будут аналогичны методу 2;
• Отслеживание используемых системой драйверов, процессов и
сервисов. Это универсальная методика, применимая не только против клавиатурных
шпионов. В простейшем случае можно применять программы типа KasperskyInspector
или Adinf, которые отслеживают появление в системе новых файлов.
.2 Защита
от радужных таблиц
Один из распространённых методов защиты от взлома с помощью радужных
таблиц - использование необратимых хеш-функций, которые включают salt («соль», «модификатор»). Существует
множество возможных схем смешения затравки и пароля. Например, рассмотрим
следующую функцию для создания хеша от пароля:
хеш = MD5( пароль + соль )
Для восстановления такого пароля взломщику необходимы таблицы для всех
возможных значений соли. При использовании такой схемы, соль должна быть
достаточно длинной (6‒8 символов), иначе злоумышленник может вычислить
таблицы для каждого значения соли, случайной и различной для каждого пароля.
Таким образом два одинаковых пароля будут иметь разные значения хешей, если
только не будет использоваться одинаковая соль.
По сути, соль увеличивает длину и, возможно, сложность пароля. Если
таблица рассчитана на некоторую длину или на некоторый ограниченный набор
символов, то соль может предотвратить восстановление пароля. Например, в старых
Unix-паролях использовалась соль, размер которой составлял всего лишь 12 бит.
Для взлома таких паролей злоумышленнику нужно было посчитать всего 4096 таблиц,
которые можно свободно хранить на терабайтных жестких дисках. Поэтому в
современных приложениях стараются использовать более длинную соль. Например, в
алгоритме хеширования bcrypt используется соль размером 128 бит. Подобная длина
соли делает предварительные вычисления просто бессмысленными. Другим возможным
способом борьбы против атак, использующих предварительные вычисления, является
растяжение ключа(англ. key stretching). Например:
ключ = хеш(пароль + соль)1 to 65536 do
ключ = хеш(ключ + пароль + соль)
Этот способ снижает эффективность применения предварительных вычислений,
так как использование промежуточных значений увеличивает время, которое
необходимо для вычисления одного пароля, и тем самым уменьшает количество
вычислений, которые злоумышленник может произвести в установленные временные
рамки.[5] Данный метод применяется в следующих алгоритмах
хеширования: MD5, в котором используется 1000 повторений, и bcrypt.
Альтернативным вариантом является использование усиления ключа (англ. key strengthening), который часто принимают за
растяжение ключа. Применяя данный метод, мы увеличиваем размер ключа за счёт
добавки случайной соли, которая затем спокойно удаляется, в отличие от
растяжения ключа, когда соль сохраняется и используется в следующих итерациях.
Также рассмотрим LM-хеш - это старый алгоритм хеширования, который используется
в Microsoft. Он чрезвычайно уязвим, так пароль, состоящий больше, чем из 7
символов, но меньше, чем из 15 символов, разбивается на две части, которые
хешируются независимо друг от друга. Чтобы избежать создания LM-хеша,
необходимо использовать пароли из 15 символов и более.
.3 Защита
от фишинга
Если не обратить внимания на разницу между
отображаемой и реальной ссылкой, то можно запросто стать жертвой мошенников. На
поддельном сайте вам предложат ввести например данные своего аккаунта или
данные кредитной карты. И не смотря на то что сайт выглядит почти как
настоящий, эти данные пойдут прямиком к мошенникам.
С ростом количества онлайн сервисов растет и
количество сетевых мошенников. Не смотря на то что сами сервисы могут быть
абсолютно безопасными, нужно сохранять предельную осторожность чтобы не стать
жертвой фишинговой атаки. Вот несколько рекомендаций, позволяющих избежать
этого:
· Будьте предельно внимательными когда
вам приходят письма с запросом какой-либо персональной информации, либо с
требованием ее обновить на сайте.
o Если письмо не подписано цифровой
сигнатурой, то нельзя быть уверенным, что оно не поддельное.
o Мошенники часто используют
специальные приемы чтобы вызвать реакцию на письмо. Типичными являются фразы с
угрозами каких-либо неприятных последствий в случае если вы не перейдете по
ссылке. Либо наоборот обещания каких то бонусов от известного сервиса.
o Чаще всего мошенникам требуются
логины, пароли, номера кредитных карт и т.п.
o Как правило фишинговые письма не
персонализированы, т.е. не содержат вашего имени в адресе.
· Никогда не переходите по ссылкам,
нажимая их прямо в письме! Гораздо безопаснее набрать вручную нужный адрес в
браузере, либо позвонить в ту компанию, от имени которой пришло письмо.
· Никогда не заполняйте персональными
данными HTML формы, которые расположены прямо в письме.
· Всегда проверяйте что для передачи
персональной информации используется шифрованное соединение. Чтобы проверить
шифруются ли данные, посмотрите на ссылку страницы где вводятся данные. Адрес
должен начинаться с "https://", а не с "http://".содержит
специальный антифишинговый модуль, который помогает распознавать фишинговые
атаки. Если он включен, то в каждом письме проверяются все ссылки. Если видимая
часть ссылки содержит адрес отличающийся от того по которому будет осуществлен
реальный переход, то ссылка считается поддельной. Если в письме встретится хотя
бы одна поддельная ссылка, плагин распознает это письмо как спам и запишет в
лог вместе с другими данными письма адрес поддельной ссылки.
2.4
Способы защиты от социальной инженерии
Для проведения своих атак злоумышленники, применяющие
техники социальной инженерии, зачастую эксплуатируют доверчивость, лень,
любезность и даже энтузиазм пользователей и сотрудников организаций. Защититься
от таких атак непросто, поскольку их жертвы могут не подозревать, что их
обманули. Злоумышленники, использующие методы социальной инженерии, преследуют,
в общем, такие же цели, что и любые другие злоумышленники: им нужны деньги,
информация или ИТ-ресурсы компании-жертвы. Для защиты от таких атак нужно
изучить их разновидности, понять, что нужно злоумышленнику, и оценить ущерб,
который может быть причинен организации. Обладая всей этой информацией, можно
интегрировать в политику безопасности необходимые меры защиты.
.5 Как
определить атаку социального инженера
Ниже перечислены методы действий социальных инженеров:
· представление другом-сотрудником либо
новым сотрудником с просьбой о помощи;
· представление сотрудником поставщика,
партнерской компании, представителем закона;
· представление кем-либо из
руководства;
· представление поставщиком или
производителем операционных систем, звонящим, чтобы предложить обновление или
патч жертве для установки;
· предложение помощи в случае
возникновения проблемы и последующее провоцирование возникновение проблемы,
которое принуждает жертву попросить о помощи;
· использование внутреннего сленга и
терминологии для возникновения доверия;
· отправка вирус или троянского коня в
качестве приложения к письму;
· использование фальшивого pop-up окна,
с просьбой аутентифицироваться еще раз, или ввести пароль;
· предложение приза за регистрацию на
сайте с именем пользователя и паролем;
· записывание вводимых жертвой клавиш
компьютером или программой;
· подбрасывание диска или дискеты с
вредоносным ПО на стол жертвы;
· подброс документа или папки в
почтовый отдел компании для внутренней доставки;
· модифицирование надписи на факсе,
чтобы казалось, что он пришел из компании;
· просьба секретаршу принять, а затем
отослать факс;
· просьба отослать документ в место,
которое кажется локальным (т.е. находится на территории организации);
· получение голосовой почты, чтобы
работники, решившие перезвонить, подумали, что атакующий - их сотрудник;
.6 Классификация угроз
Угрозы, связанные с телефоном
Телефон до сих пор является одним из самым популярных
способов коммуникации внутри и между организациями, следовательно, он все так
же является эффективным инструментом социальных инженеров. При разговоре по
телефону невозможно увидеть лицо собеседника для подтверждения его личности,
что дает злоумышленникам шанс выдать себя за сотрудника, начальника либо любое
другое лицо, которому можно доверить конфиденциальную либо не кажущуюся важной
информацию. Злоумышленник часто организует разговор так, что у жертвы
практически не остается выхода, кроме как помочь, особенно когда просьба
выглядит пустяковой.
Также популярны различные способы мошенничества,
направленные на кражу денег у пользователей мобильных телефонов. Это могут быть
как звонки, так и смс-сообщения о выигрышах в лотереях, конкурсах, просьбы
вернуть по ошибке положенные средства, либо сообщения о том, что близкие
родственники жертвы попали в беду и необходимо срочно перевести определенную
сумму средств.
Меры по обеспечению безопасности предполагают
скептическое отношение к любым подобным сообщениям и некоторые принципы
обеспечения безопасности:
· Использование услуги определения
номера;
· Игнорирование неизвестных ссылок в
смс-сообщениях;
Угрозы, связанные с электронной почтой
Многие сотрудники ежедневно получают через
корпоративные и частные почтовые системы десятки и даже сотни электронных
писем. Разумеется, при таком потоке корреспонденции невозможно уделить должное
внимание каждому письму. Это значительно облегчает проведение атак. Большинство
пользователей систем электронной почты спокойно относятся к обработке таких
сообщений, воспринимая эту работу как электронный аналог перекладывания бумаг
из одной папки в другую. Когда злоумышленник присылает по почте простой запрос,
его жертва часто выполняет то, о чём её просят, не задумываясь о своих
действиях. Электронные письма могут содержать гиперссылки, склоняющие
сотрудников к нарушению защиты корпоративной среды. Такие ссылки не всегда
ведут на заявленные страницы.
Большинство мер по обеспечению безопасности направлены
на предотвращение доступа неавторизованных пользователей к корпоративным
ресурсам. Если, щелкнув присланную злоумышленником гиперссылку, пользователь
загрузит в корпоративную сеть троянскую программу или вирус, это позволит легко
обойти многие виды защиты. Гиперссылка может также указывать на узел с
всплывающими приложениями, запрашивающими данные или предлагающими помощь. Как
и в случае с другими разновидностями мошенничества, самым эффективным способом
защиты от атак злоумышленников является скептическое отношение к любым
неожиданным входящим письмам. Для распространения этого подхода в организации в
политику безопасности следует включить конкретные принципы использования
электронной почты, охватывающие перечисленные ниже элементы.
· Вложения в документы.
· Гиперссылки в документах.
· Запросы личной или корпоративной
информации, исходящие изнутри компании.
· Запросы личной или корпоративной
информации, исходящие из-за пределов компании.
Угрозы, связанные с использованием службы мгновенного обмена
сообщениями
Мгновенный обмен сообщениями - сравнительно новый
способ передачи данных, однако он уже приобрел широкую популярность среди
корпоративных пользователей. Из-за быстроты и легкости использования этот
способ коммуникации открывает широкие возможности для проведения различных
атак: пользователи относятся к нему как к телефонной связи и не связывают с
потенциальными программными угрозами. Двумя основными видами атак, основанными
на использовании службы мгновенного обмена сообщениями, являются указание в
теле сообщения ссылки на вредоносную программу и доставка самой программы.
Конечно, мгновенный обмен сообщениями - это ещё и один из способов запроса
информации. Одна из особенностей служб мгновенного обмена сообщениями - это
неформальный характер общения. В сочетании с возможностью присваивать себе
любые имена, этот фактор позволяет злоумышленнику гораздо легче выдавать себя
за другого человека и значительно повышает его шансы на успешное проведение
атаки. Если компания намерена использовать возможности сокращения расходов и
другие преимущества, обеспечиваемые мгновенным обменом сообщениями, необходимо
предусмотреть в корпоративных политиках безопасности механизмы защиты от
соответствующих угроз. Для получения надежного контроля над мгновенным обменом сообщениями
в корпоративной среде следует выполнить несколько требований.
· Выбрать одну платформу для
мгновенного обмена сообщениями.
· Определить параметры защиты,
задаваемые при развертывании службы мгновенного обмена сообщениями.
· Определить принципы установления
новых контактов
· Задать стандарты выбора паролей
· Составить рекомендации по
использованию службы мгновенного обмена сообщениями.
.7 Основные защитные методы
Специалисты по социальной инженерии выделяют следующие
основные защитные методы для организаций:
· разработка продуманной политики
классификации данных, учитывающей те кажущиеся безвредными типы данных, которые
могут привести к получению важной информации;
· обеспечение защиты информации о
клиентах с помощью шифрования данных или использования управления доступом;
· обучение сотрудников навыкам для
распознавания социального инженера, проявлениям подозрения при общении с
людьми, которых они не знают лично;
· запрет персоналу обмен паролями либо
использование общего;
· запрет на предоставление информация
из отдела с секретами кому-либо, не знакомому лично или не подтвержденному
каким-либо способом;
· использование особых процедур
подтверждения для всех, кто запрашивает доступ к конфиденциальной информации;
.8
Многоуровневая модель обеспечения безопасности
Для защиты крупных компаний и их сотрудников от
мошенников, использующих техники социальной инженерии, часто применяются
комплексные многоуровневые системы безопасности. Ниже перечислены некоторые
особенности и обязанности таких систем.
· Данные. Деловая информация: учетные
записи, почтовая корреспонденция и т. д. При анализе угроз и планировании мер
по защите данных нужно определить принципы обращения с бумажными и электронными
носителями данных.
· Приложения. Программы, запускаемые
пользователями. Для защиты среды необходимо учесть, как злоумышленники могут
использовать в своих целях почтовые программы, службы мгновенной передачи
сообщений и другие приложения.
· Компьютеры. Серверы и клиентские
системы, используемые в организации. Защита пользователей от прямых атак на их
компьютеры, путём определения строгих принципов, указывающих, какие программы
можно использовать на корпоративных компьютерах.
· Внутренняя сеть. Сеть, посредством
которой взаимодействуют корпоративные системы. Она может быть локальной,
глобальной или беспроводной. В последние годы из-за роста популярности методов
удаленной работы, границы внутренних сетей стали во многом условными.
Сотрудникам компании нужно разъяснить, что они должны делать для организации
безопасной работы в любой сетевой среде.
· Периметр сети. Граница между
внутренними сетями компании и внешними, такими как Интернет или сети
партнерских организаций.
2.9
Программы для поиска и удаления клавиатурных шпионов
• Любой антивирусный продукт. Все антивирусы в той или иной мере
могут находить клавиатурные шпионы, однако клавиатурный шпион не является
вирусом и в результате пользы от антивируса мало;
• Утилиты, реализующие механизм сигнатурного поиска и
эвристические механизмы поиска. Примером может служить утилита AVZ, сочетающая
сигнатурный сканер и систему обнаружения клавиатурных шпионов на базе ловушек;
• Специализированные утилиты и программы, предназначенные для
обнаружения клавиатурных шпионов и блокирования их работы. Подобные программы
наиболее эффективны для обнаружения и блокирования клавиатурных шпионов,
поскольку как правило могут блокировать практически все разновидности
клавиатурных шпионов.
Из специализированных программ интерес могут представлять коммерческие
продукты PrivacyKeyboard и Anti-keylogger(пример программы
(http://www.bezpeka.biz/).
Программа Anti-keylogger работает в фоновом режиме и производит
обнаружение программ, подозреваемых в слежении за клавиатурой. В случае
необходимости можно вручную разблокировать работу любой из обнаруженных
программ (например, на рисунке видно, что в список «шпионов» попали MSCTF и
программа закачки из Интернета FlashGet). Для обнаружения клавиатурных шпионов
не применяются базы сигнатур, обнаружение ведется эвристическими методами.
Тестирование программы показало, что она эффективно противодействует
клавиатурным шпионам, основанным на применении ловушек, циклического опроса и
клавиатурного драйвера-фильтра.
Другим примером может служить программа AdvancedAntiKeylogger
(http://www.anti-keylogger.net).
В режиме обучения данная программа по логике работы напоминает Firewall -
при обнаружении подозрительной активности ится предупреждение с указанием имени
и описания программы. Пользователь может выбрать действие на сеанс (разрешить,
запретить), или создать постоянное правило для приложения. В ходе тестов
AdvancedAntiKeylogger уверенно обнаружил все основные разновидности
клавиатурных шпионов (на базе ловушки, циклического опроса, драйвера-фильтра).
Настройки программы защищаются паролем, который задается в ходе инсталляции.
Заключение
Цель курсовой работы выполнена. Анализ методов
перехвата паролей выполнен, анализ методов противодействия перехвату проведен.
На сегодняшний день, актуальны следующие методы
перехвата паролей:
. Брутфорс(от английского bruteforce - полный
перебор или метод «грубой силы» - этот метод заключается в том, что
программа-взломщик пытается получить доступ к какой-либо программе (например, к
почтовому ящику) путем перебора паролей по критериям, заданным владельцем
данной программы: по словарю, по длине, по сочетаниям цифр, да в принципе таких
критериев существует множество.
2. Фишинг - этот метод заключается в том, что бы спросить у
пользователя его/ее пароль. Фишинговое сообщение приводит ничего не
подозревающего читателя на поддельные сайты онлайн-банкинга, платежных систем
или иные сайты, на которых нужно обязательно ввести личные данные, чтобы
"исправить какую-то страшную проблему с безопасностью".
. Догадки - лучшим другом взломщиков паролей, конечно, является
предсказуемость пользователей. Если действительно случайный пароль был создан с
помощью программного обеспечения, предназначенного для этой задачи, то
пользовательский "случайный" пароль, вряд ли будет напоминать что-то
подобное.
. Сниффер(нюхач, eng) - это программа, которая устанавливается под
NIC (Сетевую Интерфейсную Карту), иначе называемую Ethernet карта. Сниффер,
установленный на промежуточном компьютере, через который будут проходить пакеты
- способен захватывать их, пока они еще не достигли цели.
5. Клавиатурные шпионы - это программа для скрытной записи информации о
нажимаемых пользователем клавишах.
Исходя из анализа методов противодействия перехвату
паролей, выделяю основные требования к созданию паролей в информационных
системах:
. Пароль не должен быть коротким.
Иметь пароль менее 8 символов вообще нежелательно, а
ещё лучше, чтобы пароль содержал 10-12 символов или больше.
. Пароль не должен содержать только цифры или только
буквы (особенно повторяющиеся). Лучше всего, когда буквы и цифры чередуются, а
ещё лучше, если в пароль добавляются специальные символы или знаки препинания.
. Не использоваться использовать пароль, который
содержит любые данные о вас или вашей семье -всевозможные памятные даты
(рождения, свадьбы и пр.), имена и фамилии родственников, номера квартир,
документов или телефонов. Недопустимо также использование любых комбинаций,
составленных из личных данных.
. Пароль должен быть бессмысленным, поэтому лучше
отказаться от пароля, который представляет собой любое существующее словарное
слово (на любом языке).
. Не использовать «секретные вопросы», ответы на
которые можно легко узнать или подобрать.
. Необходимо использовать уникальный пароль для
каждого отдельного Интернет сервиса, форума, сайта.
. Не хранить пароли с помощью встроенных в браузер
«хранителей паролей».
Во-первых, никогда нельзя быть уверенным в надежности
такого «хранителя» и в том, что сам браузер не содержит «дыр» в защите.
Злоумышленники в первую очередь ищут «дыры» в браузерах, т.к. браузерами
пользуются все.
Во-вторых, если случится сбой в работе браузера или
всей системы, то очень велика вероятность, что мы потеряем доступ ко всем
паролям, которые хранит браузер, а это хоть и не взлом, но тоже неприятно.
. Не вводить пароли в посторонних программах, на
посторонних сайтах, а также не отсылайте пароли по почте (даже по запросу от
службы поддержки или администрации сайта). Администрация НАСТОЯЩЕГО серьезного
сайта никогда не потребует пароль, поэтому если вы получили подобный запрос, то
это скорее всего работа мошенников.
. Как можно реже вводить пароли с использованием чужих
компьютеров, а особенно в общественных местах (интернет-кафе, терминалах и
т.п.). Крайне не желательно на чужом компьютере вводить пароли для входа в
аккаунт платежных систем или использовать интернет-банкинг, т.к. не исключено,
что на этом компьютере используется устройство или программа для запоминания
последовательности нажатий клавиш (клавиатурные шпионы).
Список
используемой литературы и источников
1. ГОСТ Р ИСО/МЭК 15408-1-2002.
Информационная технология. Методы и средства обеспечения безопасности. Критерии
оценки безопасности информационных технологий. Часть 1. Введение и общая
модель. - М.: ИПК Издательство стандартов, 2002
2. ГОСТ Р ИСО/МЭК 15408-2-2002.
Информационная технология. Методы и средства обеспечения безопасности. Критерии
оценки безопасности информационных технологий. Часть 2. Функциональные
требования безопасности. - М.: ИПК Издательство стандартов, 2002
. В.Б. Бетелин, В.А. Галатенко
- Информационная (компьютерная) безопасность с точки зрения технологии
программирования. - Труды 4-й Ежегодной конференции консорциума ПрМ
"Построение стратегического сообщества через образование и науку". с.
38-44. - М.: МГУ им. М.В. Ломоносова, 2001
. А.П. Трубачев , М.Ю. Долинин
, М.Т. Кобзарь , А.А. Сидак , В.И. Сороковиков - Оценка безопасности
информационных технологий. Под общей редакцией В.А. Галатенко. - М.: СИП РИА,
2001
. А. Таранов, В. Цишевский -
Java в три года. - Jet Info,11-12, 1998
. Электронный ресурс в области
IT, «Ситифорум», http://citforum.ru/security/criteria/
. Электронный ресурс
национального открытого университета ИНТУИТ,
http://www.intuit.ru/studies/courses/30/30/lecture/947
. Электронный ресурс свободной
энциклопедии «Википедиа», https://ru.wikipedia.org/wiki/Смарт-карта
. Галатенко В.А. Информационная
безопасность - практический подход. Под ред. В.Б. Бетелина. - М.: Наука, 1998
. В. Галатенко , М. Макстенек
, И. Трифаленков - Сетевые протоколы нового поколения - Jet Info, 7-8, 1998