17 февраля 1998, #12

Страница Вечерний D2MAC - обозрение пиратской технологии посвящена, скажем так, некоторым тонкостям работы со спутниковым телевидением. Рассказано об основных ухищрениях, на которые идут телевизионные компании для защиты от несанкциорованного просмотра, и, естественно, о том, как их можно попытаться обойти, включая, например, создание своего имитатора смарт-карты. Архив кодов Eurocrypt, подборка софта, FAQ, ссылки, чат и т.д.

Как я уже писал в новостях, на прошлой неделе вышел L0phtCrack 2.0. Теперь - чуть подробнее, что это такое, что дает и чем грозит.

Основное назначение L0phtCrack - восстановление паролей NT, которые, как известно, хранятся в хэшированном виде. Поддерживается поиск по словарю (словарь на 25 с лишним тысяч слов есть и в комплекте) и взлом методом "грубой силы" - попросту говоря, перебором. Обещана существенно возросшая скорость перебора, возможность задания своего набора символов, возможность сохранения состояния с последующим возобновление перебора, поддержка многопроцессорных систем. Перебор по набору символов A-Z занимает 24 часа на PPro 200, A-Z,0-9 - около 10 дней. Поиск по словарю, естественно, идет гораздо быстрее (100 тысяч слов в минуту), но понятно, что работает только при использовании популярных паролей.

Теперь переходим к самому интересному - как, собственно, получить хэшированные пароли. L0phtCrack поддерживает три основных метода. Пароль может быть импортирован из реестра, получен из SAM-файла (из каталога %SYSTEMROOT%\System32\config, с repair-диска или backup-ленты) и, наконец, подсмотрен с помощью sniffer'а, входящего в поставку. Разберем эти способы по порядку.

Импорт из реестра. Самый простой способ, от которого и легче всего защититься. Во-первых, доступ к реестру можно просто-напросто прикрыть, во-вторых, в состав 3-го Service Pack'а входит утилита SysKey, позволяющая использовать "strong encryption" при хранении хэшированных паролей.

Импорт из SAM-файла. Этот файл, собственно говоря, недоступен для чтения во время работы системы. Получить к нему доступ можно, например, загрузившись с дискетки и запустив ntfsdos. Хотя если администратор сети пускает всех подряд к серверу да еще и дает грузиться с дискетки (равно как и дающего доступ к repair-диску или backup-ленте), его совсем не жалко :) Наконец, применение все той же утилиты SysKey прикрывает и эту брешь.

Использование sniffer'а (работающего только под NT 4.0). Для его работы необходимо предварительно установить на подсматривающую машину пакетный драйвер, полностью идентичный драйверу от программы, которую я описывал в прошлом выпуске. На машине также должен быть установлен ethernet-адаптер. Это, вообще говоря, уже довольно серьезное требование - для установки этого драйвера пользователь, как правило, должен обладать правами администратора или Power User'а. После запуска sniffer'а нужно просто оставить его работающим на некоторое время, чтобы он смог накопить информацию о всех login'ах. Дело в том, что в NT может использоваться два вида аутентификации - доставшаяся в наследство от LAN Manager'а, которая просто пересылает хэшированные пароли по сети, и более свежая, предварительно их шифрующая. Вышедший hot-fix позволяет администратору добавть в реестр ключи, запрещающие LM Authentication, но проблема в том, что клиенты Windows'95 и Windows for Workgroups поддерживают только ее, поэтому смешанные сети гораздо в большей степени подвержены этой атаке.

Если подвести итог всему сказанному, L0phtCrack - действительно очень неплохое средство для поиска слабых мест в NT-сети, способное помочь как взломщику, так и грамотному администратору. Щели, которые он использует, были известны и раньше, ну а если админ мышей не ловит - это его проблемы.

И последнее. L0phtCrack выпущен в виде shareware-версии, действующей в течение 15 дней. Могу, правда, утешить - если перед первым запуском перевести системное время на пару лет вперед, а потом назад, два года и 15 дней у вас в запасе будет. Если же вы уже успели запустить его, можно удалить из реестра ключи "HKEY_CURRENT_USER\Software\LHI" и "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Network" и запустить l0phtcrack95.exe - он как-то спокойнее отнесся к издевательствам над реестром. Потом начнет запускаться и версия для NT.

«		»