Инструментальные средства проведения атак на ОС MicrosoftИнструментальные средства проведения атак на ОС Microsoft Данная работа является попыткой анализа уязвимостей сетевых операционных систем Windows 95/98 NT фирмы Microsoft. В статье рассматриваются основные методы и некоторые распространенные инструментальные средства воздействия, представляющие реальную угрозу информационному обмену в открытых телекоммуникационных сетях. Материал подготовлен на базе доклада для Научно-технического центра Ассоциации российских банков. Атаки на доступность информации наиболее реальны Использование каналов связи открытых телекоммуникационных сетей (в том числе сети Интернет) в качестве среды информационного обмена в распределенных системах информационного обеспечения, контроля и управления подвергает реальной угрозе данные, хранимые и обрабатываемые в таких системах. В случае, когда для удаленного подключения пользователей применяются штатные средства различных сетевых операционных систем общего назначения, перехват информации в процессе аутентификации может быть использован злоумышленниками для получения несанкционированного доступа к ресурсам локальных вычислительных сетей. Наличие на рынке средств защиты информации специализированного программного и аппаратного обеспечения, удовлетворяющего требованиям национальных стандартов в области криптографии, позволяет существенно улучшать свойства защищенности распространенных сетевых операционных систем. При этом применение стойких криптографических алгоритмов для защиты данных в канале связи и специальных моделей управления доступом к информационным ресурсам при их хранении и обработке позволяет противостоять нарушению конфиденциальности и целостности массивов данных. В настоящее время все более реальную угрозу представляют атаки на доступность информации. Как правило, в результате таких атак массивы данных не подвергаются угрозе компрометации или разрушения. Однако предоставление своевременного обслуживания легальных пользователей, функционирование прикладных систем, управление распределенными процессами становится невозможным, по крайней мере, на время осуществления информационного воздействия. Широко используемое в настоящее время при построении распределенных систем и интрасетей семейство протоколов TCP/IP разрабатывалось в качестве основы информационного взаимодействия более четверти века назад. Основные механизмы TCP/IP были в целом сформированы к началу 80-х годов и предназначались для обеспечения доставки пакетов данных между различными операционными системами с использованием разнородных, ненадежных каналов связи. Несмотря на имевшуюся в течение определенного периода времени поддержку со стороны Управления перспективных исследований (ARPA) МО США, сеть Интернет фактически зародилась в исследовательском сообществе и вобрала в себя традиции открытости академического мира. В результате основные концепции протоколов TCP/IP по ряду требований противоречат современным представлениям о компьютерной безопасности. Это находит свое отражение в получающих все большее распространение атаках на доступность информации, использующих уязвимость базовых протоколов сети Интернет. Кроме того, имеются типичные слабости реализации протоколов TCP/IP, наследуемые современными сетевыми операционными системами. Только в 1997 г. фирма Microsoft выпустила семь официальных исправлений стека TCP/IP операционной системы Windows NT, направленных на ликвидацию возможности проведения атак, использующих уязвимость базовых протоколов информационного обмена. Двойная политика ведущих производителей ПО Жесткая политика в области охраны сведений "ноу-хау" и применения двойных стандартов, проводимая рядом ведущих фирм-производителей "системообразующего" программного обеспечения с целью одержать безусловную победу в конкурентной борьбе, приводит к сокрытию под грифом корпоративных секретов важных сведений об архитектуре сложных систем, стойкости криптографических алгоритмов и т.п. Вследствие такого подхода злоумышленники оказываются вооруженными опасными средствами информационного воздействия на большие массивы данных до тех пор, пока соответствующие уязвимости не будут обнаружены и опубликованы независимыми исследователями. Примерами выявленных слабостей закрытых алгоритмов является клонирование телефона сотовой системы GSM, осуществленное в апреле 1998 г. исследователями Калифорнийского университета Беркли: подробный криптоанализ, проведенный в июне этого же года специалистами фирмы Counterpane Systems: множественные атаки на реализацию фирмой Microsoft туннельного протокола точка-точка для создания виртуальных частных сетей РРТР, а также целый ряд других фактов, ставших возможными из-за попыток производителей засекретить свои разработки. Помимо этого, по ряду направлений на первый план выходят некоммерческие проекты открытого характера, предоставляющие свободный доступ к деталям построения своих конкурентоспособных систем. Например, операционная система Linux, распространяемая счастью исходных текстов, в ряде случаев обеспечивает существенное преимущество по производительности и надежности за меньшую цену перед компьютерными "монстрами". Расширяющееся влияние таких проектов на индустрию программного обеспечения вызывает обеспокоенность некоторых производителей коммерческого программного обеспечения. В частности, известен внутренний меморандум фирмы Microsoft, выражающий стратегию противоборства с проектами, использующими принципы разработки открытого программного обеспечения, включая и ОС Linux (так называемые "Документы Хеллоувина", датированные октябрем 1998 г.). Национальные стандарты и системы сертификации Традиционным способом установления свойств защитных функций программного обеспечения, наследуемым со времен государственной монополии на защиту информации, является сертификация средств защиты информации на соответствие требованиям защищенности, которые регламентируются нормативными документами. Такие документы могут являться национальными стандартами или действовать на территории нескольких государств. В последнем случае заключаются многосторонние соглашения о взаимном признании государствами-участниками результатов сертификационных испытаний, проводимых национальными центрами сертификации. Примерами национальных стандартов являются РД Гостехкомиссии России и TCSEC США. С начала 90-х годов действует стандарт ITSEC, совместно разработанный и принятый Великобританией, Францией, Германией и Нидерландами. В июне 1999 г. Международная организация по стандартизации ISO приняла новый международный стандарт ISO 15408 "Критерии оценки защищенности информационных технологий". В каждом из указанных стандартов уполномоченными организациями проводится независимая оценка свойств различных продуктов в области информационных технологий. Так, 7 октября 1997 г. сетевая операционная система Novell IntranetWare (Netware 4.11 Server) в составе IntranetWare Support Pack ЗА, а также Directory Service Update DS.NLM b5.90, DSREPAIR.NLM V4.48 и ROLLCALLNLM V4.10 получила сертификат на соответствие классу защищенности С2 (в сетевой интерпретации) американского стандарта TCSEC. Фирма Microsoft ранее также провела сертификацию ОС Windows NT на соответствие требованиям класса С2 данного стандарта. В марте 1999 г. завершился трехлетний процесс сертификации ОС Windows NT на соответствие требованиям 3-го класса РД ГТК "Системы управления и контроля ядерными материалами" (сертификат № 206 от 3.12.98). Кроме этого, 28 апреля 1999 г. центром сертификации Logica (Великобритания) выдан сертификат соответствия ОС Windows NT Server и Workstation 4.0 в составе с пакетом обновления Service Pack 3.0 и исправлениями gina-fix согласно требованиям класса E3/F-C2 стандарта ITSEC. Соответствие ОС Windows NT высоким требованиям защищенности, подтвержденное сертификационными испытаниями, явилось основанием для принятия этой системы на вооружение блоком НАТО. С целью организации защищенной сети передачи тактических военных данных Главным командованием объединенных сил Европы во время операции в Боснии принято решение о развертывании на базе Windows NT распределенной информации системы Cronos (Microsoft Windows NT Server Supports Secure Communications for NATO Operations, microsoft/security/resources/NATOCaseStudy.asp). В настоящее время Cronos включает в себя локальные сети, каждая из которых состоит из нескольких серверов под управлением Windows NT Server 4.0 и Exchange 5.5, а также от 29 до 300 рабочих станций Windows NT Workstation с пакетом Office 95/97. Локальные сети соединены с использованием криптографических средств в единую распределенную информационную систему на базе протокола NCP/IP. Всего посредством системы Cronos тактическими военными данными, имеющими гриф "Секретно", обмениваются 5 тыс. пользователей, 150 серверов и 3 тыс. рабочих станций, расположенных в 47 пунктах управления войсками стран НАТО, включая национальные командования Великобритании, Германии, Италии и США, а также в Боснии и Герцеговине. Необходимо заметить, что оценка защитных свойств информационных систем осуществляется не только по имеющимся у них функциональным возможностям, соответствующим требуемым показателям защищенности, но и на основании положений, вытекающих из модели "среды окружения" данного класса систем. Описание среды окружения является обязательным условием для современных стандартов в области защиты информации и служит для определения угроз информационным ресурсам с учетом технологии обработки информации в данной системе, требований к составу и конфигурации аппаратно-программных средств, а также организационно-техническому обеспечению и другим условиям функционирования системы. При этом чем выше уровень защищенности, тем более строгие требования предъявляются к условиям и порядку эксплуатации системы. Следовательно, гарантией безопасности информационных ресурсов сертифицированной системы является строгое соответствие условий и порядка эксплуатации данной системы среде окружения, предусмотренной сертификатом. Протокол информационного обмена в сетях Windows NT Протокол SMB (Server message) представляет собой формат пакетов для информационного обмена между операционными системами (ОС) Windows NT Server, OS/2 Lan Server, Microsoft Lan Manager и их клиентами. В процессе выпуска фирмой Microsoft различных версий Windows NT совершенствовался также и протокол SMB: были разработаны его новые версии (диалекты), представляющие собой последовательное решение основного протокола. Протоколы диалекта LANMAN-2 используются для обмена информацией между рабочими станциями под управлением Windows 3.11 for Workgroups, Windows 95/98 и Windows NT. Последовательность сетевого информационного обмена в процессе сетевой аутентификации пользователя показана на рис. 1.
Исследование протокола SMB и детальное изучение процесса сетевой аутентификации пользователя, реализуемого на основе этого протокола, позволило выявить некоторые особенности осуществления доступа к сетевым ресурсам. Методы несанкционированного доступа к сетевым ресурсам Навязывание параметров информационного обмена Сетевая аутентификация диалекта LANMAN-2 позволяет передать зашифрованные пароли с использованием схемы "запрос-ответ". При этом сервер передает клиенту ту информацию, с помощью которой последний осуществляет преобразование пароля пользователя для его пересылки по каналу связи. Поскольку запрос сервера передается по сети в открытом виде и информация о применяемом алгоритме преобразования пароля пользователя известна, появляется возможность осуществить атаку, связанную с подбором пароля пользователя. Описание: ввиду использования ОС Windows NT алгоритма шифрования DES подбор пароля оказывается сопряжен со значительными вычислительными и временными затратами. Гораздо эффективнее навязать клиенту запрос сервера и воспользоваться предварительно вычисленными на некотором слове и известном запросе сервера значениями алгоритма преобразования паролей. Когда злоумышленник "Боб" видит запрос пользователя "Алисы" на получение доступа к серверу, он подделывает исходный адрес сервера и посылает "Алисе" навязываемый запрет. "Алиса" производит преобразование своего пароля и посылает его по адресу сервера. При этом "Боб" получает доступ к преобразованному паролю и сравнивает его значение с вычисленными ранее возможными вариантами. В случае, когда исходный словарь содержал пароль "Алисы" и такой пароль единственный, "Боб" получает пароль "Алисы" (рис. 2).
Последствия: злоумышленник, имеющий возможность наблюдать за трафиком некоего пользователя и взаимодействовать с сервером быстрее последнего, может получить информацию о пароле пользователя. При наличии эквивалентных паролей возможно применение метода тотального апробирования. Защитные меры: поскольку описываемая атака использует широко доступные средства, применение адекватных защитных мер чрезвычайно затруднено, если не считать таковыми запрет на широкое распространение информации по каналам связи. Навязывание протокола информационного обмена Как указывалось выше, сетевая аутентификация диалекта LAN MAN позволяет передавать зашифрованные пароли с использованием схемы "запрос-ответ". Однако для совместимости с ранними диалектами SMB поддерживает возможность сетевой аутентификации с использованием открытых паролей. Описание: пользователь "Алиса" хочет получить доступ к серверу. Тогда злоумышленник "Боб", имеющий возможность наблюдать за трафиком "Алисы" и взаимодействовать с сервером быстрее "Алисы", может получить ее пароль. Атака проводится следующим образом (рис. 3):
1. "Алиса" посылает запрос на подключение к серверу. 2. "Боб" заменяет в пакете SMBNegprot сервера индекс протокола на диалект, не использующий преобразование паролей, и посылает пакет "Алисе". 3. Программное обеспечение "Алисы" передает открытый пароль серверу. 4. "Боб" получает пароль "Алисы" и подключается к серверу. 5. "Алиса" не получает ответ сервера и пытается провести повторное подключение. Последствия и защитные меры аналогичны предыдущему разделу. Преодоление подсистемы разграничения доступа Одним из наиболее уязвимых мест ОС Windows NT в настоящее время являются механизмы хранения и передачи по каналам связи информации, аутентифицирующей пользователей. Поскольку применяемые в сетях Windows NT алгоритмы шифрования хорошо описаны и изучены, для получения несанкционированного доступа возможно использование достаточно эффективных инструментальных средств. Описание: в процессе аутентификации пользователей Windows NT применяется регистрационная информация, хранимая в системе в качестве значений криптографических преобразований паролей пользователей. Преобразованный пароль пользователя (он называется хэш-функцией пароля) и является единственной информацией, на основе которой ОС Windows NT принимает решение о возможности установления соответствия между реальным пользователем и субъектом системы разграничения доступа. Образы паролей хранятся в базе данных менеджера регистрационных записей SAM. Доступ к образам паролей может быть получен различными путями, например: • доступ по чтению администратора к образам паролей всех пользователей, хранимых в системном реестре ресурсов (ключ LOCAL MACHINE\SECURITY\SAM): • доступ по чтению всех пользователей к последней резервной копии базы SAM, содержащей образы паролей некоторых пользователей, включая администратора (файл C:\Winnt\Repeir\SAM): • произвольный доступ к образам паролей всех пользователей на диске с файловой системой FAT при загрузке ОС, отличной от Windows NT (файл C:\Winnt\System32\Config\SAM); • произвольный доступ к образам паролей всех пользователей на диске с файловой системой MTFS при загрузке ОС Linux (файл C:\Winnt\System32\ Config\SAM); • доступ по чтению к образам паролей пользователей в процессе передачи их аутентифицирующей информации по сети. После получения описанным или каким-либо другим способом доступа к образам паролей возможно применение технологии подбора паролей, заключающейся в определении значения, которое после преобразования по известному алгоритму совпадает с данным образом. Технология подбора может осуществляться с использованием словарей вероятных паролей, методом тотального перебора, а также гибридным методом (комбинация словарных слов с частичным перебором). Распространяемые в настоящее время в сети Интернет (за плату и бесплатно) инструментальные средства позволяют на обычной вычислительной технике реализовывать достаточно эффективные технологии подбора паролей. Так. программа LOphtCrack "фирмы" LOphtHeavy Industries, Inc. на ЭВМ Pentium II 450 МГц раскрывает любые алфавитно-цифровые пароли за 24 часа. Наиболее опасной является возможность применения указанного средства для захвата и декодирования сетевого информационного обмена. В случае доступа злоумышленника к некоторому сегменту кабельной системы вычислительной сети он может получить информацию об образах паролей всех пользователей, чьи рабочие станции посылают или получают информацию по данному сегменту. Поскольку такое "прослушивание" среды передачи, как правило, не может быть обнаружено, применение слабых алгоритмов сетевой аутентификации существенно увеличивает риск несанкционированного доступа. Последствия: злоумышленник, получивший доступ к образу пароля пользователя, может подобрать пароль пользователя. Защитные меры: их можно разделить по категориям, соответствующим возможным каналам получения доступа злоумышленниками к образам паролей пользователей Windows NT. Однако злоумышленники получают все более новые средства и методы доступа к образам паролей как при их хранении, так и при передаче по каналам связи. Например, в Пакете обновления Service Pack 3 для ОС Windows NT 4.0 фирма Microsoft предложила новое средство обеспечения безопасности при хранении образов паролей в SAM путем их дополнительного шифрования на некотором ключе размером 128 бит. Но несколько независимых исследователей обнаружили уязвимость данной технологии и реализовали соответствующие атаки в своих программных средствах. В дополнение Lm-fix к Пакету обновления Service Pack 3 фирма Microsoft предложила способ повышения защищенности образов паролей при их передаче по кабельным системам путем отказа от диалекта LANMAN-2 протокола SMB и применения наиболее развитого диалекта NTLM. При этом имеющиеся в настоящее время инструментальные средства подбора паролей не могут производить вычисления за приемлемое время. Однако отказ от использования диалекта LANMAN-2 означает невозможность применения в качестве операционных систем рабочих станций ОС Windows NT Workgroups 3.11 и Windows 95. В пакете обновления Service Pack 4 фирма Microsoft предложила диалект протокола SMB-NTLMv2, использующий для защиты информации, передаваемой в процессе аутентификации, шифрование по алгоритму HMAC-MD5 с ключом длиной 128 бит. Таким образом, использование в качестве программного обеспечения рабочих станций ОС Windows NT 4.0 Workstation с установленным Пакетом обновления Service Pack 4 позволяет осуществлять наиболее стойкую защиту аутентифицирующей информации. |
