Herramientas para realizar ataques al sistema operativo Microsoft.

Herramientas para realizar ataques a Microsoft SO.

Herramientas para llevando a cabo ataques al sistema operativo Microsoft ataques al sistema operativo Microsoft

El uso de canales de comunicación de redes de telecomunicaciones abiertas (incluido Internet) como medio para el intercambio de información en entornos distribuidos. Los sistemas de soporte, control y control de la información exponen los datos almacenados y procesados ​​en dichos sistemas a una amenaza real.

En el caso de que se utilicen herramientas estándar de varios sistemas operativos de red de uso general para conectar usuarios de forma remota, los atacantes pueden utilizar la interceptación de información durante el proceso de autenticación para obtener acceso no autorizado a los recursos de las redes informáticas locales. La disponibilidad en el mercado de seguridad de la información de software y hardware especializados que cumplan con los requisitos de los estándares nacionales en el campo de la criptografía puede mejorar significativamente las propiedades de seguridad de los sistemas operativos de red comunes. Al mismo tiempo, el uso de potentes algoritmos criptográficos para proteger los datos en el canal de comunicación y modelos especiales para controlar el acceso a los recursos de información durante su almacenamiento y procesamiento permite resistir violaciones de la confidencialidad e integridad de los conjuntos de datos.

Actualmente, los ataques a la disponibilidad de información representan una amenaza cada vez más real. Como regla general, como resultado de tales ataques, los conjuntos de datos no corren el riesgo de verse comprometidos o destruidos. Sin embargo, brindar un servicio oportuno a los usuarios legales, el funcionamiento de los sistemas de aplicaciones y la gestión de procesos distribuidos se vuelve imposible, al menos mientras dure el impacto de la información.

La familia de protocolos TCP/IP, actualmente ampliamente utilizada en la construcción de sistemas distribuidos e intranets, se desarrolló como base para la interacción de información hace más de un cuarto de siglo. Los mecanismos básicos de TCP/IP se formaron generalmente a principios de los años 80 y estaban destinados a garantizar la entrega de paquetes de datos entre diferentes sistemas operativos utilizando canales de comunicación heterogéneos y poco fiables. Aunque durante un tiempo recibió el apoyo de la Agencia de Proyectos de Investigación Avanzada (ARPA) del Departamento de Defensa de Estados Unidos, Internet en realidad se originó en la comunidad de investigación y abrazó la tradición de apertura del mundo académico. Como resultado, los conceptos básicos de los protocolos TCP/IP para una serie de requisitos contradicen las ideas modernas sobre seguridad informática. Esto se refleja en ataques cada vez más generalizados a la disponibilidad de información que explotan las vulnerabilidades de los protocolos de Internet subyacentes. Además, existen debilidades típicas en la implementación de los protocolos TCP/IP heredados de los sistemas operativos de red modernos. Sólo en 1997, Microsoft lanzó siete parches oficiales para la pila TCP/IP del sistema operativo Windows NT, destinados a eliminar la posibilidad de ataques que exploten la vulnerabilidad de los protocolos de comunicación subyacentes.

Una política estricta en el ámbito de la protección de la información «know-how» y la aplicación de dobles raseros, llevada a cabo por varios fabricantes líderes de productos «sistémicamente importantes&#187. software para obtener una victoria incondicional en la competencia, conduce a la ocultación bajo el título de secretos corporativos de información importante sobre la arquitectura de sistemas complejos, la solidez de los algoritmos criptográficos, etc. Como resultado de este enfoque, los atacantes se encuentran armados con peligrosos medios de información que influyen en grandes cantidades de datos hasta que investigadores independientes descubren y publican las vulnerabilidades correspondientes. Ejemplos de debilidades identificadas en algoritmos propietarios incluyen la clonación de un teléfono celular GSM realizada en abril de 1998 por investigadores de la Universidad de California, Berkeley; un criptoanálisis detallado realizado en junio del mismo año por especialistas de Counterpane Systems; múltiples ataques a Microsoft implementación del protocolo de túnel punto a punto para crear redes privadas virtuales PPTR, así como una serie de otros hechos que fueron posibles gracias a los intentos de los fabricantes de clasificar sus desarrollos. Además, en varias áreas están pasando a primer plano los proyectos abiertos no comerciales que brindan acceso gratuito a los detalles de la construcción de sus sistemas competitivos. Por ejemplo, el sistema operativo Linux, distribuido en código fuente, en algunos casos proporciona una ventaja significativa en rendimiento y confiabilidad a un precio más bajo que los «monstruos» informáticos. El creciente impacto de tales proyectos en la industria del software está causando preocupación entre algunos proveedores de software comercial. En particular, se conoce un memorando interno de Microsoft que expresa una estrategia de confrontación con proyectos que utilizan los principios del desarrollo de software de código abierto, incluido el sistema operativo Linux (los llamados «Documentos de Halloween», de octubre de 1998). .

La forma tradicional de establecer las propiedades de las funciones de seguridad del software, heredadas de la época del monopolio estatal de protección de la información, es la certificación de las herramientas de seguridad de la información para el cumplimiento de los requisitos de seguridad, que están regulados por documentos reglamentarios. Dichos documentos pueden ser estándares nacionales o válidos en el territorio de varios estados. En este último caso, se celebran acuerdos multilaterales sobre el reconocimiento mutuo por parte de los estados participantes de los resultados de las pruebas de certificación realizadas por los centros de certificación nacionales. Ejemplos de normas nacionales son el RD de la Comisión Técnica Estatal de Rusia y el TCSEC de EE.UU. Desde principios de los años 90 está vigente la norma ITSEC, desarrollada y adoptada conjuntamente por el Reino Unido, Francia, Alemania y los Países Bajos. En junio de 1999, la Organización Internacional de Normalización (ISO) adoptó la nueva norma internacional ISO 15408 «Criterios para evaluar la seguridad de la tecnología de la información».

En cada uno de estos estándares, las organizaciones autorizadas realizan una evaluación independiente de las propiedades de varios productos en el campo de la tecnología de la información. Así, el 7 de octubre de 1997, el sistema operativo de red Novell IntranetWare (Netware 4.11 Server) como parte del IntranetWare Support Pack FOR, así como la Actualización del Servicio de Directorio DS.NLM b5.90, DSREPAIR.NLM V4.48 y ROLLCALLNLM V4 .10 recibió un certificado de cumplimiento de la clase de seguridad C2 (en la interpretación de red) del estándar estadounidense TCSEC. Microsoft también certificó previamente que el sistema operativo Windows NT cumple con los requisitos de clase C2 de este estándar. En marzo de 1999, finalizó el proceso de tres años de certificación del sistema operativo Windows NT para el cumplimiento de los requisitos de la tercera clase del RD del Comité Estatal de Aduanas «Sistemas de control y gestión de materiales nucleares» (certificado No. 206 de 3 de diciembre de 1998). Además, el 28 de abril de 1999, el centro de certificación Logica (Reino Unido) emitió un certificado de conformidad para los sistemas operativos Windows NT Server y Workstation 4.0 con Service Pack 3.0 y parches gina-fix de acuerdo con los requisitos de la clase E3/F- C2 de la norma ITSEC.

La base para la adopción de este sistema por parte del bloque de la OTAN fue la conformidad del sistema operativo Windows NT con los altos requisitos de seguridad, confirmados mediante pruebas de certificación. Para organizar una red segura para la transmisión de datos militares tácticos, el Alto Mando de las Fuerzas Conjuntas de Europa durante la operación en Bosnia decidió implementar información distribuida del sistema Cronos basado en Windows NT (Microsoft Windows NT Server soporta comunicaciones seguras para Operaciones de la OTAN, microsoft/security/resources/NATOCaseStudy .asp). Actualmente, Cronos incluye redes locales, cada una de las cuales consta de varios servidores que ejecutan Windows NT Server 4.0 y Exchange 5.5, así como de 29 a 300 estaciones de trabajo Windows NT que ejecutan Office 95/97. Las redes locales están conectadas mediante medios criptográficos en un único sistema de información distribuido basado en el protocolo NCP/IP. En total, a través del sistema Cronos, los datos militares tácticos clasificados como “Secretos” son intercambiados por 5 mil usuarios, 150 servidores y 3 mil estaciones de trabajo ubicados en 47 centros de comando y control de los países de la OTAN, incluidos los comandos nacionales de Gran Bretaña, Alemania, Italia y Estados Unidos, así como en Bosnia y Herzegovina.

Cabe señalar que la evaluación de las propiedades protectoras de los sistemas de información se realiza no solo según la funcionalidad que tienen, correspondiente a los indicadores de seguridad requeridos, sino también sobre la base de las disposiciones que surgen del modelo de « medio ambiente» esta clase de sistemas. Una descripción del entorno es un requisito previo para los estándares modernos en el campo de la seguridad de la información y sirve para identificar amenazas a los recursos de información, teniendo en cuenta la tecnología de procesamiento de la información en un sistema determinado, los requisitos para la composición y configuración de hardware y software. así como soporte organizativo y técnico y otras condiciones para el funcionamiento del sistema. Además, cuanto mayor sea el nivel de seguridad, más estrictos serán los requisitos para las condiciones y procedimientos operativos del sistema. En consecuencia, una garantía de la seguridad de los recursos de información de un sistema certificado es el estricto cumplimiento de las condiciones y procedimientos operativos de este sistema con el entorno previsto por el certificado.

El protocolo SMB (Mensaje del servidor) es un formato de paquete para el intercambio de información entre los sistemas operativos (SO) Windows NT Server, OS/2 Lan Server, Microsoft Lan Manager y sus clientes. A medida que Microsoft lanzó varias versiones de Windows NT, el protocolo SMB también se mejoró: se desarrollaron nuevas versiones (dialectos), que representan una solución consistente al protocolo principal.

Los protocolos de dialecto LANMAN-2 se utilizan para intercambiar información entre estaciones de trabajo que ejecutan Windows 3.11 para trabajo en grupo, Windows 95/98 y Windows NT. La secuencia del intercambio de información de la red en el proceso de autenticación del usuario de la red se muestra en la Fig. 1.

Un estudio del protocolo SMB y un estudio detallado del proceso de autenticación de la red de usuarios implementado sobre la base de este protocolo permitieron identificar algunas características del acceso a los recursos de la red.

La autenticación de red del dialecto LANMAN-2 le permite transmitir contraseñas cifradas utilizando el esquema de desafío-respuesta. En este caso, el servidor transmite al cliente la información con la que éste convierte la contraseña del usuario para enviarla a través del canal de comunicación. Dado que la solicitud del servidor se transmite a través de la red en texto claro y se conoce la información sobre el algoritmo utilizado para convertir la contraseña del usuario, es posible llevar a cabo un ataque relacionado con adivinar la contraseña del usuario.

Descripción: Debido al uso del algoritmo de cifrado DES en Windows NT, la selección de contraseña está asociada con importantes costos computacionales y de tiempo.

Es mucho más eficiente imponer una solicitud del servidor al cliente y utilizar los valores del algoritmo de conversión de contraseña precalculados en una determinada palabra y una solicitud del servidor conocida.

Cuando el atacante «Bob» ve la solicitud del usuario «Alice» para obtener acceso al servidor, falsifica la dirección de origen del servidor y envía a «Alice» prohibición impuesta. «Alicia» convierte su contraseña y la envía a la dirección del servidor. Al mismo tiempo, «Bob» accede a la contraseña convertida y compara su valor con las posibles opciones previamente calculadas. En el caso de que el diccionario original contuviera la contraseña «Alice» y sólo existe una contraseña de este tipo, «Bob» recibe la contraseña «Alice» (Figura 2).

Consecuencias: un atacante que tiene la capacidad de observar el tráfico de un determinado usuario e interactuar con el servidor más rápido que este último puede obtener información sobre la contraseña del usuario. Si hay contraseñas equivalentes disponibles, es posible utilizar el método de prueba total. Medidas defensivas: Dado que el ataque descrito utiliza medios ampliamente disponibles, la aplicación de medidas de protección adecuadas es extremadamente difícil, salvo prohibir la difusión generalizada de información a través de canales de comunicación.

Como se mencionó anteriormente, la autenticación de red del dialecto LAN MAN le permite transferir contraseñas cifradas utilizando el esquema de desafío-respuesta. 187;. Sin embargo, por compatibilidad con dialectos anteriores, SMB admite la autenticación de red mediante contraseñas de texto sin cifrar.

Descripción: usuario «Alice» quiere acceder al servidor. Luego el atacante «Bob», al tener la capacidad de observar el tráfico de «Alice» e interactuar con el servidor más rápido que «Alice» puede obtener su contraseña. El ataque se lleva a cabo de la siguiente manera (Fig. 3):

1. «Alicia» envía una solicitud para conectarse al servidor.

2. «Bob» reemplaza el índice de protocolo en el paquete SMBNegprot del servidor con un dialecto que no utiliza conversión de contraseña y envía el paquete a «Alice».

3. Software «Alicia» pasa la contraseña pública al servidor.

4. «Bob» recibe la contraseña «Alice» y se conecta al servidor.

5. «Alicia» no recibe respuesta del servidor e intenta volver a conectarse.

Las consecuencias y medidas de protección son similares al apartado anterior.

Una de las áreas más vulnerables del sistema operativo Windows NT en la actualidad son los mecanismos para almacenar y transmitir información que autentica a los usuarios a través de los canales de comunicación. Dado que los algoritmos de cifrado utilizados en las redes Windows NT están bien descritos y estudiados, es posible utilizar herramientas bastante eficaces para obtener acceso no autorizado.

Descripción: el proceso de autenticación de usuarios de Windows NT utiliza información de registro almacenada en el sistema como valores de conversión criptográfica para las contraseñas de los usuarios. La contraseña de usuario convertida (llamada función hash de contraseña) es la única información sobre la base de la cual el sistema operativo Windows NT toma una decisión sobre la posibilidad de establecer una correspondencia entre el usuario real y el sujeto del sistema de control de acceso. Las imágenes de contraseñas se almacenan en la base de datos del administrador de credenciales SAM. Se puede acceder a las imágenes de contraseñas de varias maneras, por ejemplo:

• acceso de lectura del administrador a las imágenes de contraseñas de todos los usuarios almacenadas en el registro de recursos del sistema (clave LOCAL MACHINESECURITYSAM):

• acceso de lectura de todos los usuarios a la última copia de seguridad de la base de datos SAM que contiene imágenes de contraseñas de algunos usuarios , incluido el administrador (archivo C:WinntRepeirSAM):

• acceso aleatorio a imágenes de contraseñas de todos los usuarios en un disco con el sistema de archivos FAT al cargar un sistema operativo distinto de Windows NT (archivo C:WinntSystem32ConfigSAM);

• acceso aleatorio a imágenes de contraseñas de todos los usuarios en un disco con el sistema de archivos MTFS al cargar el sistema operativo Linux (archivo C:WinntSystem32 ConfigSAM);

• acceso de lectura a las imágenes de contraseñas de usuarios durante la transferencia de su información de autenticación a través de la red.

Después de obtener acceso a las imágenes de contraseñas mediante el método descrito o cualquier otro, es posible utilizar la tecnología de adivinación de contraseñas, que consiste en determinar un valor que, después de la conversión según un algoritmo conocido, coincide con la imagen dada. La tecnología de selección se puede realizar utilizando diccionarios de contraseñas probables, un método de búsqueda total, así como un método híbrido (una combinación de palabras del diccionario con búsqueda parcial).

Las herramientas actualmente distribuidas en Internet (de pago y gratuitas) permiten implementar tecnologías de selección de contraseñas bastante efectivas en computadoras comunes. Entonces. Programa LOphtCrack «firme» LOphtHeavy Industries, Inc. en una computadora Pentium II de 450 MHz revela cualquier contraseña alfanumérica en 24 horas.

La más peligrosa es la posibilidad de utilizar esta herramienta para capturar y decodificar el intercambio de información en la red. Si un atacante obtiene acceso a un determinado segmento del sistema de cable de una red informática, puede obtener información sobre las imágenes de contraseñas de todos los usuarios cuyas estaciones de trabajo envían o reciben información sobre este segmento. Dado que esta «escucha» Los medios de transmisión, por regla general, no se pueden detectar, el uso de algoritmos de autenticación de red débiles aumenta significativamente el riesgo de acceso no autorizado.

Consecuencias: un atacante que obtenga acceso a la imagen de la contraseña de un usuario puede adivinar la contraseña del usuario. Medidas de protección: se pueden dividir en categorías que corresponden a posibles canales para que los atacantes obtengan acceso a las imágenes de contraseñas de usuarios de Windows NT. Sin embargo, los atacantes están adquiriendo cada vez más medios y métodos nuevos para acceder a las imágenes de contraseñas, tanto durante su almacenamiento como durante su transmisión a través de canales de comunicación. Por ejemplo, en el Service Pack 3 para Windows NT 4.0, Microsoft introdujo una nueva característica de seguridad para almacenar imágenes de contraseñas en SAM cifrándolas adicionalmente con una clave de 128 bits. Pero varios investigadores independientes descubrieron la vulnerabilidad de esta tecnología y implementaron los ataques correspondientes en su software.

Además de Lm-fix para Service Pack 3, Microsoft propuso una forma de mejorar la seguridad de las imágenes de contraseñas cuando se transmiten a través de sistemas de cable abandonando el dialecto LANMAN-2 del protocolo SMB y utilizando el dialecto NTLM más avanzado. Sin embargo, las herramientas para adivinar contraseñas disponibles actualmente no pueden realizar cálculos en un tiempo aceptable. Sin embargo, la negativa a utilizar el dialecto LANMAN-2 significa que es imposible utilizar Windows NT Workgroups 3.11 y Windows 95 como sistemas operativos para estaciones de trabajo. En el Service Pack 4, Microsoft propuso el dialecto de protocolo SMB-NTLMv2, que se utiliza para proteger la información. transmitido durante el proceso de autenticación, cifrado mediante el algoritmo HMAC-MD5 con una longitud de clave de 128 bits. Por lo tanto, el uso del sistema operativo Windows NT 4.0 Workstation con Service Pack 4 instalado como software de estación de trabajo permite la protección más sólida de la información de autenticación.