- •Учебно-методическое пособие
- •«Организация информационной безопасности»
- •Содержание
- •1.1. Анализ угроз безопасности информации. Основные принципы защиты информации в компьютерных системах
- •1.2. Политика mls - многоуровневая политика
- •2. Методы и средства обеспечения информационной безопасности
- •2.1. Особенности применения криптографических методов.
- •Шифровку с открытым ключом можно представить схемой (рис. 2).
- •Необходимо также при рассмотрении данной темы представить информацию о des и гост-28147; rsa и гост-р-3410.
- •2.2 Способы реализации криптографической подсистемы. Особенности реализации систем с симметричными и несимметричными ключами.
- •Классификация криптографических методов.
- •Базовые циклы криптографических преобразований.
- •Требования к качеству ключевой информации и источники ключей.
- •2.3. Элементы и принципы теории кодирования
- •2.4. Коды с обнаружением и исправлением ошибок
- •3. Архитектура электронных систем обработки данных
- •3.1. Представление информации в компьютере
- •3.2. Политика безопасности. Безопасность учетных записей пользователей в Windows nт
- •3.3. Хранение паролей
- •4.1. Возможные атаки на базу данных sam
- •4. 2. Основные методы защиты базы данных sam
- •4.3. Организация средств защиты web-портала
- •5. Стандарты по оценке защищенных систем. Примеры практической реализации. Построение парольных систем
- •5.1. Алгоритмы хеширования
- •5.2. Алгоритмы шифрования
- •6. Основные методы нарушения секретности, целостности и доступности информации. Причины, виды, каналы утечки и искажения информации
- •3. Степень воздействия
- •4. Особенности алгоритма работы
- •1.1. Файловые;
- •1.2. Загрузочные;
- •1.3. Файлово-загрузочные;
- •4. Сетевые;
- •5. Макро-вирусы;
- •2.1. Резидентные;
- •2.2. Нерезидентные;
- •Подозрительные действия при работе компьютера, характерные для вирусов
- •Прямая запись на диск по абсолютному адресу
- •6.2. Технология защищённой связи в электронной коммерции
- •6.3. Защита информации в электронной коммерции и электронной почте
- •7.1. Системы информационной защиты от внутренних угроз
- •7.2. Виды вредоносных программ и тенденции их развития
- •7.3. Безопасность данных в распределённых компьютерных системах
- •1. Защита информации от несанкционированного доступа в открытых версиях операционной системы Windows.
- •2. Подсистема безопасности защищенных версий операционной системы Windows
- •1. Понятие опасности и виды источников опасности.
- •2. Угроза и безопасность.
- •3. Виды безопасности:
- •4. Система мер по предотвращению угроз:
- •5. Как показывает опыт работ зарубежных стран, наиболее уязвимым звеном в охране коммерческих секретов является:
- •8. Конфиденциальные сведения ранжируются по степени ограничения их распространения, а именно:
- •9. Защищенные информационные системы основаны на:
- •Методы и средства обеспечения информационной безопасности
- •Архитектура электронных систем обработки данных.
- •Особенности применения криптографических методов.
4.1. Возможные атаки на базу данных sam
В компьютерной системе взломщик стремится, в первую очередь, узнать пароль ее администратора либо в хешированном, либо в текстовом виде. Основной удар направлен на базу данных SAM, извлеченные из нее хешированные пароли могут быть впоследствии использованы для установления сетевого соединения с компьютером, подвергшимся атаке, а также для восстановления паролей в текстовом виде.
Доступ к базе данных SAM. Доступ к файлу \winnt\System32\ Config\SAM для обычных пользовательских программ заблокирован. Тем не менее с помощью программы NTBACKUP любой обладатель права Backup files and directories может скопировать его в составе реестра на резервный магнитный носитель. Резервную копию реестра также позволяет создать программа REGBACK из Windows NT Resource Kit. Кроме того, взломщик может попытаться переписать копию файла SAM (SAM.SAV) из папки \winnt\System32\Config или сжатую архивную копию - файл SAM. из папки \winnt\Repair.
Извлечение информации из SAM. Чтобы прочитать добытую физическую копию файла SAM, ее можно загрузить в реестр любого доступного Windows NT-компьютера (командой Load Hive в программе RegEdit32).Изучая ее, нетрудно узнать, например, имя пользователя Administrator, даже если оно было изменено. Для этого достаточно просмотреть значения параметров F и V подраздела \Domains\Account\Users\0001F4 в подгруженной базе, поскольку у пользователя Administrator всегда одинаковый RID, равный 500 (т.е. 1F4). Если не включен режим хранения старых паролей, то последние 32 байта параметра V указанного подраздела представляют собой не что иное, как зашифрованные хешированные пароли, сначала Lan Manager, затем Windows NT. (Если режим хранения старых паролей в базе данных включен, то в параметр V записываются сначала хешированные представления текущего пароля пользователя, а затем ранее использованных им паролей). DES-шифрование хешированных паролей выполняется с помощью ключей, построенных на основе RID пользователя, и является обратимой процедурой. Программу, выполняющую такое обратное преобразование, легко найти в Internet. Эта программа извлекает хешированные пароли непосредственно из реестра локального либо удаленного компьютера и выводит их на экран или в файл. Поскольку раздел SAM реестра по умолчанию недоступен даже пользователям группы Administrators, то программа в процессе работы модифицирует списки прав доступа к этому разделу, а по окончании работы восстанавливает их исходный вид. Для применения программы необходимо войти в систему как Administrator, но исходный текст программы также доступен, и это ограничение можно снять.
Хотя знание хешированного пароля не дает возможности быстро восстановить его в исходном текстовом виде и входить в систему, но с его использованием взломщик может установить сетевой сеанс с другим компьютером и получить доступ к его ресурсам. Пароль в текстовом виде для этого не нужен. Данное свойство называется равнозначностью паролей.
Восстановление паролей в текстовом виде. Для этого чаще всего используют два подхода: поиск по словарю и прямой подбор.
По первому способу пароль взламывается с помощью некоторого заранее подобранного набора слов, который и называется словарем. Последовательно к каждом слову из словаря применяется хеш-функция, и, как только результат применения совпадет с хешированным паролем из базы данных, пароль считается найденным. Вероятность вскрытия пароля зависит в первую очередь от объема словаря. Разумеется, для взлома применяются специальные программы. Работают они очень быстро.
При прямом подборе для получения хешированных паролей используются последовательности символов, генерируемые из некоторого набора автоматически. Такой способ в принципе позволяет вскрыть любой пароль, содержащий символы из данного набора, однако из-за экспоненциально возрастающего числа перебираемых комбинаций работает он гораздо медленнее, чем поиск по словарю.
В первую очередь для восстановления текстового пароля используют хешированный пароль Lan Manager, так как он недостаточно устойчив к взлому (алгоритм вскрытия см. в [9]). Программы взлома имеются на общедоступных серверах Internet.