Безмалый В.Ф. Microsoft Security Trusted Advisor MVP Consumer Security vladb@windowslive.com http://vladbez.spaces.live.com длина пароля должна составлять не менее 10 символов; в пароле должны встречаться большие и маленькие буквы, цифры и спецсимволы; время жизни пароля должно составлять не более 42 дней; пароли не должны повторяться. Наиболее эффективным является метод взлома парольной защиты операционной системы (в дальнейшем - ОС), при котором атаке подвергается системный файл, содержащий информацию о легальных пользователях и их паролях. В ряде случаев злоумышленнику удается путем различных ухищрений получить в свое распоряжение файл с именами пользователей и их зашифрованными паролями. И тогда ему на помощь приходят так называемые парольные взломщики - специализированные программы, которые служат для взлома паролей операционных систем. Криптографические алгоритмы, применяемые для шифрования паролей пользователей в современных ОС, используют необратимое шифрование, что делает невозможным более эффективный алгоритм взлома, чем перебор возможных вариантов. Парольные взломщики шифруют все пароли с использованием того же самого криптографического алгоритма, который применяется для их засекречивания в атакуемой ОС. Данный способ позволяет взломать все пароли, если известно их представление в зашифрованном виде, и они содержат только символы из данного набора. Для более эффективного подбора паролей взломщики используют специальные словари, которые представляют собой заранее сформированный список слов, наиболее часто используемых на практике в качестве паролей.(Большой набор словарей можно найти на сайте http://www.password.ru) К каждому слову из словаря парольный взломщик применяет одно или несколько правил: производится попеременное изменение буквенного регистра, в котором набрано слово; порядок следования букв в слове меняется на обратный; в начало и в конец каждого слова приписывается цифра 1; некоторые буквы изменяются на близкие по начертанию цифры. В результате, например, из слова password получается pa55w0rd). (на примере Windows 2000/XP/2003) База данных SAM (Security Account Management Database) представляет собой один из разделов (hive) системного реестра (registry) Windows 2000/XP/2003. Этот раздел принадлежит ветви (subtree) HKEY_LOCAL_MACHINE и называется SAM. Располагается в каталоге \winnt_root\System32\Config в файлеSAM. Изменять записи, хранящиеся в базе данных SAM, при помощи программ, которые напрямую редактируют реестр Windows нельзя, т. к. доступ к базе данных SAM запрещен для всех без исключения категорий пользователей Windows XP/2003. В базе данных SAM каждый пароль пользователя обычно бывает представлен в виде двух 16байтовых последовательностей, полученных разными методами (Windows 2000/XP/2003 и LAN). В методе Windows 2000/XP/2003 строка символов пользовательского пароля хешируется с помощью функции MD4. В результате на выходе MD4 получается так называемая «выжимка» исходной последовательности, имеющая длину 128 бит. В итоге из введенного пользователем символьного пароля получается 16-байтовая последовательность хешированный пароль Windows 2000/XP/2003. Эта последовательность шифруется по DESалгоритму, и результат шифрования сохраняется в базе данных SAM. При этом в качестве ключа используется так называемый относительный идентификатор пользователя (Relative Identifier, сокращенно RID), который представляет собой автоматически увеличивающийся порядковый номер учетной записи данного пользователя в базе данных SAM. Основным объектом атаки являются административные полномочия. Их можно получить, узнав в хешированном или символьном виде пароль администратора системы, который хранится в базе данных SAM. По умолчанию в Windows 2000/XP/2003 доступ к файлу \winnt_root\System32\Config\SAM заблокирован для всех без исключения ее пользователей. Тем не менее, с помощью программы NTBACKUP любой обладатель права на резервное копирование файлов и каталогов Windows 2000/XP/2003 может перенести этот файл. Резервную копию реестра можно также создать утилитой REGBAK из состава Windows NT Resource Kit. Кроме того, несомненный интерес для любого взломщика представляют резервная копия файла SAM (SAM.SAV) в каталоге \winnt_root\System32\Config и сжатая архивная копия SAM (файл SAM._) в каталоге \winnt_root\Repair. Для восстановления пользовательских паролей ОС Windows 2000/XP/2003 в символьном виде существуют специальные парольные взломщики. Они выполняют как прямой подбор паролей, так и поиск по словарю, а также используют комбинированный метод взлома парольной защиты, когда в качестве словаря задействуется файл с заранее вычисленными хешированными паролями, соответствующими символьным последовательностям, которые часто применяются в качестве паролей пользователей операционных систем. Обычное использование словаря; Записанные дважды слова; Обратный порядок символов слов; Усеченные до заданного количества символов слова; Слова без гласных, за исключением заглавной; Транслитерация русских букв латинскими по заданной таблице транслитерации; Замена раскладки локализации латинской раскладкой клавиатуры; Замена латинской раскладки клавиатуры раскладкой локализации; А также множество других параметров взлома. Согласно рекомендаций по безопасности Windows XP (Державна експертиза з технічного захисту інформації операційної системи Windows XP Professional SP2 (шифр - "Експертиза WXPSP2") время жизни пароля (параметр политики паролей «Требовать неповторяемость паролей» (Enforce password history)) должен составлять 42 дня. Согласно того же документа параметр «Минимальная длина пароля» (Minimum password lengths) должен составлять для АС (автоматизированной системы): одиночного компьютера без локальной сети - 7 символов; локальная сеть без выхода в Интернет - 8 символов; сеть с выходом в Интернет - 12 символов. Число символов Длина пароля 7 Длина пароля 8 Цифры 10 0 0.0001 Маленькие (большие) буквы 26 0.064 0.1664 Цифры и маленькие буквы 36 0.0624 2.248 Цифры, маленькие и большие буквы 62 2.8062 173.9838 Цифры, маленькие и большие буквы и спецсимволы 72 7.9929 575,4866 Число символов Длина пароля 7 Длина пароля 8 Цифры 10 100% 100% Маленькие (большие) буквы 26 100% 100% Цифры и маленькие буквы 36 100% 100% Цифры, маленькие и большие буквы 62 100% 24.14% Цифры, маленькие и большие буквы и спецсимволы 72 100% 7.3% стоимость подобных систем; отсутствие хорошо подготовленного, профессионального, персонала; сложность настройки подобных систем; противодействие со стороны персонала, так как руководство получает возможность контролировать все перемещения персонала и фактически производить контроль рабочего времени. смарт-карта – требует для подключения к компьютеру PC/SC совместимое устройство чтения смарт-карт.; USB-ключ – напрямую подключается к компьютеру через порт USB (Universal Serial Bus), совмещая в себе функции смарт-карты и устройства для её считывания. Строгая аутентификация пользователей при доступе к информационным ресурсам: серверам, базам данных, разделам Web-сайтов, защищенным хранилищам, шифрованным дискам и пр.; Вход в операционные системы, службы каталога, гетерогенные сети (операционные системы Microsoft, Linux, Unix, Novell) и бизнес-приложения (SAP R/3, IBM Lotus Notes/Domino); Внедрение систем PKI (Entrust, Microsoft CA, RSA Keon, а также в Удостоверяющих центрах – хранение ключевой информации, аппаратная генерация ключевых пар и выполнение криптографических операций в доверенной среде (на чипе смарт-карты); Построение систем документооборота, защищённых почтовых систем (на основе Microsoft Exchange, Novell GroupWise, Lotus Notes/Domino) - ЭЦП и шифрование данных, хранение сертификатов и закрытых ключей; Организация защищённых каналов передачи данных с использованием транспорта Интернет (технология VPN, протоколы IPSec и SSL) – аутентификация пользователей, генерация ключей, обмен ключами; Межсетевые экраны и защита периметра сети (продукты Cisco Systems, Check Point) – аутентификация пользователей; Шифрование данных на дисках – аутентификация пользователей, генерация ключей шифрования, хранение ключевой информации; Единая точка входа пользователя в информационные системы и порталы (в продуктах eTrust SSO, IBM Tivoli Access Manager, WebSphere, mySAP Enterprise Portal) и приложения под управлением СУБД Oracle – строгая двухфакторная аутентификация; Защита Web-серверов и приложений электронной коммерции (на основе Microsoft IIS, Apache Web Server) – аутентификация пользователей, генерация ключей, обмен ключами; Управление безопасностью корпоративных информационных систем, интеграция систем защиты информации (Token Management System) - eToken является единым универсальным идентификатором для доступа к различным приложениям; Поддержка унаследованных приложений и разработка собственных решений в области ИБ. eToken R2, eToken PRO – компания Aladdin; iKey10xx, iKey20xx,iKey 3000 – компания Rainbow Technologies; ePass 1000 ePass 2000 – фирма Feitian Technologies; ruToken – разработка компании «Актив» и фирмы «АНКАД»; uaToken - компания ООО «Технотрейд». Бесконтактные смарт-карты (БСК) используются в различных приложениях и широко распространены в мире как для аутентификации, так и для различных транспортных, идентификационных, расчетных и дисконтных приложений. Важным свойством БСК, выделяющим ее среди других смарт-карт, является отсутствие механического контакта с устройством, обрабатывающим данные с карты. Максимальное расстояние для осуществления транзакций между считывателем и картой составляет 10 см. С одной стороны это позволяет пользователю удобно и быстро произвести транзакцию, но с другой стороны при попадании карты в поле антенны, карта вовлекается в процесс обмена информацией, независимо от того желал этого пользователь или нет. "захват" карты (выбирается первая, находящаяся в поле антенны считывателя, карта), если необходимо – включение антиколлизионного алгоритма (команда антиколлизии сообщает приложению уникальный серийный номер "захваченной" карты, точнее уникальный номер встроенной в карту микросхемы), выбор карты с данным серийным номером для последующей работы с памятью карты или ее серийным номером. Указанная последовательность команд выполняется за 3 мс, т.е. практически мгновенно. Аутентификация выбранной области памяти карты. Команда чтения 16 байтов памяти карты выполняется за 2,5 мс, команды чтения и изменения баланса кошелька за 9-10 мс. Типичная транзакция, начинающаяся с "захвата" карты и приводящая к изменению 16 байтов памяти совершается максимум за 16 мс. Для аутентификации сектора памяти карты используется трехпроходный алгоритм с использованием случайных чисел и секретных ключей согласно стандарту ISO/IEC DIS 9798-2. На первом шаге карта посылает считывателю сформированное ею случайное число. Считыватель добавляет к нему свое случайное число, шифрует сообщение и отправляет его карте. Карта расшифровывает полученное сообщение, сравнивает "свое" случайное число с числом, полученным в сообщении, при совпадении заново зашифровывает сообщение и направляет считывателю. Считыватель расшифровывает послание карты, сравнивает "свое" случайное число с числом, полученным в сообщении, и при совпадении чисел аутентификация сектора считается успешной. Бесконтактные смарт-карты разделяются на идентификаторы PROximity и смарт-карты, базирующиеся на международных стандартах ISO/IEC 15693 и ISO/IEC 14443. В основе большинства устройств на базе бесконтактных смарт-карт лежит технология радиочастотной идентификации. Системы идентификации на базе PROximity криптографически не защищены, за исключением специальных заказных систем. Каждый ключ имеет прошиваемый 32/64 разрядный серийный номер. системы на базе бесконтактных смарт-карт и USBключей; системы на базе гибридных смарт-карт; биоэлектронные системы В корпус брелка USB-ключа встраивается антенна и микросхема для создания бесконтактного интерфейса. Это позволит организовать управление доступом в помещение и к компьютеру, используя один идентификатор. Данная схема использования идентификатора позволит исключить ситуацию, когда сотрудник, покидая рабочее место, оставляет USB-ключ в разъеме компьютера, что позволит работать под его идентификатором. На сегодня наиболее распространены два идентификатора подобного типа: RFiKey – компания Rainbow Technologies; eToken PRO RM – компания Aladdin Software Security R.D. RFID-технология (Radio Frequency IDentification, радиочастотная идентификация) является наиболее популярной на сегодня технологией бесконтактной идентификации. Радиочастотное распознавание осуществляется с помощью закрепленных за объектом так называемых RFID-меток, несущих идентификационную и другую информацию. При этом надо учитывать ограничения, обусловленные размерами ключа: RFID-метка должна быть не более 1,2 см в диаметре. Такие размеры имеют метки, работающие с частотой 13.56 МГц, например, производства «Ангстрем» или HID. Гибридные смарт-карты содержат разнородные чипы. Один чип поддерживает контактный интерфейс, другой – бесконтактный. Как и в случае гибридных USB-ключей, гибридные смарт-карты решают две задачи: доступ в помещение и доступ к компьютеру. Дополнительно на карту можно нанести логотип компании, фотографию сотрудника или магнитную полосу, что делает возможным полностью заменить обычные пропуска и перейти к единому "электронному пропуску”. Для защиты компьютерных систем от несанкционированного доступа применяется комбинация из двух систем – биометрической и контактной на базе смарт-карт или USB-ключей. Биометрия – это идентификация пользователя по уникальным, присущим только данному пользователю, биологическим признакам. Такие системы являются самыми удобными с точки зрения самих пользователей, так как им не нужно ничего запоминать и такие характеристики весьма сложно потерять. При биометрической идентификации в базе данных хранится цифровой код, ассоциированный с определенным человеком. Сканер или другое устройство, используемое для аутентификации, считывает определенный биологический параметр. Форма лица (овал, форма и размер отдельных деталей лица). Геометрические параметры лица - расстояния между его определенными точками. Узор подкожных кровеносных сосудов на термограмме лица. Структура радужной оболочки глаза. Узор кровеносных сосудов на сетчатке. Форма уха (контур и наклон, козелок и противокозелок, форма и прикрепление мочки и т.д.). Геометрические параметры уха - расстояния между определенными точками на ухе. Геометрия руки - ширина, длина, высота пальцев, расстояния между определенными точками. Неровности складок кожи на сгибах пальцев тыльной стороны кисти руки. Рисунок вен на тыльной стороне кисти руки, получаемый при инфракрасной подсветке. Узор на ладони. Папиллярный узор как целостный образ. Параметры пространственно-частотного спектра папиллярного узора Подпись как двумерный бинарный образ. Подпись как функция двух координат. Динамика подписи (сила нажима и координата времени). Источник БХЧ Универсально Уникальность сть Стабильность Собираемость Видеообраз +++ + ++ +++ Термограмма +++ +++ + ++ Отпечаток +++ +++ +++ ++ Рука ++ ++ ++ +++ РОГ ++ +++ +++ ++ Сетчатка +++ +++ ++ + Подпись + + + +++ Голос ++ + + ++ Губы +++ +++ ++ + Уши ++ ++ ++ ++ Динамика ++ +++ + +++ Походка +++ ++ + + Самый распространенный статический метод биометрической идентификации, в основе которого лежит уникальность для каждого человека рисунка папиллярных узоров на пальцах. Изображение отпечатка пальца, полученное с помощью специального сканера, преобразуется в цифровой код (свертку) и сравнивается с ранее введенным шаблоном (эталоном) или набором шаблонов (в случае аутентификации). Ведущие производители оконечного оборудования (сканеров отпечатков пальцев): BioLink, http://www.biolink.ru/, http://www.biolinkusa.com/; Bioscrypt, http://www.bioscrypt.com/; DigitalPersona, http://www.digitalpersona.com/; Ethentica, http://www.ethentica.com/; Данный статический метод построен на распознавании геометрии кисти руки, также являющейся уникальной биометрической характеристикой человека. С помощью специального устройства, позволяющего получать трехмерный образ кисти руки (некоторые производители сканируют форму нескольких пальцев), получаются измерения, необходимые для получения уникальной цифровой свертки, идентифицирующей человека. Ведущие производители: Recognition Systems, http://www.recogsys.com/, http://www.handreader.com/; BioMet Partners, http://www.biomet.ch/. Этот метод распознавания основан на уникальности рисунка радужной оболочки глаза. Для реализации метода необходима камера, позволяющая получить изображение глаза человека с достаточным разрешением, и специализированное программное обеспечение, позволяющее выделить из полученного изображения рисунок радужной оболочки глаза, по которому строится цифровой код для идентификации человека. Ведущие производители: Iridian - крупнейший производитель в данной области, на решениях этой компании базируются практически все разработки других: LG, Panasonic, OKI, Saflink и т. д., http://www.iridiantech.com/. В данном статическом методе идентификации строится двух- или трехмерный образ лица человека. С помощью камеры и специализированного программного обеспечения на изображении или наборе изображений лица выделяются контуры бровей, глаз, носа, губ и т. д., вычисляются расстояния между ними и другие параметры, в зависимости от используемого алгоритма. По этим данным строится образ, преобразуемый в цифровую форму для сравнения. Количество, качество и разнообразие (разные углы поворота головы, изменения нижней части лица при произношении ключевого слова и т. д.) считываемых образов может варьироваться в зависимости от алгоритмов и функций системы, реализующей данный метод. Ведущие производители: AcSys Biometrics, http://www.acsysbiometrics.com/ A4Vision, http://www.a4vision.com/ Цифровой код идентификации формируется по динамическим характеристикам написания, то есть для идентификации строится свертка, в которую входит информация по графическим параметрам подписи, временным характеристикам нанесения подписи и динамики нажима на поверхность в зависимости от возможностей оборудования (графический планшет, экран карманного компьютера и т. д.). Ведущие производители: CIC (Communication Intelligence Corporation), http://www.cic.com/; Cyber-SIGN, http://www.cybersign.com/; SOFTPRO, http://www.signplus.com/; Valyd, http://www.valyd.com/. Метод в целом аналогичен вышеописанному, однако вместо подписи в нем используется некое кодовое слово, а из оборудования требуется только стандартная клавиатура. Основная характеристика, по которой строится свертка для идентификации, - динамика набора кодового слова. Ведущие производители: BioPassword Security Software, http://www.biopassword.com/; Checco, http://www.biochec.com/. Существует достаточно много способов построения кода идентификации по голосу: как правило, это различные сочетания частотных и статистических характеристик последнего. Ведущие производители: Nuance, http://www.nuance.com/; Persay, http://www.persay.com/; Voicevault, http://www.voicevault.com/. Крайне сложная корректная настройка оборудования, вернее, речь идет об установке корректного порогового значения ошибки. . FAR (False Acceptance Rate) - это процент ложных отказов в допуске, FRR (False Rejection Rate) - вероятность допуска в систему незарегистрированного человека. Порог чувствительности является своеобразной гранью идентификации. Человек, имеющий сходство какой-либо характеристики выше предельного, будет допущен в систему и наоборот. Значение порога администратор может изменять по своему усмотрению. Т.е. это накладывает весьма высокие требования на администратора системы, ведь поддержка баланса между удобством и надежностью требует больших усилий. Вторым недостатком, связанным с внедрением таких систем является сопротивление сотрудников компаний, связанное с возможностью контроля рабочего времени сотрудников. Тем более что реально существуют системы учета рабочего времени сотрудников. Биометрические сканеры невозможно применять для идентификации людей с некоторыми физическими недостатками. Применение сканеров сетчатки глаза будет сложным для тех, кто носит очки или контактные линзы, а человек, больной артритом, не сможет ровно положить палец на сканер отпечатка. Еще одна проблема — рост. Сканирование лица может стать затруднительным, если рост человека ниже 1,55 м или выше 2,1 м. К недостаткам такого способа идентификации можно отнести возможность воспользоваться муляжом отпечатка, что было успешно продемонстрировано заключенными шотландской тюрьмы строгого режима Glenochil. Буквально через 10 лет по прогнозам Gartner, число сотрудников, работающих в удаленном режиме, существенно увеличится. Их прирост уже сейчас составляет 10—15% в год. Gartner приводит в пример опыт корпораций Sun и IBM: за три года после внедрения дистанционной работы для своих штатных сотрудников Sun Microsystems сэкономила на аренде помещений 300 млн. долл., а по подсчетам IBM, корпорация ежегодно экономит на «удалёнке» до 500 млн. долл. При аутентификации пользователей сети удалённого доступа обычно используются следующие варианты: индивидуальный предустановленный ключ или пароль (pre-shared key); цифровой сертификат с закрытым ключом, хранящимся на компьютере; цифровой сертификат с закрытым ключом, хранящимся в памяти токена; комбинация цифрового сертификата одноразового пароля. Аппаратные реализации генераторов одноразовых паролей называют ОТР-токенами. OTP-токены имеют небольшой размер и выпускаются в различных форм-факторах: в виде карманного калькулятора; в виде брелка; в виде смарт-карты; в виде устройства, комбинированного с USB-ключом; в виде специального программного обеспечения для карманных компьютеров. Применение паролей в настоящий момент все больше не соответствует требованиям безопасности, так как с ростом сложности пароля и количества паролей для запоминания будет усиливаться роль человеческого фактора: Пользователи всегда будут выбирать наиболее простые с их точки зрения пароли; При ужесточении политики паролей пользователи будут идти на всяческие ухищрения, облегчающие им заботу о паролях, но снижающие безопасность (т.е. наклеивать пароль на монитор, клавиатуру, записывать его в блокнот и т.д.); С ростом вычислительных мощностей процесс подбора паролей будет происходить все быстрее. В связи с этим необходим переход на многофакторную аутентификацию, из всех видов которой на сегодня самым надежным является применение USB-ключей (смарт-карт).