Охраняем ИнтернетНаверняка многие из читателей слышали, а некоторые из вас могли даже столкнуться с такой ситуацией, когда ваши логин и пароль для доступа во всемирную паутину оказывались известными еще кому-то. И этот кто-то использовал ваш доступ в Интернет в своих личных целях, в результате чего вам выставлялся счет, который по вашим даже самым грубым подсчетам был намного больше, чем вы предполагали. У вас сразу возникала мысль: "Как же это все могло произойти?". Вы начинаете подозревать в этом своих знакомых, которые нередко были у вас дома и даже пользовались вашим компьютером, причем не важно для каких целей они его использовали. А может, это все-таки не их вина, а ваша? В этой статье я расскажу вам о возможных утечках вашего доступа в Интернет в другие руки.
Сейчас многие объединяются в локальные сети, при этом зачастую у начинающих сетевиков открыт полный доступ к дискам, которые, и вы даже порой не подозреваете об этом, доступны любому, находящемуся в сети. А если доступ к вашим дискам открыт и вы к тому же счастливый обладатель доступа в Интернет, то это хороший повод для злоумышленника завладеть им. Ему достаточно скопировать файл yourname.pwl (где yourname — это ваш логин для входа в Windows) из системной директории Windows. Этого в большинстве случаев хватит, чтобы завладеть вашим Интернетом. Теперь я покажу, что сделает злоумышленник, будь у него файл yourname.pwl. Прочитав эту статью, вы поймете, как действует злоумышленник, и уже вооруженные знаниями вы сможете всячески противостоять этому.
Как я уже сказал, все файлы с расширением pwl находятся в каталоге Windows. Записи об этих файлах расположены в файле system.ini в разделе [Password Lists]. Формат записей следующий: вначале идет имя пользователя, далее ставится знак равенства '=', а далее следует полный путь к этому файлу. Рассмотрим это на примере. Допустим, у нас есть пользователь с именем USER, файл с расширением pwl расположен в директории C:\WINDOWS\. Тогда запись в файле system.ini будет следующей:
[Password Lists]
USER=C:\WINDOWS\USER.PWL
В 99% случаев имя пользователя совпадает с названием файла, поэтому владельцем файла USER.PWL и будет пользователь с логином USER. В этом вы сможете убедиться самостоятельно, заглянув у себя на компьютере в файл c:\windows\system.ini в раздел [Password Lists]. Если же пользователей несколько, то каждая запись располагается на отдельной строке. Для пользователей USER, USER1 и USER2 раздел [Password Lists] может выглядеть так:
[Password Lists]
USER=C:\WINDOWS\USER.PWL
USER1=C:\WINDOWS\USER1.PWL
USER2=C:\WINDOWS\USER2.PWL
Надеюсь, с этим вы разобрались. Далее объясню, как же все-таки злоумышленникам удается извлечь информацию о доступе в Интернет из файлов *.PWL. Если взглянуть внутрь самого файла, то ничего узнать вам не удастся из-за того, что файл шифруется. Ведь в Microsoft не дураки сидят:). Причем в разных версиях Windows были применены различные способы шифрования. В Windows 95 алгоритм шифрования следующий: введенный пароль преобразуется к верхнему регистру, а далее при помощи хеш-функции приводится к двойному слову, т.е. получается ключ, равный 32 бита. Далее при помощи этого двойного слова генерируется гамма по алгоритму RC4. Ну и, в конце концов, следует зашифровка самого файла с расширением PWL. Именно для этого и нужна будет сгенерированная гамма. Так выглядел алгоритм шифрования в ОС Windows 95. Из-за того, что длина пароля была ограничена 8 символами, причем не различался регистр введенного пароля, то существовало всего 232 возможных хеш-значений. Но это число вариантов при довольно простом алгоритме RC4 слишком мало для сегодняшних вычислительных мощностей. Поэтому подобрать нужный пароль не составляет никакого труда. Чего не скажешь о следующей версии — Windows 95 OSR2. Вместо RC4, разработчики стали применять MD5. Это привело к возрастанию общего числа возможных комбинаций до числа 2128 . А это не так уж и мало. Поэтому вероятность подбора пароля, при условии, что пользователь не выбрал довольно простой пароль, равна нулю. В ОС Windows 98 разработчики вовсе усложнили задачу хакерам. Они сняли ограничение на длину пароля в 8 символов, которое наблюдалось в версиях Windows 95 и Windows 95 OSR2. Если вы до сих пор используете версию Windows 95 младше OSR2, то советую заглянуть на сайт производителя и поискать там обновление, которое усилит шифрование файлов PWL.
Так как же все-таки удается расшифровать этот файл? В помощь хакерам были написаны многие утилиты, позволяющие перебирать всевозможные варианты паролей. Из соображений вашей же безопасности я не стану приводить названия этих программ. Так вот, многие при запросе на ввод пароля оставляют поле для введения пароля пустым и нажимают "Enter". Тем самым пароль получается пустым. Это и играет на руку взломщикам. Вы спросите: для чего были разговоры о формате записи в разделе [Password Lists] файла system.ini? Отвечу. Злоумышленник регистрирует, согласно описанной выше записи, в файле system.ini полученные файлы PWL. Копирует их в каталог C:\WINDOWS, запоминает все имена пользователей и вылогинивается из системы путем нажатия "Пуск"->"Завершение сеанса...". Далее он вводит по порядку все известные ему имена пользователей и проверяет на наличие пустых паролей.
Если система пустила вас внутрь, то на помощь злоумышленнику приходит еще одна программа, с помощью которой можно увидеть все пароли, которые находились в файле PWL. В файлах PWL находятся кэшированные списки паролей, которые используются для доступа к сетевым ресурсам. Среди них можно перечислить следующие: разделяемые сетевые ресурсы; компьютеры Windows NT, которые не входят в домен; пароли к программам, которые используют кэширование паролей. Конечно, паролей, например, от TheBat! там не будет, но вот логина с паролем для доступа в Интернет многим злоумышленникам вполне достаточно. Тут возникает один нюанс. Пароли записываются в файл PWL только в том случае, если вы установили галочку "Сохранить пароль". Если же вы этого не сделали, то злоумышленник ничего не узнает. Из этого следует — не ставьте галочку "Сохранить пароль", а вводите каждый раз пароль вручную. Вы скажете, что это не удобно. Однако это безопасно, если, конечно, злоумышленник не установит у вас на компьютере клавиатурного шпиона, который будет записывать все нажатия клавиатуры в файл, после чего, в зависимости от разновидности клавиатурных шпионов, этот файл может быть отправлен на электронный адрес злоумышленника. Поэтому будьте бдительны.
Если же пароль на вход в Windows не пустой, то тут злоумышленнику придется попотеть, чтобы узнать его. Он будет стараться подобрать его при помощи специальных программ, но если пароль стойкий, то ему ничего не удастся сделать (за разумное время, конечно). Поэтому советую вам не использовать пустые пароли, иначе вам уже ничего не поможет.
Надеюсь, с тем, что делают взломщики, если у них оказался ваш файл PWL, вам понятно. Теперь я хочу рассказать о том, как они обнаруживают незащищенные компьютеры, и постараюсь вам помочь избежать случаев утечки файлов такого рода.
Доступ к расшаренным ресурсам осуществляется по протоколу NetBIOS. Хакерами было написано огромное количество программ, начиная от сканеров портов, которые позволяют находить открытые порты на удаленной машине, и заканчивая программами, которые, найдя открытый порт 139 (именно через этот порт производятся соединения по протоколу NetBIOS), начинают искать доступные сетевые ресурсы. Если злоумышленник обнаружил, что на вашей машине открыт полный доступ к вашему диску C:\, на котором у вас установлена Windows, то следующий шаг, который он предпримет, — это копирование файлов PWL из корневой системной директории (обычно это C:\WINDOWS) на свой диск. После этого он в спокойной обстановке будет пытаться извлечь информацию из полученных файлов. Чтобы ему помешать еще на ранней стадии, когда он только начинает сканирование в поисках уязвимых компьютеров, я объясню, как свести риск копирования ваших файлов PWL к нулю.
Для начала вам необходимо в свойствах вашего интернет-соединения убрать галочку "Войти в сеть", которая расположена на закладке "Тип сервера". После этого в "Панели управления" в свойствах "Сеть" вам нужно снять все флажки, которые вы увидите, нажав на кнопку с надписью: "Доступ к файлам и принтерам...". Либо же вместо этого вам просто необходимо удалить "Службу доступа к файлам и принтерам сетей Microsoft". Если же вам все-таки нужно предоставить свои ресурсы кому-нибудь по сети, то в этом случае я советую устанавливать пароли на такие ресурсы.
Для того чтобы запретить Windows 9x кэшировать пароли, вам необходимо создать в системном реестре следующий ключ, типа DWORD: HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network\DisablePwdCaching = 1.
Интернет-провайдеры всячески борются с незаконными подключениями к Интернету. Одним из таких средств защиты является оборудование, которое позволяет вести журналы событий, в которых записывается информация следующего содержания: номер звонящего, логин, под которым был произведен вход в сеть (причем могут фиксироваться как удачные, так и неудачные попытки подключения), время, проведенное в сети (возможна посекундная детализация) и еще много чего, о чем мы даже и не подозреваем. Так что при возникновении у вас каких-либо вопросов вы можете смело обратиться в службу поддержки вашего интернет-провайдера. Там уже помогут решить вашу проблему, связанную с незаконным подключением под вашей учетной записью. Также некоторые провайдеры ежедневно высылают на e-mail'ы своих клиентов подробную информацию о подключениях, а также сведения о текущем балансе вашего аккаунта. Поэтому, если у вас возникло подозрение о том, что ваш доступ в сеть Интернет использует кроме вас кто-то другой, вы сможете проанализировать информацию, приходящую на e-mail, и уже после этого, по мере необходимости, сменить пароль.
Теперь вы знаете основные приемы злоумышленников, при помощи которых они пытаются получить нелегальный доступ в сеть. Проанализировав все вышесказанное, вы сможете самостоятельно построить защиту от посягательств на драгоценный доступ в Интернет. Это поможет вам сберечь не только деньги, но и нервы. В данной статье я не упоминал о других способах получения ваших файлов PWL, таких как рассылка "троянских коней" и социальная инженерия. Я думаю, что и без меня вы об этом немало знаете, поэтому не позволите злоумышленникам такими способами обхитрить вас.
В завершении данной статьи я хочу отметить, что за все последствия, которые могут возникнуть при противозаконном использовании прочитанного материала я никакой ответственности не несу. Помните, что в этой статье я не призывал вас совершать противоправные действия, а именно, я не просил вас получать доступ в Интернет описанными методами, я хотел лишь показать, чего вам стоит опасаться и как уберечь свой доступ в Интернет. Ибо иначе ваши действия могут быть уголовно наказуемыми.
Евгений Сечко,