<<
>>

Слабые пароли

Зачастую взломщики проникают в систему, подключившись к намеченному компьютеру (например, через Интернет) и перебирая множество комбинаций (регистрационное имя, пароль) до тех пор, пока не найдут одну из действующих комбинаций.
Многие люди в той или иной форме используют в регистрационном имени свое настоящее имя. Например, для Ellen Ann Smith соответствующими вариантами могут быть ellen, smith, ellen smith, ellen-smith, ellen.smith, esmith, easmith и eas. Вооружившись одной из книг вроде «4096 имен для вашего новорожденного» и телефонной книгой, заполненной фамилиями, взломщик запросто может составить компьютеризированный список потенциальных регистрационных имен для той страны, чью систему он атакует (ellen_smith в равной степени может сработать в США или Великобритании, но, наверное, не в Японии).

Разумеется, разгадки одного только регистрационного имени недостаточно. Нужно еще отгадать пароль. Трудно ли это сделать? Намного проще, чем вам кажется. Классический труд по безопасности паролей в системах UNIX был выполнен Моррисом и Томпсоном (Morris and Thompson, 1979).

Они составили список вероятных паролей: имен и фамилий, названий улиц, названий городов, слов из средних по объему словарей (а также слов в обратном написании), регистрационных номеров и т. д. Затем они сравнили свой список с системным файлом паролей в поиске совпадений. Более 86 % всех паролей обнаружились в их списке.

Если кто-то думает, что более высококвалифицированные пользователи подбирают более удачные пароли, то смею уверить: это не так. Когда в 2012 году в Интернет после взлома попали 6,4 млн хэшированных паролей LinkedIn, анализ результатов многих позабавил. Наиболее популярным паролем было слово «password». Вторым по популярности был пароль «123456» (в десятку наиболее популярных входили «1234», «12345» и «12345678»).

Об их стойкости и говорить не приходится. Фактически взломщики могли без особого труда составить список потенциальных имен пользователей (логинов) и список потенциальных паролей и запустить программу для их подбора на максимально доступном количестве компьютеров.

Аналогичные исследования были проведены в IOActive в марте 2013 года. Был просканирован длинный список домашних маршрутизаторов и телевизионных приставок, чтобы выявить степень их уязвимости от самых простых возможных взломов. Нетрудно догадаться, что вместо попыток применения множества имен пользователей и паролей они пробовали только один широко известный логин и пароль, установленный производителями. Предполагалось, что пользователи сразу же изменят эти значения, но оказалось, что многие этого не делают. Исследователи обнаружили потенциальную уязвимость сотен тысяч подобных устройств. Возможно, еще более тревожным можно считать то обстоятельство, что при Stuxnet-атаке на иранский ядерный объект взломщики воспользовались тем, что в компьютерах Siemens, управляющих центрифугами, применялся один из тех паролей по умолчанию, что годами циркулировали по Интернету.

Рост популярности Всемирной паутины еще более усложнил проблему. Вместо одного пароля у многих теперь их около десятка и более. Поскольку запомнить все эти пароли довольно сложно, люди стремятся подобрать какой-нибудь простой, нестойкий пароль и использовать его на многих веб-сайтах (Florencio and Herley, 2007; Gaw and Felten, 2006).

Стоит ли беспокоиться о том, что пароли так легко отгадать? Конечно, стоит. В 1998 году газета San Jose Mercury News сообщила, что житель городка Беркли Питер Шипли использовал несколько компьютеров в качестве устройств автодозвона (war dialers), которые совершали звонки по всем 10 000 номерам одного коммутатора (например, (415) 7700xxxx), перебирая номера в случайном порядке, чтобы обмануть телефонные компании, препятствующие подобному использованию компьютеров и пытающиеся обнаружить эти попытки. После того как было сделано 2,6 млн звонков, Шипли обнаружил в районе Залива 20 000 компьютеров, у 200 из которых совсем не было защиты.

По его оценке, настойчивый взломщик может проникнуть в 75 % чужих компьютеров (Denning, 1999). Но все это было возвращением в древние времена, поскольку компьютер должен был дозвониться по 2,6 млн телефонных номеров.

Взломщики орудуют не только в Калифорнии. Австралийский взломщик попытался сделать то же самое. Среди взломанных им систем был компьютер Citibank в Саудовской Аравии, позволивший ему получить номера кредитных карт и сведения о кредитных лимитах (в одном из случаев — 5 млн долларов), а также записи о транзакциях (включая как минимум одно перечисление за визит в публичный дом). Его коллега- взломщик также внедрился в банковскую систему и собрал 4000 номеров кредитных карт (Denning, 1999). Когда такая информация используется не по назначению, банк безоговорочно и решительно отрицает возможность своей ошибки, заявляя, что клиент, должно быть, допустил огласку.

Интернет стал для взломщиков истинным подарком. Он исключил все сложности из их работы. Теперь не нужно дозваниваться по каким-то телефонным номерам. Дозвон превратился в следующую процедуру. Взломщик мог написать сценарий, отправляющий пинг-запросы (сетевые пакеты) по набору IP-адресов. Если он получал какой-либо ответ, сценарий после этого пытался установить TCP-подключение ко всем возможным службам, которые могли быть запущены на машине. Как уже упоминалось, подобное составление карты того, что и на каком компьютере запущено, известно как сканирование портов, и вместо написания сценария с нуля взломщик мог с тем же успехом просто воспользоваться специализированным инструментарием вроде nmap, предоставляющим широкий диапазон усовершенствованных технологий сканирования портов. Выяснив, какие службы на какой машине запущены, взломщик мог приступать к атаке. Например, если взломщик хотел исследовать парольную защиту, он должен был подключиться к тем службам, которые использовали данный метод аутентификации, например к telnet-серверу или даже веб-серверу. Мы уже видели, что пароль, используемый по умолчанию, или тот или иной нестойкий пароль позволяет взломщикам пожинать урожай из большого количества учетных записей, иногда даже с полными административными правами.

9.6.2.

<< | >>
Источник: Э. ТАНЕНБАУМ Х. БОС. СОВРЕМЕННЫЕ ОПЕРАЦИОННЫЕ СИСТЕМ Ы 4-е ИЗДАНИЕ. 2015

Еще по теме Слабые пароли:

  1. СЛАБЫЕ ПЛАHЕТЫ
  2. ГЛАВА XIII СИЛЬHЫЕ И СЛАБЫЕ ХАРАКТЕРЫ
  3. Надо выдернуть кабель, который «подводит интернет» в ваш компьютер.
  4. Советы
  5. СОЗНАНИЕ: СОСТОЯНИЕ ОНЕЙРОИДНОЕ
  6. Взрослые - это те же дети, только запретившие себя воспитывать
  7. Энтузиазм
  8. Первые признаки дисбаланса энергии в канале:
  9. Мизантропия
  10. В знаке Девы
  11. Пример.
  12. Трусость
  13. МЕТОД «КУСКОВ».
  14. В знаке Водолея
  15. Зависть
  16. Болтливость
  17. Продажи
  18. Эгоизм, эгоцентризм
  19. В знаке Стрельца
  20. Впечатлительность