Windows содержит в S A M две версии «hash». Одна из них « L A N Manager hash» или L A N M A N , является старой версией, сохранившейся еще со времен до появления WindowsNT. Перемешивание LANMAN производится на основе заглавных букв пароля пользователя, который потом делится на две части из семи символов. Эту разновидность перемешивания гораздо легче разгадать, чем следующую версию N T L M ( N T Lan Manager), которая распознает и строчные буквы.

В качестве иллюстрации я приведу здесь реальный пример такого перемешивания для системного администратора одной из компаний, название которой я говорить не буду:

Administrator:500:AA33FDF289D20A799FB3AF221F3220DC:0AB C818FE05A120233838B9131F36BB1:::

Часть между двумя двоеточиями, которая начинается с «АА33» и заканчивается «20DC» — это LANMAN-перемешивание. Часть от «0АВС» до «6ВВ1» — это NTLM-перемешивание. Оба имеют длину в 32 символа, оба представляют собой один и тот же зашифрованный пароль, но первый легче расшифровать.

Поскольку большинство пользователей выбирают пароль, который является именем или простым словом, атакующие начинают обычно с запуска l0phtCrack (или другой программы, которую они используют) для проведения «словарной атаки» — проверки всех слов из словаря, не выбраны ли они в качестве пароля. Если эта первая попытка не увенчивается успехом, то программа переходит к «атаке грубой силы», когда перебираются все возможные сочетания букв (например, A A A , А А В , А А С … A B A … ABB, ABC и т.д.), затем пробуются всевозможные сочетания заглавных и строчных букв, цифр и символов.

Такая эффективная программа, как l0phtCrack может взламывать простые, очевидные пароли (которые используют более 90% всех пользователей компьютеров) буквально за секунды. Раскрытие более сложного пароля может занять часы или даже дни, но практически все пароли в конце концов поддаются.

ДОСТУП

Вскоре Дастин раскрыл большинство паролей. «Я попробовал войти в первичный контроллер домена с паролем администратора, и это сработало. Они использовали один и тот же пароль на одном из компьютеров и в доменном аккаунте. Теперь у меня были права администратора во всем домене».

Первичный контроллер домена (PDC — primary domain controller) поддерживает главную базу данных всех пользовательских аккаун-тов. Когда пользователь входит в домен. PDC авторизирует его запрос с помощью информации, хранящейся в базе данных PDC. Эта база данных всех аккаунтов копируется в BDC (Backup domain controller — контроллер копирования домена) в качестве предосторожности на случай выхода из строя PDC. Эта архитектура существенно изменилась с выпуском Windows 2000. Более поздние версии Windows используют то, что у них называется «Активная директория», но для обратной совместимости с более старыми версиями Windows, у них есть по крайней мере одна система, которая действует как PDC для домена.

В руках Дастина были ключи от «королевства» Biotech, он получил доступ ко многим внутренним документам с пометкой «конфиденциально» или «только для внутреннего пользования». Интенсивно трудясь, Дастин провел долгие часы за сбором важной информации из секретных файлов о безопасности лекарств, где содержалось подробное описание побочных эффектов, вызываемых лекарствами, которые компания исследовала в то время. Доступ к этим файлам очень строго регулировался комитетом по контролю над лекарствами и продуктами питания, поэтому о проникновении в них в процессе проведения проверок должен был быть составлен специальный доклад для этого правительственного агентства.

Дастин получил доступ и к базе данных сотрудников, где содержались их полные имена, адреса электронной почты, телефонные номера, места работы, должности и т.п. Используя эти сведения, он мог выбрать мишень для следующей фазы атаки. Он выбрал системного администратора компании, который контролировал проведение проверок. «Я подумал, что хотя у меня уже было достаточно важной информации, надо показать им, что атака может идти в самых разных направлениях», то есть, что есть более одного пути для добычи информации.

Команда Callisma давно поняла, что если вы хотите проникнуть в охраняемую область, нет лучше метода, чем смешаться с группой разговаривающих сотрудников компании, возвращающихся с обеда. В отличие от утренних и вечерних часов, когда люди бывают раздраженными и усталыми, после обеда они всегда терпимы и расслаблены, чувствуя некоторую заторможенность, пока организм переваривает съеденный обед. Все разговоры доброжелательны, этим настроением буквально наполнена атмосфера. Любимый прием Дастина заключается в том, чтобы заметить кого-то, выходящего из кафе. Он идет впереди «жертвы» и пропускает его перед собой у самой двери. В девяти случаях из десяти, даже если эта дверь ведет в охраняемое помещение, «жертва» делает ответный жест и придерживает дверь. позволяя ему пройти вместе с собой. И он входит безо всяких проблем.

ТРЕВОГА

После того, как мишень для атаки была выбрана, команда должна была выбрать способ физического проникновения в охраняемые помещения, чтобы иметь возможность прикрепить к выбранному компьютеру «фиксатор текстов» — устройство, которое фиксирует любую нажатую на клавиатуре кнопку, даже первые нажатия запуска компьютера перед загрузкой ОС. На компьютере системного администратора это помогло бы перехватить пароли для целого ряда систем в сети. Это означало бы и то, что проверяющие были бы в курсе всей переписки о попытках отследить их действия.

Дастин решил не рисковать и не заниматься прямым наблюдением за руками администратора, чтобы не быть пойманным. Пришлось прибегнуть к методам социальной инженерии. Проведя много времени в кафетерии и приемной, он хорошо рассмотрел бейдж сотрудника и решил сделать для себя такой же поддельный. С логотипом проблем не было — он просто скопировал его с Интернет-сайта компании и встроил в свой рисунок. Важно было, чтобы к его бейджу особо не приглядывались.

Некоторые офисы Biotech располагались в соседнем здании, где кроме них были и офисы других компаний. В приемной всегда находился охранник, включая ночное время и выходные дни, и обычный «карт-ридер» (электронный считыватель), который открывал дверь из приемной, когда сотрудники вставляли в него свои бейджи с правильным электронным кодом.

«В один из выходных я зашел туда и начал вставлять мой самодельный поддельный бейдж в карт-ридер. Он, естественно, не срабатывал.

Охранник подошел и, улыбаясь, своим бейджем открыл мне дверь. Я улыбнулся ему в ответ и прошел в дверь».

Не промолвив ни слова, Дастин успешно был пропущен охранником в охраняемый офис.

Однако перед офисом Biotech дверь была снабжена еще одним «карт-ридером». Народу в помещении не было.

«Не было видно никого, за кем можно было бы пристроиться и пройти. В поисках другого прохода я отправился к застекленной лестнице, которая вела на второй этаж, и решил попробовать пройти туда. Дверь открылась без проблем, для этого не потребовался бейдж. И вдруг во всем здании зазвучал сигнал тревоги. Случайно я попал на пожарную лестницу. Я прошел, и дверь захлопнулась за мной. На ее внутренней стороне я прочел надпись „Не открывайте эту дверь, раздастся сигнал тревоги“. Мое сердце забилось со скоростью двести ударов в минуту!».

ПРИЗРАК

Дастин точно знал, в какую комнату ему надо попасть. В базе данных сотрудников, до которой проверяющие уже добрались. было указано место работы каждого сотрудника. Сигнал тревоги еще продолжал звучать в его ушах, но он направился к нужному месту.

Атакующий может получить информацию обо всех клавишах, нажимаемых на компьютере «жертвы», установив специальную программу, которая будет фиксировать каждый нажатый символ и периодически посылать электронное письмо с набранной информацией на определенный адрес. Однако, демонстрируя клиентам их уязвимость с разных сторон, Дастин хотел проделать ту же самую вещь физическими средствами.