Секреты супер хакера
Скачать 3.52 Mb.
|
| Глава 3. Пароли и контроль над доступом ТОРЖЕСТВЕННЫЙ КОМПЛЕКТ Незаменимое пособие для сочинения юбилейных статей, табельных фельетонов, а также парадных стихотворений, од и тропарей Раздел 1. Словарь. Су- ществительные. 1. Клики; 2. Трудящиеся; 3. Заря; 4. Жизнь; 5. Маяк; 6. Ошибки; 7. Стяг (флаг); 8. Ваал; 9. Молох; 10. Прислужник; 11. Час; 12. Враг; 13. Поступь; 14. Вал; 15. Пески; 16. Скок; 17. Конь; 18. Сердце; 19. Прошлое. И. Ильф, Е. Петров. Золотой теленок Для зашиты компьютерных установок на сегодняшний день имеются три ос- новных класса контроля доступа. Это: - контроль, основанный на знании (пароли); - контроль, основанный на обладании (ключи); -контроль, основанный на личных характеристиках (биометрические при- боры). В случае контроля, основанного на обладании, речь идет о предметах, принадлежащих пользователю, - физическом ключе, магнитной карте и т. д. Иногда используется металлическая пластинка причудливой формы, которую вставляют перед началом работы в шель распознавателя. "Ключом" может служить также идентификационный знак либо специальное письмо с подписью одного из высокопоставленных лиц компании. Биометрические приборы анализируют специфические физические особен- ности пользователя (подпись, отпечатки пальцев или рисунок линий на ла- дони) и сравнивают их с теми, что наличествуют у них в памяти. Эти два вида компьютерной зашиты могут использоваться и для дистанционного уп- равления доступом, хотя обычно к ним прибегают для ограничения доступа к тому месту, где находятся компьютеры, - компьютерному залу или отдельно- му кабинету. Биометрические и физические ключи будут далее рассмотрены более под- робно. Первый вид контроля над доступом, наиболее распространенный, основан на обладании специфической информацией. Это означает, что правом доступа обладают лишь те лица, которые способны продемонстрировать свое знание определенного секрета, обычно пароля. Львиную долю работы хакера состав- ляет именно поиск этого пароля. В этой главе и рассказывается обо всем, что вам необходимо знать о паролях: как они работают, где хранятся, и как их можно "взломать". пароли Самый простой и дешевый путь зашиты любого типа компьютерной системы сводится к старому, испытанному способу: применению пароля. Даже те компьютеры, которые вовсе не нуждаются в средствах зашиты, зачастую снабжаются паролем просто потому, что пароль дает ощущение психологичес- кого комфорта и его использование не требует особенно много времени, сил и места в памяти. Более того, в системах, уже защищенных другими средствами - магнитными картами или иными программными методами, типа шифрования, нередко удваивают или утраивают зашиту содержимого, прибегая к системе паролей. Таким образом, практически все установки компьютеров включают в себя пароли того или иного вида. Пароли, как правило, рассматриваются в качестве ключей для входа в систему, но они используются и для других целей: блокирование записи на дисковод, в командах на шифрование данных или на разархивацию файлов - короче, во всех тех случаях, когда требуется твердая уверенность в том, что соответствующие действия будут производиться только законными вла- дельцами или пользователями программного обеспечения. Пароли подразделяются на семь основных групп: - пароли, устанавливаемые пользователем; - пароли, генерируемые системой; - случайные коды доступа, генерируемые системой; - полуслова; - ключевые фразы; - интерактивные последовательности типа "вопрос - ответ"; - "строгие" пароли. Если вы решились на взлом, вам, прежде всего, необходимо вычислить, какой из этих семи видов паролей используется в данной системе. Первый является наиболее распространенным - обычно пользователи, дви- жимые мелким тщеславием, просят придумать себе личный пароль. Случайные пароли и коды, устанавливаемые системой, могут быть нес- кольких разновидностей. Системное программное обеспечение может приме- нить полностью случайную последовательность символов - случайную вплоть до регистров, цифр, пунктуациии длины; или же в генерирующих процедурах могут быть использованы ограничения. Например, каждый код доступа согла- суется с заранее подготовленным шаблоном (вроде oabc-12345-efghn, где буквы и цифры, на заданных позициях, генерируются случайным образом). Создаваемые компьютером пароли могут также случайным образом извлекаться из списка обычных или ничего не значащих слов, созданных авторами прог- раммы, которые образуют пароли вроде onah.foopn, или ocar- back-treen. Полуслова частично создаются пользователем, а частично - каким-либо слу- чайным процессом. Это значит, что если даже пользователь придумает легко угадываемый пароль, например, "секрет", компьютер дополнит его какой-ни- будь неразберихой, образовав более сложный пароль типа "секрет,5гh11". Ключевые фразы хороши тем, что они длинные и их трудно угадать, зато легко запомнить. Фразы могут быть осмысленными, типа "we were troubled by that", или не иметь смысла - "fished up our nose". Ключевые фразы применяются в тех организациях, где менеджер слегка помешан на защите. Следует заметить, что в программировании постепенно намечается тенденция к переходу на более широкое применение ключевых фраз. К концепции ключевых фраз близка концепция кодового акронима, который эксперты по защите оценивают как короткую, но идеально безопасную форму пароля. В акрониме пользователь берет легко запоминающееся предложение, фразу, строчку из стихотворения и т. п., и использует первые буквы каж- дого слова в качестве пароля. Например, акронимами двух приведенных выше фраз являются "wwtbt" и "fuon". Как видите, подобные нововведения в тео- рии паролей значительно затрудняют занятия электронным шпионажем. Шестой тип паролей - интерактивные последовательности "вопрос - от- вет", предлагают пользователю ответить на несколько вопросов, как прави- ло, личного плана: "Девичья фамилия вашей супруги?", "Ваш любимый цвет?", и т. д. В компьютере хранятся ответы на множество таких вопро- сов. При входе пользователя в систему компьютер сравнивает полученные ответы с "правильными". Сеансы вопросов и ответов могут оказаться лако- мым кусочком для хакера, который хорошо знаком с пользователем, под чьим именем он пытается войти в систему. Системы с использованием вопросов - ответов склонны к тому же прерывать работу пользователя каждые десять минут, предлагая отвечать на вопросы, дабы подтвердить его право пользо- ваться системой. Это очень раздражает, особенно если пользователь погру- жен в интересную игру. Ныне такие пароли почти не используются. Когда их придумали, идея казалась неплохой, но раздражающий фактор прерывания привел к тому, что данный метод практически исчез из обихода. "Строгие" пароли обычно используются совместно с каким-нибудь внешним электронным или механическим устройством - "цербером". В этом случае компьютер обычно с простодушным коварством предлагает несколько вариан- тов приглашений, а бедолага пользователь должен дать на них подходящие ответы. Этот вид паролей часто встречается в системах с одноразовыми ко- дами, а также в параноидальных организациях. Одноразовые коды - это пароли, которые срабатывают только один раз. К ним иногда прибегают, создавая временную копию для гостей, чтобы проде- монстрировать потенциальным клиентам возможности системы. Они также по- рой применяются при первом вхождении пользователя в систему. Во время первого сеанса пользователь вводит свой собственный пароль и в дальней- шем входит в систему лишь через него. Одноразовые коды могут также при- меняться в системе, когда действительный пользователь входит в нее в первый раз; затем пользователю следует поменять свой пароль на более секретный персональный код. В случаях, когда системой пользуется группа людей, но при этом нельзя нарушать секретность, прибегают к списку одно- разовых кодов. Тот или иной пользователь вводит код, соотвествуюший вре- мени, дате или дню недели. Может быть, вам повезет и вы найдете такой список в одном из своих походов за мусором. Коды, конечно, вам уже не пригодятся, но зато вы уразумеете принцип зашиты данной системы. пороли, устанавливаемые пользователем Большинство паролей относятся к типу "выбери сам". Большинство совре- менных программ запрашивают не слишком короткий пароль, чтобы систему было "труднее взломать". Обычно пароль содержит не менее четырех-пяти букв. Существуют также и другие меры, призванные не позволить пользова- телю создать неудачный пароль. Например, система может настаивать на том, чтобы пароль включал в себя строчные и заглавные буквы вперемешку с цифрами; заведомо очевидные пароли, например, "компьютер", ею отвергают- ся. В разных операционных системах существует немало программ, которые просматривают файлы, содержащие пароли, анализируют пароли пользователей и определяют, насколько они секретны. Неподходящие пароли заменяются. Вам необходимо досконально познакомиться с такими программами. Тогда вы будете иметь представление о том, какая из этих программ используется в избранной вами системе, и какие пароли данная программа не пропускает. Не считая гениев и безнадежных тупиц, все люди, когда надо принимать быстрые решения, мыслят и действуют примерно одинаково. Людям требуется время, чтобы начать мыслить творчески. Начальные предположения и первые умозаключения в определенных группах людей оказываются одинаковыми. Ког- да человек впервые загружает компьютер, и тот запрашивает у него пароль, этот пароль окажется вариантом одной из общих и актуальных для всех тем - особенно если у пользователя не хватает времени или он находится в незнакомом месте. Представьте себе состояние человека, когда его просят придумать собственный секретный пароль. Возможно, каждая минута промед- ления оборачивается все новыми центами и долларами, либо его окружает группа технических работников, которые обучают этого человека работе с системой. Как бы то ни было, стоит запросу появиться на экране, и чело- века посещает мысль о том, что надо немедленно что-то предпринимать. Лю- ди выдают первое, что приходит им в голову. А в голову приходит то, что они видят или слышат в данный момент, либо то, что собираются сделать сразу же после загрузки. Пароли создаются впопыхах, а последующая замена такого пароля на более надежный происходит достаточно редко. Таким обра- зом, многие пароли извлекаются из мыслей, которые плавают на поверхности сознания - мыслей о работе, семье, возможных событиях, имуществе, обору- довании, увлечениях и интересах. Если вам удастся угадать или узнать од- ну из подобных характеристик полноправного системного пользователя, ве- роятность того, что вы угадаете верный пароль, значительно возрастет. Возьмите каталоги компаний, занимающихся изготовлением наклеек-посте- ров, юмористических фотографий и прочей ерунды, которой пестрят стены офисов. Сколько раз вам уже приходилось видеть растиражированную фразу "Вам необязательно быть кретином, чтобы работать здесь... Но стать им не помешает!". Могу дать гарантию, что словечко "кретин" с этого плаката используется в качестве пароля ежедневно. Не забывайте также о возрасте и образе жизни среднестатистического пользователя, под которого вы собираетесь маскироваться, чтобы войти и совершить взлом. В офисе какой-либо солидной корпорации, скорее всего, не приклеят постер с обнаженной натурой, но вот в студенческом городке это вполне возможно - там стоит опробовать пароли типа "playmate", "victoria", "body" или "month". Самый простой способ раздобыть пароль - самому войти в систему в ка- честве пользователя, или подсказать пароль пользователю, входящему в систему впервые. Можно разыграть перед новичком роль компьютерного гуру - рассказать ему об основах этого дела, обойдя молчанием аспект секрет- ности, и постараться узнать их пароль при вводе. Новичок либо громко скажет вслух только что придуманный пароль, или же вы увидите, как заго- рятся его глаза при виде настенного календаря с заголовком: "surfboard". (Порой они говорят: "Господи, какой бы пароль посекретнее придумать? О, знаю...", и вслух сообщают вам свой пароль, набирая его на клавиатуре.) Вышесказанное - приятная случайность. Обычно, особенно если к вашему появлению пароль уже введен, приходится изрядно повозиться, прибегая к методам тупого перебора, наблюдениям, социальному либо техническому ме- тодам узнавания пароля. Пароли в большинстве своем являются литературными словами типа "subway", "chocolate" и т. п. В самом деле, можете ли вы представить се- бе новичка, сидящего за компьютером и старательно вводящего в качестве пароля нечто вроде "fMm6Pe"? Ну, конечно же, нет! Правила правописания для паролей не применяются: при создании паролей разрешается использо- вать имена собственные, равно как и слова с орфографическими ошибками, аббревиатуры, бессмыслицы и иностранные термины. Так, любитель посмот- реть по телевизору Star Trek может создать пароль "enterprize" вместо корректного "Enterprise". Возможно, он (или она) не знаком с правописа- нием, а может, ему так просто больше нравится, - неважно. Важно, чтобы вы знали: слова с ошибками - полноправные обитатели мира паролей. Можно найти букву "k" на месте "с" - "koka kola", "х" вместо "ks" в "thanx" и другие фонетические заменители. Некоторые хакеры просматривают каждое слово в английском языке, пока не найдут что-нибудь, работающее в качестве пароля. Если пароль, который они ищут, действительно обычное слово, но неправильно написанное, можно потерять кучу времени. Поиск паролей с помощью одной лишь тупого перебо- ра слов, со словарем, нередко превращается в безрадостное и бесполезное занятие. Многие слова часто встречаются среди паролей. В то же время иные слова почти никогда не используются в качестве паролей. Разве най- дется человек, способный ввести в качестве пароля наречие? Такие слова следует опробовать в последнюю очередь. Пароли, как правило, относятся либо к существительным, либо к глаголам (обычно общеупотребительным), а иногда - к прилагательным. Среди паролей популярны имена и прозвища дру- зей и подружек; вы узнаете их, проведя предварительные исследования. Кроме литературных слов попадаются также имена родственников, домаш- |
Похожие:
 | Программа элективного курса «Язык называют одним из самых удивительных орудий в руках человечества. Однако пользоваться им нужно умело, изучив все его особенности... |  | Секреты вашего здоровья Элективный курс «Секреты вашего здоровья» (9 класс) опубликован в сборнике «Учитель аст» (автор Л. Б. Поддубная) |
| Крупнейший порт и второй после Сеула город в Республике Корея, известный... «Синсеге Сентум Сити». В городе также возводится другое мегасооружение — небоскреб «Лотте Супер Тауэр». В этом здании должно быть... | | Программа по формированию навыков безопасного поведения на дорогах... Но именно доброй, ведь газ очень опасен и коварен! И прежде чем начать им пользоваться, нужно скорее узнать все его секреты. Хотите... |
| Программа по элективному курсу «Секреты русского словообразования» «Секреты русского словообразования» разработана на основе авторской программы по русскому языку для общеобразовательных учреждений.... | | Свидетельство о государственной регистрации программы для ЭВМ Программа предназначена для решения на супер-эвм в параллельном режиме двумерных и трехмерных связанных задач |
| Павел Таранов Секреты поведения людей М. в кириллов А. И. Иншаков | | «супер-агент 2012» Волшебных формул успешных продаж не существует, зато есть система несложных действий, навыков, способов, приемов, знаний, которые... |
| Конкурс «Секреты мастерства» Охватывает все основное содержание программного материала | | Встать! Суд идет! Прошу всех сесть. Ввести подсудимого гражданина... Всех присутствующих прошу записывать ход судебного заседания в виде конспекта по предложенному протоколу. В конце заседания протоколы... |
| Программа по формированию навыков безопасного поведения на дорогах... Используя современные супер инновационные технологии, мною был разработан мульти интегрированный урок с использованием русского языка,... | | Супер-город древних времен Древнем Риме — общественные бани, включавшие, кроме горячей (кальдарий — лат caldarium), теплой (тепидарий — лат tepidarium) и холодной... |
| Постановка учебной проблемы У нас урок математики, на котором вы продолжите раскрывать секреты этой интереснейшей науки | | Респект Татьяна Анатольевна!!! Вулкан круче Фудзиямы!!!! Круто!!!!... ... |
| Элективный курс для 7 класса «Секреты русского речевого этикета» Государственное автономное образовательное учреждение высшего профессионального образования | | Реферат Авторы: Иванов Иван Иванович Программа предназначена для выполнения моделирования супер процессов. Программа позволяет указать входные данные и на выходе вычислить... |
