Как и раньше в мире были люди ищущие способы легкой наживы. И если в то время их целью были какие-то материальные ценности, то сейчас стала центром внимания – информация, способная принести легкие деньги. А в частности это счета, пароли к доступу секретных архивов, компрометирующая информация и т.д.
Итак, рассмотрим пошагово самые распространенные способы взлома и варианты защиты.
Загрузка с другого носителя. Существует возможность загрузки компьютера со съемного носителя, например: компакт диск, на котором будет установлена облегченная версия Windows. Войдя таким способом на компьютер, имеется возможность удаления, перемещения, копирования файлов. Первым, что необходимо сделать в защите компьютера от нежелательных гостей – это установить в настройках BIOS(а) загрузку только с жесткого диска, отключив возможность загрузки с других носителей. Далее необходимо установить пароль на BIOS. Ограничить доступ к системному блоку, т.к. если вскрыв крышку и вытащив на 5-10 минут батарейку, все настройки BIOS(а) будут сброшены, а также будет сброшен и пароль. Для защиты системного блока можно использовать специальные замки, которые на сегодняшний день достаточно распространены. Но и пароль, установленный на BIOS, может не помочь. А все дело в том, что производители материнских плат оставляют так называемые черные ходы, устанавливая пароли, которые используются в сервисных центрах при ремонте оборудования. Такие универсальные пароли можно найти в интернете на сайтах производителей.
Но если все-таки первая защита помогла, и компьютер загрузился с вашего жесткого диска. Появляется экран приветствия со списком пользователей и требование ввести пароль на какую-либо учетную запись. Вот здесь может сработать очень простой способ. При установке ОС, создается встроенная учетная запись администратора. Двойное нажатие в окне приветствия сочетаний клавиш ALT+CTRL+DELETE приводит к появлению окна с запросом выбора пользователя. Если ввести имя «Администратор» или «Administrator» (в зависимости от сборки Windows), то таким образом можно попасть на компьютер с неограниченными правами. Для предотвращения такого варианта проникновения, необходимо выполнить следующие действия: войдите в раздел управления компьютером. Выберите «локальные пользователи и группы», «пользователи». Переименуйте встроенную учетную запись администратора и установите на нее пароль.
Если на вашем компьютере есть другие пользователи, но с ограниченными возможностями, то они могут войти в систему с правами администратора, используя, ниже описанный вариант.
Загрузив компьютер, в окне приветствия ждем 10-15 минут. Примерно через это время система запустит хранителя экрана (Screensaver). Т.к. screensaver запускается системой, следовательно, он имеет полные права администратора. Достаточно заменить Screensaver на любую другую программу, как откроется вход в систему. Такой программой может стать, например Total Commander. Для этого нужно скопировать все установленные файлы Total(а) в C:\WINOWS\system32. Потом запускаем редактора реестра (команда regedit в командной строке или «пуск» - «выполнить»…), находим ветвь HKEY/USERS/ DEFAULT/ Control Panel/ Desktop. В строковом параметре «SCRNSAVE.EXE» изменяем значение scrnsave.scr на Totalcmd.exe.
Там же находится еще один строковый параметр «ScreenSaveTimeOut». Этот параметр отвечает за время, через которое должен запуститься хранитель экрана. В нем изменяем значение 600 на 100, и ждать придется примерно 2 минуты. Иногда этого не достаточно. Чтобы сработало все на 100% , запускаем в редакторе реестра поиск, прописываем туда SCRNSAVE.EXE и ищем все параметры с таким названием, изменяя значения на выше указанные. Так же не забываем изменять и значение параметра ScreenSaveTimeOut.
Когда же запустится Total Commander, у пользователя появляется доступ ко всем документам других учетных записей. Есть возможность изменить тип своей учетной записи, установить любые программы, изменить параметры компьютера. Самое простое – это войдя в управление компьютером («локальные пользователи и группы», «пользователи»), можно сбросить пароль администратора или заменить его своим и после, входить в систему с правами администратора.
Защитится, от этого можно, запретив запуск хранителя экрана. В ветви HKEY/USERS/ DEFAULT/ Control Panel/ Desktop, установите значения параметрам «ScreenSaveTimeOut» и «ScreenSaveActive» равное нулю. Но это не сильно поможет, т.к. значение можно поменять, установив нужное для запуска Screensaver(а). Чтобы этого не произошло, запретите изменение разделов реестра HKLM и DEFAULT для пользователей с ограниченными возможностями, разрешив проводить операции с реестром только системе и администратору. Проделать это можно запустив редактора реестра, выделить нужный раздел, войти в закладку правка и выбрать «разрешения». В появившемся окне выберите группу пользователей и установите флажки, запрещающие для выбранной группы редактирование реестра.
Далее рассмотрим метод проникновения на компьютер с правами администратора с помощью некоторых программ. Пароли учетных записей хранятся в файлах SAM и System, которые находятся в C:\WINDOWS\system32\config\ и защищены системой от копирования или изменения. Скопировать эти файлы поможет Multi Password Recovery. В возможности этой программы входит восстановление разных паролей: почтовые клиенты, ICQ, браузеры и т.д. На панели есть кнопка SAM. Нажав ее, копируем файл SAM, а вместе с ним скопируется и System в указанное вами место. Затем, устанавливаем и запускаем программу Proactive Password Auditor.
Первое, что необходимо сделать – это произвести чтение из памяти компьютера, отметив функцию «память локального компьютера» и нажав кнопку «получить». Это действие покажет пароли любой сложности всех пользователей, входивших в свои учетные записи. Но подействует это, если не производилась перезагрузка, а делался выход из системы, предоставляя компьютер в ваше пользование. Если же нужный пароль не найден, отмечаем функцию «Файл реестра (SAM и System)», жмем «получить» и в появившемся окне указываем расположение ранее скопированных файлов SAM и System. Если пароли не сложные, то они будут показаны. Если же нет, то открываем закладку «Атака полным перебором» и выбираем набор символов, по которым будет происходить подбор. Если примерно известно, из каких символов состоит пароль, то можно создать пользовательский набор. Время, затраченное на подбор пароля, будет зависеть от его сложности.
Программа Proactive System Password Recovery имеет более обширные возможности, чем Proactive Password Auditor. С ее помощью можно изменить имя и пароль любой учетной записи, а также сбросить пароль администратора. Программа сразу же показывает пароль той учетной записи, из-под которой она была запущена. Поэтому, оставляя рабочее место даже на 1-2 минуты, делайте выход из системы. Также можно просмотреть все, что спрятано за звездочками, узнать логин и пароль на подключение к сети и многое другое.
Proactive System Password Recovery и Proactive Password Auditor были созданы фирмой ElcomSoft (http://www.elcomsoft.com). Изначальное предназначение их заключалось в тестировании паролей на устойчивость, но, ни как не для взлома. Однако никто не сможет запретить использовать их в злонамеренных целях.
На данный момент существует множество программ для подбора паролей, но перечислять их не имеет смысла. Любой заинтересовавшийся человек, с помощью интернета, сможет найти описания их возможностей и загрузить себе на компьютер. Защита же от такого способа атаки существует. А заключается она в сложности пароля. Чтобы пароль получился сложным, желательно использовать кириллический и латинский алфавиты вместе, добавляя различные символы, а длинна его, должна быть не менее 15! знаков. Такие пароли считаются надежными, а программы не могут их обработать за разумное время и требуют месяцы, а то и годы на их обработку. И чем чаще вы меняете пароль, тем меньше шансов на успех у злоумышленника.
Еще один из способов, как можно узнать пароль администратора – это клавиатурные шпионы (keylogger). Таких программ предостаточно. Однако не все из них эффективные. Одна из лучших - Invisible Keylogger Stealth. Преимущество ее заключается в том, что она записывает пароль, вводимый в экране приветствия при регистрации пользователя. Недостаток – при установке требуются права администратора. Защититься от таких программ поможет любой антивирус. Все клавиатурные шпионы определяются как «Потенциально опасное ПО». Также эти программы можно использовать и в целях защиты, установив на компьютер, администратор может следить за действиями пользователей.
Ну и еще кое-что для защиты. Существует программы для защиты жесткого диска. Одна из таких - Disk Password Protection (http://www.exlade.ru/). В ее возможности входит:
1. Установка пароля на загрузку системы. До тех пор пока не будет введен правильный пароль, системный загрузчик не может быть считан с диска, а следовательно система не сможет загрузиться.
2. Защита разделов. При включении защиты любого из разделов диска, вводится пароль, и этот раздел становится невидимым для системы. Увидеть и проникнуть на него не поможет ни загрузка со съемного носителя, ни подключение к другому компьютеру с другой операционной системой. Не стоит рассчитывать на удаление программы, т.к. и после этого раздел остается невидимым. Увидеть его можно только в управлении жесткими дисками или с помощью программ для работы с HDD. И это не поможет. Раздел распознается как неразрешенная область и просмотр имеющейся информации недоступен. Снять защиту можно только с помощью Disk Password Protection, зная правильный пароль.
3. Установка пароля на запуск программы. Это ограничит использование программы другими пользователями.
Есть один способ заполучить информацию с таких разделов. Для этого нужно отформатировать раздел, создав логический диск. Как известно, вся удаленная информация с помощью специальных программ может быть восстановлена даже после форматирования. Но использование такого варианта целесообразно только в крайних случаях либо при вынужденных обстоятельствах. И не факт, что все восстановится без потерь.
Что же делать, если ничего не помогло? Как заранее предотвратить утечку информации?
Все пароли и документы, представляющие ценность, хранить желательно на съемных носителях, таких, как флеш-накопители или USB–HDD (внешний жесткий диск), доступ к которым имеет только их владелец. Не копируйте важные документы на встроенный жесткий диск, т.к. после удаления они могут быть восстановлены. В противном случае используйте программы для безопасного удаления. Принцип работы таких программ заключается в том, что они затирают файлы, делая их непригодными к восстановлению.
Подведем итоги. Описанные выше действия широко известны и чаще всего используются простыми обывателями. А зная, откуда может произойти нападение, легче защищаться. Конечно же, есть такие специалисты, которые смогут обойти любую защиту, но их примерно: один из тысячи. Будьте внимательны, следите за изменениями системы. Лишняя предосторожность вам не навредит.
P.S.: Данная статья предназначена только для тех, кому в силу каких-либо обстоятельств необходимо восстановить свои пароли и защитить личную информацию. Автор не несет ответственности за использование выше описанного материала в противозаконных целях.
Комментарии (0)