2015-08-21
427
му, способы построения современных систем защиты и методы «взлома». Описывать эти методы не позволяют ни этические соображения, ни цель книги, ни объем настоящей главы.
Однако многие, в том числе и хорошие системы ограничении доступа, используют пароли как средство аутентификации пользователей. Показать слабые места парольной защиты и возможные способы раскрытия паролей - значит уберечь вас от возможных ошибок при выборе системы зашиты.
«Парольная защита» - отнюдь не синоним понятию «плохая защита». Тем не менее, она имеет как минимум две слабые стороны.
Первая связана с тем, что пароли, по которым осуществляется аутентификация пользователей, должны где-то храниться. Обычно это таблица паролей, входящая в состав программного обеспечения операционной системы или системы защиты. Следовательно, любой достаточно хорошо подготовленный пользователь тем или иным способом может проникнуть в соответствующий файл, скопировать или изменить его.
Именно благодаря данному обстоятельству выбираемая вами система зашиты должна предусматривать кодирование таблицы паролей, что нивелирует ценность попытки проникновения в таблицу.
Вторая связана с возможностью тайного внедрения программной закладки в компьютерную систему, которая позволит злоумышленнику осуществлять несанкционированный доступ к информационным ресурсам. Перехватчики паролей - один из наиболее распространенных видов программных закладок. Они перехватывают пароли, применяемые для регистрации пользователей операционной системы, а также для определения их легальных полномочий и прав доступа к компьютерным ресурсам.
Перехватчики отнюдь не новое явление. В свое время они успешно разрабатывались для OS/370, UNIX и DOS. Принцип действия у них достаточно традиционен и заключается в фиксации пароля на этапе регистрации пользователи. Далее пароль записывается в специальный файл, из которого он может быть легко извлечен. Различия между перехватчиками заключаются только в способах, которые применяются ими для получения пользовательских паролей.
Различают три типа перехватчиков паролей: имитаторы системы регистрации, фильтры и заместители.
Программы имитаторы системы регистрации достаточно легкореализуемы и функционируют до следующему алгоритму.
Имитатор первым реагирует на желание пользователя зарегистрироваться и предлагает ему ввести пароль. После того как пользователь иден-
