Взлом паролей экpaннoй saставки

Ну хорошо, с паролями BIOS мы управились, и вряд ли это было такой уж сложной задачей. Вообще-то, настройку BIOS способны выполнить, как правило, люди достаточно опытные, которых отнюдь не большинство, поэтому защита BIOS паролями - не слишком распространенная практика. Тем не менее, стандартная политика безопасности организации запрещает оставлять компьютеры без защиты, даже при кратковременном уходе с рабочего места. Как же это сделать - выйти из системы, и снова войти по возвращении? Но это крайне неудобно, поскольку предполагает закрытие документов, остановку работы приложений, закрытие соединений, и т.д. - короче говоря, разрушает рабочий стол пользователя.

Однако есть один выход, предусмотренный разработчиками Windows - запуск экранной заставки с паролем. В Windows 95/98/NT/2000/XP имеются встроенные заставки с парольной защитой, однако удобнее использовать программы электронных заставок сторонних производителей, поскольку они запускаются самими пользователями, а не автоматически, по прошествии некоторого времени, как это делается в Windows. Одной из наиболее удачных программ такого рода можно считать утилиту ScreenLock компании iJen Software. По мнению автора, основное преимущество такой утилиты - это принуждение пользователя задавать новый пароль при каждом запуске, что исключает необходимость запоминания пароля и затрудняет его взлом.

Заставки с паролем, предоставляемые системами Windows 95/98, по сути являются единственным методом защиты этих компьютеров от несанкционированного входа в систему, поскольку входная регистрация пользователей Windows 95/98 фактически выполняет только загрузку пользовательских профилей. Если вместо ввода пароля входной регистрации нажать на клавишу [Esc], то произойдет вход в систему со стандартными настройками. Таким образом, для преодоления защиты заставкой с паролем систем Windows 95/98 следует только перезагрузиться.

Если же перезагрузка нежелательна, поскольку разрушает рабочий стол компьютера, демаскирует взломщика звуками, издаваемыми компьютером при перезапуске, требует некоторого времени и т.д., то у хакера имеются в запасе еще два метода. Первый - извлечение паролей заставки Windows 95/98, хранимых в системном реестре Windows 95/98 с помощью специальных программ, например, 95sscrk. Запуск этой программы из командной строки Windows 95/98 приводит к отображению введенного пароля экранной заставки, как показано на Рис. 12.

Рис. 12. Пароль экранной заставки взломан!

Другой, более эффективный метод извлечения паролей из реестра Windows - использование функции автозапуска систем Windows. Если в устройство CD-ROM установить компакт-диск, то компьютер, при включенной функции автозапуска автоматически загрузит программу, указанную в файле Autorun.ini, причем в oбход заставки с паролем систем Windows 95/98 (но не систем Windows 2000/XP). То же самое касается программ экранных заставок независимых производителей - большинство из них (включая Screen Lock) «пропускают» атаку с помощью автозапуска компакт-дисков на компьютерах Windows.

Таким образом, функция автозапуска - это прекрасный метод локального вторжения в компьютер, поскольку для его применения достаточно создать компакт диск с файлом Autorun.ini, в котором указан автозапуск записанной на CD-ROM: хакерской программы. Далее, пока хозяин компьютера гуляет по коридору, надеясь на защиту экранной заставки с паролем (если она еще запущена), хакер помещает в дисковод свой компакт-диск с автозапуском инсталляционных файлов. Пятьдесять минут «работы» - и на компьютере «ламера» сидит троян, который «стучит» по сети своему хозяину обо всех действиях пользователя А всего то и делов...

Имеется даже программа, называемая SSBypass (http://www.amecisco.com), которая, используя автозапуск, взламывает пароль экранной заставки Windows 95/9E и отображает его пользователю. Программа SSBypass стоит около $40, но ее ценность представляется небесспорной. Все, что нужно для защиты от таких атак - это отключение функции автозапуска компьютера, что делается с помощью стандартных процедур настройки системы Windows.