Взлом паролей в MS SQL Server
Безопасность и защита информации Взлом паролей в MS SQL Server
Система парольной защиты пакета SQL Server оказалась не такой устойчивой, как принято было считать. Такое открытие сделал Дэвид Личфилд (David Litchfield), специалист по компьютерной безопасности из компании Next Generation Security Software (NGSS), изучив работу недокументированной функции pwdencrypt(), отвечающей за хэширование паролей в SQL Server.
Первым делом Личфилд решил проверить, добавляется ли в хэш пароля случайный шум, позволяющий более надежно зашифровать информацию. Для этого он сверил значения, возвращаемые pwdencrypt() от одного и того же пароля (для проверки Личфилд выбрал слово foo), но в разное время. При этом оказалось, что результаты действительно различаются, то есть к хэшу пароля добавляется случайное значение, которое генерируется в зависимости от времени суток и позволяет замаскировать одинаковые по написанию пароли. Далее Личфилд проанализировал механизм генерации шума, который представляет собой целое число, получаемое в результате объединения двух псевдослучайных чисел, которые, в свою очередь, генерируются, исходя из системного времени.
Сведения о механизме создания шума уже облегчают взлом паролей, однако дальнейшие изыскания показали, что в система хранения паролей еще более уязвима. Как оказалось, вводимый пользователем пароль сначала переводится в формат unicode, затем к нему добавляется шум, а после этого осуществляется хэширование пароля. Однако в SQL Server хранится не одна, а две версии пароля. Первая из них зависит от регистра символов, а вторая состоит исключительно из символов в верхнем регистре. При этом к обеим версиям пароля добавляется одинаковый шум. Таким образом, зная механизм генерации шума можно простым перебором слов подобрать пароль в верхнем регистре — для этого требуется значительно меньше ресурсов, чем при подборе пароля, чувствительного к регистру — после чего подбор последнего становится тривиальной задачей.
Для демонстрации обнаруженной уязвимости Литчфилд написал простую программу на Си, которая вначале хэширует все имеющиеся в ее распоряжении слова, сравнивая ее с хранящимся в SQL Server хэшем пароля в верхнем регистре. На компьютере с процессором Pentium III с частотой 1 ГГц и 256 Мб ОЗУ программа за две секунды перебирает
200 000 слов. 09.07.2002
Как найти работу с помощью спама?
На сайте PolitechBot (http://www.politechbot. com) опубликована очередная статья о злостном спамере, который никак не может найти себе работу. Безработный, известный под именем Дэвид Скотт Андерсон, уже некоторое время действует на нервы пользователям Интернета, рассылая кому попало собственное резюме.
В curriculum vitae Андерсона говорится о том, что спамер "прекрасно владеет Интернетом и другими технологиями новой экономики". На него уже имеются несколько жалоб: пользователи обвиняют Андерсона в рассылке спама и полном невнимании к тем, кто не желает получать резюме безработного американца.
Очередное послание Дэвида, отправленное с бесплатного почтового ящика на Yahoo, было получено основателем PolitechBot Декланом Маккалахом. Деклан ответил Андерсону, а также отправил жалобу в компанию Yahoo, указав на то, что один из пользователей бесплатной почтовой службы рассылает спам. На этот раз Андерсон отреагировал моментально, выслав ругательное письмо Деклану, назвав его "asshole" и раскритиковав сайт PolitechBot.
Позже выяснилось, что тот обвинил Деклана в спамерстве, включив его почтовый сервер в список серверов, используемых для массовой рассылки коммерческих сообщений. Жалоба Дэвида не была принята, так как в службах по борьбе со спамом Андерсона уже знают. Однако, рассылка PolitechBot частично пострадала из-за того, что другая служба борьбы со спамом (OsriSoft.com) приняла жалобу Андерсона за чистую монету.
После всех неприятностей Маккалах получил от Андерсена еще несколько сообщений. В них Дэвид угрожал Маккалаху судом, обвинял в расизме (Андерсон — афроамериканец), угрожал включением сервера PolitechBot в федеральный спам-лист. С резюме Дэвида Андерсона можно ознакомиться по адресу: http://www.mccullagh.org/avoid/david-scott-anderson.html. В своем сообщении Деклан Маккалах отмечает, что проблема безработного спамера уже долгое время никем не может быть решена — он, похоже, неуловим. 10.07.2002
Интернет-мошенник, нагревший руки на 200 тыс. долларов, признал свою вину
В США продолжаются судебные процессы в отношении многочисленных интернет-мошенников. На этой неделе свою вину в обмане доверчивых посетителей аукционов признал Джей Нельсон, которого пресса успела окрестить одним из самых успешных интернет-мошенников. За 13 месяцев Нельсон умудрился надуть 1700 посетителей онлайновых аукционов eBay и Yahoo на общую сумму более 200 000 долл. США. Свою мошенническую деятельность он начал еще в июне 2000 г. Тогда, торгуя на eBay под псевдонимом harddrives4sale, он обманул 247 покупателей на общую сумму в 32 000 долл.
Уже в феврале 2001 г. Нельсону были предъявлены первые обвинения, однако он еще полгода скрывался от властей, продолжая надувать доверчивых интернетчиков. Схема действий мошенника была весьма проста: он регистрировался на аукционах под вымышленными именами, выставлял лоты и получал за них деньги. Естественно, что никто из покупателей так и не увидел заказанного товара. Вначале Нельсон использовал для получения денег банковские счета, а когда за ними было установлено наблюдение, переключился на систему PayPal.
Арестовать Нельсона удалось лишь благодаря бдительности владелицы нумизматического магазина, которая услышала о мошеннике по радио. Затем, когда Нельсон попытался продать ей несколько коллекционных монет, чтобы отмыть деньги, она потребовала у него документы. Убедившись, что Нельсон именно тот мошенник, о котором она слышала, женщина согласилась купить у него монеты. Когда же Нельсон явился в магазин для совершения сделки, его там уже поджидали сотрудники спецслужб. В связи с тем, что мошенник, наконец, признал свою вину, ему грозит до 5 лет тюремного заключения. 10.07.2002
Хакеры секты "Фалуньгун" взломали спутник
Как стало известно, хакеры-приверженцы запрещенного в Китае движения "Фалуньгун" атаковали китайский телевизионный спутник, и в результате по всем телеканалам Поднебесной несколько раз прошла реклама "Фалуньгуна".
Это движение в Китае называют как угодно, вплоть до "дьявольского культа". По сведениям Religio.ru, "Фалуньгун" (практика колеса закона) был основан отставным военным Ли Хунчжи в 1992 году. "Фалуньгун" соединяет в себе элементы буддизма, даосизма и традиционной оздоровительной практики цигун. В мире отношение к движению у всех разное. В Китае же "Фалуньгун" попросту запрещен: в свое время китайские власти испугались роста популярности этого движения, и тот факт, что в движении принимали участие члены коммунистической партии Китая, тоже мало нравился властям. Сейчас за участие в этой "секте" можно получить огромный тюремный срок. В течение долгого времени члены "Фалуньгуна" в ответ на критику государственных СМИ проводили молчаливые демонстрации, а потом, когда начались репрессии, стали переходить к более резким выступлениям, вроде попыток самосожжения. И вот теперь они пошли на открытый конфликт с китайскими властями, показав заодно и всему миру, что у них имеются зубы.
Кстати сказать, "Фалуньгун" давно и активно пользуется благами информационных технологий. Как сообщается на сайте Информационно-консультационного центра Св. Иринея Лионского (http://iriney.vinchi.ru/), глобальная компьютерная сеть используется обеими сторонами для распространения своих взглядов на проблему запрещения "Фалуньгун" в КНР. Правительство Китая, тем не менее, оказалось не готовым к тому, что последователи Ли Хунчжи сделали электронную почту максимально удобным средством взаимодействия между отделениями "Фалуньгун" в различных провинциях и смогли весьма эффективно провести протестные мероприятия.
Как сообщает издание Australian IT, взлому подверглись не только телевизионные спутники Sinosat-1, через которые идет трансляция многих каналов китайского ТВ, но и телефонная сеть в Пекине. В каждом доме раздавались звонки, и снимавшие трубку слышали пятиминутную аудиозапись, на которой последователи "Фалуньгуна" по пунктам громили аргументы запретивших их движение китайских властей. По телевидению же несколько минут демонстрировался плакат "Фалуньгун — это хорошо".
Китайские власти, естественно, старались не допустить распространения этой информации, однако из-за того, что в Китае есть Интернет, происшествие, все-таки, получило широкую огласку. Китайские спутники и телевизионные станции, видимо, плохо защищены: как заявили представители располагающегося в Гонконге Информационного центра по вопросам прав человека и демократии (Information Centre for Human Rights and Democracy), в Китае, для того чтобы внести помехи в телетрансляцию на сотни километров вокруг, достаточно одной-единственной "антенны-тарелки" диаметром в три метра. 08.07.2002
Подготовил Евгений Сечко, safeman@mail.ru
Система парольной защиты пакета SQL Server оказалась не такой устойчивой, как принято было считать. Такое открытие сделал Дэвид Личфилд (David Litchfield), специалист по компьютерной безопасности из компании Next Generation Security Software (NGSS), изучив работу недокументированной функции pwdencrypt(), отвечающей за хэширование паролей в SQL Server.
Первым делом Личфилд решил проверить, добавляется ли в хэш пароля случайный шум, позволяющий более надежно зашифровать информацию. Для этого он сверил значения, возвращаемые pwdencrypt() от одного и того же пароля (для проверки Личфилд выбрал слово foo), но в разное время. При этом оказалось, что результаты действительно различаются, то есть к хэшу пароля добавляется случайное значение, которое генерируется в зависимости от времени суток и позволяет замаскировать одинаковые по написанию пароли. Далее Личфилд проанализировал механизм генерации шума, который представляет собой целое число, получаемое в результате объединения двух псевдослучайных чисел, которые, в свою очередь, генерируются, исходя из системного времени.
Сведения о механизме создания шума уже облегчают взлом паролей, однако дальнейшие изыскания показали, что в система хранения паролей еще более уязвима. Как оказалось, вводимый пользователем пароль сначала переводится в формат unicode, затем к нему добавляется шум, а после этого осуществляется хэширование пароля. Однако в SQL Server хранится не одна, а две версии пароля. Первая из них зависит от регистра символов, а вторая состоит исключительно из символов в верхнем регистре. При этом к обеим версиям пароля добавляется одинаковый шум. Таким образом, зная механизм генерации шума можно простым перебором слов подобрать пароль в верхнем регистре — для этого требуется значительно меньше ресурсов, чем при подборе пароля, чувствительного к регистру — после чего подбор последнего становится тривиальной задачей.
Для демонстрации обнаруженной уязвимости Литчфилд написал простую программу на Си, которая вначале хэширует все имеющиеся в ее распоряжении слова, сравнивая ее с хранящимся в SQL Server хэшем пароля в верхнем регистре. На компьютере с процессором Pentium III с частотой 1 ГГц и 256 Мб ОЗУ программа за две секунды перебирает
200 000 слов. 09.07.2002
Как найти работу с помощью спама?
На сайте PolitechBot (http://www.politechbot. com) опубликована очередная статья о злостном спамере, который никак не может найти себе работу. Безработный, известный под именем Дэвид Скотт Андерсон, уже некоторое время действует на нервы пользователям Интернета, рассылая кому попало собственное резюме.
В curriculum vitae Андерсона говорится о том, что спамер "прекрасно владеет Интернетом и другими технологиями новой экономики". На него уже имеются несколько жалоб: пользователи обвиняют Андерсона в рассылке спама и полном невнимании к тем, кто не желает получать резюме безработного американца.
Очередное послание Дэвида, отправленное с бесплатного почтового ящика на Yahoo, было получено основателем PolitechBot Декланом Маккалахом. Деклан ответил Андерсону, а также отправил жалобу в компанию Yahoo, указав на то, что один из пользователей бесплатной почтовой службы рассылает спам. На этот раз Андерсон отреагировал моментально, выслав ругательное письмо Деклану, назвав его "asshole" и раскритиковав сайт PolitechBot.
Позже выяснилось, что тот обвинил Деклана в спамерстве, включив его почтовый сервер в список серверов, используемых для массовой рассылки коммерческих сообщений. Жалоба Дэвида не была принята, так как в службах по борьбе со спамом Андерсона уже знают. Однако, рассылка PolitechBot частично пострадала из-за того, что другая служба борьбы со спамом (OsriSoft.com) приняла жалобу Андерсона за чистую монету.
После всех неприятностей Маккалах получил от Андерсена еще несколько сообщений. В них Дэвид угрожал Маккалаху судом, обвинял в расизме (Андерсон — афроамериканец), угрожал включением сервера PolitechBot в федеральный спам-лист. С резюме Дэвида Андерсона можно ознакомиться по адресу: http://www.mccullagh.org/avoid/david-scott-anderson.html. В своем сообщении Деклан Маккалах отмечает, что проблема безработного спамера уже долгое время никем не может быть решена — он, похоже, неуловим. 10.07.2002
Интернет-мошенник, нагревший руки на 200 тыс. долларов, признал свою вину
В США продолжаются судебные процессы в отношении многочисленных интернет-мошенников. На этой неделе свою вину в обмане доверчивых посетителей аукционов признал Джей Нельсон, которого пресса успела окрестить одним из самых успешных интернет-мошенников. За 13 месяцев Нельсон умудрился надуть 1700 посетителей онлайновых аукционов eBay и Yahoo на общую сумму более 200 000 долл. США. Свою мошенническую деятельность он начал еще в июне 2000 г. Тогда, торгуя на eBay под псевдонимом harddrives4sale, он обманул 247 покупателей на общую сумму в 32 000 долл.
Уже в феврале 2001 г. Нельсону были предъявлены первые обвинения, однако он еще полгода скрывался от властей, продолжая надувать доверчивых интернетчиков. Схема действий мошенника была весьма проста: он регистрировался на аукционах под вымышленными именами, выставлял лоты и получал за них деньги. Естественно, что никто из покупателей так и не увидел заказанного товара. Вначале Нельсон использовал для получения денег банковские счета, а когда за ними было установлено наблюдение, переключился на систему PayPal.
Арестовать Нельсона удалось лишь благодаря бдительности владелицы нумизматического магазина, которая услышала о мошеннике по радио. Затем, когда Нельсон попытался продать ей несколько коллекционных монет, чтобы отмыть деньги, она потребовала у него документы. Убедившись, что Нельсон именно тот мошенник, о котором она слышала, женщина согласилась купить у него монеты. Когда же Нельсон явился в магазин для совершения сделки, его там уже поджидали сотрудники спецслужб. В связи с тем, что мошенник, наконец, признал свою вину, ему грозит до 5 лет тюремного заключения. 10.07.2002
Хакеры секты "Фалуньгун" взломали спутник
Как стало известно, хакеры-приверженцы запрещенного в Китае движения "Фалуньгун" атаковали китайский телевизионный спутник, и в результате по всем телеканалам Поднебесной несколько раз прошла реклама "Фалуньгуна".
Это движение в Китае называют как угодно, вплоть до "дьявольского культа". По сведениям Religio.ru, "Фалуньгун" (практика колеса закона) был основан отставным военным Ли Хунчжи в 1992 году. "Фалуньгун" соединяет в себе элементы буддизма, даосизма и традиционной оздоровительной практики цигун. В мире отношение к движению у всех разное. В Китае же "Фалуньгун" попросту запрещен: в свое время китайские власти испугались роста популярности этого движения, и тот факт, что в движении принимали участие члены коммунистической партии Китая, тоже мало нравился властям. Сейчас за участие в этой "секте" можно получить огромный тюремный срок. В течение долгого времени члены "Фалуньгуна" в ответ на критику государственных СМИ проводили молчаливые демонстрации, а потом, когда начались репрессии, стали переходить к более резким выступлениям, вроде попыток самосожжения. И вот теперь они пошли на открытый конфликт с китайскими властями, показав заодно и всему миру, что у них имеются зубы.
Кстати сказать, "Фалуньгун" давно и активно пользуется благами информационных технологий. Как сообщается на сайте Информационно-консультационного центра Св. Иринея Лионского (http://iriney.vinchi.ru/), глобальная компьютерная сеть используется обеими сторонами для распространения своих взглядов на проблему запрещения "Фалуньгун" в КНР. Правительство Китая, тем не менее, оказалось не готовым к тому, что последователи Ли Хунчжи сделали электронную почту максимально удобным средством взаимодействия между отделениями "Фалуньгун" в различных провинциях и смогли весьма эффективно провести протестные мероприятия.
Как сообщает издание Australian IT, взлому подверглись не только телевизионные спутники Sinosat-1, через которые идет трансляция многих каналов китайского ТВ, но и телефонная сеть в Пекине. В каждом доме раздавались звонки, и снимавшие трубку слышали пятиминутную аудиозапись, на которой последователи "Фалуньгуна" по пунктам громили аргументы запретивших их движение китайских властей. По телевидению же несколько минут демонстрировался плакат "Фалуньгун — это хорошо".
Китайские власти, естественно, старались не допустить распространения этой информации, однако из-за того, что в Китае есть Интернет, происшествие, все-таки, получило широкую огласку. Китайские спутники и телевизионные станции, видимо, плохо защищены: как заявили представители располагающегося в Гонконге Информационного центра по вопросам прав человека и демократии (Information Centre for Human Rights and Democracy), в Китае, для того чтобы внести помехи в телетрансляцию на сотни километров вокруг, достаточно одной-единственной "антенны-тарелки" диаметром в три метра. 08.07.2002
Подготовил Евгений Сечко, safeman@mail.ru
Компьютерная газета. Статья была опубликована в номере 27 за 2002 год в рубрике del :: безопасность
