Home Contact
русская версия english version


Домой
Программы
Взломщики паролей
Сервисы
Восстановление паролей
Блог
Все о паролях...
Новости сайта
Информация
FAQ по взлому паролей
Что такое "взломщик паролей"
Шарлатанство от криптографии
Почему криптосистемы ненадежны
Ссылки
О сайте
Добавить новую программу
Обратная связь
E-mail
Гостевая книга
Тесты скорости
Конфигурация

Авторам:
вход
регистрация

 
Лучшие, проверенные взломщики паролей с тестами скорости и отзывами
Анализ способов нарушения безопасности ОС Novell NetWare 3.x и 4.x
Все программы, представленные на сайте, не являются вредоносными. Они предназначены для восстановления паролей только в том случае, если вы имеете легальные основания для этого. В остальных случаях использование этих программ незаконно и может попадать под действие статей 272-273 УК РФ. Авторы программ и владелец сайта не несут никакой ответственности за такое незаконное их применение.
Все утилиты для восстановления паролей тщательно отбираются, проверяются вручную и только лучшие попадают на сайт. Сообщения некоторых антивирусных программ о наличии вирусов в них являются ложными. Это происходит из-за того, что код по восстановлению паролей ошибочно принимается за вредоносный.
This banner space is for sale

Более подробно о безопасности Novell Netware можно узнать из книги "Теория и практика обеспечения информационной безопасности"

В общем случае воздействия на сетевую операционную систему могут быть реализованы по двум направлениям:

  • воздействие на файл-сервер с его консоли (локальное воздействие);
  • воздействие на файл-сервер с рабочей станции (удаленное воздействие).

Локальные воздействия

При наличии физического доступа к консоли файл-сервера в сети Novell NetWare возможны следующие воздействия:

    3.x, 4.x (с эмуляцией bindery)

    • изменение пароля супервизора с помощью NLM-программ типа SETPASS.NLM или SETPWD.NLM.

Эти программы выполняют примерно следующие вызовы функций Novell C Interface:

char newPassword[128];

ChangeBinderyObjectPassword ("SUPERVISOR", OT_USER, "", newPassword);

Третьим параметром этой функции должен передаваться старый пароль объекта (в данном случае супервизора), однако операционная система Novell Netware почему-то не проверяет соответствие этого параметра при вызове уровнем доступа более 3.

    3.x, 4.x
    • Использование встроенного отладчика.

Имеется возможность с помощью отладчика повлиять на логику работы ОС, изменяя ее код в оперативной памяти так, что в дальнейшем любой пользователь получает возможность беспарольного входа в систему.

1. Вызывается встроенный отладчик операционной системы Novell Netware нажатием на консоли сервере комбинации клавиш <Alt>+<Left Shift>+<Right Shift>+<Esc>.

2. В нем выполняется поиск байт

74 1F BE FF 00 00 00 (Novell Netware 3.12) или

74 1D BB FF 00 00 00 (Novell Netware 3.11) командой

m 0 74 1F BE FF 00 00 00 или

m 0 74 1D BB FF 00 00 00 соответственно.

3. Отладчик высвечивает адрес найденной последовательности байт. По этому адресу байт 74 заменяется на EB командой

с <адрес> = EB

4. Операционная система запускается дальше командой

g

Как видно, этот способ не требует никаких специальных программ и перезагрузок сервера. Более того, не вносится никаких из менений на жесткий диск сервера, а изменения в памяти можно так же легко удалить при необходимости, изменив байт EB обратно на 74.

    3.x, 4.x
    • использование утилит для непосредственного доступа к жесткому диску файл-сервера на физическом уровне (например, DISKEDIT).

В этом случае возможно изменить как код операционной системы, так и ее данные, хранящиеся на жестком диске. В частности, можно получить доступ к базе данных BINDERY, в которой содержатся сведения о ресурсах системы, в т.ч. список всех пользователей системы с их правами доступа и образами паролей.

Самый очевидный способ осуществления этой атаки состоит в следующем:

1. Операционная система Novell Netware выгружается командой "DOWN" c консоли;

2. Загружается операционная система MS DOS;

3. С помощью программ типа DiskEdit или PCTools анализируется Partition Table и находится начало раздела Novell;

4. С начала раздела Novell ищутся строки "net$obj.sys", "net$prop.sys" и "net$val.sys", являющихся именами файлов базы данных связок. Естественно, что таких строк может быть найденно несколько, нас интересуют те, которые располагаются в таблице размещения файлов (FAT). Определить это можно таким образом, что перед ними, начиная с кратного 16 смещения с начала сектора на диске должна идти примерно следующая последовательность байт:

02 00 00 00 26 10 00 00 03 18 00 0В <имя файла>;

5. У трех найденных строк (они должны быть рядом друг с другом) заменяются расширения .SYS на .OLD, а за 8 байт до них байты 26 10 (это атрибуты файлов) заменяются на 00 00;

6. Проделанные в п. 4 и 5 операции повторяются еще раз для второй копии FAT. (Этого можно не делать, но тогда после загрузки сервера придется запускать утилиту VREPAIR.NLM);

7. Загружается операционная система Novell Netware и осуществляется вход в нее как супервизор (пароль не будет запраши ваться);

8. Запускается программа BINDREST, которая восстановит базу данных связок из файлов *.OLD, т.е. всю первоначальную информацию. Как видно, для реализации этого способа не требуется никаких специальных программ.

В приниципе подобный способ можно реализовать в Novell Netware 4.x.

Удаленные воздействия

В сети Novell NetWare возможно осуществление следующих удаленных воздействий:

    3.x,4.x
    • Исследование сетевого трафика.

Использование программы сетевого анализатора, исследующую сетевой трафик на канальном уровне, позволило обнаружить ошибку, допущенную программистами фирмы Novell. При смене пароля супервизором любому пользователю (в том числе и себе) с помощью программы SYSCON (только v. 3.75-3.76) новый пароль передается по сети в незашифрованном виде и может быть прочитан сетевым анализатором.

Аналогично может быть перехвачено взаимодействие программы RCONSOLE.

    3.11*
    • Подмена рабочей станции - "голландская атака".

Общей проблемой для любой сетевой операционной системы является идентификация и аутентификация ее удаленных друг от друга компонент. Если этой проблеме не придавать значения, то тогда ни что не мешает злоумышленнику послать пакет на файл-сервер от имени одной рабочей станции, находясь на другой станции; или наоборот, послать пакет на рабочую станцию от имени файл-сервера. Данная проблема не была решена в ОС Novell NetWare 3.11 и в результате оказалось возможным реализовать так называемую "голландскую" атаку, результат которой - получение злоумышленником прав другого зарегистрированного в сети пользователя. Эта атака стала возможной, так как в ОС Novell NetWare использовались простейшие методы идентификации пакетов. В частности, пакеты идентифицировались только по номеру счетчика (0 - FFh) и номеру канала (0 - FFh) и не проверялось соответствие адреса станции, от которой пришел пакет, номеру канала, ей присвоенного. В версии Novell NetWare 3.12 и выше в ответ на "голландскую" атаку введено дополнительное средство идентификации - цифровая подпись пакетов.

    3.x,4.x
    • Использование недостатков в механизме поиска рабочей станцией файл-сервера для его подмены (ложный сервер).

Вследствие того, что текущее количество серверов в Novell NetWare неизвестно, то перед рабочей станцией встает проблема поиска файл-сервера в сети. Эта проблема может решаться посылкой определенного набора пакетов на широковещательный адрес и ожидание ответа с необходимыми данными. Такой механизм поиска сервера используется, например, в ОС Novell NetWare и называется протоколом SAP. Если не придать значения безопасности алгоритма поиска сервера, то ничто не мешает программным образом на любой рабочей станции получить этот широковещательный запрос и послать запросившей станции ответ, в котором прислать свой адрес. В результате, можно добиться того, что запросившая станция будет считать ответившую станцию настоящим файл-сервером и, в дальнейшем, вся информация между файл-сервером и вновь подключившейся станцией будет проходить через третью станцию (ложный сервер).

    ?
    • Использование входа в систему специальным пользователем - сервером печати.

Novell API предоставляет функцию ChangeToClientRigths(), которая позволяет служебному серверу очереди (Queue server) использовать права пользователя, который поместил это задание в очередь. Данная функция является, по всей видимости, устаревшей и, возможно, оставлена для совместимости с предыдущими версиями Novell Netware. Она может быть отключена с консоли сервера с помощью команды

SET Allow Change To Client Rights = OFF.

Таким образом, если удастся идентифицироваться на файл-сервере как сервер очереди, то можно будет выполнить вызов этой функции и получить права конкретного пользователя (в т.ч. и супервизора)

Так как сервер печати является, с точки зрения Novell Netware, сервером очереди и часто не имеет пароля, то возможно использование входа в систему этим пользователем для несанкционированного получения широких полномочий.

    3.x,4.x
    • Использование состояния отсутствия информации (источник - Greg Miller).

Рассмотрим в общем виде процесс входа в систему (login) для всех версий Novell Netware:

1. Рабочая станция создает выделенный канал с сервером, присоединяясь к нему под именем NOT_LOGGED_IN и получает право на чтение каталога SYS:LOGIN;

2. Она загружает из него программу LOGIN.EXE и выполняет ее;

3. Происходит процесс идентификации и аутентификации на сервере под настоящим именем (различный для разных версий ОС);

4. После этого, если необходимо, включается подпись пакетов для дальнейшего общения рабочей станции и сервера.

Самым слабым местом здесь является шаг 2. Здесь налицо появляется состояние отсутствия информации (zero knowledge state), когда ни сервер, ни рабочая станция не может аутентифицировать друг друга, так как все механизмы аутентификации включаются после регистрации пользователя на файл-сервере. Поэтому третья станция может с успехом имитировать как сервер, так и рабочую станцию. Таким образом, очевидная атака состоит в том, что злоумышленник на другой рабочей станции посылает от имени сервера троянскую версию LOGIN.EXE, которая, например, корректно входит в систему, но при этом передает введенный пароль по сети (возможны и другие варианты, такие как исполнение вируса на рабочей станции). Это может быть сделано как с помощью механизма ложного сервера, так и посылая ложные ответы на запросы рабочей станции на чтение файла LOGIN.EXE. При этом необходимо только, чтобы эти ложные ответы приходили быстрее настоящих, посылаемых сервером (например, злоумышленник должен иметь более быстрый компьютер, чем сервер).

    3.11*
    • Подмена пользователя при некорректном завершении его сеанса работы с файл-сервером

В ОС Novell NetWare для корректного окончания сеанса работы пользователя с файл - сервером требуется выдача команды LOGOUT на рабочей станции пользователя для закрытия виртуального канала с сервером. Однако, многие пользователи редко пользуются этой командой, предпочитая просто выключить или перезагрузить свой компьютер. Такое окончание сеанса работы с файл-сервером является некорректным и в сочетании с отказом от использования цифровой подписи пакетов (а, следовательно, слабой идентификации пакетов) может привести к подмене пользователя в сети.

      3.x,4.x

    • Контроль над рабочей станцией в сети (сетевой шпион).

В связи с объединением компьютеров в сеть появляется новый вид РПС - сетевые шпионы. Сетевыми шпионами будем называть программные закладки или компьютерные вирусы, основная цель которых - получение контроля над рабочей станцией в сети. Рассмотрим основные функции, присущие сетевым шпионам:

1. Перехват и передача вводимой с клавиатуры информации на головную сервер-программу;

2. Перехват и передача экранной информации на головную сервер-программу;

3. Перехват и передача на головную сервер-программу системной информации о ПК (тип ОС, параметры компьютера, загруженные программы и т.д.);

4. Получение контроля сервер-программой над зараженным удаленным компьютером (удаленный запуск программ, копирование данных, удаление данных и т.д.).

Применяемые криптоалгориты и их недостатки

По сравнении с версией 2.х, где пароли пользователей передавались по сети в открытом виде, криптографическая защиты операционной системы Novell Netware 3.x является более совершенной. К ней относится:

1) использование "метода рукопожатия", в результате чего пароль (даже зашифрованный) не передается по сети по время сеанса входа в систему;

2) пароли пользователей хранятся на сервере только в зашифрованном виде;

3) при вводе неправильного пароля операционная система Novell Netware использует задержку в несколько секунд для пре дотвращения атаки по словарю. Имеется возможность ограничить количество неправильно набранных паролей.

Пароль любого пользователя хранящится в базе данных связок как свойство "PASSWORD", является за шифрованным. Для его получения операционная система Novell Netware проделывает следующие операции (см. исходный текст функции LoginToFileServer()):

- из оригинального пароля пользователя получается 32-байтовая последовательность путем либо сжатия пароля длиной более 32 символов с помощью операции XOR, либо размножением пароля длиной менее 32 символов;

- эта последовательность шифруется операцией XOR с идентификатором объекта (object ID), уникальным для каждого пользователя;

- из этой последовательности получается выходная 16-байтовая последовательность (назовем ее Hash16) с помощью специального алгоритма хэширования. Именно эта 16-байтовая последовательность и является свойством "PASSWORD", хранимым на сервере. При этом следует отметить, что:

1) мощность полного перебора ограничена числом 25616 = 2128 для пароля любой длины. Это, безусловно, выходит за рамки возможностей современной вычислительной техники и в 272 раза превышает криптостойкость DES. Однако максимальная длина пароля в Novell Netware равна 128 символами, что должно давать примерно 2750 вариантов полного перебора. Отсюда следует, что на самом деле максимальная длина пароля в 6 раз меньше;

2) идентификатор супервизора обычно равен 0x00000001, и шифрование с ним практически бессмысленно. Этот факт позволяет убыстрить перебор паролей.

Далее, при вызове функции библиотеки Novell C Interface LoginToFileServer() происходит следующая последовательность действий:

- сервер посылает станции 8-байтовую последовательность случайных чисел;

- на станции из оригинального пароля с помощью алгоритма, описанного выше, получается тот же самый Hash16, и пришедшая последовательность шифруется с его помощью в выходную 8-байтовую последовательность, которая и отправляется обратно серверу;

- сервер шифрует посланную последовательность с помощью Hash16;

- сервер проверяет соответствие полученной и вычисленной последовательности. Как видно, Hash16 не передается по сети при подключении к серверу.

Криптосистема Novell 4.x еще более усилена использованием несимметричных ключей.

Итак, можно указать следуюшие недостатки применяемых криптоалгоритмов:

    3.x
    • Криптоатака с использованием 8-байтовых последовательностей при входе в систему.

Если имеется возможность перехватить 8-байтовые входные и выходные последовательности, которыми обмениваются при входе в систему файл-сервер и рабочая станция, то возможно построить алгоритм перебора паролей и его скорость достигает 10000 паролей/сек на машине класса 80486 DX2-66. Учитывая, что в Novell Netware не различается регистр букв (а также, если есть доступ к базе данных связок, можно узнать точную длину пароля), криптографическая атака не только по словарю, но и полным перебором, является вполне возможной.

    3.x
    • Криптоатака с обращением хэш-функции.

В случае, если злоумышленнику известен 16-байтовый ключ Hash16, криптографическая атака не требует полного перебора вариантов и является тривиальной. Он может обладать этим ключом в двух случаях:

1) он имеет доступ к серверу или к базе данных связок;

2) он перехватил этот ключ в момент передачи по сети при смене пароля пользователя. Алгоритм хэширования Novell Netware в данном случае является обратимым и позволяет путем небольшого перебора с помощью программы NPG (несколько секунд на машине класса 80486DX2-66) получить 32-байтовую последовательность, которая, конечно, не является истинным паролем, но тем не менее воспринимается Novell Netware как таковой, т.к. применение к ней алгоритма шифрования, описанного выше, выдает на выходе в точности Hash16. Таким образом, вызов функции LoginToFileServer()с полученной 32-байтовой последовательностью (поскольку она состоит из непечатаемых символов, вам нужно осуществлять его с помощью очень простой программы) приведет к нормальному входу в систему.

Следует отметить, что этот алгоритм хэширования без изменений сохранился в версиях 4.х.

Атаки при ошибках администрирования

    3.x,4.x
    • Наличие права на запись с системный каталог.

Наличие возможности записи в один из каталогов, используемых в файле начальной загрузки (login script) приводит к тому, что злоумышленник может исправить одну из запускаемых программ (это могут быть различные драйверы, операционные оболочки и т.п.) так, чтобы она совершала некоторые несанкционированные действия (в частности, запоминала пароль, под которым пользователь вошел в систему). Здесь используется также тот факт, что Novell Netware никоим образом не контролирует целостность своих системных компонент. Например, способ с "обратным чтением пароля" (read-back) использует тот факт, что все введенные с клавиатуры символы сохраняются некоторое время в буфере клавиатуры, и состоит в следующем. Запускаемая программа меняется на другую, которая записывает на диск, в память, или тут же передает по сети буфер клавиатуры, который еще содержит только что набранный пароль, и затем запускает оригинальную программу. Таким образом, в момент входа в систему в памяти нет никаких резидентных программ и программа login заведомо "чистая". Этот способ и называется "обратным чтением", т. к. удается получить уже вроде бы введенный и недоступный пароль. Для уменьшения вероятности обнаружения этой "закладки" она может быть реализована не в виде отдельного файла, а дописана к нужной программе по вирусному принципу, т.к. ее размеры крайне невелики.

    3.x
    • Наличие права на чтение SYS:SYSTEM

Наличие у пользователя права на чтение SYS:SYSTEM автоматически приводит к тому, что ему могут стать доступны копии файлов базы данных связок NET$*.OLD и он сможет прочитать оттуда хэш-значение (Hash16) пароля любого пользователя со всеми вытекающимии отсюда последствиями.

Novell Netware и Internet (информация из Novell Hack FAQ)

    4.1
    • Ошибка в Novell Web Server

Это очень серьезная ошибка (правда, уже исправленная в версиях Web Server в IntraNetware), приводящая к тому, что любой пользователь интернета может просмотреть любой файл на диске SYS:. Для этого необходимо наличие CGI-скриптов и программы на Бейсике CONVERT.BAS, которая часто входит в состав сервера. Тогда вызов URL http://victim.com/scripts/convert.bas?../../any_file_on_sys_volume

как раз приводит к описанной ошибке.

    4.x
    • Лишние права для FTP-клиентов

Существует несколько брешей в программе FTPSERV.NLM.

Во-первых, любой анонимный пользователь FTP имеет по умолчанию права на чтение SYS:ETC, в котором могут храниться некоторые важные конфигурационные файлы, в том числе с паролями к RCONSOLE и SNMP community.

Во-вторых, иногда, если не загружена поддержка пространства имен NFS, некоторые пользователи могут получить все права на диск SYS:. С использованием Fetch как FTP-клиента это случается постоянно. Это может привести к тому, что удаленно будут подменены некоторые программы, что после перезагрузки сервера приведет к созданию резервной копии NDS, которая потом может быть удаленно прочитана. Затем с помощью перебора могут подобраны некоторые пароли.

Сетевые вирусы

В настоящее время нет подтвержденной информации о существующих вирусах в Novell Netware версии выше 2.x. О вирусах в старых версиях см. вирус GP1.

Дополнительная информация и ссылки

NetWare Unofficial Hack FAQ

Greg Miller's Home Page: Crypto, AI, and Networking

Nomad Mobile Research Centre

dISEr's page

Условные обозначения

3.x - версии 3.x

4.x - версии 4.x

3.11* - версия 3.11 и выше с выключенной подписью пакетов


© Copyright 1995-1997 Центр Защиты Информации СПбГТУ,

П. Семьянов, И. Медведовский, А. Федоров

Copyright © 1998 - 2017 Pavel Semjanov.
Download Site Webmaster: webmaster at password-crackers.com