Восстановление паролей. Часть 2

Тема в разделе "Новости информационной безопасности", создана пользователем cybercop, 5 янв 2013.

  1. cybercop
    Оффлайн

    cybercop Ассоциация VN

    Сообщения:
    317
    Симпатии:
    493
    Восстановление паролей к архивам, почтовым клиентам и EFS

    В первой части статьи я рассказывал о восстановлении паролей учетной записи пользователя при работе с операционными системами Windows XP/Vista/7 и восстановлении паролей к почте и интернет-сайтам. Следующей задачей, которой часто приходится заниматься при расследовании инцидентов, является восстановление паролей к архивам, почтовым клиентам и EFS (Encrypting File System). Об этом и пойдет речь в данной статье.

    Методы шифрования при архивировании данных

    На сегодняшний день существует довольно много алгоритмов криптографической защиты информации в архиваторах. Однако в подавляющем большинстве архиваторов реализован, как правило, какой-либо один метод. Речь идет о наиболее распространенных архиваторах. При этом необходимо признать, что на сегодня ZIP-кодирование, как и шифрование по алгоритму DES (Data Encryption Standard), сложно назвать устойчивым. Наиболее надежным сейчас является алгоритм AES, принятый в качестве стандарта в США в 2001 году. Если посмотреть на самые популярные в странах СНГ архиваторы, то это, без сомнения, WinZip и WinRAR. Рассмотрим шифрование в этих архиваторах чуть подробнее.

    В архиваторе WinZip реализовано три алгоритма шифрования:

    • Standard Zip 2.0 encryption — используется по умолчанию;
    • 128-it AES encryption — криптографический алгоритм AES с длиной ключа 128 разрядов;
    • 256-it AES encryption — криптографический алгоритм AES с длиной ключа 256 разрядов (усиленный алгоритм шифрования).

    К сожалению, как правило, пользователи применяют первый алгоритм (по умолчанию), а ведь он является наиболее слабым. Ведь если вы не знаете, с помощью какого архиватора получатель вашего архива будет распаковывать его, вы вынуждены задействовать метод по умолчанию.
    Вместе с тем необходимо подчеркнуть, что какой бы алгоритм шифрования вы ни использовали, стойкость вашего шифра в первую очередь будет зависеть от стойкости ключа. Так что при использовании шифрования необходимо применять устойчивые пароли!

    К недостаткам шифрования WinZip стоит также отнести то, что WinZip не шифрует комментарии zip-файлов и такие свойства зашифрованных файлов, как наименования, даты и т. д. А ведь это весьма ценная информация для аналитика. Далеко не всякий пользователь переименовывает архивируемые файлы, а уж тем более изменяет остальные атрибуты (дата создания, изменения, размер и т. д.).

    В архиваторе WinRAR применяется алгоритм шифрования AES с длиной ключа 128 разрядов. Стоит отметить, что файлы, зашифрованные в WinRAR, будут открываться и в WinZip. Однако обратное будет верно лишь для алгоритма шифрования Zip 2.0. Кроме того, стоит запомнить, что если вы решили запаковать некоторые данные в архив с шифрованием, необходимо позаботиться о надежном удалении файлов с носителя, на котором они находились. Однако это уже тема для другой статьи.

    Итак, вы решили восстановить пароль к архиву. Чем? В данном случае на помощь вам придет программное обеспечение Advanced Archive Password Recovery.

    Advanced Archive Password Recovery

    Данное программное обеспечение предназначено для восстановления паролей к архивам Zip, RAR, ACE, ARJ (экран 1).

    [​IMG]
    Экран 1. Восстановление пароля к архиву RAR

    Это программное обеспечение восстанавливает доступ к зашифрованным архивам двумя путями:

    • снимает парольную защиту;
    • восстанавливает оригинальный текстовый пароль.

    Поддерживаемые форматы архивов — ZIP/PKZip/WinZip, RAR/WinRAR, ARJ/WinARJ, а также ACE/WinACE (1.x), созданные любыми программами-архиваторами, и самораспаковывающиеся архивы, созданные в PKZip, WinZip, RAR и WinRAR. При использовании WinZip 8.0 и более младших версий гарантируется снятие защиты в течение часа. Кроме того, стоит отметить, что при наличии хотя бы одного файла из архива весь архив будет расшифрован за минуту (для архивов в формате ZIP и ARJ).
    Следующим шагом, без сомнения, является восстановление пароля к почте. Так как почтовых клиентов существует огромное количество, то здесь требуется специализированное программное обеспечение.

    Восстановление паролей с помощью Advanced Mailbox Password Recovery (AMBPR)


    [​IMG]
    Экран 2. Advanced MailBox Password Recovery

    Данное программное обеспечение (экран 2) предназначено для восстановления паролей следующих почтовых клиентов:

    • Microsoft Internet Mail And News
    • Eudora
    • TheBat!
    • TheBat! Voyager
    • Netscape Navigator/Communicator Mail
    • Pegasus mail
    • Calypso mail
    • FoxMail
    • Phoenix Mail
    • IncrediMail
    • @nyMail
    • QuickMail Pro
    • MailThem
    • Opera mail
    • Kaufman Mail Warrior
    • Becky! Internet Mail

    Кроме того, это программное обеспечение включает эмулятор серверов POP3 и IMAP, что позволяет получать пароли POP3/IMAP из любого почтового клиента.

    Вместе с тем необходимо учесть, что возможно:

    • восстановление паролей даже в том случае, если почтовая программа уже деинсталлирована;
    • восстановление паролей из повреж*денных баз данных и установок почтовых клиентов;
    • автоматический режим (отображение паролей во всех установленных программах);
    • ручной режим (работа с поврежденными файлами настроек и предыдущими установками программ).

    Отдельно хотелось бы упомянуть, что некоторые клиенты электронной почты, такие как Microsoft Internet Mail and News, Netscape Navigator/Communicator mail, IncrediMail и т. д., всю информацию, связанную с почтовым ящиком, хранят в реестре Windows, следовательно, при переустановке Windows такая информация будет просто утеряна.

    Еще надо сказать несколько слов о мобильных почтовых клиентах. В случае утери пароля от мобильного почтового клиента все, что вы сможете сделать, это просто заменить адрес сервера POP3/IMAP в почтовой программе, установленной на мобильном устройстве, на адрес эмулятора сервера POP3/IMAP. Далее Advanced Mailbox Password Recovery перехватит и отобразит искомый пароль в тот самый миг, когда почтовая программа, запущенная на мобильном клиенте, соединится с сервером и попытается забрать новую почту.

    Восстановление паролей к EFS

    Очень часто мы с вами при исследовании компьютеров можем наблюдать ситуацию, когда по той или иной причине утрачен доступ к папкам или файлам, зашифрованным с помощью EFS (Encrypting File System). Причем зачастую пользователь сам забывает сделать сертификат для восстановления или переустанавливает систему, не расшифровав предварительно соответствующие файлы и папки или не экспортировав сертификат. Как быть в этом случае?

    Служба EFS (Encrypting File System) тесно интегрирована с NTFS. Появилась она в Windows 2000. Файловые системы по состоянию на сегодня не обеспечивают необходимый уровень защиты данных от несанкционированного доступа. Ведь, несмотря на то что в NTFS существует разграничение доступа, можно получить доступ, загрузившись из-под сторонней операционной системы. Единственным средством защиты от прочтения является шифрование файлов. Рассмотрим подробнее, как работает EFS.

    EFS использует архитектуру Windows CryptoAPI. В ее основе лежит шифрование с открытым ключом. Для шифрования каждого файла случайным образом генерируется ключ шифрования файла. При этом сам файл будет шифроваться с помощью любого симметричного алгоритма шифрования. В данный момент для этого используется алгоритм DESX, который является специальной модификацией DES.

    Операции шифрования и дешифрования поддерживаются для файлов и каталогов. В том случае если шифруется каталог, автоматически шифруются все файлы и подкаталоги этого каталога. Необходимо отметить, что если зашифрованный файл перемещается или переименовывается из зашифрованного каталога в незашифрованный, то он все равно остается зашифрованным. Операции шифрования/дешифрования можно выполнить двумя различными способами — с помощью Windows Explorer или консольной утилиты Cipher.
    Зашифрованные файлы хранятся на диске в зашифрованном виде. При чтении файла данные автоматически расшифровываются, а при записи — автоматически шифруются.

    Для шифрования в EFS используется схема с общим ключом. При этом данные шифруются симметричным алгоритмом при помощи сгенерированного случайным образом ключа FEK определенной длины. FEK шифруется одним или несколькими общими ключами шифрования, в результате чего получается список зашифрованных ключей FEK. Список зашифрованных ключей FEK хранится в специальном атрибуте EFS, который называется DDF (data decryption field — поле дешифрования данных). Информация, при помощи которой производится шифрование данных, жестко связана с этим файлом. Общие ключи выделяются из пар пользовательских ключей сертификата X509 с дополнительной возможностью использования File encryption. Личные ключи из этих пар применяются при дешифровании данных и FEK.

    FEK также шифруется при помощи одного или нескольких ключей восстановления (полученных из сертификатов X509, записанных в политике восстановления зашифрованных данных для данного компьютера, с дополнительной возможностью File recovery).

    Восстановление ключей EFS

    На самом деле правильнее всего в этой ситуации восстановить пароль пользователя (см. первую часть статьи). Тогда расшифровать EFS будет значительно проще, мы к этому еще вернемся. Однако необходимо понимать, что, даже если у вас нет пароля, все равно можно попробовать расшифровать соответствующие файлы и папки. Для этого предназначено программное обеспечение Advanced EFS Data Recovery.
    В данном программном обеспечении для удобства пользователя создан соответствующий мастер Advanced EFS Data Recovery, с помощью которого вы сможете пошагово пройти весь процесс расшифровки. Или можно воспользоваться «Режимом эксперта» для того, чтобы выполнять действия самому (экран 3).

    [​IMG]
    Экран 3. Мастер Advanced EFS Data Recovery

    На мой взгляд, если человек, использующий Advanced EFS Data Recovery, не чувствует себя уверенно, гораздо удобнее задействовать Мастер Advanced EFS Data Recovery. Рассмотрим этот режим более подробно.

    На первом этапе работы мастера Advanced EFS Data Recovery система запросит персональный сертификат, использовавшийся для EFS (экран 4).

    [​IMG]
    Экран 4. Первый шаг мастера

    Предположим, у вас есть такой сертификат (ситуация крайне редкая, ведь пользователи почему-то либо пренебрегают экспортом сертификатов либо просто забывают, куда же его экспортировали). В этом случае все достаточно просто. От вас требуется выбрать файл сертификата (экран 5) и ввести пароль сертификата. Далее производится поиск всех зашифрованных с его помощью папок и файлов на локальных разделах (экран 6). Вы получаете список зашифрованных данным сертификатом файлов, которые можете расшифровать (экран 7). Естественно, в случае исследования компьютера расшифровывать придется на другой жесткий диск или внешний носитель, дабы ничего не повредить (экран 8).

    [​IMG]
    Экран 5. Выбор файла сертификата

    [​IMG]
    Экран 6. Поиск зашифрованных файлов

    [​IMG]
    Экран 7. Результаты поиска зашифрованных файлов

    [​IMG]
    Экран 8. Дешифрование файлов

    Но как быть, если у вас нет сертификата? В этом случае мастер Advanced EFS Data Recovery предложит поискать его на жестком диске. Учтите, что вы сможете искать сертификат не только среди существующих файлов, но и среди удаленных. Но для этого необходимо включить флажок «Сканировать посекторно» (экран 9). Рекомендуется включать данный режим при повторном сканировании, если на первом проходе вы не обнаружили искомые сертификаты.

    [​IMG]
    Экран 9. Выбор логических дисков для поиска ключей

    Далее некоторое время у вас займет сам поиск ключей (экран 10). В результате поиска будет выведено окно мастера (экран 11). Если ключи не найдены, необходимо ввести имя пользователя (владельца EFS) и его пароль или в крайнем случае HEX-код. Как получить пароль пользователя, было описано в предыдущей статье.

    [​IMG]
    Экран 10. Поиск ключей шифрования на логическом диске С

    [​IMG]
    Экран 11. Результаты поиска ключей

    Если вам известен пароль пользователя, вы вводите имя соответствующей учетной записи и ее пароль и нажимаете кнопку «Вперед». Далее происходит дешифрование найденных папок и файлов, зашифрованных с помощью EFS. Как видите, даже если вы переустановили операционную систему, это не означает, что вы потеряли данные, зашифрованные с помощью EFS.

    Не забудьте, что, если вы знаете имя и пароль учетной записи, под которой осуществлялось шифрование, процесс расшифровывания займет куда меньше времени. В противном случае можно попытаться осуществить дешифрование с помощью режима эксперта. Хотя надо признать, что вероятность положительного результата в данном случае заметно ниже. Вам будет предложено добавить пароль из словаря. Естественно, считается, что файлы словарей у вас есть.

    Хотелось бы отметить следующее. Как мы видим, сегодня существуют достаточно мощные средства восстановления (взлома) паролей. Следовательно, для обеспечения их стойкости у нас есть три пути:

    1. Дальнейшее наращивание длины и сложности (на мой взгляд, путь тупиковый, потому что рано или поздно пользователи начинают путаться, забывать пароли, применять один и тот же на все случаи жизни и т. д.).
    2. Использование биометрических средств аутентификации.
    3. Использование многофакторной аутентификации и сертификатов. Данный путь опять-таки, на мой взгляд, значительно перспективнее, однако стоит учесть, что предлагаемые решения, конечно же, стоят денег, и порой немалых.

    Выбор, естественно, за вами.

    Владимир Безмалый (vladb@windowslive.com) — специалист по обеспечению безопасности, имеет звания MVP Consumer Security, Microsoft Security Trusted Advisоr
     
    Последнее редактирование модератором: 18 янв 2013
    3 пользователям это понравилось.

Поделиться этой страницей