Информационная безопасность. Корнюшин П.Н - 116 стр.

UptoLike

ВУЗ: 

ДВФУ | Владивосток

Составители: 

Рубрика: 

117
Windows NT на экране компьютера возникает так называемое начальное окно рабочего стола
аутентификации, содержащее указание нажать на клавиатуре клавиши <Ctrl>+<Alt>+<Del>.
Сообщение о нажатии этих клавиш передается только системному процессу WinLogon, а для
остальных процессов, в частности, для всех прикладных программ, их нажатие происходит
совершенно незаметно. Далее производится переключение на другое, так называемое
регистрационное окно рабочего стола аутентификации. В нем-то и размещается приглашение
пользователю ввести свое идентификационное имя и пароль, которые будут восприняты и
проверены процессом WinLogon.
Для перехвата пользовательского пароля внедренный в Windows NT имитатор обязательно
должен уметь обрабатывать нажатие пользователем клавиш <Ctrl>+<Alt>+<Del>. В противном
случае произойдет переключение на регистрационное окно рабочего стола аутентификации,
имитатор станет неактивным и не сможет ничего перехватить, поскольку все символы пароля,
введенные пользователем, минуют имитатор и станут достоянием исключительно системного
процесса WinLogon. Как уже отмечалось, процедура регистрации в Windows NT устроена таким
образом, что нажатие клавиш <Ctrl>+<Alt>+<Del> проходит бесследно для всех процессов, кроме
WinLogon, и поэтому пользовательский пароль поступит именно ему. Нельзя исключать
ситуацию, в которой имитатор может попытаться воспроизвести не начальное окно рабочего стола
аутентификации (в котором высвечивается указание пользователю одновременно нажать клавиши
<Ctrl>+<Alt>+<Del>), а регистрационное (где содержится приглашение вести идентификационное
имя и пароль пользователя). Однако при отсутствии имитаторов в системе регистрационное окно
автоматически заменяется на начальное по прошествии короткого промежутка времени (в
зависимости от версии Windows NT он может продолжаться от 30 с до 1 мин), если в течение
этого промежутка пользователь не предпринимает никаких попыток зарегистрироваться в
системе. Таким образом, сам факт слишком долгого присутствия на экране регистрационного окна
должен насторожить пользователя Windows NT и заставить его тщательно проверить свою
компьютерную систему на предмет наличия в ней программных закладок.
Подводя итог, можно отметить, что степень защищенности Windows NT от имитаторов
очень высока. Рассмотрение защитных механизмов, реализованных в этой операционной системе,
позволяет сформулировать два необходимых условия, соблюдение которых является
обязательным для обеспечения надежной защиты от имитаторов:
системный процесс, который при входе пользователя в систему получает от него
соответствующие регистрационное имя и пароль, должен иметь свой собственный рабочий
стол, недоступный другим процессам;
переключение на регистрационное окно рабочего стола аутентификации должно происходить
абсолютно незаметно для прикладных программ, которые к тому же никак не могут повлиять
на это переключение (например, запретить его).
Эти два условия ни в одной из операционных систем, за исключением Windows NT, не
соблюдаются. Поэтому для повышения их защищенности от имитаторов можно порекомендовать
воспользоваться административными мерами. Например, обязать каждого пользователя
немедленно сообщать системному администратору, когда вход в систему оказывается невозможен
с первого раза, несмотря на корректно заданное идентификационное имя и правильно набранный
пароль.
Фильтры
Фильтры пытаются отследить данные, которые пользователь операционной системы
вводит с клавиатуры компьютера. Самые элементарные фильтры просто сбрасывают
перехваченный клавиатурой ввод на жесткий диск или в какое-то другое место, к которому имеет
доступ злоумышленник. Более искусные программные закладки этого типа подвергают
перехваченные данные анализу и отфильтровывают информацию, имеющую отношение к
пользовательским паролям.
Фильтры являются резидентными программами, перехватывающими одно или несколько
прерываний, которые связаны с обработкой сигналов от клавиатуры. Эти прерывания возвращают
информацию о нажатой клавише и введенном символе, которая анализируется фильтрами на
предмет выявления данных, имеющих отношение к паролю пользователя.
Известны несколько фильтров, созданных специально для различных версий
операционной системы DOS. В 1997 г. Отмечено появление фильтров для операционных систем
Windows 3.11 и Windows 95. Дело в том, что изготовить подобного рода программную закладку не
составляет большого труда. В операционных системах Windows 3.11 и Windows 95/98 
Windows NT на экране компьютера возникает так называемое начальное окно рабочего стола
аутентификации, содержащее указание нажать на клавиатуре клавиши ++.
Сообщение о нажатии этих клавиш передается только системному процессу WinLogon, а для
остальных процессов, в частности, для всех прикладных программ, их нажатие происходит
совершенно незаметно. Далее производится переключение на другое, так называемое
регистрационное окно рабочего стола аутентификации. В нем-то и размещается приглашение
пользователю ввести свое идентификационное имя и пароль, которые будут восприняты и
проверены процессом WinLogon.
        Для перехвата пользовательского пароля внедренный в Windows NT имитатор обязательно
должен уметь обрабатывать нажатие пользователем клавиш ++. В противном
случае произойдет переключение на регистрационное окно рабочего стола аутентификации,
имитатор станет неактивным и не сможет ничего перехватить, поскольку все символы пароля,
введенные пользователем, минуют имитатор и станут достоянием исключительно системного
процесса WinLogon. Как уже отмечалось, процедура регистрации в Windows NT устроена таким
образом, что нажатие клавиш ++ проходит бесследно для всех процессов, кроме
WinLogon, и поэтому пользовательский пароль поступит именно ему. Нельзя исключать
ситуацию, в которой имитатор может попытаться воспроизвести не начальное окно рабочего стола
аутентификации (в котором высвечивается указание пользователю одновременно нажать клавиши
++), а регистрационное (где содержится приглашение вести идентификационное
имя и пароль пользователя). Однако при отсутствии имитаторов в системе регистрационное окно
автоматически заменяется на начальное по прошествии короткого промежутка времени (в
зависимости от версии Windows NT он может продолжаться от 30 с до 1 мин), если в течение
этого промежутка пользователь не предпринимает никаких попыток зарегистрироваться в
системе. Таким образом, сам факт слишком долгого присутствия на экране регистрационного окна
должен насторожить пользователя Windows NT и заставить его тщательно проверить свою
компьютерную систему на предмет наличия в ней программных закладок.
        Подводя итог, можно отметить, что степень защищенности Windows NT от имитаторов
очень высока. Рассмотрение защитных механизмов, реализованных в этой операционной системе,
позволяет сформулировать два необходимых условия, соблюдение которых является
обязательным для обеспечения надежной защиты от имитаторов:
• системный процесс, который при входе пользователя в систему получает от него
    соответствующие регистрационное имя и пароль, должен иметь свой собственный рабочий
    стол, недоступный другим процессам;
• переключение на регистрационное окно рабочего стола аутентификации должно происходить
    абсолютно незаметно для прикладных программ, которые к тому же никак не могут повлиять
    на это переключение (например, запретить его).
        Эти два условия ни в одной из операционных систем, за исключением Windows NT, не
соблюдаются. Поэтому для повышения их защищенности от имитаторов можно порекомендовать
воспользоваться административными мерами. Например, обязать каждого пользователя
немедленно сообщать системному администратору, когда вход в систему оказывается невозможен
с первого раза, несмотря на корректно заданное идентификационное имя и правильно набранный
пароль.
        Фильтры
        Фильтры пытаются отследить данные, которые пользователь операционной системы
вводит с клавиатуры компьютера. Самые элементарные фильтры просто сбрасывают
перехваченный клавиатурой ввод на жесткий диск или в какое-то другое место, к которому имеет
доступ злоумышленник. Более искусные программные закладки этого типа подвергают
перехваченные данные анализу и отфильтровывают информацию, имеющую отношение к
пользовательским паролям.
        Фильтры являются резидентными программами, перехватывающими одно или несколько
прерываний, которые связаны с обработкой сигналов от клавиатуры. Эти прерывания возвращают
информацию о нажатой клавише и введенном символе, которая анализируется фильтрами на
предмет выявления данных, имеющих отношение к паролю пользователя.
        Известны несколько фильтров, созданных специально для различных версий
операционной системы DOS. В 1997 г. Отмечено появление фильтров для операционных систем
Windows 3.11 и Windows 95. Дело в том, что изготовить подобного рода программную закладку не
составляет большого труда. В операционных системах Windows 3.11 и Windows 95/98

                                            117

Страницы