Locked History Actions

Skirtumas „THC Hydra“

Pakeitimai tarp versijų 6 ir 7
Versija 6 nuo 2010-05-30 09:49:55
Dydis: 9628
Redaktorius: LinasTuska
Komentaras:
Versija 7 nuo 2010-05-30 10:00:14
Dydis: 9107
Redaktorius: LinasTuska
Komentaras:
Pašalinimai yra pažymėti taip. Pridėjimai yra pažymėti taip.
Eilutė 7: Eilutė 7:
---- /!\ '''Edit conflict - other version:''' ----
Eilutė 9: Eilutė 8:
==Autentifikacija == == Autentifikacija ==
Eilutė 13: Eilutė 14:
Bazinė autentifikaciją.
Sisteminga (digest) autentifikaciją.		  * Bazinė autentifikaciją.
 * Sisteminga (digest) autentifikaciją.
Eilutė 24: Eilutė 25:
Asmens indentifikacijai yra reikalinga tik tuometinės fizines savybes;
Biometriniai identifikacijai nieko nereikia prisiminti.		  * Asmens indentifikacijai yra reikalinga tik tuometinės fizines savybes;
 * Biometriniai identifikacijai nieko nereikia prisiminti.
Eilutė 27: Eilutė 28:
Veido atpažinimas. Šis autentifikavimo tipas naudoja veidą. Sunkumų kyla įgyvendinant veido atpažinimą;
Rainelės nuskaitymas;
Tinklaines nuskaitymas- tinklainė atpažįstama nuskaitant tinklainės kraujagyslių struktūrą ir tinklainės dėmės struktūrą. Tinklainės klaidingą skenavimą yra atlikti sunku, nes nėra technologijos, kuri leistų suklastoti žmogaus tinklainę ir mirusio žmogaus tinklainę yra taip greitai, kad ją panaudoti apgavikiškam skenavimui sudėtinga. V
Piršto anspaudai- piršto atspaudai yra unikalūs ir nekintami. Piršo atspaudas sudaromas pgal eilę kalnelių ir įdubų pirto paviršiuje.
Rankos geometrija;
Balso atpažinimas.		  * Veido atpažinimas. Šis autentifikavimo tipas naudoja veidą. Sunkumų kyla įgyvendinant veido atpažinimą;
 * Rainelės nuskaitymas;
 * Tinklaines nuskaitymas- tinklainė atpažįstama nuskaitant tinklainės kraujagyslių struktūrą ir tinklainės dėmės struktūrą. Tinklainės klaidingą skenavimą yra atlikti sunku, nes nėra technologijos, kuri leistų suklastoti žmogaus tinklainę ir mirusio žmogaus tinklainę yra taip greitai, kad ją panaudoti apgavikiškam skenavimui sudėtinga. V
 * Piršto anspaudai- piršto atspaudai yra unikalūs ir nekintami. Piršo atspaudas sudaromas pgal eilę kalnelių ir įdubų pirto paviršiuje.
 * Rankos geometrija;
 * Balso atpažinimas.
Eilutė 34: Eilutė 35:
---- /!\ '''Edit conflict - your version:''' ----

== Autentifikacija ==
Slaptažodžiai su prisijungimo vardu dažniausiai yra naudojami autentifikacijai. Autentifikcija yra procesų visuma vartotojo tapatybei nustatyti. Kompiuterių tinkluose autentifikacijai yra naudojama slaptažodis ir prisijungimo vardas. Bet tai yra pakankamai nesaugu, nes slaptažodį galima prarasti arba jis gali būti pavogtas.
Toliau panagrinėsime HTTP autentifikacijos mechanizmą.
HTTP autentifikaciją galima suskirstyti į dvi dalis [2]:
• Bazinė autentifikaciją.
• Sisteminga (digest) autentifikaciją.
Bazinė autentifikacija yra dažniausiai naudojama autentifikacijos forma internete. Jungiantis prie daugelio interneto resursų yra prašoma įvesti savo prisijungimo duomenis. Bet toks būdas nėra apsaugotas nuo slapto klausimosi atakų. Nuo to apsisaugojimui galima naudoti SSL šifravimą.
Sisteminga autentifikacija buvo sukurta tam, kad padidinti saugumo lygį po bazinės autentifikacijos. Ji yra pagrysta iššūkių-atsakymų autentifikavimo modeliu. Šios sistemos privalumas prieš bazinę yra tas, kad tinklu atviru tekstu nėra siunčiami slaptažodžiai.
Kiti autentifikacijos būdai: integruoti į operacinę sistema autentifikacijos mechanizmai (NTLM), derybinė (negotiate) autentifikacija, autentifikacija sertifikatų pagrindu, autentifikacija formų pagrinfu, RSA saugumo žymė, biometrinė irk t.
NTLAN (NT LAN Manager) yra autentifikacijos per HTTP programa naudojama Microsoft. Ji veikia tik su MS Internet explorer naršykle ir IIS interneto serveriu. Ši autentifikacija yra tinkamesnė intranetui.
Derybinė autentifikacija yra skirta papildyti NTLM. Tai yra Kerberos autentifikacijos mechanizmu grįsta sistema. Šiame mechanizme yra naudojamas derybų procesas saugumo lygiui nustatyti. Ši sistema yra pakankamai suvaržyta ir retai naudojama korporacijų intranetuose.
Sertifikatais grįsta autentifikacija naudoja viešo rakto kodavimą ir skaitmeninį sertifikatą vartotojo autentifikacijai. Jame įgyvendintas dviejų faktorių autentifikavimas. Šiame autentifikacijos mechanizme vartotojo žinomi duomenys (slaptažodis) dar turi būti autentifikuoti sertifikatu. Bet yra keletas įsilaužimo įrankių, kurie palaiko klientų sertifikatus.
Formomis grįstą autentifikaciją palaiko tokie baziniai interneto protokolai, kaip HTTP ir SSL. Tai yra pakeistas autentifikacijos mechanizmas, naudojantis formas, kurios yra paprastai naudojamos HTML. Tai yra pas populiariausias autentifikavimo mechanizmas internete.
RSA SecurID žymės autentifikacijos mechanizmas susideda iš “žymės”, gabalėlio techninės įrangos susietos su vartotoju, kuri generuoja autentifikacijos kodą kas 60 sekundžių. Tam naudodamas įdiegtą laikrodį ir korteles gamykliškai užkoduotas atsitiktiniu raktu. Vartotojas autentifikuodamasis tinklo resurse, pavyzdžiui, serveryje, turi įvesti PIN kodą ir skaičių kuris tuo metu yra pavaizduotas SecureID žymeklyje.
Biometrinės sistemos yra sukurtos taip, kad asmens identifikavimui naudotų individualias vartotojo fiziologines savybes. Šis metodas turi pliusų atžvilgiu tradicinių metodų (Pin ir slaptažodis) [2]:
• Asmens indentifikacijai yra reikalinga tik tuometinės fizines savybes;
• Biometriniai identifikacijai nieko nereikia prisiminti.
Biometriniai autentifikacijos tipai:
• Veido atpažinimas. Šis autentifikavimo tipas naudoja veidą. Sunkumų kyla įgyvendinant veido atpažinimą;
• Rainelės nuskaitymas;
• Tinklaines nuskaitymas- tinklainė atpažįstama nuskaitant tinklainės kraujagyslių struktūrą ir tinklainės dėmės struktūrą. Tinklainės klaidingą skenavimą yra atlikti sunku, nes nėra technologijos, kuri leistų suklastoti žmogaus tinklainę ir mirusio žmogaus tinklainę yra taip greitai, kad ją panaudoti apgavikiškam skenavimui sudėtinga. V
• Piršto anspaudai- piršto atspaudai yra unikalūs ir nekintami. Piršo atspaudas sudaromas pgal eilę kalnelių ir įdubų pirto paviršiuje.
• Rankos geometrija;
• Balso atpažinimas.

---- /!\ '''End of edit conflict''' ----		 == Slaptažodžių parinkimas ==
Pasirenkant slaptažodį reikia:
 * Naudoti mažiausiai 8 simbolių, bet geriau 15;
 * Naudoti įvairias kombinacijas didžiųjų, mažųjų raidžių, skaičių, taškus, tarpus, simbolius;
 * Nenaudoti žodžių randamų žodynuose;
 * Nenaudoti to paties slaptažodžio du kartus;
 * Pasirinkti slaptažodį tokį, kurį gali greit surinkti- apsaugos nuo “gudrių” akių.
Nenaudokite tokių slaptažodžių, kuriuose [2]:
 * Prie/po vien skaičių ar vien raidžių slaptažoddžio nepridekite pavienių simbolių, pavyzdžiui, jonas1;
 * Nedvigubinti žodžių, pavyzdžiui, msoftmsoft;
 * Nenaudoti žodžių iš kito galo (alus-sula);
 * Nenaudoti raktų, kurie gali būti lengvai pakartoti, pavyzdžiui, qwert, asdf, asdfghg ir kt.
 * Neišiminėti iš žodžių balsių;
 * Nesukeisti raidžių, pavyzdžiui, e į 3, L ar i į 1, o į 0, kaip „z3r0-10v3“.
Vienas iš slaptažodžio saugumo išlaikymo būdų yra jo keitimas. Slaptažodį reiktų pastoviai keisti, tarkim kartą per mėnesį. Slaptažodį reiktų pasikeisti po kelionės. Slaptažodį keisti reiktų tada, kai esate visiškai tikras, kad niekas jo nepastebės.
Slaptažodžių apsauga [2]:
 * Nelaikyti slaptažodžių kompiuteryje, išskyrus šifruota forma;
 * Nesaugoti slaptažodžių naršyklėje;
 * Niekam nesakyti slaptažodžių;
 * Niekada nesiųsti slaptažodžių elektroniniu paštu ar kitu nesaugiu kanalu;
 * Užsirašykite slaptažodį ant popieriaus gabaliuko, bet jo nepalikti gulėti bet kur;
 * Būkite atsargūs, kai įvedinėjate slaptažodį ir šalia yra kitų asmenų.
Blogų slaptažodžių pavyzdžiai [2]:
 * James8- per trumpas ir gr5stas vartotojo vardu;
 * Samanta- sutampa su vartotojo vardu, artimojo vardu;
 * Harpo- vartotojo vardas iš kito galo Oparh;
 * Obiwan- žodis randamas žodyne;
 * sUperSTiTIous- didžiųjų- mažųjų raidžių naudojimas nepadaro slaptažodžio saugiu.
Piratų naudojami slaptažodžių gavimo būdai:
 * Pavagiami;
 Mato kaip surenkate;
 Gauna popieriaus lapą kuriame jūs jį užsirašę.
 * Atspėja;
 Spėja paprastus slaptažodžius;
 Psichologai sako, kad vyrai dažniausiai naudoja keturių simbolių nešvankius žodžius, keiksmažodžius, moterys- vaikinų, vyrų, vaikų vardus.
 * Brute force ataka;
 Brute force ataka reiškia, kad yra bandoma visi galimi raidžių, skaičių, simbolių variantai, kurie gali būti panaudoti slaptažodyje. Šios atakos neįvertinti negalima, nes naudojant modernius procesorius, programinius įrankius ši ataka vyksta pakankamai greitai.
 * Žodyno ataka.
 Šiose atakose naudojami žodynai su šimtais tūkstančių žodžių, panaudojant specifinius terminus iš įvairių sričių bei dažniausiai pasitaikančias kombinacijas (asdf ar abcdf).
Slaptažodžių nulaužimo įrankiai yra programos, kurios gali dešifruoti slaptažodžius arba kitu būdu pašalinti jo apsaugą. Šie įrankiai dažniausia naudoja du būdus nustatyti tinkamam slaptažodžiui: brute force ataka ir žodyno ataka. Šios programos taip pat gali dešifruoti slaptažodžius po to kai juos gauna iš kompiuterio atminties.
Pagrindinis slaptažodžių laužėjų tikslas gauti sistemos root/admin slaptažodį. Administratoriaus teisės leidžia atakuotojui prieiti prie failų, programų bei įdiegti „galines duris“ vėlesnei prieigai prie sistemos. Atakuotojas gali įdiegti tinklo šnipus, kad jie šnipinėtų vidinį tinklo srautą ir taip gautų daugiau reikalingos informacijos apie tinklą. Atakuotojai norėdami efektyviau parinkti slaptažodžius naudoja sistemas, kurios turi pakankamai skaičiuojamosios galios

THC HYDRA

Kaip rodo saugumo tyrimai, viena iš didžiausių saugumo skylių yra slaptažodžiai. Yra sukurta daug įrankių slaptažodžių parinkimui, nustatymui, ar pasisavinimui, pavyzdžiui, „Brutus“, „RockXP“, „Cain and Abel“, „Authforce“, „RAR“, „WebCracker“, „Munga Bunga“, „PassList“, „SniffPass“, „Messenger Key“, tačiau daugelis jų palaiko vieną kokį nors protokolą. Vienas iš įrankių palaikančių daug protokolų yra THC (The Hacker Choice) Hydra. Tai yra prisijungimo vardų parinkimo sistema, kuri palaiko keletą atakos protokolų. Taip pat ji pasižymi lankstumu, t. y. pridėti naujus modulius joje yra parasta, kas yra patogu ir greita. Šiuo metu palaikomi šie protokolai: TELNET, FTP, HTTP-GET, HTTP-HEAD, HTTPS-GET, HTTP-PROXY, SMB, SMBNT, MS-SQL, MYSQL, REXEC, RSH, RLOGIN, CVS, SNMP, SMTP-AUTH, SOCKS5, VNC, POP3, IMAP, NNTP, PCNFS, ICQ, SAP/R3, LDAP2, LDAP3,SMTP-AUTH, SSH2, CVS, POSTGRES Teamspeak, Cisco auth, Cisco enable, LDAP2, Cisco AAA (integruotas į telnet modulį) [1]. Šis įrankis yra pastoviai tobulinamas ir vis plečiamas įrankio palaikomų protokolų rinkinys. Kitas šio įrankio pliusas yra tas, kad palaikoma daug sistemų: visos UNIX sistemos (linux, *bsd, solaris ir t.t.), Mac OS/X, Windows, mobilios sistemos su ARM procesoriais ir Linux (t. y. Zaurus, iPaq), PalmOs [1].

Autentifikacija

Slaptažodžiai su prisijungimo vardu dažniausiai yra naudojami autentifikacijai. Autentifikcija yra procesų visuma vartotojo tapatybei nustatyti. Kompiuterių tinkluose autentifikacijai yra naudojama slaptažodis ir prisijungimo vardas. Bet tai yra pakankamai nesaugu, nes slaptažodį galima prarasti arba jis gali būti pavogtas. Toliau panagrinėsime HTTP autentifikacijos mechanizmą. HTTP autentifikaciją galima suskirstyti į dvi dalis [2]:

  • Bazinė autentifikaciją.
  • Sisteminga (digest) autentifikaciją.

Bazinė autentifikacija yra dažniausiai naudojama autentifikacijos forma internete. Jungiantis prie daugelio interneto resursų yra prašoma įvesti savo prisijungimo duomenis. Bet toks būdas nėra apsaugotas nuo slapto klausimosi atakų. Nuo to apsisaugojimui galima naudoti SSL šifravimą. Sisteminga autentifikacija buvo sukurta tam, kad padidinti saugumo lygį po bazinės autentifikacijos. Ji yra pagrysta iššūkių-atsakymų autentifikavimo modeliu. Šios sistemos privalumas prieš bazinę yra tas, kad tinklu atviru tekstu nėra siunčiami slaptažodžiai. Kiti autentifikacijos būdai: integruoti į operacinę sistema autentifikacijos mechanizmai (NTLM), derybinė (negotiate) autentifikacija, autentifikacija sertifikatų pagrindu, autentifikacija formų pagrinfu, RSA saugumo žymė, biometrinė irk t. NTLAN (NT LAN Manager) yra autentifikacijos per HTTP programa naudojama Microsoft. Ji veikia tik su MS Internet explorer naršykle ir IIS interneto serveriu. Ši autentifikacija yra tinkamesnė intranetui. Derybinė autentifikacija yra skirta papildyti NTLM. Tai yra Kerberos autentifikacijos mechanizmu grįsta sistema. Šiame mechanizme yra naudojamas derybų procesas saugumo lygiui nustatyti. Ši sistema yra pakankamai suvaržyta ir retai naudojama korporacijų intranetuose. Sertifikatais grįsta autentifikacija naudoja viešo rakto kodavimą ir skaitmeninį sertifikatą vartotojo autentifikacijai. Jame įgyvendintas dviejų faktorių autentifikavimas. Šiame autentifikacijos mechanizme vartotojo žinomi duomenys (slaptažodis) dar turi būti autentifikuoti sertifikatu. Bet yra keletas įsilaužimo įrankių, kurie palaiko klientų sertifikatus. Formomis grįstą autentifikaciją palaiko tokie baziniai interneto protokolai, kaip HTTP ir SSL. Tai yra pakeistas autentifikacijos mechanizmas, naudojantis formas, kurios yra paprastai naudojamos HTML. Tai yra pas populiariausias autentifikavimo mechanizmas internete. RSA SecurID žymės autentifikacijos mechanizmas susideda iš “žymės”, gabalėlio techninės įrangos susietos su vartotoju, kuri generuoja autentifikacijos kodą kas 60 sekundžių. Tam naudodamas įdiegtą laikrodį ir korteles gamykliškai užkoduotas atsitiktiniu raktu. Vartotojas autentifikuodamasis tinklo resurse, pavyzdžiui, serveryje, turi įvesti PIN kodą ir skaičių kuris tuo metu yra pavaizduotas SecureID žymeklyje. Biometrinės sistemos yra sukurtos taip, kad asmens identifikavimui naudotų individualias vartotojo fiziologines savybes. Šis metodas turi pliusų atžvilgiu tradicinių metodų (Pin ir slaptažodis) [2]:

  • Asmens indentifikacijai yra reikalinga tik tuometinės fizines savybes;
  • Biometriniai identifikacijai nieko nereikia prisiminti.

Biometriniai autentifikacijos tipai:

  • Veido atpažinimas. Šis autentifikavimo tipas naudoja veidą. Sunkumų kyla įgyvendinant veido atpažinimą;
  • Rainelės nuskaitymas;
  • Tinklaines nuskaitymas- tinklainė atpažįstama nuskaitant tinklainės kraujagyslių struktūrą ir tinklainės dėmės struktūrą. Tinklainės klaidingą skenavimą yra atlikti sunku, nes nėra technologijos, kuri leistų suklastoti žmogaus tinklainę ir mirusio žmogaus tinklainę yra taip greitai, kad ją panaudoti apgavikiškam skenavimui sudėtinga. V
  • Piršto anspaudai- piršto atspaudai yra unikalūs ir nekintami. Piršo atspaudas sudaromas pgal eilę kalnelių ir įdubų pirto paviršiuje.
  • Rankos geometrija;
  • Balso atpažinimas.

Slaptažodžių parinkimas

Pasirenkant slaptažodį reikia:

  • Naudoti mažiausiai 8 simbolių, bet geriau 15;
  • Naudoti įvairias kombinacijas didžiųjų, mažųjų raidžių, skaičių, taškus, tarpus, simbolius;
  • Nenaudoti žodžių randamų žodynuose;
  • Nenaudoti to paties slaptažodžio du kartus;
  • Pasirinkti slaptažodį tokį, kurį gali greit surinkti- apsaugos nuo “gudrių” akių.

Nenaudokite tokių slaptažodžių, kuriuose [2]:

  • Prie/po vien skaičių ar vien raidžių slaptažoddžio nepridekite pavienių simbolių, pavyzdžiui, jonas1;
  • Nedvigubinti žodžių, pavyzdžiui, msoftmsoft;
  • Nenaudoti žodžių iš kito galo (alus-sula);
  • Nenaudoti raktų, kurie gali būti lengvai pakartoti, pavyzdžiui, qwert, asdf, asdfghg ir kt.
  • Neišiminėti iš žodžių balsių;
  • Nesukeisti raidžių, pavyzdžiui, e į 3, L ar i į 1, o į 0, kaip „z3r0-10v3“.

Vienas iš slaptažodžio saugumo išlaikymo būdų yra jo keitimas. Slaptažodį reiktų pastoviai keisti, tarkim kartą per mėnesį. Slaptažodį reiktų pasikeisti po kelionės. Slaptažodį keisti reiktų tada, kai esate visiškai tikras, kad niekas jo nepastebės. Slaptažodžių apsauga [2]:

  • Nelaikyti slaptažodžių kompiuteryje, išskyrus šifruota forma;
  • Nesaugoti slaptažodžių naršyklėje;
  • Niekam nesakyti slaptažodžių;
  • Niekada nesiųsti slaptažodžių elektroniniu paštu ar kitu nesaugiu kanalu;
  • Užsirašykite slaptažodį ant popieriaus gabaliuko, bet jo nepalikti gulėti bet kur;
  • Būkite atsargūs, kai įvedinėjate slaptažodį ir šalia yra kitų asmenų.

Blogų slaptažodžių pavyzdžiai [2]:

  • James8- per trumpas ir gr5stas vartotojo vardu;
  • Samanta- sutampa su vartotojo vardu, artimojo vardu;
  • Harpo- vartotojo vardas iš kito galo Oparh;
  • Obiwan- žodis randamas žodyne;
  • sUperSTiTIous- didžiųjų- mažųjų raidžių naudojimas nepadaro slaptažodžio saugiu.

Piratų naudojami slaptažodžių gavimo būdai:

  • Pavagiami;
    • Mato kaip surenkate; Gauna popieriaus lapą kuriame jūs jį užsirašę.
  • Atspėja;
    • Spėja paprastus slaptažodžius; Psichologai sako, kad vyrai dažniausiai naudoja keturių simbolių nešvankius žodžius, keiksmažodžius, moterys- vaikinų, vyrų, vaikų vardus.
  • Brute force ataka;
    • Brute force ataka reiškia, kad yra bandoma visi galimi raidžių, skaičių, simbolių variantai, kurie gali būti panaudoti slaptažodyje. Šios atakos neįvertinti negalima, nes naudojant modernius procesorius, programinius įrankius ši ataka vyksta pakankamai greitai.
  • Žodyno ataka.
    • Šiose atakose naudojami žodynai su šimtais tūkstančių žodžių, panaudojant specifinius terminus iš įvairių sričių bei dažniausiai pasitaikančias kombinacijas (asdf ar abcdf).

Slaptažodžių nulaužimo įrankiai yra programos, kurios gali dešifruoti slaptažodžius arba kitu būdu pašalinti jo apsaugą. Šie įrankiai dažniausia naudoja du būdus nustatyti tinkamam slaptažodžiui: brute force ataka ir žodyno ataka. Šios programos taip pat gali dešifruoti slaptažodžius po to kai juos gauna iš kompiuterio atminties. Pagrindinis slaptažodžių laužėjų tikslas gauti sistemos root/admin slaptažodį. Administratoriaus teisės leidžia atakuotojui prieiti prie failų, programų bei įdiegti „galines duris“ vėlesnei prieigai prie sistemos. Atakuotojas gali įdiegti tinklo šnipus, kad jie šnipinėtų vidinį tinklo srautą ir taip gautų daugiau reikalingos informacijos apie tinklą. Atakuotojai norėdami efektyviau parinkti slaptažodžius naudoja sistemas, kurios turi pakankamai skaičiuojamosios galios

paskutinį kartą redaguota 2010-05-30 11:04:23 redaktoriaus LinasTuska