LM hash روی SAM فایل ذخیره شده و پردازش روی LAN و گرفتن تصدیق بیشتر از سوی سرور به عنوان یک Client مورد تایید قرار می گیرد. در این میان یک Packet Sniffing بر سر راه شبکه می تواند کلمه های عبور را به داخل خود بکشاند و ذخیره کند. بنابراین شکسته شدن کلمه عبور از این راه حتی اگر تعداد حروف زیادی نیز به کار ببرید ، امکانپذیر است.
اگر LAN Manager را به صورت Default روی سرور خود دارید، قطعا بدانید که ماشین تان نفوذپذیر است.
بیشتر ابزار شکستن کلمه عبور سیستم عامل ویندوز نظیر برنامه LC4 از همین حفره استفاده می کند و هکرها با اجرای آن روی شبکه هایی که می خواهند به آن نفوذ کنند ، کلمه های عبور را می شکنند و با خواندن فایل SAM که کلمه های عبور NTLM و NTLM2 را ذخیره کرده ، سیستم براحتی قابل حمله می شود. (هرگز یک اسکنر کلمه عبور روی سیستم خود با اکانت Admin نصب نکنید) بیشتر نرم افزارهای موجود که می گویند قصد حمایت از پسوردهای شما را دارند، تقلبی است و می خواهند کلمه عبور سرور و ماشین هایتان را به دست بیاورند؛ اما راه چاره ابتدا از کار انداختن تصدیق LAN Manager روی شبکه است ؛ اما آلترناتیو آن نصب NTLMV2 است که بسیاری از حفره ها روی آن گرفته شده است و انکریپت آن نیز قوی تر است.
در رجیستری ویندوز شاخه زیر را پیدا کنید:
HKEY-LOCAL-MACHINESYSTEMCurrentcontrosetControlLSA
یک پوشه به ارزش DWORD به نام LM Compatibility Level هست که Value آن از صفر تا 5 قابل تغییر از سوی راهبر است و البته Default آن صفر است.
صفر در اینجا به معنی اجازه به سیستم مبارزه و پاسخ (یعنی باز بودن سیستم) است.
Value یک یعنی اگر کسی درخواست فرستاد NTLMV2 کار کند. ارزش دو (2) فقط تصدیق روی NTLM می فرستد. ارزش (3) ارسال تصدیق روی NTLMV2 است و 4یعنی تصدیق روی LM را اصلا نمی پذیرد و شماره 5 نیز یعنی تصدیق روی LM و NTLM را رد می کند.
اگر ماشین شما ویندوز ان.
تی با سرویس پک 4 به قبل است از عدد 3 روی همه Clientها استفاده کنید و از عدد 5 روی دومین کونترولر استفاده نمایید.
با نصب مستقل NTLMV2 شاخه LMCompatibility از ارزش صفر تا 3 را دراختیار شما می گذارد.
اگر قادر نیستید پوشه LMCompatibility level را 4 بدهید.
سپس ، از هر گونه ذخیره شدن hash جلوگیری کنید. حتی در برخی موارد همچنان hashها روی فایل SAM ذخیره می شوند.
روی ویندوز 2000 شاخه زیر را بسازید:
HKEY-LOCAL-MACHINEsystemcurrentcontrolsetcontrolNOLMHASH
روی زیر شاخه control رفته و سمت راست موس را زده و new و بعد Key را انتخاب کرده و NOLMHASH را تایپ کنید) با وجود این پوشه دیگر هیچ نوع hashes ذخیره نمی شود اما روی xp به شاخه زیر بروید.
HKEY-LOCAL- MACHINEsystemcurrentcontrolsetcontrolLSA
و بعد پوشه ای به نام NOLMHASH به ارزش DWORD بسازید و value آن را یک بگذارید.
با یک بار تغییر کلمه عبور روی شبکه از سوی کاربر تمامی hashها پاک می شوند.
حفره بعدی ویندوز مربوط به اکانت های بدون کلمه عبور و یا کلمه های عبور ضعیف است. پسوردها یا کلمه عبور کدهای امنیتی هستند که به صورت مجازی در یک تعامل مستقیم میان کاربر و سیستم اطلاعاتی به کار گرفته می شود و بیشتر به شکل گرفتن تاییدیه از کاربر با تکیه بر حروف انکریپت شده بنا شده اند. در وهله اول یک هکر باید این دیوار دفاعی را بشکند تا بتواند دسترسی مستقیم به فایلها و دیتای ماشین پیدا کند.
Policy برای انتخاب کلمه عبور در اینجا نقش حیاتی پیدا می کند و بیشتر تهدیدها و حفره های پسورد از همین جا ناشی می شود که اکانت یک کاربر با کلمه عبور ضعیف ساخته شد، اکانت هایی با پسورد ضعیف یا نداشتن کلمه عبور روی شبکه یا ماشین ، فرار از کلمه ها و پسوردهای طولانی و سخت و سوم وجود برنامه هایی که تا حد Admin به سیستم نفوذ کرده و همه چیز را کنترل می کنند و بعد الگوریتم روی hashها که قبلا توضیح داده شد همه و همه باعث مرئی شدن کلمه عبور می شوند.
بهترین راه مبارزه با آن نیز اعمال سیاست سختگیرانه انتخاب کلمه عبور از سوی راهبر برای کاربران است بنابراین ابتدا هر کاربری باید با کلمه عبور وارد شبکه شود و بعد کلمه عبور آسان نباشد.
3برنامه اصلی شکستن کلمه های عبور روی اینترنت وجود دارد که شامل Lc4 و Johntheripper و SymantecNetRECON هستند و با آنها ضمن امتحان کردن خود می توانید بفهمید که به چه سادگی می توان کلمه های عبور را سرقت کرد.
دوباره تاکید می شود که هرگز اسکنر پسورد روی اکانت Admin اجرا نکنید که این به معنی مرگ برای شما و سیستم تان خواهد بود اما به صورت رایگان می توانید از برنامه ها به عنوان تست استفاده کنید که قابل اعتمادترین آنها را در بالا ذکر کردیم.
بیشتر پسوردشکن ها از دیکشنری Attack بهره می برند. اگر شما کلمه عبور را Jim بگذارید، طبق تعاریف ان تی استرینگ تعریف شده شما به صورت Jim به همراه 11تا صفر است و براحتی قابل شکستن از سوی نرم افزارهاست.
شبیه سازی password از طریق کدهای آلفانومریک نیز چندان جذاب نیست.
مثلا برخی می گویند به جای کلمه عبور password می توانید از pa$$w0rd استفاده کنید.
این کار نیز صحیح نیست ؛ بلکه به طور کامل باید چنین کلمات را کنار گذاشت.
در سیستم های لینوکس نیز این موضوع رعایت نشده است و بیشتر پسورد root به صورت r00t زده شده و سیستم آسیب پذیر می شود.
برخی برای این که کلمه عبور را فراموش نکنند اول حرف یک شعر را انتخاب می کنند که حالت تصادفی به خود می گیرد که این موضوع قابل تحمل از موارد سابق است ؛ اما در همین جا بگوییم که اگر راهبر هستید کلمه عبور زیر 25حرف را قبول نکنید و اگر امکان گم شدن وجود داشت راهبر به عنوان امین سیستم می تواند کمک اصلی باشد.
password های حساس را باید هر 2روز یک بار عوض کرد و password های غیر حساس (بسته به تعریف راهبر) هر یک هفته یک بار باید عوض شود.
خود انتخاب نام کاربر نیز مهم است و باید نام کاربر با نام موسسه یا سازمان و... یکی نباشد تا هکر را یک قدم دیگر به عقب راند.
در قسمت سیاست های اکانتینگ هر گونه Guest حذف شود و هر نوع اکانت در حد راهبر از سیستم پاک شود.
خود کلمه Administrator باید Rename شود.
یک فهرست کامل از اکانت ها درست کنید ؛ اما روی رایانه نگه ندارید و اگر به صورت سی دی یا فلاپی آن را ضبط کردید در مکان بسیار مطمئن قرار دهید. اکانت کاربرانی که برای همیشه از موسسه می روند را به طور کامل پاک کنید.
برنامه ESM متعلق به سیمانتک می تواند در این زمینه راهگشا باشد تا با حملات فرضی کلمه های عبور شما را امتحان کند.
حفره بزرگ بعدی ویندوز ، مرورگر اینترنت اکسپلورر (IE) است که به صورت Default روی همه سیستم عاملهای ویندوز نصب می شود. همه نسخه های مرورگر مذکور آسیب پذیر هستند و به دلیل داشتن باگهای بزرگ ، بیشتر مواقع به عنوان واسط حملات و exploitها از آن استفاده می شود. یک هکر در حد Admin از روی همین صفحه می تواند صفحات وب سیستم مورد حمله قرار داده شده را برهم بریزد. حفره ها به چندین دسته قابل تقسیم هستند که از آن جمله WebPageSpoofing ، Activex Control ، Active Scripting ، انواع MIME و Buffer Overflow هستند.
در نتیجه این حفره ها ،کوکی های سیستم برای هکر آشکار شده و دسترسی به فایلهای محلی و اجرای برنامه های مخرب و دانلود کدهای اختیاری روی سیستم امکانپذیر می شود. همان طوری که گفته شد مرورگر IE روی همه نسخه های ویندوز ازجمله سرورها نصب شده و امکان در خطر بودن سیستم کاملا آشکار است.
برای آگاهی از آسیب پذیر بودن سیستم ، می توان به بولتن های امنیتی مایکروسافت مراجعه کرد و پیش از هر چیز باید اطمینان پیدا کرد که جدیدترین پس دستور IEاجرا شده است یا نه.
اگر نشده بود، باید بسیار سریع دانلود و نصب گردد. برای این کار می توانید به آدرس زیر مراجعه کنید:
Windowsupdate.microsoft.com
اگر پس دستورها نصب شد، برای آگاهی بیشتر می توانید از 2ابزار چک کردن سیستم یعنی MBSA پیش از این شرح داده شد و نیز از Hfnetchk استفاده کنید.
Microsoft.com/technet/security/tools/hfnetchk.asp microsoft.com/technet/security/tools/Tools/MBSAhome.asp
همچنین برای شناسایی فشارهای ناشی از حفره و ارزیابی آن از سایت زیر استفاده کنید:
http://browsercheck.qualys.com
برای چاره سازی ابتدا اگر نسخه IE زیر 01/5 است ، آن را به سرعت به روز کنید. جدیدترین نسخه ها را می توانید از آدرس های زیر دانلود نمایید.
microsoft.com/windows/ie/downloads/critical/ie6sp1/default.asp
(مربوط به IE نسخه 6 با سرویس پک 1است)
microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp
(مربوط به IE نسخه 5/5 با سرویس پک 2است.)
microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp
(مربوط به IE نسخه 01/5 با سرویس پک 2است)
بعد از به روز کردن مرورگر خود ، باید آخرین پس دستور ارائه شده تا این تاریخ را نصب کنید:
microsoft.com/windows/ie/downloads/critical/q323759ie/default.asp
حفره بزرگ دیگری که ویندوز از آن در امان نیست ، وجود دیتا بیس اصلی مایکروسافت به نام رجیستری است که تمامی سیستم عامل ها از آن به عنوان بانک اطلاعات مرکزی بدان وابسته هستند. از طریق رجیستری مدیریت بر نرم افزار، سخت افزار، ستینگهای کاربری و... کنترل و تعریف می شوند. دسترسی نامناسب به رجیستری می تواند کنترل کامل سیستم را در اختیار هکر قرار دهد که تحت عنوان Remote Registry Access معروف است.
بدین وسیله کدهای مخرب روی بانک اطلاعاتی ست شده و همه چیز به دلخواه هکر تغییر می یابد. با کیت منابع ان تی (NTRK) و از جمله دستوراتی مانند regdump.exe می توان انواع حملات روی رجیستری را از طریق سیستم ان تی روی سایر سیستم ها در اینترنت یا اینترانت راه اندازی کرد. به علاوه مجموعه دستورات لاین شل اسکریپت ها اجازه تست شدن سیستم را می دهد که با این دستورات هکر شروع به نفوذ کردن در ویندوز می کند. ابزار و دستورات دیگری نظیر Now, epdump, tr, PWDUMP, findstr, Dumpsec و tee در زیرمجموعه مذکور جا می گیرد. راه چاره برای دسترسی نداشتن به رجیستری از راه دور ، تخریب شاخه هایی است که اجازه نفوذ را میسر می کند و نیز دادن برخی تغییرات در پوشه های رجیستری است.
دارندگان ان تی نسخه 4باید از نصب سرویس پک 3مطمئن شوند (تغییراتی که ذکر می شود ، حالت عمومی دارند و شاید در برخی موارد باعث اجرا نشدن برنامه ای شوند که راهبر قبلا آن را ست کرده بود و بنابراین باید در اجرای دستورات دقت لازم به عمل آید.) اول از همه ویران کردن دسترسی به شبکه از طریق رجیستری است لطفا به شاخه زیر در رجیستری بروید:
HKEY-LOCAL-MACHINEsystemCurrentcontrolsetcontrolsecurepipeserversWinreg
داخل این زیرشاخه باید یک پوشه به ارزش String درست کنید و نام آن را Description بگذارید و سپس Value داخل آن را Registry server تایپ کنید و OK نمایید.
در واقع این زیرشاخه تعریف می کند تا منطبق با policy اعمال شده برای کاربران و گروه کاربران دسترسی تعریف گردد.
اگر زیرشاخه های مذکور بعد از control وجود نداشت ، لطفا آن را بسازید که این کار با زدن سمت راست موس روی آخرین زیرشاخه و انتخاب New و Key امکانپذیر می شود.
اما ایجاد محدودیت در دسترسی ، البته باعث تاثیر گذاشتن روی سرویس های مستقل نظیر Directory Replicator و سرویس پرینت اسپولر می شود که باید آن را مدنظر قرار داد.
سپس می توان زیرشاخه بعدی روی winreg را به نام Allowedpaths ساخت و یک پوشه به ارزش مولتی استرینگ درست کرد و نام آن را machine گذاشت.
حالا با باز کردن پوشه درون Valuedata می توان دستورات زیر را تایپ کرد: (البته بسته به نوع Policy که قرار است اعمال گردد).
SystemCurrentControlSetControlProductOptions
SystemCurrentControlSetControlPrintPrinters
SystemCurrentControlSetControlServer Applications
SystemCurrentControlSetServicesEventlog
SoftwareMicrosoftOLAP Server
SoftwareMicrosoftWindows NTCurrentVersion
SystemCurrentControlSetControlContentIndex
SystemCurrentControlSetControlTerminal Server
SystemCurrentControlSetControlTerminal ServerUserConfig
SystemCurrentControlSetControlTerminal ServerDefaultUserConfiguration