В феврале прошлого года вышла программа SAMInside версии 2.0, в которой впервые в мире была реализована возможность декодирования хэшей, зашифрованных ключом SYSKEY. Сегодняшнее интервью познакомит вас с ее автором - Александром ПОЛУЭКТОВЫМ.

Александр ПОЛУЭКТОВ, сетевой ник - PolASoft. Живет на Урале, окончил радиофак Уральского политехнического института. Является не только автором программы SAMInside, но и еще ряда других разработок, которые также предназначены для восстановления паролей: на вход в Windows 98, к MD4/MD5-хэшам, паролей под звездочками и других.

- Если более года назад SAMInside была уникальной, то сейчас уже имеются похожие программы для восстановления паролей. Чем SAMInside отличается от них?

- Во-первых, скоростью перебора паролей. Достигается она за счет того, что алгоритм подбора пароля был полностью написан на ассемблере и оптимизирован вручную под разные процессоры. К примеру, при переборе по LMHash на AthlonXP 1700+ программа выдает скорость 5,7 миллионов паролей в секунду, а при переборе одного NT-хэша на том же процессоре скорость доходит до 9,8 миллионов паролей за секунду!

Во-вторых, программа восстанавливает пароли пользователей Windows NT/2000/XP/2003, импортированных из SAM-файлов и зашифрованных системным ключом SYSKEY. Только утилита PWSEX от ElcomSoft с недавнего времени поддерживает работу с такими файлами, остальные же программы до сих пор не умеют их декодировать.

В-третьих, конечно же, размер. В наше время программы в несколько десятков килобайт, как минимум, удивляют. И последнее - программа не требует инсталляции, работает с дискеты или с CD-ROM'a и имеет многоязыковой интерфейс, в том числе и русский.

Конечно же, в программе пока отсутствуют некоторые возможности, которые имеются в аналогах. Но со временем, я думаю, все они появятся и в SAMInside.

- Вашу программу можно рассматривать не только как средство защиты, но и как средство нападения. Возникали ли из-за этого юридические проблемы?

- В описании и на сайте постоянно информирую пользователей, что мои разработки - только для восстановления СВОИХ забытых паролей. Отследить же, кто и как использует программы, конечно же, невозможно.

Тем не менее, пока особых проблем по поводу моих программ не возникало. Но их профиль ничем не отличается от ПО таких компаний, как ElcomSoft, @stake и еще ряда крупных фирм, занимающихся компьютерной безопасностью. Так что если проблемы и возникнут, то они будут общими для всех нас.

- Так как Ваша программа небесплатна, то наверняка уже случались факты ее взлома. Как Вы, Александр, с этим боретесь?

- Demo-версия программы, доступная на сайте для ознакомления, имеет ряд функциональных ограничений. Даже ее взлом делает программу лишь более функциональной, но никак не полностью функциональной - полную же версию (без ограничений) получают по электронной почте лишь купившие программу пользователи.

Бороться с crack'ами бесполезно. Это источник существования некоторых людей, возможность использовать нужный софт для тех, кто просто не в состоянии приобрести нужную программу, а также один из самых лучших способов увеличить свои знания в ассемблере, методах защиты программ, строении и функционировании ОС. Но, конечно же, лучше и правильнее использовать лицензионное ПО. Кстати говоря, я сам являюсь зарегистрированным пользователем ряда российских программ, в основном, именно с целью поддержать труд разработчиков этого ПО и стимулировать их к созданию еще более лучшего и качественного софта.

- Есть ли у Вас статистика, кто использует SAMInside?

- В основном, программой пользуются жители России и США. Ежедневно SAMInside скачивают около 500-700 человек, и с каждым месяцем количество загрузок программы растет. Опыт посещения различных форумов и порталов по безопасности (особенно зарубежных) говорит о том, что и сейчас не так много людей знает про программу, поэтому есть еще над чем работать.

Примечательно, что половина всех посетителей, пришедших на сайт с поисковиков, искала именно слово "SAMInside", и процент таких людей также увеличивается.

- Случались ли курьезы при распространении SAMInside?

- Конечно же, были! Самой яркой была следующая комичная ситуация.

Однажды иностранец, сотрудник одной австрийской компании по безопасности, купил полную версию SAMInside. Через некоторое от него приходит письмо, в котором говорится, что они каким-то хитрым способом скопировали SAM-файл с NTFS-диска очень крупного сервера, но не могут его загрузить ни в SAMInside, ни в какую-либо другую аналогичную программу и поэтому прислали его мне с вопросом, смогу ли я восстановить информацию из этого файла.

Огромный SAM-файл - более чем на 4 тысячи пользователей. Его структура полностью нарушена: в начале и в конце файла - мусор, и только в середине было что-то похожее на нужные ветки реестра. Пришлось написать небольшую программку по расчету смещений нужных веток реестра, а потом вручную проверить их правильность. Но только я хотел отправить их назад, как получаю письмо с просьбой остановить работу по восстановлению информации, так как ему нужно знать, сколько будут стоить мои услуги, затем ему нужно посоветоваться с боссом - "потянет" ли их фирма такую сумму.

И когда я отправил ему все восстановленные данные, написав, что данная работа - это обыкновенная бесплатная техническая поддержка зарегистрированному пользователю моей программы, он был просто ошеломлен. Вот от таких мелочей и растет репутация нашей страны за рубежом.

- Над чем сейчас работаете? Чего стоит ожидать от Вас в будущем?

- Сейчас я работаю над новой версией SAMInside, в которой будет распределенный перебор, позволяющий использовать для восстановления паролей несколько компьютеров, также я введу сортировку хэшей перед перебором, что позволит перебирать ЛЮБОЕ их количество с одинаковой скоростью. Далее я планирую ввести в SAMInside поддержку многопроцессорных систем, а также дополнительные возможности по извлечению и декодированию хэшей. Так что планов много, нужно лишь работать.

Беседовал Павел БАДЯЛИК

Ccылки по теме:

1. "Основы безопасности Windows 2000/XP" (www.insidepro.com/doc/002r.shtml). Практические советы, как сделать свой компьютер под управлением Windows 2000/XP максимально защищенным от всевозможных атак.
2. "Восстановление паролей к PWL-файлам" (www.insidepro.com/doc/001r.shtml). В данной статье приведено самое полное описание формата PWL-файлов ОС Windows 98/ME, подробно рассмотрены все алгоритмы восстановления паролей к PWL-файлам. Кроме того, описаны методы оптимизации RC4, MD5 и других алгоритмов, которые применяются при шифровании информации в PWL-файлах, с примерами на C и Assembler'е.
3. "Циклический инкремент паролей" (www.insidepro.com/doc/003r.shtml). В этой статье рассмотрен метод, используемый в программах для перебора паролей. Приведены примеры кода на языках C и Assembler.

Программа SAMInside предназначена для получения информации, хранящейся в SAM-файле (Security Account Manager) и используемой для входа в операционную систему Windows NT/2000/XP/2003: логин пользователя, RID (уникальный идентификатор пользователя), зашифрованный LM-пароль (LMHash) и зашифрованный NT-пароль (NTHash). При этом используется атака полным перебором, атака по маске и атака по словарю. Благодаря реализации алгоритмов подбора пароля на ассемблере и их оптимизации под разные процессоры скорость работы программы очень высока.

SAMInside поддерживает импорт хэшей (зашифрованных паролей) из SAM-файлов ОС Windows NT и из SAM/SYSTEM-файлов ОС Windows 2000/XP/2003, зашифрованных системным ключом Syskey. Поддерживается импорт хэшей из текстовых файлов, полученных в результате работы других программ (например, LС4 или PWDUMP), а также из LC/LCS/LCP/LC5-файлов.

Эту и другие программы для работы с паролями можно найти на сайте www.insidepro.com.