02 lipca 2010
Nowa zabawka z Elcomsoftu (Internet Password Breaker)
Rosyjska firma Elcomsoft jest z pewnością znana wszystkim osobom, które kiedykolwiek interesowały się tematyką odzyskiwania (łamania) najrozmaitszych haseł. Do szerokiej gamy produktów Elcomsoftu dołączył właśnie Internet Password Breaker, który to jest w stanie wydobyć hasła zapisane i przechowywane w wielu różnych aplikacjach służących nam na co dzień do korzystania z zasobów globalnej pajęczyny.
Moja przygoda z produktami firmy Elcomsoft rozpoczęła się od programu Advanced Office Password Breaker. Program ten pozwalał swego czasu na odszyfrowanie niemal każdego zabezpieczonego przed otwarciem dokumentu utworzonego za pomocą pakietu Microsoft Office. Co ciekawe, żadnego znaczenia nie miała siła zastosowanego hasła. Działo się tak, ponieważ domyślny algorytm szyfrowania w pakiecie biurowym Microsoftu wykorzystywał zaledwie 40-bitowy klucz! W efekcie, jak pamiętam, otwarcie dowolnego dokumentu za pomocą metody sprawdzenia wszystkich możliwych kombinacji klucza było w zasięgu zwykłego domowego komputera i to w czasie nie przekraczającym kilkudziesięciu godzin!
Dosłownie wczoraj do grona niezliczonych produktów firmy Elcomsoft dołączył program Internet Password Breaker. Aplikacja ta pozwala nam, na (zazwyczaj natychmiastowe) zautomatyzowane wydobycie poświadczeń zapisanych i przechowywanych przez najrozmaitsze aplikacje takie jak przeglądarki internetowe, czy też programy pocztowe. Obsługiwany jest więc między innymi Internet Explorer, czy też Microsoft Outlook:
Niestety, wygląda na to, że rosyjska firma skupiła się jedynie na programach firmy Microsoft.
Z pewnością Internet Password Breaker może się więc przydać do zautomatyzowanego odzyskiwania haseł, ja jednak zachęcam do własnoręcznego odkrywania tajników poszczególnych aplikacji, co z pewnością niesie ze sobą znacznie większe walory edukacyjne. Spójrzmy przykładowo, w jak prosty sposób możliwe jest odczytanie haseł zapamiętanych w popularnym Firefoksie.
Z pewnością Internet Password Breaker może się więc przydać do zautomatyzowanego odzyskiwania haseł, ja jednak zachęcam do własnoręcznego odkrywania tajników poszczególnych aplikacji, co z pewnością niesie ze sobą znacznie większe walory edukacyjne. Spójrzmy przykładowo, w jak prosty sposób możliwe jest odczytanie haseł zapamiętanych w popularnym Firefoksie.
Osoba, która uzyska choćby chwilowy dostęp do naszej przeglądarki internetowej Firefox, może nie tylko swobodnie zalogować się na nasze konta w serwisach, do których hasła przechowujemy w przeglądarce, ale również może poznać nasze hasła! W tym celu wystarczy tylko, że intruz skorzysta z opcji Narzędzia / Opcje / Bezpieczeństwo / Zapamiętane hasła / Wyświetl hasła:
Oczywiście w przypadku obecności skonfigurowanego hasła głównego, tego rodzaju postępowanie nie przyniesie natychmiastowego efektu. Z pewnością jednak wielu internautów korzystających z (automatycznie przecież sugerowanego) zapamiętywania haseł nie korzysta z hasła głównego, którego skonfigurowanie wymaga jednak podjęcia celowego działania przez użytkownika. Poza tym, istnieją już programy zdolne do odzyskania tegoż hasła, w przypadku Firefoksa jest to przykładowo FireMaster.
Premiera programu Internet Password Breaker oraz powyższy przykład na to, w jak banalny sposób możliwe jest ręczne przechwycenie naszych poświadczeń przechowywanych przez popularne aplikacje, jest więc przede wszystkim świetną okazją do przypomnienia, że powierzanie danych logowania jakiejkolwiek aplikacji nie jest dobrym pomysłem. Hasła warto więc przechowywać jedynie we własnej pamięci. Chcąc jednak koniecznie odciążyć naszą pamięć, bezpieczniejsze od powierzenia naszego hasła przeglądarce internetowej może się okazać skorzystanie z przysłowiowej żółtej karteczki.
[źródło]
[źródło]
Subskrybuj:
Komentarze do posta (Atom)