HARD CORE SECURITY LAB

Bezpieczeństwu naszych haseł nieustannie zagrażają wścibscy intruzi oraz rozmaite formy złośliwego oprogramowania. Zagrożeniem jest więc podsłuch sieciowy, ale również rozmaite sprzętowe oraz programowe keyloggery. Hasła mogą również zostać wykradzione przez rozmaite wirusy i trojany, a także z wykorzystaniem coraz popularniejszych ataków phishingowych. Najgorsze jest jednak to, że jakakolwiek nie byłaby przyczyna utraty wyłącznej kontroli nad własnym hasłem (czyli kontem w danej usłudze), najczęściej nie zdajemy sobie z tego w ogóle sprawy. Natomiast nie  wiedząc o zagrożeniu, żyjemy w nieświadomości i nie możemy w żaden sposób zareagować. Okazuje się jednak, że czasem w zaskakująco prosty sposób możemy odkryć fakt udanego ataku na nasze poświadczenia.

Załóżmy, że jedno z naszych haseł to ciąg znaków w postaci: iUI4d6p727. Chcemy się dowiedzieć, czy przypadkiem w jakiś sposób (np. za pomocą wspomnianego już phishingu lub malware'u) komputerowym przestępcom nie udało się już kiedyś naszego hasła zdobyć. Co możemy w takim przypadku zrobić? Otóż najprościej będzie wrzucić taki ciąg znaków do wyszukiwarki Google...

To hasło nie nadaje się już do dalszego wykorzystania...

Otóż zakładamy, że nasze hasło powinno być na tyle skomplikowane i unikalne, że w normalnym wypadku wyniki takiego wyszukiwania powinny być puste. Jednak jak widać, w tym wypadku udało nam się coś znaleźć. Zobaczmy.

Po wybraniu pierwszego z dwóch dostępnych wyników okazuje się, że odnośnik ten prowadzi do pliku tekstowego z tysiącami rozmaitych haseł oraz odpowiadających im hashy. Niedobrze. Wygląda na to, że ktoś lub coś jednak już nasze hasło wykradło... teraz pozostaje nam już tylko jak najszybciej pozmieniać wszystkie nasze hasła i w miarę możliwości odkryć sposób lub infekcję za pomocą których zostaliśmy skutecznie zaatakowani.

Powyższa metoda może być naprawdę zaskakująco skuteczna. Jest tak, ponieważ hasła wykradane masowo przez komputerowych przestępców oraz logi dokumentujące działanie trojanów i wirusów są zazwyczaj ostatecznie umieszczane na rozmaitych prywatnych lub publicznych stronach internetowych, crackerskich forach, itp.

Oczywiście w trakcie poszukiwania w Google Search własnych haseł, w szczególny sposób warto docenić szyfrowaną wersję połączenia. Warto również pamiętać, że sam Google oraz jego pracownicy widzą treść naszych zapytań i wszelkich innych danych gromadzonych na serwerach tego internetowego giganta.

Niemniej jednak jestem bardzo ciekaw, czy komuś z czytelników uda się w taki właśnie sposób odnaleźć własne hasło? Oczywiście nie będzie to powód do dumy, jednak w takim przypadku możecie skorzystać z komentarzy anonimowych (a swój adres IP możecie w prosty sposób ukryć za pomocą np. tej dystrybucji Linuksa).