Hasła: Ochrona i odzyskiwanie

Coś jest nie tak: Barack Obama bierze udział w losowaniu kuponów na paliwo, Britney Spears wypisuje sprośne notatki na Twitterze, a kontakty z komórki Paris Hilton pojawiają się na ogólnodostępnych forach w Sieci. Co to oznacza? Tylko to, że hakerom udaje się włamać także na konta sławnych i bogatych.  Ale celebryci też nie są bez winy – ich hasła są często tak proste, że hakerzy nie muszą się nawet specjalnie wysilać, aby je złamać.
Zapomniałeś hasło do konta Windows? Po prostu zmień je za pomocą programu Bart's PE Builder i pracuj dalej.
Zapomniałeś hasło do konta Windows? Po prostu zmień je za pomocą programu Bart's PE Builder i pracuj dalej.

Na przykład Sarah Palin, kandydatka na wiceprezydenta USA, zakładając konto pocztowe w portalu Yahoo, na pytania umożliwiające dostęp do hasła w razie jego zapomnienia odpowiedziała, podając powszechnie znane fakty ze swojejgo życia. Wystarczyło trochę pogrzebać w Internecie, żeby uzyskać dostęp do jej skrzynki pocztowej, z której gubernator Alaski wysyłała również oficjalne emaile do swoich współpracowników. Inny przykład to minister spraw wewnętrznych Niemiec Wolfgang Schäuble, o którym na świecie zrobiło się głośno po tym, jak zaproponował ustawę nakazującą swoim rodakom instalowanie na prywatnych komputerach państwowych trojanów. Tymczasem dostępu do własnej strony internetowej bronił za pomocą hasła “Gewinner”, co oznacza “zwycięzca”. Witrynę zhakowano po zaledwie trzech tygodniach jej istnienia w Sieci, więc bardziej pasowałoby tu chyba słowo “loser”.

Co wynika z tej lekcji? Wszyscy powinniśmy używać bezpiecznych haseł i najlepiej mieć do każdego konta inne. W ramce na następnej stronie pokazujemy, jak sformułować bezpieczne hasło w taki sposób, żeby jednocześnie łatwo je było zapamiętać. Jeśli mimo to zapomnisz hasło do Windows, pliku PDF albo ulubionego komunikatora, pokażemy ci, jak odzyskać cenne dane.

UWAGA!

Korzystaj z opisanych aplikacji wyłącznie na własnym komputerze. Używanie ich na maszynie należącej do kogoś innego jest przestępstwem. Programy pozwalające na łamanie haseł podpadają bowiem po nowelizacji polskiego kodeksu karnego z grudnia 2008 roku pod tak zwany paragraf hakerski (§267, 269a i 269b).

Wszystkie legalne narzędzia znajdziesz na naszej płycie DVD. Ponadto zamieściliśmy na niej bezpieczną aplikację do zarządzania hasłami, Steganos Password-Manager, dzięki której zalogujesz się na swoje konto w różnych serwisach, przeciągając ikonę programu do przeglądarki.

Łamanie Windows i WLAN

Poważny problem: Windows zablokował dostęp do twoich dokumentów, ponieważ nie pamiętasz danych logowania. Albo chcesz odkurzyć swój stary komputer, żeby można było za jego pomocą surfować po Sieci, ale już od dawna nie pamiętasz, jakie ustaliłeś hasło do sieci bezprzewodowej. Dzięki tym narzędziom ponownie uzyskasz dostęp do Windows i sieci WLAN.

KONTO UŻYTKOWNIKA

Program Offline NT Password & Registry Editor szybko upora się z tym problemem. Potrafi on zresetować dane logowania w niemal wszystkich wersjach Windows: od 2000 przez XP aż po Vistę. Aplikację znajdziesz w Internecie – plik ZIP o rozmiarze 3 MB zawierający obraz ISO. Wypal ten obraz na czystej płycie CD za pomocą programu ImgBurn, tworząc w ten sposób Live CD, czyli bootowalną płytę z systemem. Włóż ją do napędu i zresetuj komputer. Jeśli nic się nie dzieje, będziesz musiał zmienić w BIOS-ie sekwencję bootowania, tak żeby zaczynała się od napędu CD. Po pomyślnym restarcie uruchom Offline NT Password & Registry Editor. Ma on, niestety, interfejs tekstowy, ale został napisany tak, że łatwo wykonasz wszystkie kroki.

A co jeśli to rozwiązanie zawiedzie? Spokojnie, mamy alternatywę – program Bart’s PE Builder, za pomocą  którego utworzymy narzędzie ratunkowe, także uruchamiane jako Live CD. Cała sztuczka polega na stworzeniu spersonalizowanej instalki Windows z odpowiednimi wtyczkami. Te ostatnie dodaje się do obrazu płyty Live CD bezpośrednio przez interfejs Bart’s PE Buildera. Plug-iny sprawdzają, czy w systemie są wirusy, naprawiają błędy oraz potrafią zmienić hasło.

Oto jak to działa: zainstaluj narzędzie na swoim komputerze i ściągnij ze strony tinyurl.com/yhotv95 wtyczkę Password Renew. Uruchom program PE Builder jako administrator. Włóż do napędu oryginalną instalkę Windows i wybierz ją w PE Builderze w polu »Źródło«. Aby dodać ściągniętą wtyczkę, kliknij »Pluginy | Dodaj« i wskaż jej lokalizację na dysku. Rozszerzenie pojawi się na liście jako »sala’s Password Renew«. Upewnij się, że w kolumnie »Włączony« jest napis »Tak« – jeśli nie, kliknij przycisk »Włącz/Wyłącz«. Innymi wtyczkami zarządza się w taki sam sposób, a cały proces kończymy, wciskając »Zamknij«.

Teraz w głównym oknie aplikacji, w polu »Twórz ISO obraz« określ, w którym katalogu ma zostać zapisany plik ISO, i kliknij »Buduj«. Utworzony obraz ISO wypal na płycie CD i zrestartuj z niej komputer. Podczas uruchamiania program Bart’s PE poprosi o dostęp do sieci. Wybierz »No«, jeśli chcesz jedynie podmienić hasło. Następnie wejdź w »Go | Programs | Password Renew«, aby uruchomić wtyczkę. W polu »Select target« wskaż katalog Windows (najczęściej »C:\Windows«). W opcji »Renew existing user password« wybierz konto, do którego hasło chcesz zmienić, wpisz to hasło i kliknij »Install«. Po ponownym uruchomieniu komputera, już bez płyty Live CD, będziesz mógł zalogować się przy użyciu nowego hasła.

KLUCZ WLAN

Jeśli zgubiłeś karteczkę z hasłem do WLAN, a na dodatek zapomniałeś dane konieczne do uzyskania dostępu do rutera, pomocny może się okazać program Aircrack-ng. Ale tylko pod jednym warunkiem: że nie szyfrowałeś swojej sieci kluczem WPA2, ponieważ narzędzie potrafi rozkodowywać sieci wykorzystujące jedynie standardy WPA albo WEP. Najprostszym rozwiązaniem jest uruchomienie programu na wirtualnej maszynie VMWare. Na stronie www.aircrack-ng.org znajdziesz plik konfiguracyjny do wirtualizacji oraz instrukcję wyjaśniającą, jak ponownie uzyskać dostęp do sieci WLAN.

Odzyskiwanie haseł aplikacji

To bardzo rozsądne rozwiązanie: po tym, jak już wprowadzisz i zapiszesz swoje dane logowania w komunikatorze, przeglądarce czy kliencie FTP, wymienione programy nie wyjawią wprowadzonych haseł. Widzisz tylko gwiazdki. Jednak za pomocą poniższych narzędzi można z nich wydobyć swoje dane dostępowe, choćby po to, by użyć ich w innych aplikacjach.

PRZEGLĄDARKA

Malutki IE Asterisk Password Uncover szybko odzyskuje hasła zapisane w przeglądarkach. Uruchom program, kliknij zielony przycisk i wejdź, korzystając z Internet Explorera, na stronę, do której zapomniałeś hasło. Dzięki Asteriskowi będziesz mógł je bez problemu odczytać.

Jeśli używasz Firefoksa, nie potrzebujesz żadnego dodatkowego programu: hasła wydobędziesz, wykorzystując standardowe opcje tej przeglądarki. Zrobisz to, wybierając kolejno »Narzędzia | Opcje | Bezpieczeństwo | Zapamiętane hasła…«. Ale bądź ostrożny! Inni też mogą je zobaczyć. Aby im to uniemożliwić, zaznacz przełącznik »Używaj hasła głównego«.

APLIKACJE

Dobra wiadomość brzmi tak: możesz odzyskać dane logowania za pomocą programu FTP, nawet jeśli email z loginem otrzymany od providera dawno zaginął. Pomoże ci aplikacja Password Recovery. Aby odzyskać dane logowania ze sprawiającej problemy aplikacji, uruchom ją i upuść na nią ikonę z kluczem z narzędzia Password Recovery.

Jeśli ten program zawiedzie albo nie uda ci się go znaleźć w Sieci, wypróbuj alternatywę – program Asterisk Logger, który dla odmiany działa tylko w Windows XP. Uruchom go. Gdy otworzysz program, w którym masz zapisane hasło, Asterisk Logger wyświetli je bez gwiazdek. Astriska ściągniesz ze strony www.nirsoft.net.

KOMUNIKATOR

Jeśli wspomniane wyżej narzędzia zawiodą przy próbie wyciągnięcia hasła zapisanego w komunikatorze takim jak Gadu-Gadu czy Tlen, trzeba sięgnąć po specjalistów: odpowiednie narzędzia to GG Tools oraz Tlen Password Recovery. W przypadku pozostałych komunikatorów, takich jak ICQ czy MSN, niezastąpiony okaże się program MessenPass.

NUMERY SERYJNE

Niezależnie od tego, czy instalujesz pakiet Office, program Photoshop czy aplikację do edycji wideo – numer seryjny wprowadzasz tylko raz. Jeśli po jakimś czasie będziesz musiał przeinstalować system, a oryginalne opakowanie danego programu gdzieś się zawieruszy, to jesteś w kropce. Chyba że użyjesz narzędzia Magical Nelly Bean Keyfinder, które świetnie radzi sobie także z odczytywaniem numerów seryjnych Windows oraz pakietów Office XP, Office 2003 i 2007. Program oraz jego pliki konfiguracyjne ściągniesz ze strony www.magicaljellybean.com.

Dostęp do plików na dysku

Szyfrując pliki, ukryjesz poufne informacje przed osobami trzecimi. Na przykład pliki PDF zabezpieczysz hasłem, korzystając z aplikacji FreePDF. Lecz działaj rozważnie – za jakiś czas możesz zapomnieć hasło i w efekcie nie uzyskasz dostępu do własnych danych. To może naprawdę doprowadzić człowieka do szału. Ale spokojnie, pomoc jest w drodze: jeśli zastosujesz się do naszych rad, łatwo złamiesz własne zabezpieczenia.

PDF

Możesz spróbować złamać zabezpieczenia przy użyciu programu PDF Unlocker tool. Gdy go zainstalujesz, jego ikona pojawi się na Pulpicie. Przeciągnij i upuść na nią zaszyfrowany plik. Program stworzy jego kopię, która zostanie zapisana w tym samym folderze co oryginał, ale już bez hasła. Jeśli to się nie powiedzie, skorzystaj z aplikacji Advanced PDF Password Recovery – może wówczas się uda. Niestety, standardowa wersja tego programu kosztuje około 200 zł. Ale na początku możesz wypróbować testową. Jest bezpłatna, do pobrania ze strony producenta – www.elcomsoft.com. Po uruchomieniu program próbuje obejść zabezpieczenia, przeprowadzając atak brute force, co może potrwać nawet długie godziny. Niestety, niepełna wersja pozwala na uzyskanie dostępu do dokumentów nie dłuższych niż 1-stronicowe, chronionych hasłem składającym się z nie więcej niż 4 znaków.

ARCHIWA

Zabezpieczanie plików ZIP i RAR hasłem to praktyczne rozwiązanie, pozwala bowiem na bezpieczne przesyłanie danych emailem lub chronienie całych folderów na komputerze przed wglądem osób trzecich. Ale zazwyczaj, jeśli hasło uleci nam z pamięci, kłopoty są murowane. W ich rozwiązaniu pomoże narzędzie Advanced Archive Password Recovery. Mimo że wersja testowa programu (do bezpłatnego pobrania z Sieci) ma pewne ograniczenia, ataki brute force na twoje archiwa często przyniosą pożądany efekt. Aby lepiej ukierunkować natarcie, w zakładce »Range« maksymalnie zawęź zbiór używanych znaków – jeśli np. wiesz, że twoje hasło składało się tylko z małych liter, wyłącz używanie cyfr i wielkich liter.

Bezpieczne hasła

Banalne hasła nie stanowią problemu dla cyberprzestępcy. Ekspert od zabezpieczeń komputerowych Robert Graham przeanalizował jakość 20 tys. haseł opublikowanych przez hakera, który włamał się na serwer forum internetowego www.phpbb.com. Okazało się, że 94 proc. haseł można było złamać niemal bez żadnego wysiłku, korzystając z metody brute force (hasło zbyt krótkie) lub ataku słownikowego (zbyt popularne).

Jedna trzecia użytkowników jako hasła używa swego imienia albo ciągu sąsiednich klawiszy, np. “QWERTY” – w efekcie hakerska robota staje się dziecinną igraszką. Największe bezpieczeństwo zapewnia hasło składające się z wielkich i małych liter oraz wykorzystujące znaki specjalne. Problem polega na tym, że taką plątaninę znaków trudno zapamiętać.

JAK WYMYŚLIĆ BEZPIECZNE HASŁO

Użyj całego zdania zamiast pojedynczego słowa. Jeśli weźmiesz pierwsze litery każdego z występujących w nim wyrazów, otrzymasz kombinację, którą programom korzystającym z metody ataku słownikowego będzie trudno złamać. Na przykład zamiast “Jola z 18 u Macieja” napisz po prostu “Jz18uM”. Do stworzonego w ten sposób hasła dodaj końcówkę tak, żebyś nie musiał używać tego samego ciągu znaków na różnych stronach. Możesz w tym celu wykorzystać pierwszą i ostatnią literę nazwy danej witryny – przykładowo dodaj “ao” dla serwisu Allegro. Dane dostępowe, które często zmieniasz, możesz jeszcze rozszerzyć o cyfry oznaczające miesiąc i rok, np. “0110” dla stycznia 2010 roku. Jeśli połączysz ze sobą te trzy pomysły jakimś symbolem, np. “+” albo “&”, otrzymasz ciąg znaków, który dla ciebie będzie łatwy do zapamiętania, a jednocześnie praktycznie nie do złamania przy użyciu metody ataku słownikowego – “Jz18uM&ao+1009”. Na dodatek w ten sposób łatwo stworzysz odrębne hasło do każdego serwisu, a jeśli będzie ono dostatecznie długie – około 20 znaków – unikniesz również ataku typu brute force.

Bardzo proste hasło, bardzo poważne skutki

Często wybieramy proste hasło, ponieważ jesteśmy leniwi. Z tego samego powodu używamy go także w wielu miejscach jednocześnie. Niestety, w ten sposób sprawiamy, że życie hakerów staje się o wiele prostsze.

Zgoda, to bardzo wygodne – jedno, proste hasło do wszystkiego i bez zastanawiania sprawdzamy pocztę, logujemy się do Naszej-Klasy albo wrzucamy wpis na Blipa. Ale zdarza się, że wpada ono w niepowołane ręce. Tylko naiwni myślą, że to drobiazg: jeśli skradzione hasło otwiera skrzynkę pocztową albo konto PayPal, taka nierozwaga może nas słono kosztować. I to dosłownie.

Ostatni przykład to włamanie do serwisu wykop.pl. Przechwycone wtedy dane posłużyły jednemu z hakerów do wystawiania w imieniu poszkodowanego nieistniejących towarów na Allegro. Jak to zrobił? Prawdopodobnie założył, że jego ofiara używa takiego samego hasła do skrzynki pocztowej Gmail i do Wykopu. W ten sposób uzyskał dostęp do emaili. Wszedł na Allegro, odnalazł konto ofiary i poprosił o przysłanie hasła na skrzynkę, do której miał już dostęp. Reszty nie trzeba dopowiadać. Morał: przede wszystkim nie używać identycznych haseł w różnych serwisach.

Inteligentny sejf

Nasze hasła i loginy w komórce? Tak, o ile przechowujemy je w programie, który broni dostępu do nich za pomocą hasła głównego. To wygodne. Ale czy bezpieczne? Znów tak, o ile ktoś nie złamie tego głównego. Taką właśnie wadę mają popularne aplikacje z kategorii sejfów danych. Narzędzia, jak KeePass czy PINs, stanowią dobre zabezpieczenie, dopóki hakerowi nie uda się wyważyć frontowych drzwi. Co później? Strach pomyśleć – hasła bankowe, loginy do serwisów aukcyjnych i skrzynek pocztowych… Wszystko to jest do dyspozycji cyberprzestępcy.

Rozwiązaniem może być program do telefonów komórkowych Mobile-Sitter, który wyświetla hakerom fałszywki – w przypadku skutecznego ataku typu brute force narzędzie ujawnia nieprawdziwe numery kart kredytowych i kont bankowych. Aplikacja działa na komórkach obsługujących Javę ME i mających co najmniej 160-pikselowy wyświetlacz. Cena – około 40 zł.