Безпека в Miranda IM
Про даному аспекті в настільки поширеною програмою я майже нічого не знайшов в інтернеті і з цього вирішив написати цю статтю, щоб зберегти ваші паролі від ась т.п. У даній статті я хотів би описати, як захистити ваш пароль в Міранді від крадіжки Троєм, описати плагіни пов'язані з безопасноти і дати ще пару рекомендацій. Для написання статті використовувалася Miranda 0.3.2.
Як вкрасти і розшифрувати пароль
Для розшифровки паролів на даний момент мені відомо дві утиліти: Miranda Password Decryptor і mimpd. Так само красти і одночасно розшифровувати паролі від Міранди та інших популярних месенджерів може троян Pinch.
Захист пароля від троев
Пароль у Міранди зберігається в профілі користувача (в dat-файлі) з цього крадіжка пароля зловмисником зводиться або до крадіжки всього dat файлу (мало ймовірно через великого розміру, якщо велика хісторі) або розшифровка пароля на комп'ютері жертви і відправка до зловмисника. Алгоритм пошуку профілю у трояна може бути:
1) Шукає в каталозі, який вказується за замовчуванням при установки міранди інсталлер (C: \ Program Files \ Miranda \ або C: \ Program Files \ Miranda IM \). Звідси правило: завантажуйте з сайту zip версію і виймайте бажано не на диск C, а там де зловмисник взагалі б не догодался шукати програму.
*) LSecurity. PassProt, Secure Login і д.р. - дані плагіни обмежують доступ до Міранді паролем, який служать для аутіфікаціі до профілю і вашому уіну (при завантаженні пароль тимчасово записується в профіль). Після вивантаження міранди цей пароль видаляється з профілю. Даний спосіб не дуже хороший тим, що використовується один і той же пароль і його може вкрасти зловмисник будь-яким кейлогерам.
* Запуск плагіна.
* Якщо пароль mSecure не встановлено, плагін ніяк себе не проявляє.
* Встановимо пароль mSecure (будемо називати його майстер-пароль).
* Під час вивантаження міранди, якщо встановлений майстер-пароль, mSecure беретвсе паролі від протоколів (далі просто паролі), шифрує їх за допомогою
майстер-пароля, записує зашифровані паролі в профайл, записує хеш-функцію від майстер-пароля в профайл і стирає паролі від протоколів (нагадую, ми залишили тільки зашифровані паролі).
* При інших загрузках міранди, якщо ми знаходимо хеш-функцію від майстер-пароля, значить майстер-пароль встановлено. Виводимо діалог, просимо
ввести майстер-пароль. Якщо хеш від введеного майстер-пароля збігається зі збереженим хешем, ми розшифровуємо паролі від протоколів, записуємо їх в профайл і продовжуємо завантаження міранди.
* Коли ми Обнуляємо майстер-пароль (ставимо порожній), mSecure стирає його хеш з профайла і все зашифровані дані. Так що при наступному
запуску mSecure ніяк себе проявляти не буде.
На жаль є і ложка дьогтю, навіть дві:
1) В той момент, коли Міранда запущена, справжній пароль від номера аси записаний в призначеному місці в dat-файлі і в цей момент його може розшифрувати троян.
2) Якщо роботу міранди завершити не стандартним способом (наприклад, вона вилетить), то пароль не зможе піти.
на жаль на даний момент мені не відомо як усунути (або чим) перше твердження, тому що сама архітектура міранди не дозволяє написати плагіна який би не тримав пароль до уіну в профайлі, навіть при запущеній Міранді. Та й взагалі миранда в плані безпеки написана вкрай не коректно. Але я вважаю використовувати поради наведені вище на багато краще, ніж нічого, особливо якщо у вас питізнак або красивий шестізнаков.
Інші плагіни безпеки (Security and Privacy)
За цим посиланням розташовуються плагіни пов'язані з підвищенням безпеки міранди. Я б хотів дати не велике опис найбільш хороших плагінів:
*) SecureIM - дозволяє встановлювати безпечне з'єднання з іншим користувачем такого ж плагіна, щоб зловмисник не зміг насніфать розмова співрозмовників.
*) GnuPG Plugin - додає можливість GnuPG шифрування / де шифрування переданих повідомлень. З подібних плагінів хочу згадати Scrambler.
*) History Sweeper - дозволяє очищати хісторі, як конкретних користувачів з контекстного меню, так і системної хісторі і створювати різні правила очищення хісторі при включенні і виключенні міранди. Так само хочу звернути вашу увагу на утиліту dbtool.exe. яка теж дозволяє чистити хісторі.
*) ContactVisibility - дозволяє вибирати з контекстного меню користувача опції: завжди бути в OnLine або OffLain для цього користувача.
*) Так само в розділі з безпеки багато плагінів, що дозволяють не пропускати вам ICQ-спам.
Якщо у вас вміє якийсь новий рада, то обов'язково надішліть його мені. А якщо у вас виникло питання, то обговорення статті проходить в даній темі.