Про даному аспекті в настільки поширеною програмою я майже нічого не знайшов в інтернеті і з цього вирішив написати цю статтю, щоб зберегти ваші паролі від ась т.п. У даній статті я хотів би описати, як захистити ваш пароль у Міранді від крадіжки троянської програмою, описати плагіни пов'язані з безпекою і дати ще пару рекомендацій. Для написання статті використовувалася Miranda 0.3.2.
Як вкрасти і розшифрувати пароль
Захист пароля від троянських вірусів
Пароль у Міранди зберігається в профілі користувача (в dat-файлі) з цього крадіжка пароля зловмисником зводиться або до крадіжки всього dat файлу (мало ймовірно через великого розміру, якщо велика історія) або розшифровка пароля на комп'ютері жертви і відправка до зловмисника. Алгоритм пошуку профілю у трояна може бути:
- Запуск плагіна.
- Якщо пароль mSecure не встановлено, плагін ніяк себе не проявляє.
- Встановимо пароль mSecure (будемо називати його майстер-пароль).
- При вивантаженні міранди, якщо встановлений майстер-пароль, mSecure бере всі паролі від протоколів (далі просто паролі), шифрує їх за допомогою майстер-пароля, записує зашифровані паролі в профайл, записує хеш-функцію від майстер-пароля в профайл і стирає паролі від протоколів (нагадую, ми залишили тільки зашифровані паролі).
- При інших загрузках міранди, якщо ми знаходимо хеш-функцію від майстер-пароля, значить майстер-пароль встановлено. Виводимо діалог, просимо ввести майстер-пароль. Якщо хеш від введеного майстер-пароля збігається зі збереженим хешем, ми розшифровуємо паролі від протоколів, записуємо їх в профайл і продовжуємо завантаження міранди.
- Коли ми Обнуляємо майстер-пароль (ставимо порожній), mSecure стирає його хеш з профайла і все зашифровані дані. Так що при наступному запуску mSecure ніяк себе проявляти не буде.
На жаль є і ложка дьогтю, навіть дві:
- У той момент, коли Міранда запущена, справжній пароль від номера ICQ записаний в призначеному місці в dat-файлі і в цей момент його може розшифрувати троян.
- Якщо роботу міранди завершити не стандартним способом (наприклад, вона вилетить), то пароль не зможе піти.
На жаль на даний момент мені не відомо як усунути (або чим) перше твердження, тому що сама архітектура міранди не дозволяє написати плагіна який би не тримав пароль до UIN в профайлі, навіть при запущеній Міранді. Та й взагалі миранда в плані безпеки написана вкрай не коректно. Але я вважаю використовувати поради наведені вище набагато краще, ніж нічого, особливо якщо у вас п'ятизначний або красивий шестизначний номер.
Інші плагіни безпеки (Security and Privacy)