2012. április 16., hétfő

keylogger telepítése

Írok most pár szót a keyloggerek telepítéséről. A hagyományos módszer az, amikor a telepítőből feltelepíti az ember a programot majd ott lépésenként beállítja. Mit figyeljen, hova küldje az adatokat, stb...

Van egy másik módszer is a keylogger telepítésére a Refog használata esetén :

Egy virtuális gépen feltelepítjük a keylogger szoftvert és ott beállítjuk, hogy mit logoljon és hova továbbítsa az adatokat. Miután ez megvan, A File menüben megnyomjuk a Create Installer gombot. Kiválasztjuk a könyvtárat, majd megnyomjuk az OK-t.

Ekkor valami ilyesmit kell látnunk :



Ebben azt látjuk, hogy a szükséges file-okat bepakolta a megadott könyvtárba :



Ezzel kész is vagyunk. A logstart vbscript installálja a keylogger programot, a loguninstall pedig leszedi. Ezeket össze is tudjuk csomagolni egy darab .exe fájlba ami elindulás után telepíti a programokat és törli a nyomokat maga után.

Ehhez az NSIS csomagot kell használni.
Letöltjük, felinstalláljuk, majd készítünk egy konfigot hozzá :

refog.nsi :



A refoginstall.bat ennyit kell, hogy tartalmazzon : cscript loginstall.vbs, a delall.bat pedig értelemszerűen annyit, hogy del /Q *.*

Utána az NSIs-el készítünk ebből egy .exe kiterjesztésű állományt és készen vagyunk. Ezt csak le kell futtatni a gépen és a program feltelepül az előzőleg kiválasztott konfiguráció szerint.

A program először létrehozza a megadott könyvtárat, bemásolja a file-okat, elindítja a loginstall.bat-ot majd miután az lefutott a delall.bat-ot és ezek után kitörli az ideiglenes könyvtárat. Mindeközben a képernyőre nem ír ki semmit, tehát interakció nélkül megy végbe mindez.

Persze lehet még finomítani a dolgot, de ezt már mindenkinek a fantáziájára bízom.

2012. április 15., vasárnap

WPS feltörése

Ha már a WPa feltöréséről ennyi szó esett meg kell emlékezni még WPS feltöréséről is.

Itt egy videó ami bemutatja, hogyan is működik a dolog :

http://www.securitytube.net/video/2661

Ha megvan a VMPlayerben a BackTrack 5 R2-nk, azon a reaver már telepítve van, csak futtatni kell :

airmon-ng start wlan0
airodump-ng mon0

reaver -i mon0 -b XX:XX:XX:XX:XX:XX -vv

Nekem nem igazán sikerült a saját routeremet feltörni - másét meg nem szabad - úgyhogy itt eredményekről beszámolni nem tudok, a lényeg, hogy a WPS PIN kód gyengeségét használja ki a program, amennyiben el akarjuk kerülni, hogy ilyen támadás áldozatai legyünk akkor ezt a WPS pin-t kell kiiktatni a használatból.

Ami nekem van router az nem tudja ezt, úgyhogy kiiktatni se kellett...

2012. április 14., szombat

Jelszó visszafejtve

A saját jelszavamat brute force-al (8 db szám volt) 5 óra alatt fejtette vissza az EWSA :



Le fogom tesztelni ugyanezt a jelszút a cudahash-plus toolal is, csak az összehasonlítás kevdéért.

Ez egy 8 processzoros gép és ebből csak kettőt használt az EWSA. Feltételezem, hogy full verzió esetén ennél jóval rövidebb idő elég lett volna.

2012. április 13., péntek

WPA WPA2 feltörése

UPDATE: Van egy új módszer amihez nem kell virtuális gép. Windows 7 vagy Windows XP alól működik, közvetlenül a beépített kártyáról.. Erről nemsokára csinálok egy külön bejegyzést.

A Beini installálásával (és a BackTrack-éval) se nagyon akarok vesződni (mármint, hogy részletesen leírjam) A youtube-on komplett videók vannak mindkettőről.
VMPlayerben kell készíteni egy új virtuális gépet, aztán a telepítő lemezről fel kell installálni a programot. Én a Beini 1.2.2-t javaslom, mert ezzel nagyon sok kártya kompatibilis.

http://dishingtech.blogspot.com/2012/03/backtrack-v-beini-hacking-wifi-easy-way.html

Mivel a Beini használata kicsivel egyszerűbb a BackTrack-nál ezért a WPA/WPA2 feltörését a Beini-vel fogjuk megnézni. (De egy sereg videó van a youtube-on a BT-vel való WPA törésről is, akit érdekel nézze meg) Egy mezei otthoni tesztelőnek bőven elég a Beini is, hogy megnézze vele a hálózat biztonságát.

A WPA feltörése Beini-vel itt található :

http://www.youtube.com/watch?v=DI8JvXhAjGQ

Itt is egy részletes leírás a dologról :
http://jerung-windows.blogspot.com/2011/07/hack-wifi.html

Beini telepítése VMPlayer alá :

http://www.youtube.com/watch?v=e7l5IBd9IHw

USB-re :

http://www.youtube.com/watch?v=B-S3ChO8-34

(Gyakorlatilag két db usb eszköz segítségével szinte bármelyik gépet át lehet alakítani Wifi tesztelő géppé. Annyi követelmény van, hogy lehessen usb-ről bootolni a gépet és legyen két szabad usb portja....Az egyikről bebootolja az ember a beini-t a másikkal pedig egy hordozható wifi-tesztelő megoldást lehet prezentálni...Még annyit ehhez, hogy van ahhoz is eszköz amivel ilyen iso fájlt lehet előállítani és akkor tényleg nincs más hátra mint előre , csak egy jó password.txt fájlt kell feltenni az usb-re (az usb mérete szab ennek határt) és már mehet is a tesztelés.)

A lényeg, hogy a WPA Handshake-ig elég könnyű eljutni. A következő feladat, hogy az elmentett handshake-t feltörjük, vagy leteszteljük, hogy mennyire feltörhető.

Inkább ezzel foglalkoznék, mert maga a kód megszerzése tényleg olyan egyszerű ezekkel a szoftverekkel (és annyi oktató videó van róla), hogy arról nincs mit mondani. Amikor megvan a handshake, akkor tudjuk elkezdeni a feltörést.

Miután lement a "törés" nem kell mást tennünk, mint kivenni a Beini-s gépből a /tmp/FeedingBottle/targetap_wpa.wkp Ezt a file-t meg tudjuk nyitni az EWSA-val.

Ha nem akarjuk használni az EWSA-t akkor pedig a /tmp/FeedingBottle/targetap_wpa-01.cap fájlt kell kimásolni és ezt kell megadni a jelszótörőnek. Ami lehet aircrack-ng is pl.

Én nem sokat vacakoltam a másolással (VMWare Tools kéne meg más egyebek a könyebb másoláshoz, egy sima usb drive-on keresztül másolgattam a fájlokat a host és a guest op rendszer között. Mount /dev/sda1 /mnt/usb (előtte mkdir /mnt/usb) és utána az XFE segítségével átmásoltam ami kellett...

Én az Elcomsoft Wireless Security Auditor-ját használom erre a célra. A program fizetős (nagyon borsos ára van), de az ingyenes verzió is működik. Ennek egyetlen szépséghibája, hogy a jelszót nem mutatja meg végig, csak pár karaktert belőle és nem használja ki az összes erőforrást a visszafejtéshez....pedig akkor jóval gyorsabb lenne.... De nekem működött az általam megadott jelszavakra, úgyhogy bátran tudom ajánlani. Olyat is tud a szoftver, hogy az NVIDIA kártyát is befogja a brute-force attack-hoz.A full verzióban több kártya használata is lehetséges. A web oldalukon elég részletesen írnak erről. (Az ingyenes md5hash törő progijukat kipróbáltam és nagyon jól használható brute-force teszteléshez) A program nagyon drága - nem valószínű, hogy valaha is lesz egy ilyenem, de ezzel a programmal meg több NVIDIA kártyából összerakott géppel már elég hosszú jelszavak feltörésének is neki lehet állni...

Akit érdekel itt van egy ilyen erőgép :

http://ob-security.info/?p=274

És itt van gy free megoldás is :

http://hashcat.net/oclhashcat-plus/

Leírás a programhoz :

http://hashcat.net/files/hashcat_user_manual.pdf

(A jelszó feltörésről majd írok még egy másik bejegyzésben, mert ez külön téma)

A másik érdekesség, hogy találtam a neten egy céget, ami potom 50 dollárért 10 darab WPA handshake-t fel tud törni és az eredményt elküldik...Ez azért már elég húzós... de mivel a piac igényli, van ilyen szolgáltatás is.

Ha mesélek majd az Xplico-ról, akkor ki fog derülni, hogy mire is jó ez az egész, mert itt nem egyszerű net-lopásról van szó, hanem veszélyesebb dolgokról.
Éppen ezért aki wifi-t használ (bárhol, otthon, vagy a cégnél) annak tisztában kell lennie a kockázatokkal és az ellenük lehetséges védelmekkel is.

Végezetül egy magyar nelvű leírás az air* programok működéséről - nagyon használható anyag :

http://www.m-info.hu/sites/default/files/aircrack-ng.pdf

2012. április 12., csütörtök

Virtuális környezet - VMPlayer, VirtualBox

A virtuális környezet kialakításáról nem akarok sok szót vesztegetni, Le kell tölteni az utolsó aktuális verziót és fel kell telepíteni.

Amit megemlítenék az a guest rendszerek "hardver" igényei :
BackTrack :
- Memória : 1,5Gbyte (én ennyit szoktam adni neki)
- Diszk : 20 Gbyte (Szintén ennyit szoktam adni, de kevesebbel is elmegy)

Beini :
- Memória : 1,5Gbyte (ennek is ennyit adtam)
- Diszk : 4 Gbyte (ennek kevesebb is elég mert ez kevesebbet is tud)

A telepítéseket nem részletezném, youtube-on rengeteg videó van fent róla.

Néhány dolog ami ide tartozik :
- néha az Átadott uSB eszközt nem látja megfelelően a Guest környezet. Ilyenkor segíteni szokott, ha lecsatoljuk az eszközt (Disconnect) majd újra felcsatoljuk.
- használat előtt célszerű tájékozódni a billentyűzet használatáról, hogy milyen kombinációval tudjuk a guest géptől átvenni a vezérlést ill visszaadni. (VmWare-nél ez a Ctrl + Alt egyidejű lenyomásával történik) célszerű a teljes képernyő mód váltást is megjegyezni, mert jobb fullscreenben dolgozni a guest rendszerekben.
Ha van egy jó konfigunk, akkor célszerű róla egy snapshot-ot (mentést) csinálni, hogy ide bármilyen későbbi gond esetén vissza tudjunk térni.

Ezek a blogbejegyzések később még frissülhetnek attól függően, hogy felmerül-e később olyan dolog amit célszerű itt megemlíteni.

Úgy döntöttem, hogy a BackTrack használata előtt egy másik használható tool-t fogok ismertetni a Beini-t.

A WEP feltöréséről Beini-vel itt van egy részletes videó :

http://www.youtube.com/watch?v=4ZJY13x1j-8

Én a WEP-el nem is nagyon foglalkoznék, mert azt már egy ötéves gyerek is fel tudja törni :) Én a WPA/WPA2 gyengeségeinek a kihasználásával foglalkoznék inkább behatóbban. WPA2 és WPS törésével. Ehhez (és még más WiFi-vel kapcsolatos dolgok teszteléséhez A beini 1.2.2-t és a BrackTrack 5 Release 2-őt fogom használni.)

Következő bejegyzésben megnézzük közelebbről a Beini-t, a használatát és amit tudni kell róla.

2012. április 10., kedd

Előkészületek

Hardver és szoftver.

Én a saját konfigurációmat fogom leírni, ettől nyilván el lehet térni, de én ebben a környezetben használom a dolgokat.

Hardver :
PC : Laptop
- processzor : Core I7 2670QM 2.20 Ghz
- memória : 4Gbyte
- disk : 300 Gbyte

A többmagos processzor célszerű a virtualizáció miatt (de nem követelmény) A jó nagy memória se árt, hogy legyen mit a virtuális gépnek odaadni. Bár az igazsághoz hozzátartozik, hogy a korábbi laptopom egy PIII-as volt 256 Megabyte rammal és a Wep feltörés azon is szépen ment (persze ott nem virtuális gépben) tehát nem kell erőmű ehhez, de ha virtuális gépben akarunk dolgozni (és most épp azt akarjuk) akkor nem árt egy kis plusz memória és cpu kapacitás.

USB Wifi adapter : TP-Link TL-WN721N USB adapter (Atheros chipsettel - AR9271)

Szoftver(ek) :

- Alaprendszer : Windows 7 64bit (gyári géppel együtt jött)
- VMWarePlayer 4.0.2 buid-591240
Guest rendszerek :
- Windows XP SP2
- Windows 7
- Backtrack 5 Release 2
- Beini 1.2.2

A host rendszer lehetne windows XP is vagy ubuntu, fedora vagy bármi más, nem ez a lényeg. Ami a fontos, hogy a wifi adapter usb-s legyen, mert azt lehet csak továbbadni a guest rendszer felé, a pcmcia és pci kártyákat nem. (ha csak ilyen kártyánk van, akkor nem ússzuk meg a multi-bootot és akkor a BrackTrack-ot a másik oprendszer mellé kell telepíteni vagy egy usb meghajtóra. Linuxon az aircrack-ot lehet közvetlenül is használni - BT nélkül - de én most ezzel nem foglalkozom.Sőt, más spéci szoftverek is vannak a BT-n de most ezektől egyelőre eltekintek)

Kártya vásárlás előtt célszerű körülnézni, hogy miket támogat még a BackTrack és olyat venni...


Én direkt egy ilyen kis olcsó kártyát választottam. Teszteléshez épp elég.

Nagyobb jelátvitelhez célszerűbb olyan usb adaptert venni amihez lehet antennát kapcsolni.

Most pedig néhány hasznos link :

Itt vannak az USB eszközök amik működnek a BackTrack-al :

http://wireless.kernel.org/en/users/Devices/USB

Meg kell nézni azt is, hogy az adott driver-hez működik-e minden funkció. (A monitor és az injection kell a teszteléshez, és az injectionból több funkció is, csak a 9-es nem elég a WPA-teszteléshez)
Az általam tesztelt kártyában ath9k_htc driver által támogatott chipset van (AR9271)
Ennek a leírása itt található :
http://wireless.kernel.org/en/users/Drivers/ath9k_htc

Itt pedig a leírás, hogy miért nem működik a dolog VirtualBox alatt :

https://forums.virtualbox.org/viewtopic.php?f=7&t=43988

https://www.virtualbox.org/ticket/9511

Nagy kár, mert a VirtualBox - szerintem - jóval felhasználóbarátabb mint a VMPlayer.
(Az is jó lesz majd egyes más funkciókhoz úgyhogy annak a használatával is érdemes megbarátkozni)

WiFi feltörése (bevezetés)

Mikor legutóbb (2 éve) írtam a WEP feltöréséről akkor szó volt róla, hogy megemlékezem majd a WPA2 feltörésről is. Most jött el ennek az ideje. De mivel ez nem három egérkattintás ezért ezt a cikksorozatot több részben fogom leadni. És mivel ha már van egy jó kis környezet ahol mindenféléket ki lehet próbálni fogok még írni más biztonságot érintő dolgokról is (pl a Metasploit használatáról)

Ezek az infók mind fent vannak a neten, én csak leírom őket magyarul - megkönnyítve az idelátogatók dolgát. Meg, ha valakinek kérdése van és tudok rá válaszolni, akkor azt megteszem. Amit én esetleg hozzáadok az a különböző támadások elleni védekezés mikéntje lesz.

1. Előkészületek (Szoftverek és hardverek beszerzése)
2. Virtuális környezet kialakítása
3. Back Track 5 R2 install + config
4. WPA 2 Crack
5. Metasploit használata
6. Deft
7. WinFE
8. Más egyéb érdekes téma ami közben eszembe jut...
9. Ophcrack használata
(Lehet, hog írok majd a Xplico-ról is - bár ehhez már repülővizsga kell...)

Az írások elsősorban Windows felhasználók számára lesznek hasznosak, mivel aki linuxot használ az ezeket a toolokat 'natív" módban (letölti a linuxra, telepíti és használja) tudja használni. De a virtuális környezet alkalmazásával windows userek is ki tudják használni ezeknek a programoknak a lehetőségeit.

Addig is ajánlok két linket :

BackTrack 5 Wireless Penetration Testing (book)

SecurityTube WiFi Security Expert (video)

2012. április 8., vasárnap

Facebook jelszó megszerzése

UPDATE: A jelszomester.hu oldalon részletes leírások és videók vannak erről a témáról...

Facebook jelszó feltörés. A kémprogramok alkalmazásán kívül is van lehetősége a támadónak facebook jelszavunk megszerzésére. Ehhez azonban már a felhasználó nagyfokú könnyelműsége és óvatlansága szükséges. Ugyanis a Facebook jelszó feltörő (valójában csak visszafejti az eltárolt jelzavakat) programok csak arra képesek, hogy a felhasználó gépén eltárolt jelszavakat kiszedjék a megfelelő helyeről és megmutassák. Van több Forensic programcsomag is ahol ezek a programok a szoftvercsomag részét képezik. Ilyen például a DEFT Linux. A legjobb FREE/ingyenes forensics eszközöket itt tudjuk beszerezni : Securityxploded.com

(Megjegyzés : A Forensics egyfajta számítástechnikai helyszínelői tevékenységet jelent. Nyomok utáni kutatás, nyomrögzítés, adatgyűjtés. Igazságügyi szakértők és számítástechnikai bűncselekményekkel kapcsolatos nyomozati tevékenységek tartoznak ide)

Tehát amennyiben jelszavak után akarunk kutatni a gépünkön a legjobb helyen egy Forensic Tools központban tudunk programokat beszerezni.

A DEFT Linux CD (vagy dvd) egy bootolható média, amiről be tudjuk bootolni a gépet és a boot után hozzá tudunk férni a merevlemezen megtalálható adatokhoz. (erről később lehet, hogy még írok majd bővebben is) A boot után elérhetőek lesznek az adatok. erre például akkor lehet szükség, ha elszáll a gép és újra kellene telepíteni, de a jelszavainkat nem tudjuk mert a gépen tároltuk. Ilyen esetben kellemetlen az összes jelszóhoz újra hozzájutni, ha van rá más lehetőség meg kell próbálni CD-ről bootolni és így kinyerni a gépből azokat az információkat amire szükségünk van.

Ennyit most a Forensic-ről térjünk rá a Facebook jelszó visszafejtésére. A Facebook mint olyan nem tárolja a jelszavainkat a gépen, hanem a WEB böngészők és chat kliensek teszik ezt meg. Mindegyik máshogy tárolja a jelszót. Ezért egy facebook jelszó visszafejtő programnak ismernie kell lehetőleg az összes ilyen program működését és ezek alapján ki tudja nyerni a korábban elmentett jelszavakat a sérült gépből.

Én most csak a Facebook Password Recivery Tool (vagy rövidebb nevén FacebookPasswordDecryptor) -ról fogok szólni néhány szót. A program a userspace-ben dolgozik, azaz alapesetben azokhoz az adatokhoz fér hozzá amelyik user be van jelentkezve a gépre amikor a program fut. DEFT CD vagy más külső boot esetén meg kell adni a felhasználói profil elérési útját ahonnan az adatokat ki akarjuk menteni.
(A WINFE egy nagyon hasznos kis alkalmazás, amennyiben úgy szeretnénk a gépünkkel műveleteket végezni, hogy a rajta futó operációs rendszer ne működjön és nem akarunk Linux CD-t írni. Talán erről is írok majd pár sort valamikor) Alaphelyzetben ha nem boot CD-ről használjuk a programot, akkor nem kell megadni semmit, el kell indítani és szépen kiszedi a jelszavakat mindehonnan ahol el vannak tárolva. Sorrendben a Microsoft Explorerből, a Firefox-ból, a Google Chromeból, az Operából, a Messengerből, a Paltalk messengerből és a Miranda messengerből tudja kinyerni az elmentett jelszót.
A dokumentációban van róla szó, hogy a www.facebook.com-nak vagy másik facebook login-t tartalmazó oldalnak szerepelnie kell a cache-ben, hogy a program találjon is valamit. Ha tehát az előzmények és a cache ki van törölve akkor az elmentett jelszavakat csak úgy lehet kinyerni, hogy a cache tartalomhoz hozzáadjuk a megfelelő weboldalakat. (Hogy ezt hogy kell az le van írva a dokumentációban)
Itt van egy kép a programról akció közben :



Még annyit, hogy ha kitudódik, hogy valaki megszerezte a facebook jelszavunkat, akkor valószínűleg az első lépésünk az lesz, hogy megváltoztatjuk a jelszót és ezentúl nem mentjük el a gépre (nehogy valaki megszerezze) Vagyis ezek a módszerek jó esetben csak egyszer vezetnek eredményre. Utána már óvatosabbak leszünk.

Végezetül itt egy kis cikk amelyben van 20 jótanács a facebook jelszavunk védelme érdekében :

http://www.techradar.com/news/internet/web/20-facebook-privacy-settings-tips-924540

Egy korábbi bejegyzés ezzel kapcsolatban :

http://nethekk.blogspot.hu/2012/04/facebook-jelszo-jelszotoro.html

Virtual Keyboard - Anti Keylogger (Anti Kémprogram)

Találtam egy vidám kis alkalmazást, a neve "Anti Keylogger Virtual Keyboard"

Így néz ki :



Kipróbáltam és ami billentyűt ezen keresztül gépelek be azt nem tudják felismerni a keyloggoló programok... Észlelik, hogy történt bevitel, de nem tudják megállapítani, hogy milyen billentyű leütése történt meg.

Ennyit hát a keyloggolókról és a kémprogramokról. Elég könnyen felismerhethttp://www.blogger.com/img/blank.gifőek és még könnyebb úgy átverni őket, hogy közben ki se töröljük a gépről. (Vagyis a rosszhiszemű megfigyelő abban a hitben lehet, hogy mit se tudunk arról, hogy lefigyel minket.)

És persze ez a kis program AMI TELJESEN INGYENES még a hardver billentyűzetfigyelő eszközök ellen is védelmet nyújt, mert azok se tudnak felismerni semmit ebből.

Nem kell adminisztrátori jog a telepítéséhez, csak futtatni kell és használni (mint egy notepad-ot kb) Ha akit le akarnak figyelni tud erről, akkor attól nehezen lehet megszerezni bármilyen fontos adatot...

Ezen a linken van még pár hasonló program. :

http://www.fileguru.com/Anti-Keylogger-Virtual-Keyboard/download

2012. április 7., szombat

Ingyenes kémprogram - Refog keylogger Free

A mostani bejegyzésben a Refog keylogger free verziójáról lesz egy pár mondat. először is nézzük meg, hogy az icon-t hogyan tudjuk eltüntetni a system tray-ből : A Taskbar-on jobb egérgomb, Tulajdonságok, majd a bejövő ablakban alul a Testreszabás gombra kattintunk :



A következő ablakban pedig szépen beállítjuk a Refog ikonja mellett, hogy Sosem látszik :



Ezzel meg is volnánk. Az ikon többé nem fog megjelenni a taskbáron. ez a beállítás Windows XP-n működik így. Amint eljutok odáig, hogy windows 7 alatt is ki tudom próbálni frissítem majd a hozzászólást.

A programot a továbbiakban a runrefog paranccsal tudjuk előhívni. (Start -> Futtatás -> runrefog ) vagy a Windows jel + M és utána a magic word-nál megadott varázsszó illetve még egy Hot Key is van definiálva ami alapból a Ctrl Shift -Alt + K (ezt mind egyszerre kell lenyomni. Amennyiben akarunk le is jelszavazhatjuk a programot és ebben az esetben a jelszó ismerete nélkül nem fognak tudni hozzáférni a konfigurációhoz. A beállítások eléggé egyértelműek. Nagyon felhasználóbarát a program. Sok funkció nem működik csak a teljes verzióban de helyi logolásra tökéletes ez is. A loghoz való hozzáférést más módszerekkel is meg lehet esetleg oldani, nem feltétlenül szükséges emailben küldözgetni vagy ftpzgetni az adatokat. (Ez majd egy másik bejegyzésben lesz bővebben kifejtve)

Erről ennyit. Majd írok a 30 napos verzióról is (hogy kell beállítni az smtp-t és az ftp-t) főképp arról, hogy az újrainstallálást hogy lehet a legegyszerűbben és a leghatékonyabban megoldani.

kémprogram, keylogger

Most pedig nézzük a kémprogramokat. Elég széles választék van belőlük. Jelen bejegyzésben nem szándékozom az összes létező ilyen programot számba venni, csupán két terméket emelnék ki a sok közül. Természetesen a reklámanyagokban mindegyik kémprogram nagyon ütősnek állítja be magát azonban a valóságban a helyzet az, hogy egy hozzáértő pár perc alatt felfedezi az ilyen programot, ha éppenséggel gyanúja támad, hogy van egy ilyen a gépen. ehhez Windows gépeken a Process Explorer-t és a Process Revealer Free edition-t lehet gyorsan használni. (Különböző programok installálása nélkül)
Az alábbi linken lehet letölteni : a Process Explorer-t http://technet.microsoft.com/en-us/sysinternals/bb896653

A két programot egymás mellett futtatva azok az elemek a gyanúsak amik a process explorerben nem látszanak de a Process Revealerben igen. (Azok a rejtett processzek)

Ennek a segítségével fel lehet fedezni vírusokat, kémprogramokat és egyéb kártékony kódokat amik a tudtunk nélkül futnak a gépünkön és megpróbálnak elrejtőzködni.

Itt van egy ennél sokkal bővebb leírás rejtett proceszekről :
http://www.ntinternals.org/process_detection_test.php Itt van egy sereg "felismerő" szoftver is amikkel fel lehet deríteni az illegális támadásokat. A GMER-t és az Avast Anti-rootkit-et próbáltam ki, de azok nem minősítették a keyloggereket "károsnak" (nem is erre valók) viszont a rejtőzködő MPK.EXE-t még ezek is simán kiszúrták. (Ennyit a nagy rejtőzködési tudományáról a keyloggolóknak...)

Kipróbáltam pár Anti-keylogger terméket is és amit leginkább ajánlani tudok az a SpyShelter Premium. Ez felismerte a keylogoló programokat és fel is kínálta, hogy leállítsa vagy letörölje a kódokat. A Refog-ot és a Green Day-t is szépen detektálta.
Fut XP-n és windows 7-en 32 és 64 bites verzióban. A program nem ingyenes, de 14 napos próbaidőre lehet használni. Detektálásra kiváló. Akinek meg állandóra kell, vegye meg. Free programot egyelőre nem találtam ami ilyen jó lenne mint ez.
(Kipróbáltam pár másikat is - Anti Keylogger, Advanced Anti Keylogger - de vagy el sem indultak, vagy lefagyasztották a gépeket...legtöbb free nem tud 64 bites módban futni, vagy nem eléggé áttekinthető a kezelőfelülete) Tehát keylogger detektálásra SpyShelter Premium...

Jelen bejegyzésben két keylogger vagyis kémprogram kerül bemutatásra. Az egyik a Refog keylogger ill. ennek a különböző változatai a másik pedig a Green Day elnevezésű kémprogram.

Nézzük először a Refog-ot. Ez egy igen régi keylogger. Ennek megfelelően eléggé ki van dolgozva. Többféle változata elérhető. Van teljesen ingyenes verziója, ami nem tud távolba riportolni és az ikon a taskbáron jelezni fogja, hogy fut a szoftver. Meg még nem tud néhány dolgot amire esetleg szükség lehet, például képernyőmentéseket nem csinál, stb. de alapvetően a billentyűzet leütések monitorozására alkalmas szoftver. Helyben tárolja az adatokat és később vissza tudjuk nézni, hogy mi történt a gépünkön. Távfelügyeletre nem teljesen alkalmas, de lokális használatra, saját gépre épp elegendő ez is. A másik verziója ennek az EmployeeMonitor, ami 30 napig ingyenesen kipróbálható. (A többi verzió csak 3 napig ingyenes) Ez mindent tud amire szükség van, de 30 naponta újra kell telepítgetni - vagy amikor újra szükség lesz rá. A termék ára 100$ ami végülis nem túl olcsó (vannak fel ennyiért is keyloggerek már a piacon) de elég jó szolgáltatást nyújt. Képes a logokat e-mailben vagy ftp-n továbbítani (pl óránként) és szép összesítő riportokat is generál. Meg sok színes szagos funkciója van amire általában semmi szükség sincs. Az emberek legtöbb esetben a billentyű leütéseket akarják megtudni és a meglátogatott webhelyeket. Ezeket mind tudja, és ez általában elegendő is. Még annyival tud többet az ingyenes verziónál, hogy megpróbál elrejtőzködni ami azt jelenti, hogy közönséges módszerekkel nem lehet kilistázni , vagyis nem látszik, hogy fut.
A különbségek egyébként általában nem a figyelésben, hanem a reportolásban vannak ezeknél a programoknál. Mennyire áttekinthető, milyen gyorsan lehet benne eligazodni és megtalálni amit keres az ember.

Most nézzük a Green Day-t. Ezt a programot a kalozok.com-ról lehet letölteni. Ingyenes, az adatokat emailben tudja elküldeni és mezei felhasználók elől el tudja rejteni magát. Általában az esetek 90%-ban ennél többre nincs is szükség. A fileok rejtett állapotban vannak a gépen és a konfigurációs állomány titkosított. Csak hozzáértő tudja észrevenni, hogy valami nem stimmel vele kapcsolatban.
Van hozzá egy nézegető program is, amivel az eltárolt vagy elküldött logokat meg lehet nézni.

Eddig nincs is semmi probléma ezekkel a programokkal. A probléma akkor kezdődik, amikor azt szeretnénk, hogy távolba is mentse el a logokat. Ez két (ill. három) féle módon szokott megtörténni :
1. smtp-n keresztül
2. ftp-n keresztül
3. lan drive-on keresztül másik gépre

1. Az smtp-s levél küldésnek csak egy hátulütője lehet : Néhány internet szolgáltató nem engedélyezi az smtp átmenő forgalmat és csak rajtuk keresztül lehetséges a hálózatból kifelé a levélküldés. Ebben az esetben a helyi szolgáltató smtp szerverét kell használni, az ott kapott e-mail fiók adatokkal, hogy távolba tudjunk levelet küldeni. Ennek védelmi okai vannak általában. Spam, és egyéb támadások elleni védekezés illetve a lekövethetőség miatt kell ez. Hogy lehessen látni, hogy ki küldte az adott levelet, mely személyhez köthető.
2. A második lehetőség, hogy bérelni kell egy ftp elérést vagy használni kell egy ingyenes tárhelyet és ide tölti fel a program az adatokat. Itt olyan szolgáltatót érdemes választani ami megbízhatóan működik, gyors és általában (mindig) elérhető.
3. A harmadik lehetőség csak üzemi környezetben működik, ugyanis ehhez az kell, hogy a gép ahova mentődik az anyag állandóan menjen és elérhető legyen. Például egy irodai szerver bent az irodában. de otthon nem valószínű, hogy állandóan menne minden gép, inkább csak akkor, ha szükség van rá. Vagyis a 3-ik megoldás kevésbé alkalmazható, de azért ha mégis van ilyen helyzet (egy háztartáson belül több számítógép van) akkor megoldható a dolog. (Mivel ehhez állandó hálózati kapcsolat kell a két gép között ez felfedhetőbb a másik két lehetőségnél)

Tehát nagyjából ezek a lehetőségek vannak. Akinek ez így túl szakmai vagy érthetetlen az nyugodtan forduljon a probléma megoldásával szakemberhez (leginkább magánnyomozó irodákhoz, ahol vannak erre specializálódott informatikai biztonságban jártas személyek). Több ilyen iroda is létezik hol van lehetőség ilyen szolgáltatás igénybevételére, például :
www.szaloki.hu, www.magannyomozo.info, www.castellocompany.hu, www.barathandpartners.hu, www.magannyomozobudapest.webnode.hu, magannyomozo.net, www.poliscope.hu

Facebook jelszó, jelszótörő

UPDATE: A jelszomester.hu oldalon részletes leírások és videók vannak erről a témáról...

Régen írtam már ide. De most elérkezett az idő, hogy megint írjak ide egy-két hasznos dolgot. Kezdjük a facebook jelszó feltörésével. A neten sok ilyen csoda szoftver kering amelyek állítják magukról, hogy ők bizony fel tudják törni a jelszót, elég, ha megadjuk a feltörni kívánt accound Id-jét. Persze a jelszót csak fizetség ellenében küldenék el. Ezek - szerintem sima pénzlehúzások. Ha valaki egy kicsit is ért az informatikához, akkor el tudja képzelni, hogy a facebook szerveren tárolt jelszóhoz ezek a FREE facebook password hacker programok nem tudnak hozzáférni. Ennél eggyel jobb, amikor a jelszó törő úgy ajánlja fel magát, hogy elkéri a mi facebook accountunkat és "be is léptet" a facebook-ba, mielőtt feltörné az adott jelszót. Ez egy fokkal jobb, mert ez általában egy sima phising, azaz amikor a belépést szimulálja, akkor gyakorlatilag a mi jelszavunkat lopja el.... Ez azért jobb, mint a másik, mert ezek után a mi jelszavunknak valóban a birtokában lesz és ha az kellene valakinek akkor ahhoz esetleg hozzá tudna jutni...Ha tudná, hogy kit kell keresni.... Egy szó mint száz szerintem nem érdemes ilyen facebook jelszó törő programokra pazarolni az időt és az energiát, mert nem igazán működőképesek. Én erősen kétlem, hogy bárki fel tudná törni a facebook jelszavamat ezzel a módszerrel...
A neten vannak olyan programok is amelyek a gépről olvasnák ki az eltárolt facebook jelszavakat. ezek több-kevesebb sikerrel talán alkalmazhatók,mert ha be tudunk lépni az adott felhasználó nevével akkor hozzá is tudunk férni az adataihoz. Ha azonban nem tudjuk a felhasználó jelszavát, akkor máris kiolvashatatlanok lesznek az eltárolt jelszavak, mert a Windows (vagyis a Microsoft) a jelszóval eltitkosítja általában az ilyen jellegű adatokat, tehát jó eséllyel nem tudjuk kiolvasni , hogy mi a jelszó, ha csak hozzáférünk a géphez de nem tudjuk a felhasználó jelszavát.

Egy másik módszer viszont működőképes lehet. Egy keylogger telepítése a gépre. Egy úgynevezett kémprogram kell ami figyeli a billentyű leütéseket és eltárolja azokat. Így, ha valaki azon a gépen történetesen belép a facebook-ra akkor a jelszavát ki lehet olvasni az eltárolt adatok közül. ennél hatékonyabb facebook jelszó törőt nem ismerek. Kémprogramokkal kapcsolatban nagyon fontos tudni, hogy csak a saját gépünkre telepíthetünk ilyeneket - különben törvénybe ütköző dolgot hajtunk végre.

A Keyloggerrel van konkrétabb tapasztalatom is de azt inkább egy másik bejegyzésben írom meg, hogy he nyúljon túl hosszúra ez a bejegyzés.

Még egyszer : azt tanácsolom amindenkinek aki a facebook jelszó megszerzését tűzi ki célul, hogy hagyjon fel a neten a becsapó programok tesztelésével amelyek on-line jelszófeltörést ígérnek és inkább egy működőképes módszert próbáljon ki, amivel tényleg meg is lehet szerezni a szükséges adatokat. (erről lesz bővebben szó a következő bejegyzésekben) Ez elsősorban szülőknek kellhet a gyermekeik facebook-os jelszavának a megszerzésére vagy pedig együttélőknél léphet fel ilyen igény akik nem feltétlen bíznak meg egymásban 100%-ig.