Forum Tibia.pl - KeePass Password Safe, czyli wyjście naprzeciw keyloggerom

Jest to mój pierwszy post na forum, jak i pierwszy poradnik, tak więc witam serdecznie wszystkich graczy i zarazem proszę o wyrozumiałość. :)

Chciałbym na początku zaznaczyć, że mimo tego że postanowiłem napisać ten poradnik, moja wiedza informatyczna nie jest obszerna, tak więc jeśli ktoś, kto ma na ten temat pojęcie znajdzie jakieś błędy merytoryczne, będę wdzięczny za uwagi.

Całkiem niedawno (mówiąc ściślej - przedwczoraj) nagle postanowiłem, że po bardzo długiej przerwie znów pogram sobie w Tibię. Przed samą rozgrywką poczytałem trochę tematów na forach i zauważyłem, że w kwestii hackowania kont niewiele się zmieniło - jak były one okradane kiedyś, tak są i teraz. Dlatego postanowiłem napisać ten poradnik. Zastrzegam jednak, że nie będzie on opisywał co zrobić, by zapobiec albo usunąć niechcianego "złodzieja", ale co zrobić, by zminimalizować szanse wykradnięcia danych w momencie, gdy szkodliwe oprogramowanie już znajduje się na naszym komputerze, a my nawet o tym nie wiemy. Będzie on jednak pośrednio również traktował o tym, jak ogólnie zwiększyć bezpieczeństwo naszego konta.

Odpowiedzią jest tytułowy program, czyli KeePass Password Safe. Dobrze, ale co to w ogóle jest? Pozwolę sobie zaczerpnąć opis ze strony programosy.pl:

Cytuj:

KeePass Password Safe to bezpłatny menedżer haseł, który pomoże zarządzać wszystkimi naszymi hasłami w bezpieczny sposób. Możemy umieścić wszystkie swoje hasła w jednej bazie danych, która jest zablokowana jednym Master Key lub plikiem klucza. Trzeba więc tylko pamiętać jedno hasło główne lub wybierać plik klucza do odblokowania całej bazy danych. Bazy danych są zaszyfrowane przy użyciu najlepszych i najbardziej bezpiecznych algorytmów szyfrowania (AES i Twofish).

Posiada on bardzo ważną funkcję nazwaną Two-Channel Auto-Type Obfuscation (po angielsku, bo nie dość, że dobrze przetłumaczyć jest trudno, to po drugie nazwa sama w sobie wiele nie wyjaśnia). Na czym to polega? Na początku pozwolę posłużyć się oficjalnym opisem ze strony producenta - keepass.info (tłumaczenie własne):

Cytuj:

Funkcja automatycznego logowania (czyli tytułowego Auto-Type - przyp. tłum.) jest potężnym narzędziem: wysyła ona imitowane znaki do innych aplikacji. Współpracuje ze wszystkim aplikacjami Windows, a dla aplikacji docelowych niemożliwe jest rozróżnienie między fizycznie napisanymi znakami, a ich imitacją stworzoną przez właśnie tę funkcję. Jest to jednak w tym momencie największa słabość automatycznego logowania, gdyż keyloggery są w stanie przechwycić imitowane znaki. Z tego powodu na scenę wkracza Two-Channel Auto-Type Obfuscation (TCATO).

TCATO sprawia, że standardowe keyloggery stają się bezużyteczne. Używa on schowka, by przetransferować poszczególne części automatycznie wygenerowanego tekstu do aplikacji docelowej. Keyloggery widzą akcje Ctrl-V (skrót klawiszowy dla funkcji "wklej" - przyp. tłum.), ale nie są w stanie przechwycić rzeczywistej zawartości skopiowanej ze schowka.

Złośliwe oprogramowanie śledzące schowek również nie zadziała, gdyż jedynie część kluczowych informacji jest transferowana w ten sposób.

Nie jest to jednakże narzędzie doskonałe (i nie może się nim stać w teorii, niestety). Żaden z obecnych keyloggerów ani oprogramowań śledzących schowek nie są w stanie przechwycić informacji wysyłanej w ten sposób, jednak teoretycznie możliwe jest stworzenie aplikacji specjalizującej się w wykradaniu informacji przesyłanych metodą TCATO.

Rozumiem, że z początku może być to trudne do zrozumienia, dlatego najlepiej będzie to wyjaśnić na prostym przykładzie. Jak wiemy, keyloggery potrafią przechwytywać informacje, w tym hasła, które fizycznie wpisujemy logując się gdziekolwiek. KeePass ma standardową funkcję automatycznego logowania (o czym więcej będzie później), z pomocą której po wciśnięciu 3 klawiszy klawiatury program sam wpisuje login i hasło. Jednak, jak jest napisane wyżej, keyloggery potrafią przechwycić nawet te imitowane znaki. Co więc sprawia, że TCATO jest tak dobrą metodą? To, że znaki nie są wpisywane w standardowej kolejności. Jeśli przykładowo nasze hasło do Tibii brzmi "Przemek", to z pomocą standardowego automatycznego logowania program po prostu wpisze "Przemek". Gdy jednak użyjemy dodatkowego zabezpieczenia, TCATO, to kolejność wpisywanych znaków będzie dowolna. Program (pod względem chronologicznym) wpisze np. "rzekmeP", hasło będzie poprawne, tj. "Przemek" (KeePass wpisuje odpowiednie znaki w odpowiednich miejscach), a dla potencjalnego keyloggera będzie to wciąż "rzekmeP". Sytuacja jest analogiczna dla loginu.

To tyle, jeśli chodzi o przydługą i nudnawą teorię. Teraz praktyka, czyli skąd pobrać i jak używać programu.

Pobieramy go z oficjalnej strony producenta. Wybieramy wersję w prawym górnym (dla urządzeń stacjonarnych - Installer) lub prawym dolnym (dla urządzeń mobilnych - Portable) rogu w zależności od tego, która nas interesuje. Klikamy w zielone okienko, a pobieranie powinno rozpocząć się kilka sekund po przekierowaniu na inną stronę. Po ściągnięciu po prostu instalujemy program w odpowiednim dla nas miejscu. Sam proces instalacji pominę, gdyż mam już program, ale jestem pewien, że nie jest to skomplikowane i każdy powinien sobie poradzić. W razie problemów - pisać.

Po otwarciu programu powinno wyskoczyć nam następujące okienko:
http://imageshack.com/a/img910/1017/OZmhM9.jpg

W tym momencie musimy wpisać hasło główne, które będzie potrzebne, aby mieć dostęp do programu i innych zapisanych informacji. Zaznaczam, że powinno być ono długie, relatywnie skomplikowane, trudne dla odgadnięcia dla innych, ale łatwe dla zapamiętania dla Was. ;) Moje ma nieco ponad 20 znaków (w tym zawiera znaki specjalne i liczby) i przez program zostało uznane za silne, ale nie za możliwie najsilniejsze, tak więc niech to będzie jakiś punkt odniesienia. W okienku Master password po prostu je wpisujecie, w Repeat password musicie je powtórzyć. Estimated quality informuje Was o sile hasła. Uwaga: sugerujcie się bitami (bits), a nie liczbą znaków (ch.). Wpisywanie dużej liczby takich samych może sprawiać, że hasło będzie traciło, a nie zyskiwało na wartości.

Opcją alternatywną/dodatkową jest również zaznaczenie okienka Key filer / provider. Gdy wybierzemy tę opcję i klikniemy Create, stworzymy w wybranym przez nas miejscu plik, który będzie musiał być dołączany do logowania. Po zapisie powinno wyskoczyć nam następujące okno:
http://imageshack.com/a/img912/1441/55wqbC.jpg
Z lewej strony po prostu jeździmy myszką po białoczarnym polu, do momentu aż wygenerujemy 256 bitów. Jeśli chodzi o stronę prawą, to wpisujemy losowe znaki (im bardziej skomplikowanie, tym lepiej). Nie warto się martwić, że ich nie zapamiętamy, bo nie będziemy musieli. Po kliknięciu OK zostanie stworzony plik NewDatabase.key.

Uwaga: Nie polecam drugiej metody jako jedynej opcji zabezpieczenia. Najlepiej bazować i na haśle głównym, i na pliku.

Następnie wybieramy po prostu 2 razy OK.

W następnym okienku klikamy Internet z listy po lewej, a następnie Add Entry:
http://imageshack.com/a/img913/6254/rDsUWd.jpg

Kolejne okno wygląda tak:
http://imageshack.com/a/img674/5823/bdXwlN.jpg
Tutaj dodajemy wszystkie ważne informacje. W Title wpisujemy Tibia, a w User name swój login z gry. Do URL kopiujemy link: https://secure.tibia.com/account/?su...&page=overview. Jest to link do logowania z oficjalnej strony gry.
Uwaga! Jeśli chodzi o hasło, to możemy po prostu wpisać już to, które mamy w grze, ale doradzam, żeby skorzystać z wygenerowanego przez program, gdyż jest ono o wiele bardziej złożone, a przez to bezpieczniejsze. Nie musimy się martwić, że nie będziemy go pamiętać, bo program loguje się automatycznie (możliwe też jest zalogowanie się za pomocą kopiuj-wklej). Jedyne, co musimy zapamiętać, to hasło główne.
W celu wygenerowania hasła przez program wchodzimy w Generate a password, a następnie Open Password Generator...

Powinniśmy widzieć poniższe:
http://imageshack.com/a/img540/4919/zjbdEL.jpg
Ustawiacie wszystko tak, jak na tym obrazku i klikacie OK. Length of generated password ustawione jest na 29, ponieważ jest to maksymalna liczba znaków dla hasła w Tibii.
Jak już to zrobiliście, powinniście wrócić do okna z poprzedniego obrazka. Najprawdopodobniej to, co będziecie widzieć, to kropki, a nie rzeczywiste hasło. Żeby je odblokować, musicie nacisnąć 3 kropki widoczne na zdjęciu wcześniejszym. Po tym klikacie Ctrl+c, tak żeby skopiować nowe hasło.

Teraz jedyne, co musicie zrobić, to zmienić stare hasło w Tibii na nowe (pamiętajcie, że program jedynie wygenerował hasło, a nie je zmienił - to nie żaden hack :P). Aby to zrobić, idziecie do tibia.com, z listy po lewej wybieracie Account, a następnie Account Management. Logujecie się, następnie wchodzicie w Manage Account, Change Password. W dwóch pierwszych oknach od góry (tj. New Password i New Password Again) wklejacie swoje nowe hasło za pomocą Ctrl+v, a w oknie Current Password wpisujecie swoje dotychczasowe. Klikacie Submit, a następnie po prostu wylogowujecie się (Overview -> Logout).

Teraz pozostała jedynie jedna rzecz do zrobienia. W okienku Add Entry wchodzicie w zakładkę Auto-Type, a następnie zaznaczacie Two-channel auto-type obfuscation, tak jak na obrazku poniżej:
http://imageshack.com/a/img661/5410/NLI6l4.jpg
Po zaznaczeniu może wyskoczyć następujący komunikat:

Cytuj:

Auto-type obfuscation may not work with all windows.

Please see the documentation for more details.

Niestety nie jestem pewien, czy autor programu przez "windows" ma na myśli po prostu okna logowania czy system operacyjny. Jednak ja używając Windowsa 8.1 64-bitowego nie napotkałem praktycznie żadnych większych problemów (a KeePassa używam do wielu innych kont).

Teraz wystarczy kliknąć OK.

Jeżeli ktoś nie nadąża, co się w ogóle przez ten czas działo (:P), to przypomnę, że jak dotąd:
- udało się zmienić stare hasło na nowe, najprawdopodobniej o wiele bezpieczniejsze,
- poprzez wypełnienie okna Add Entry jesteśmy w stanie zalogować się automatycznie, czyli to, do czego przez cały ten czas dążyliśmy.

(Krótka uwaga, jeśli chcemy ponownie wejść w to okno, klikamy prawym przyciskiem myszy, a następnie wybieramy Edit/View Entry... Nie radzę jednak niepotrzebnie przy tym grzebać.)

Co do samego automatycznego logowania, to jest ono bardzo proste. Jedyne, co musimy zrobić, to wejść na stronę logowania na tibia.com (jeśli zamierzamy grać przez Flasha) albo w klienta na komputerze (jeśli zamierzamy grać właśnie przez niego) i wcisnąć Ctrl+Alt+A, bo właśnie za pomocą tego skrótu funkcja ta jest odpalana. Jeśli chcemy zmienić skrót, wchodzimy w: Tools -> Options... -> Integration -> Global auto-type i zmieniamy na taki, który nam odpowiada (z pewnymi ograniczeniami). Po wciśnięciu klawiszy będziemy mogli zobaczyć, jak program sam wpisuje i login, i hasło. Jeśli nie chcemy korzystać ze skrótu, możemy w programie zaznaczyć lewym przyciskiem myszy pasek, nacisnąć Ctrl+c, a następnie w oknie loginu w grze wcisnąć Ctrl+v. Zdarzały mi się przypadki, kiedy program coś pokręcił i nie wpisał poprawnie, ale były to naprawdę sporadyczne sytuacje.

Pamiętajcie, żeby po wszystkim koniecznie zapisać to, co dotychczas zrobiliście (File -> Save, Ctrl+s, albo klikając w krzyżyk, a następnie wybierając opcję Save). Po tym zamknijcie program, a zobaczycie, że został wygenerowany plik o domyślnej nazwie NewDatabase.kdbx – jest to rozszerzenie, z którego korzysta tylko KeePass.

Jeśli chodzi o plusy korzystania z KeePassa, to oczywiście największymi i ogromnymi jest to, że po pierwsze hasło samo w sobie (o ile wygenerujemy nowe) jest najprawdopodobniej o wiele bardziej złożone i bezpieczniejsze, a po drugie dzięki logowaniu z TCATO znacznie obniżamy prawdopodobieństwo wykradnięcia hasła z pomocą keyloggera. Jeśli chodzi o minusy, to po pierwsze musimy pamiętać hasło główne (jeśli obawiamy się, że zapomnimy, możemy sobie je gdzieś zapisać i przechowywać w bezpiecznym miejscu), a po drugie musimy bezpiecznie przechowywać plik(i) (w zależności od tego, czy wybraliśmy opcję Kee filer / provider) z danymi, więc najlepiej jest mieć jedną kopię na komputerze i jedną lub więcej na nośniku zewnętrznym (pendrive, płyta - obojętnie). W ten sposób będziemy mieli pewność, że nawet jeśli stało by się coś niedobrego i stracilibyśmy jeden plik - wciąż będziemy mogli dotrzeć do bazy danych. Trzecim potencjalnym minusem jest to, że aby zagrać w Tibię, KeePass będzie musiał być włączony (chyba że nie wygenerujecie sobie nowego hasła albo zapamiętacie takie na 29 losowych znaków :P), a więc będziemy mogli grać tylko na tych komputerach, które mają zainstalowany program (i skopiowany plik z danymi). Dla mnie personalnie jest to plus, bo człowiek nie będzie na siłę starał się grać wszędzie, gdzie popadnie. ;)

Na zakończenie jeszcze dodam, że warto zwrócić uwagę na to, co napisali twórcy KeePassa. O ile na tę chwilę takie rozwiązanie w kontekście bezpieczeństwa może wydawać się wręcz idealne, wcale nie oznacza to, że w przyszłości nie pojawią się złośliwe oprogramowania, które będą omijały TCATO. Tak więc najważniejszy w tym wszystkim jest przede wszystkim zdrowy rozsądek w odwiedzaniu stron internetowych. ;) A przed samym zainstalowaniem KeePassa warto przeskanować komputer takimi programami jak AdwCleaner (do pobrania stąd) i Malwarebytes Anti-Malware (klik) i usunąć szkodliwe pliki.

To by było na tyle... Mam nadzieję, że ktoś dotrwał do tego momentu i komuś, przynajmniej jednej osobie, się ten poradnik przyda. :)

Pytać w razie wszelkich problemów. Będę również wdzięczny za wszelkie uwagi.

Jeśli ktoś chciałby skopiować treść artykułu, prosiłbym najpierw o zapytanie. Ja sam być może wstawię go na innych forach poświęconych Tibii.

Edit: Literówki.