Odhalte zapomenutá hesla

Zabezpečení přístupu pomocí hesla je staré jako počítače samé. Dříve jsme používali číselné PIN kódy. V dnešní době ale správci vyžadují dlouhá komplexní hesla a navíc jejich pravidelnou změnu. Co si ovšem počít, když heslo zapomenete?

Doba čtyřmístných PIN kódů je tu tam. Dnešní propojený svět počítačů patří dlouhým, komplexním a často obměňovaným heslům. Každý specialista na počítačovou bezpečnost by rovněž dodal, že je navíc velmi rozumné používat pro každou ze služeb jiné heslo. Ve výčtu požadavků bychom samozřejmě mohli pokračovat. Pro některé účely musí být autentizace doplněna dalším mechanismem, kterým může být například ověření za pomoci čipové karty. Zkrátka sami jistě uznáte, že s rostoucí snahou o maximální zabezpečení následky pocítí především běžný každodenní uživatel přihlašující se do daného systému. V množství hesel a přístupových údajů se tak lehce ztratí. Zapomínat je přeci lidské…

Zamyslíme-li se nad původem technologií a principů používaných v dnešních počítačích, celkem snadno dojdeme k závěru, že celá řada z nich vznikla a byla užívána pro vojenské účely. Později pak pozvolna přešla do dalších odvětví a běžného života. Nejinak je tomu v případě počítačových hesel. Pohledem na historii jejich vývoje zjistíte, že i ona byla používána vojenskými složkami. Příslušníci stejné jednotky se pomocí nich dokázali snadno identifikovat. První z nich vyzval heslem druhého, aby se identifikoval odpovídajícím protějškem k tomuto tajnému heslu. Pokud obě informace seděly, oba si mohli být jisti svou příslušností. To vše fungovalo s předpokladem, že heslo nebylo vyzrazeno či dokonce zapomenuto jedním ze zúčastněných. V obou případech mohla podobná chyba být osudnou. V našem kontextu naštěstí nemusí být zapomenutí hesla tak dramatické. A když přeci jen lidská paměť zklame, jsou tu šikovné nástroje, které pomohou.

Představíme vám několik šikovných nástrojů, které dokáží vyléčit onen nepříjemný pocit při zapomenutí uživatelského jména nebo hesla. Všechny z následujících utilit zobrazují přístupové údaje, které jste do počítače v minulosti alespoň jednou zadali. Nezjistíte ale například přihlašovací údaje do Windows Live Messengeru, který jste na počítači doposud nikdy nespustili.

Předtím, než se pustíme do ukázky, si neodpustím drobnou etickou poznámku. V případě, že jste zapomněli své heslo, tyto nástroje skvěle poslouží. Na druhou stranu jsou v rukou nepřející osoby poměrně nebezpečnou zbraní. Zamyslete se tedy předtím, než začnete zjišťovat heslo do kamarádovy poštovní schránky, zda náhodou neděláte něco, co by si nepřál.

Heslo k poštovní schránce

Mezi časté scénáře patří zapomenutí hesla do poštovní schránky. V zásadě nezáleží na tom, zda pracujete s e-maily přes webové rozhraní či využíváte služeb některého z poštovních klientů. Pokud jste například jednou přihlásili do své poštovní schránky na Seznamu, váš internetový prohlížeč si je schopen přístupové údaje zapamatovat. Stejně tak pracuje i lokálně nainstalovaný poštovní klient. Problém ovšem nastává, když po několika měsících chcete heslo zjistit. Poštovní klient jej obvykle skryje a zobrazí místo něj znaky hvězdičky. Správce hesel v prohlížeči nemusí také být v tomto směru sdílný. Výsledek je sice takový, že se do schránky přihlásíte, ovšem z jiného počítače tak bez znalosti hesla neučiníte. Takto uložené heslo vám naštěstí pomůže zjistit nástroj Mail PassView. Souhrnně zobrazí uložená uživatelská jména a hesla všech poštovních účtů používaných v počítači, na kterém jej spustíte.

Ideálním pomocníkem dokáže být i v situaci, kdy se chystáte na reinstalaci operačního systému a chcete si předem vyexportovat všechna hesla.

  1. Stáhněte si nástroj Mail PassView. Z archivu ZIP rozbalte spustitelný soubor mailpv.exe a spusťte jej v počítači, ze kterého si přejete uložená hesla zobrazit a exportovat.
  2. Na úvodní obrazovce vás ihned po spuštění přivítá přehledný seznam poštovných účtů, uživatelských jmen a nezašifrovaných hesel.
  3. Pro označení všech položek vyberte v nabídce Edit volbu Select All.
  4. Export hesel do souboru zahájíte klepnutím na volbu Save selected items umístěnou v menu File. Výstupní formát můžete ponechat nastaven na Text Files (.txt).

Mezi podporovanými poštovními klienty najdete například následující:

  • Outlook Express
  • Microsoft Outlook 2002/2003/2007 (účty POP3, IMAP, HTTP a SMTP)
  • Windows Live Mail
  • Mozilla Thunderbird (pokud uložená hesla nejsou chráněna master heslem)
  • Hotmail/MSN mail – pokud je heslo uloženo v Live Messengeru
  • Gmail – pokud je heslo uloženo v aplikaci Gmail Notifier, Google Desktop nebo Google Talk.

V případě, že používáte poštovního klienta umístěného v počítači, neukládejte heslo. Pokud by vám to nevyhovovalo kvůli nutnosti zadat heslo při každém spuštění klienta, uložte jej. V takovém případě ale vřele doporučuji zajistit fyzickou bezpečnost počítače, zamykat počítač klávesovou zkratkou WIN+L a je-li to možné aktivovat technologii šifrování pevného disku Bitlocker.

Hesla uložená ve webovém prohlížeči

Webový prohlížeč zpravidla obsahuje komponentu, které bychom obecně mohli říkat Správce hesel. Snaží se uživateli usnadnit práci tím, že si zapamatuje hesla zadaná do přihlašovacího formuláře webových stránek, kterým to povolíte. Při opětovné návštěvě webu pak údaje hbitě automaticky vyplní. I tato hesla je možné zobrazit v nešifrované podobě pomocí nástroje IE PassView nebo PasswordFox.

Zapomenete-li například své heslo do Facebooku, ale mate jej uložené v Internet Exploreru, IE PassView je spásným nástrojem.

Získání vašich hesel nepovolanou osobou předejdete používáním vhodného password manageru, který podporuje zašifrování všech uchovávaných přihlašovacích údajů. Mezi osvědčené patří například LastPass.

Přihlašovací údaje do IM komunikátorů

Společnost Nirsoft ve svém portfoliu nabízí i nástroj MessenPass. Pokud si nemůžete vzpomenout na heslo zadané do IM klienta, pomůže vám s jeho odhalením. Grafické rozhraní a možnosti exportu jsou totožné s předchozími nástroji. Ihned po spuštění tedy získáváte kompletní přehled uložených hesel.

Pokud byste rádi zabránili dalšímu uživateli vašeho počítače ve zjištění vašeho hesla, neukládejte trvale vaše heslo do IM klienta.

Přehled podporovaných aplikací:

  • Windows Live Messenger
  • Yahoo Messenger (verze 5.x a 6.x)
  • Google Talk
  • ICQ Lite 4.x/5.x/2003
  • Trillian
  • Miranda
  • GAIM/Pidgin
  • Digsby

Zjištění produktového čísla nainstalovaných Windows a Office

Pokud jste nedopatřením ztratili produktový klíč vašich Windows nebo Office, nabízí se použití nástroje ProduKey. Neocenitelný je také, pokud již klíč na licenčním štítku počítače není čitelný nebo je poškozený. Dokáže totiž vypsat všechny klíče, se kterými byly nainstalovány Windows, Office a některé další aplikace od Microsoftu.

Další software

Z produkce Nira Sofera pochází mnoho dalších neméně zajímavých aplikací. Doporučuji navštívit jeho web.

Tento článek byl napsán pro časopis Computer.

Flashdisky pod zámkem

Přenášení dat na fashdisku je pro řadu z nás rutinní záležitostí. Díky pádu cen těchto úložných zařízení se hlavně flashdisky stávají spotřebním zbožím a často též příjemným firemním dárkem. Mnohem vyšší hodnotu ale leckdy mají uložená data. Ukažme si, jak předejít jejich zcizení v případě ztráty flashdisku. Continue reading Flashdisky pod zámkem

Důvěryhodné SSL certifikáty zdarma od StartComu

Myšlenka pořízení důvěryhodného certifikátu pro webový server v praxi obvykle zanikne při zjištění jeho pořizovací ceny. Zásadně nový na věc ovšem přináší certifikační autorita StartCom poskytující některé důvěryhodné certifikáty zcela zdarma! Continue reading Důvěryhodné SSL certifikáty zdarma od StartComu

Antivirus od Microsoftu je dostupný ke stažení

security-essentials

Microsoft uvedl finální verzi svého antivirového, antispyware a antimalware řešení. Produkt nese název Microsoft Security Essentials. Můžete si jej zdarma stáhnout z Download centra Microsoftu a vyzkoušet jeho kvality. Pokud snad dosud nemáte v počítači žádný antivirový produkt, je nejvyšší čas to napravit.

Produkt zatím oficiálně není dostupný pro český trh. Stáhnout si jej ale můžete přímo od Microsoftu pomocí jednoho z níže uvedených přímých odkazů.

Přímé odkazy ke stažení

Download for XP (32-bit)
Download for Windows 7 & Vista (32-bit)
Download for Windows 7 & Vista (64-bit)

Oficiální web produktu

Microsoft Security Essentials

Jak vypnout hlášku “Otevřít soubor – upozornění zabezpečení”

V rámci bezpečnostních funkcí Windows zobrazují upozornění před spuštěním .EXE a dalších spustitelných souborů ze sítě. Nevyhnete se mu ani namapováním sdílené složky na jednotku. Zkrátka vždy při snaze o spuštění aplikace vyskočí okno podobné tomuto.

upozorneni

Řešení se ukrývá v Group Policies, respektive v registrech Windows. Pro povolení spouštění .EXE souborů bez zobrazení upozornění přidejte následující hodnotu.

Do větve  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations přidejte řetezcovou hodnotu LowRiskFileTypes a jako její obsah nastavte “.exe;”.

Vše bez uvozovek. Středníkem lze oddělit více typů souborů.

Cisco VPN Client a Comodo firewall si nerozumí

Nedávno jsem na svůj notebook instaloval Cisco VPN clienta, což je software od Cisca umožňující bezpečné připojení do firemní privátní sítě skrz internet. Obvykle funguje velmi spolehlivě a  svižně. V tomto případě jsem ale narazil na velmi podivné chování.

Při instalaci na čerstvě naintalovaný notebook s Windows XP SP2 jsem ale nebyl schopen VPN klienta vůbec nainstalovat. Přitom na předchozí instalaci stejného OS na tom samém stroji fungoval bez ztráty kytičky. Pár hodin mi zabralo, než jsem zjistil, že problém je v kompatibilitě s Comodo firewallem. Jakmile jsem Comodo odinstaloval, vše fungovalo jako na drátkách. Zkoušel jsem ještě nainstalovat Comodo až po úspěšné instalaci VPN klienta. Pak se sice VPN klient spustil, ale nezdařilo se mu navázat připojení. Nestačilo ani vypnutí firewallu, musel být odinstalovaný. Během pokusu o spuštění instalace VPN klienta, ani při vytváření VPN spojení, se Comodo nedotázalo na povolení/zakázání aktuálně prováděné akce či přístupu k síti.

Cisco zalicencovalo ZoneAlarm firewall engine a použilo ho jako součást VPN klienta. Je tedy dost možné, že se nesnese na jednom stroji s dalším firewallem v podobě Comoda. Zaznamenali jste podobný problém ještě s jiným firewallem instalovaným na stanici?

Situaci jsem vyřešil přechodem na ZoneAlarm, se kterým zmizeli veškeré problémy. S integrovaným firewallem v systému Windows XP nemá Cisco VPN rovněž žádné problémy. Ten ale přeci jen neposkytuje plnohodnotnou bezpečnost podle mých představ. Už samotná ignorace veškeré odchozí komunikace není na dnešní poměry příliš vhodná. Výběr firewallu je ale téma na samostatný článek.

Shrnuto podtrženo aktuální verze Cisco VPN Clienta nefunguje korektně na jednom stroji zároveň s Comodo firewallem. Prozatím doporučuji změnit firewall a počkat, zda jeden z budoucích releasů toho či druhého sotwaru problém nevyřeší.

Jak nastavit Sender Policy Framework (SPF) záznam?

Co  vlastně SPF znamená?

Jak už název Sender Policy Framework napovídá, jedná se o technologii, která na základě adresy odesílatele e-mailu ověřuje, zda je poštovní server, ze kterého zpráva přisla, autorizován odesílat e-maily pro danou doménu.

Jinak řečeno. Za pomoci SPF jsem schopen definovat, kterým poštovním serverům dám možnost odesílat poštu za mou organizaci. Všechny ostatní zakáži.

Tak například – z ryze administrátorského hlediska. Mám ve firmě dva poštovní servery. Chci, aby oba mohli nadále odesílat a přijímat poštu pro firemní domény, ale chci zabránit, aby někdo cizí odesílal podvržené zprávy, tvářící se, že pocházejí z naší firmy. Nastavím tedy SPF. Oba naše poštovní servery jsou vedeny v MX záznamu na našem DNS serveru. Vyhovuje nám tedy následující podoba záznamu: “v=spf1 mx -all”. Problém vyřešen.

Co mi SPF přinese?

V prvé řadě bude moci každý cílový poštovní server, kam posíláte e-mail, ověřit, že zpráva pochází z vašeho poštovního serveru a nejedná se o podvržený e-mail, tvářící se, že přichází z vaší organizace. Funguje to i naopak. Pokud váš mail server podporuje SPF technologii, každý příchozí e-mail do vaší firmy, bude prověřen, zda pochází z autorizovaného zdroje.

Jaké jsou nevýhody této technologie?

Asi nejpodstatnější nevýhodou se zdá být zvýšený počet DNS dotazů, což vede k vyššímu vytížení DNS serverů. Pokud se ve vašem záznamu použijete příkaz include, pak se cílový server dotazuje vaší domény a k tomu ještě includované domény. Jestli vám include nic neříká, pro tuto chvíli na něj klidně zapoměňte. Dočtete se o něm dále.

Pro koho je SPF vhodné?

SPF by mělo zajímat každého správce poštovního serveru a každou organizaci, která si alespoň trošku základá na důvěryhodnosti své elektronické poštovní komunikace.

Pro koho SPF není vhodné?

Obecně se uvádí, že se Sender Policy Framework mohou mít problém mobilní uživatelé, kteří za den vystřídají několik různých připojení, poskytovatelů a hlavně poštovních serverů. Ale v dnešní době jsou pěkná řešení i na tuto problematiku. Možností je opravdu hodně, zmiňme například možnost VPN připojení do firemní sítě, Outlook Anywhere (RPC over HTTPS) či Outlook Web Access.

Je potřeba záznam nějak průběžně měnit nebo ho stačí nastavit jednorázově?

Odpověď je v zásadě jednoduchá. Záznam jednou vytvoříte a nemusíte se o něj nikterak starat. Rozumné je ale vše zkomunetovat a především mít na paměti, že nějaký takovýto záznam pro vaší doménu používáte. Úpravu SPF je třeba provést zpravidla v případě změny vašeho ISP, hostingu a změny vašeho poštovního řešení.

Co pro oživení SPF musím udělat?

Na vašem DNS serveru je potřeba přidat SPF záznam ve formátu TXT. Tím je vše hotové. Některé firmy  používají DNS servery svých wehosterů či providerů. Změnu DNS záznamů je pak potřeba provést přes webové rozhraní či písemným požadavkem.

Chcete-li kontrolovat příchozí poštu pomocí SPF, zapněte tuto funkci na vašem poštovním serveru. Zprávy přijaté od neautorizovaných serverů, pak budou zahazovány a bezpečnou cestou tak snížíte množství příchozího spamu a podvržených e-mailů.

Jak to funguje?

1. Jirka z firmy1 odesílá e-mail kolegovi Petrovi z firmy2.

2. Poštovní server firmy1 zprávu zpracovává a odesílá pomocí SMTP na server firmy2, kde pracuje Petr.

3. Firma2 používá na svém poštovním serveru antispamové řešení, které mimo jiné umí vyhodnocovat SPF. Zpráva od Jirky je přijata a podléhá spamové kontrole a ověření pomocí SPF. Server se dotazuje DNS serveru, který drží SPF záznam pro firmu1.

4. Ten pak odpovídá a vrací výsledek dotazu.

5. Server firmy2 zjistí ze SPF záznamu, zda je server firmy1 oprávněn odesílat poštu za doménu firma1.cz. Pakliže ano, je zpráva doručena Petrovi. V opačném případě je e-mail označen jako spam.

Správná syntaxe záznamu a příklady

Nyní už víme, že SPF je TXT záznamem v DNS a jak přibližně vypadá komunikace mezi servery. Pojďme přejít k samotné podobě záznamu.

Nejjednodušší záznam vypadá takto: “v=spf1 -all”

Co to znamená? Vaše doména nepoužívá e-mail. Máte na ní například jen webové stránky a poštu odesíláte z jiné domény k tomu určené. Jakýkoliv e-mail pocházející z domény s tímto záznamem bude po vyhodnocení SPF zahozen, případně označen jako spam. “-all” na konci znamená, že žádný autorizovaný server neexistuje.

O poznání zajímavější je: “v=spf1 mx -all”

Výraz se vyhodnocuje zleva doprava. MX znamená, že všechny servery, které jsou uvedeny ve vašich MX záznamech budou považovány za důvěryhodné a SPF je vyhodnotí jako autorizované. Všechny ostatní budou díky “-all” označeny jako neautorizované.

“v=spf1 mx mx:mail.firma1.cz -all”

Má stejný výsledek jako předchozí výraz s tím rozdílem, že mezi oprávněné servery získáné z MX záznamů přidáváme mail.firma1.cz.

“v=spf1 include:mujisp.cz -all”

Dejme tomu, že jsme malá firma a chceme ušetřit za investice do vlastního serveru. Náš ISP bude firma mujisp.cz. Domluva zní tak, že poštu budeme posílat přes jeho server. Náš SPF záznam tedy může vypadat právě takto. Include zajistí, že se přečte SPF záznam z domény providera mujisp.cz a jeho obsah bude považován za náš. Provider musí mít SPF nastaven.

“v=spf1 ip4:192.168.0.1/16 -all”

Poslední ukázka demonstruje přidání poštovních serverů z IP rozsahu 192.168.0.1 – 192.168.255.255 mezi důvěryhodné. Všechny ostatní vyhodnotí jako zakázáné.

Závěr

SPF není všelék na spam, ale rozhodně stojí za to, ho zavést. Vytvoření zabere jen několik desítek minut a pak již vše pracuje za vás. K dispozici jsou také velmi povedené nástroje pro vytvoření a případně i ověření správnosti vašeho SPF záznamu.

Zdroje

Nástroje pro vytvoření: http://old.openspf.org/wizard.html
Nástroje na otestování: http://www.openspf.org/Tools
Microsoft SPF Record Wizard: http://www.microsoft.com/…/wizard/
Syntaxe: http://www.openspf.org/SPF_Record_Syntax
Časté chyby: http://www.openspf.org/FAQ/Common_mistakes

Video – Jak nastavit SPF?

Jak vypnout STP protokol na ASUS WL-500g a WL-500gP?

O víkendu jsem se věnoval security hardeningu svého domácího routeru a kontroloval nastavení. Při zachytávání paketů Wiresharkem jsem zjistil, že router kromě jiného posílá každé 2 sekundy BPDU Spanning Tree Protokolu (STP). Jelikož v síti nemám více prvků a na smyčky si dávám pozor, rozhodl jsem se STP zakázat. Proč zbytečně posílát něco, co nepotřebuji?

Jak na to? Přes webové rozhraní tuto funkci nenastavíme. Musíme se k routeru připojit pomocí telnetu. Váš telnet klient se připojí k routeru a uvidíte příkazový řádek, kde vše pomocí několika málo příkazů nastavíme.

1. Spusťte vašeho telnet klienta. Příklady telnet klientů: Putty, Microsoft Telnet Client (integrovaný ve Windows XP)

Poznámka pro uživatele Windows Vista: Váš operační systém neobsahuje po výchozí instalaci Microsoft Telnet klienta a je potřeba si ho doinstalovat nebo použít jiný nástroj.

2. Připojte se k zařízení. Pro zjednodušení budu od této chvíle v návodu používat Microsoft Telnet klienta. Není potřeba ho nijak nastavovat, a tak ho stačí jen spustit a zadávat příkazy.

Do Start -> Spustit vepište příkaz ve tvaru “telnet 192.168.101.1”, kde 192.168.101.1 je IP adresou vašeho routeru.

Pokud se vám nedaří spojit přes telnet, ověřte si přes webové rozhraní routeru, že máte přístup pomocí tohoto protokolu povolený: http://192.168.101.1 -> System Setup -> Services -> Enable telnet access

Poznámka: Doporučuji vše konfigurovat z lokální sítě – tedy nikoliv z WAN. Používat telnet skrz WAN prostředí není bezpečné.

3. Přihlašte se jako administrátor. Výchozí uživatelské jméno je admin. Po zadání jména a hesla stiskněte vždy klávesu Enter.

4. Zjistěte si aktuální stav protokolu spanning tree pomocí příkazu “brctl show”. Stav protokolu je buď yes – zapnuto nebo no – vypnuto.

5a. Dočasné vypnutí STP lze provést příkazem ” brctl stp br0 off”. Zapnutí pak obdobně pomocí “brctl stp br0 on”.

5b. Trvalé zakázání STP zařídíte následujícími dvěma příkazy a restartem zařízení.

“nvram set lan_stp=0”
“nvram commit”
“reboot”