شما هم جز همان افرادی هستید که در طول روز بارها و بارها از طرق مختلف به اکانت های متعدد خود از جمله؛ جی-میل، یاهو، اتوماسیون، وبلاگ و… وارد میشوید و بسیاری از این ورودها را بر روی سیستمی غیر از سیستم شخصی خود (سیستم دوستان، محل کار، کافی نت) انجام میدهید؟! احتمالاً پاسخ شما مثبت است اما با افتخار میگویید که «هم تیک ذخیره نشدن پسورد را میزنم و هم در انتها از حساب کاربری خود خارج میشوم. پس جای نگرانی وجود ندارد!»
اما حقیقت بسیار نگران کننده است. در مطلبی که پیش رو دارید درباره یکی از روشهای بازیابی و افشای اطلاعات ورود به حسابهای کاربری میپردازیم. این روش یکی از روشهای متداول Computer Forensic (پزشکی قانونی کامپیوتری) در صحنه جرم نیز میباشد. اما نیازمندیهای ما؛
1- یک ادیتور هگزا دسیمال مانند WinHex یا HexWorkshop
2- یک ذخیره کننده RAM مانند Dumpit Tool
3- یک سیستم قربانی!
در ابتدا بهتر است نقش قربانی را بازی کنیم، پس یک مرورگر دلخواه را باز کرده و به یک یا چند حساب کاربری خود (به عنوان مثال به اکانت وردپرس و جی-میل) وارد میشویم. پس از وارد کردن نام کاربری و کلمه عبور، به درخواست مرورگر مبنی بر ذخیره کلمه عبور پاسخ منفی میدهیم.
پس از لود شدن حساب کاربری مذکور، به بخش Sign out رفته و از حساب کاربری خود خارج میشویم و سپس مرورگر را نیز میبندیم. حتماً از خود میپرسید؛ «پس تا کنون همیشه نقش قربانی را داشتهام؟!» پاسخ بسیار نزدیک به «بله» میباشد؛ اما به راستی چه خلأ امنیتی در پشت این عملکرد به ظاهر امن نهفته است؟
برای پاسخ بالا، از نقش قربانی خارج و در نقش یک هکر و یا یک پلیس بخش امنیت در صحنه جرم ظاهر میشویم. نرمافزار Dumpit را بر روی سیستم قربانی اجرا و در پاسخ به شروع ذخیرهسازی حافظه موجود در RAM، Y را تایپ میکنیم. بلافاصله فایلی با پسوند raw در پوشه فایل dumpit.exe ایجاد میشود، صبر میکنیم تا پیام موفق بودن ذخیرهسازی را در محیط کنسولی Dumpit دریافت کنیم. حجم فایل raw ساختهشده برابر با میزان حافظه RAM دستگاه (در اینجا حدوداً 3 گیگ) میباشد که حاوی مطالب بسیار ارزشمندی از لحظه روشن شدن سیستم تا کنون میباشد.
از نرمافزار Dumpit خارج شده و فایل raw ایجادشده را در ادیتور WinHex باز میکنیم. سطر و ستونهای متعدد از اعداد هگزا دسیمال در نگاه اول گیجکننده به نظر میرسد. در بخش view یا با زدن F7 گزینه Text Display only را انتخاب میکنیم. سپس به بخش جستجوی WinHex (که با آیکون دوربین نمایش داده میشود) رفته و به جستجوی حوادث اتفاق افتاده در سیستم میگردیم، به عنوان مثال با جستجوی واژه pwd یا passwd و خواندن متن دنباله آن در RAM ذخیرهشده میتوانیم کلیه کلمات عبور واردشده را بازیابی کنیم. شکل زیر نام کاربری و کلمه عبور اکانت وردپرسی را که در ابتدا در نقش قربانی وارد کردیم را نشان میدهد. باید توجه داشت که بازیابی کلمه عبور و سایر مشخصات امنیتی در صورت عدم استفاده از پروتکل ssl (مانند اکانت وردپرس در شکل زیر) بدون نیاز یه رمزگشایی انجام خواهد شد، اما در صورت استفاده از پروتکل ssl باید به مراحل فوق، رمزگشایی را نیز اضافه کنیم، که کمی کار را طولانی تر یا پیچیده تر میکند (مانند اکانت جی-میل).
به همین صورت و با جستجوی کلمات کلیدی دیگر میتوان از RAM دستگاه قربانی که دیگر فرار نبوده و در یک فایل raw ذخیره شده است، اطلاعات بسیار مهمی را برای کشف حقیقت استخراج و به دادگاه ارائه کرد. با توجه به مطالب گفته شده، به نظر شما بزرگترین اشتباه یک نیروی پلیس در صحنه جرمی که یک سیستم روشن نیز در آن حضور دارد چه میتواند باشد؟
بسیار عالی و حرفه ای. ممنون از مطلب خوبتون
خواهش میکنم، ممنون از همراهیتون.
نهههههههه 🙁 🙁 🙁
چرا نه؟ این اطلاعات خیلی وقتها مفید واقع میشوند برای پلیس.
چون من تاکنون همیشه نقش یک قربانی رو داشتم 😀
منم که خلافکار … 😉
نگران نباشید همه ماخیلی وقتها خیلی جاها پسوردمون را جا گذاشتیم! 🙂
موضوعات امنیتی در نوع خودشون خیلی جذابن.ممنون
خواهش میکنم، با تشکراز همراهیتون.
آقای دکتر صابری، بسیار ممنون و متشکرم از اینکه این همه اطلاعات و تجربیات مفید و شایسته توجه را به این صورت کاملاً ساده و رایگان در اختیار دوستان قرار می دهید. فکر کنم بزرگترین اشتباه یک پلیس درواقع خاموش کردن سیستم قربانی و ارسال سیستم به پایگاه پلیس به منظور کشف اطلاعات باشه که باعث از بین رفتم اطلاعات صحنه جرم باشه !!
خواهش میکنم جناب آقای علوی عزیز، لطف دارید.
دقیقا همین طور که فرمودید بزرگترین اشتباه پلیس همین میتونه باشه، که خیلی مواقع متاسفانه به دلیل عدم وجود نیروهای پلیس کامپیوتر فارنسیک این اتفاق در صحنه جرم روی میده.
پس یادمون باشه پلیس که اومد کامپیوتر رو خاموش کنیم ودر بریم 😀
دقیقا بهترین کار همینه 😉 🙂
امروز که خیلی خوشم اومد. عالی بود . خیلی خوشخیال بودیم !!!!
وای پسوردام. مامااااااااااااااااااااااااان
جناب دکتر بنظر شما رفرش کننده های رم باعث حذف این اطلاعات میشوند؟