Jak ukrást ICQ informace?

Problematice komunikace prostřednictvím tolik oblíbeného instant messagingu (IM) jsme se na stránkách Lupy věnovali již v několika článcích. Svatý grál počítačové bezpečnosti od pradávna představují hesla všeho druhu a samozřejmě ani oblast IM nemůže být výjimkou. Není proto divu, že s masovým rozšířením této moderní formy dorozumívání začaly vznikat také nejrůznější nástroje a techniky „nabourání“ jednotlivých účtů.

Následující řádky si vezmou na mušku nejrozšířenější IM síť a její nativní klienty různých verzí, řeč tedy bude o ICQ. Po pár tempech zpět proti proudu času zjistíme, že jedinečné identifikátory každého ICQ uživatele (UIN) se do profilových souborů promítaly přímočaře. Pro verze 2002 a starší totiž platí, že všechny relevantní informace jsou k nalezení v souborech s názvem UIN.dat. Uživatel číslo 12345678 tak má svůj seznam kontaktů, heslo a další informace uloženy v souboru 12345678.dat.

Pro vypsání všech potřebných informací lze využít hned několika utilit, které svou práci dobře odvedou ihned po otevření daného .dat souboru. Jedna ze starších variant, která je však k dostání jako freeware, nese název ICQr Information a lze ji stáhnout ze stránek Headstrong.de. ICQr Information kromě „prostého“ zobrazení údajů umožňuje také jejich export do přehledného a dobře strukturovaného HTML souboru:

Novější ICQ klienti již hesla neukládají čistě do souborů s profily, nýbrž pro tento účel využívají registru systému Windows. Je tedy jasné, že pro získání hesel a datových souborů registru systému musí mít případný útočník odpovídající práva. Pokud pak s nimi spustí vhodnou utilitu, získá ze šifrovaných hesel jejich otevřenou variantu během několika málo okamžiků. Heslo v nečitelné podobě lze v registru systému nalézt v klíči s ostatními nastaveními programu, tedy

HKEY_CURRENT_U­SER/Software/Mi­rabilis/ICQ/Ne­wOwners

a jeho podklíčích.

Pokud bychom se opět podívali na odpovídající software dostupný zdarma, pak svůj úkol stoprocentně splní freeware utilita ICQ2003/Lite Password Recovery (download například zde), která plně funguje i s poslední verzí ICQ 5.04:

Překročíme-li hranici oddělující programy dostupné zdarma od jejich placených konkurentů, hlásí se o slovo Advanced IM Password Recovery, asi nejlepší aplikace své kategorie. Jejím výrobcem je společnost ElcomSoft; aplikace dovoluje okamžitě rekonstruovat hesla nepřeberného množství IM klientů, viz screenshot části nabídky aplikace.

Během nové instalace ICQ klienta se můžete setkat s možností volby, zda jej budete využívat výhradně vy, nebo vícero uživatelů. Toto rozhodnutí pak má přímý dopad na to, zda se hesla budou ukládat (první varianta), či nikoliv (typickým příkladem použití může být internetová kavárna). Podrobnějších rozdílů mezi těmito dvěma režimy se můžete dopátrat přímo na stránkách Icq.com.

Další možnost, jak se dostat pod kůži ICQ komunikace, představuje klasický sniffing, tedy čmuchání na síti. Při „vhodné“ síťové architektuře lze na lokální síti využít nešifrovaného komunikačního protokolu pro získání kompletního přehledu o probíhajícím dialogu jiného uživatele. Řada snifferů přímo nabízí možnost filtrování paketů náležejících ICQ spojení, a případný útočník tak nemusí ztrácet čas přehrabováním balastu. Úspěšné provedení takovéhoto man in the middle útoku vede k získání přihlašovacích hesel, možnosti podvržení zasílaných zpráv na obě strany apod.

Kromě použití univerzálních snifferů lze svěřit osud cizí ICQ komunikace také do rukou specializovaných aplikací. Mezi povedené a velice snadno ovladatelné zástupce patří například utilita s výmluvným názvem ICQ Sniffer, kterou lze stáhnout ze stránek Etherboss.com. Zachycená komunikace se zobrazuje přehledně přesně ve formě probíhajícího dialogu a lze ji exportovat i do HTML souboru. Nevýhodou může být poněkud vyšší cena, jež činí 69 dolarů.