Dešifrování FTP hesel v Total Commanderu

MyEgo.cz

home foto blogy mywindows.cz kontakt

Dešifrování FTP hesel v Total Commanderu

Bezpečnost 26.12.06

Total Commander je bezkonkurenčně nejlepší správce souborů, a to nejen pro Windows. Ani na tradičně silném (pro správu souborů) Linuxu se nenajdou lepší alternativy, ať už se díváme na Krusader, Gnome Commander, MC, FAR, Salamander pro Windows, vše je o třídu horší.

Na první pohled příjemná funkce Total Commanderu je také integrovaný FTP klient, nicméně, pokud vám záleží na bezpečnosti, jeho použití bych silně nedoporučil. Hesla na FTP si totiž Total Commander ukládá tak, že je snadné je během setiny sekundy dešifrovat (poznámka pro Frantu: ano, jde to i jinak a lépe, solidní FTP klienti umí interní databázi hesel šifrovat pomocí privátního klíče, či alespoň hesla). Slouží na to 18KB velký freeware prográmek FTP password decrypting tool 1.2.

Do tohoto prográmku musíte zadat hash hesla. Tento hash naleznete v souboru c:\windows\wcx_ftp.ini. Následně stisknete tlačítko Decrypt Password a máte ihned plain-text heslo.

Pokud to s FTP přenosem na internetu myslíte vážně, stejně musíte používat SFTP (třeba přes SSH2), a klienta jako je GlobalScape CuteFTP či jiné, kteří šifrují samotné heslo na PC pomocí AES, a pomocí SSH2 následný přenos dat.

dešifrování FTP hesel v Total Commanderu je snadnédešifrování FTP hesel v Total Commanderu je snadné

Komentáře

  1. 1 fanky 26.12.06, 12:12:46
    FB

    Osobně jsem o tomto prográmku věděl, FTP na Totalu využívám, jelikož i kdyby někdo prolomil moje heslo, nebude to taková potíž, jelikož tam nemám žádné extra důležité věci. Pro mnohé to však jistě bude velmi užitečná a i překvapivá informace a začnou třeba používat bezpečnějšího FTP klienta.

  2. 2 bukaJ 26.12.06, 12:12:50
    FB

    Na FTP a další hesla používám KeePass. Velice se osvědčil. Dokud jsem neznal tento prográmek, používal jsem Asterisk Logger, který prohledá všechny objekty GUI a políčka s heslem odhalí, ani nemusí být zobrazená, stačí, že jsou v paměti - to je také slabina TC.

  3. 3 Radek Hulán 26.12.06, 12:12:51
    FB

    [1] hlavní použití je stejně pro majitele TC, kteří tam 5 roků dozadu zadali nějaké heslo, a už netuší jaké ;-)

  4. 4 Tomáš Martínek 26.12.06, 01:12:12
    FB

    [3] můj případ :( Díky za tip ;)

  5. 5 maty 26.12.06, 02:12:54
    FB

    Ahoj. Chcel by som sa spýtať či to ide aj s Operou teda získat heslá ktoré má v sebe uložené. Alebo inak či je bezpečné mať uložené heslá v Opere. Za odpoveď vďaka.

  6. 6 JirkaK 26.12.06, 08:12:22
    FB

    Pro 'zapomětlivce' je možno použít i prográmek "Windows (Total) Commander FTP Password Ripper v1.4".
    Po spuštění si sám najde TC a v přehledné tabulce vypíše.
    Sám jsem jej musel jednou použít. :-)
    Holt už nejsem nejmladší. ;-)

  7. 7 Miroslav Navrátil 26.12.06, 10:12:23
    FB

    Já zase začínám mít chuť zašifrovat kompletně celý disk... A hrozně... ;-)

  8. 8 Onecar 26.12.06, 10:12:38
    FB

    Jo tak tohle znám už hodně dlouho. Navíc se tak dají i hackovat weby, stačí na DC++ hledat onen soubor a doma si ho v klídku dešifrovat :-).

  9. 9 numero 26.12.06, 10:12:46
    FB

    No, k memu PC chodi jen mamka a to jednou za tyden, takze se toho nebojim. Asi bych zkusil/pouzival ten CuteFTP, ale kdyz jsem se podival na cenu. (nerikam ze jsem vsechen software koupil, ale omezil jsem nekoupeny jen na nutne minimum)

  10. 10 Lucifer 26.12.06, 11:12:07
    FB

    [3] No, to se mi bude docela hodit. :D
    Díky.

  11. 11 Japan 26.12.06, 12:12:14
    FB

    Další slabinou FTP na TC je, že stačí překopírovat wcx_ftp.ini (například na počítači kamaráda na svůj USB disk) do jiného TC a všechna FTP i s hesly fungují. Dobré pro rychlou migraci třeba na nový počítač, špatné pro bezpečnost.

  12. 12 Michal 26.12.06, 12:12:18
    FB

    Možná se někomu bude hodit softík I Forgot, který převádí formulářová pole ve WIN do čitelný podoby.

  13. 13 Lister 26.12.06, 01:12:24
    FB

    Jenom drobnost: Nejedná se o hash toho hesla. Je to prostě jen zakódované (nějak). Kdyby to byl skutečně hash, tak už to heslo z toho jen tak (prakticky vůbec) nejde dostat,

  14. 14 Dave 26.12.06, 01:12:27
    FB

    [3] Přesně tak, nedávno po mě chtěl jeden spolupracovník přístupy na společný projekt. No a než bych našel hesla někde ve starým mejlu tak je toto užitečnější.

  15. 15 Miroslav Navrátil 26.12.06, 02:12:38
    FB

    A jde WCX_FTP.INI dát na jiné místo?

  16. 16 Libor Foltýnek 26.12.06, 03:12:00
    FB

    Napadá mě - což takhle mít wcx_ftp.ini zašifrovaný pomocí EFS? Druhá věc: aby se někdo dostal k těm heslům, musí mít fyzický přístup k počítači, tzn. v práci to není dobrý nápad, ale doma... Osobně dávám přednost pohodlí oproti paranoie, ale jinak díky za upozornění. Že to je až tak snadné, jsem nevěděl.

  17. 17 Radek Hulán 26.12.06, 03:12:11
    FB

    [7] vyhledej si na tomto webu PGP Whole Disk Encryption (WDE)

  18. 18 Jakub B 26.12.06, 03:12:20
    FB

    [15] jistě že jde. Někde v nastavení je možnost umístění config souborů a tam už si vybereš cestu

  19. 19 zita 26.12.06, 06:12:12
    FB

    [9]
    Pouzivam WINSCP http://winscp.net/eng/docs/lang:cs je zadarmo.

  20. 20 Jarek Jesenský 26.12.06, 06:12:42
    FB

    [8] Pokud je někdo tak hloupý, že sdílí na DC++ přímo pravidly zakázané adresáře typu C:/Windows, tak se pak nemůže divit, jestli se mu někdo dostane na FTP a pod.

  21. 21 Jarek Jesenský 26.12.06, 06:12:46
    FB

    Pokud máte Radku program Total Commander v takové oblibě, nebylo by napřed lepší autora na uvedený nedostatek přímo upozornit, než tady poskytovat lamám návod na "hackování" cizích hesel?

  22. 22 God.zilla 26.12.06, 08:12:25
    FB

    Na co byste chtěl autora upozorňovat? Vždyť bez použití hlavního hesla (podobně jako nabízí např. Firefox) šifrované být nemůžou. Přepsání do sekvence alfanumerických znaků se používá jen proto, aby nebylo heslo přímo čitelné z konfiguráku.

  23. 23 Jarek Jesenský 26.12.06, 10:12:16
    FB

    [22] Nejsem programátor, takže přemýšlím z pohledu běžného uživatele.
    Má-li program Radkem kritizovanou slabinu (která může být v případě potřeby přenesení na jiný PC výhodou), mohl by dle mého laického názoru autor zabudovat opatření, které výhodu (možnost exportu/imporu nastavení včetně hesel) ponechá, ale opatrnějším uživatelům zacházejícíc s důležitými daty (firemní FTP a pod.) nabídnout nápravu, např. v podobě hlavního hesla, bez kterého budou alespoň nepovolaným amatérům příslušné konfigurační soubory a drobné dekryptovací prográmky k ničemu.

  24. 24 bezny_franta_uzivatel 26.12.06, 11:12:12
    FB

    Radku, si boží ;-), ale mám dojem, že nie je celkom zrejmý principiálny rozdiel (a účel) medzi asymetrickou kryptografiou používanou pri SFTP protokole, a ukladaní hesiel v total commanderi. Zapamätané heslá sú totiž vecou aplikácie, a prenos hesiel je vecou protokolu.

    Je to taká istá blbosť, ako keď niekto považuje heslo v BIOSE za dostatočnú ochranu dát na HDD, pričom jej prelomenie považuje za bug hodný samostatného článku.

  25. 25 bukaJ 27.12.06, 01:12:10
    FB

    [12] Jak jsem výše uváděl (a nyní doplním i linkem), mám v oblibě Asterisk Logger. Výhody: prohledává GUI a hesla zobrazuje i ve svém okně. A netřeba jej instalovat.

  26. 26 Martin Fraňo 27.12.06, 09:12:07
    FB

    Rado, zjemnuješ? "Ani na tradičně silném (pro správu souborů) Linuxu". Zdôraznujem kombináciu slov silnú a linux. Vôbec si nemyslím, že by bol linux v správe súborov silný. Nexistuje žiadna kvalitná aplikácia na spôsov Index Search z Windows Vista, Microsoft Windows (live) Index Desktop Search. Samotný "windows manager" je v tomto smere nanič, či už v gnome, kde.

    K šifrovaniu. Nemyslíš, že už je to určitý druh paranoje?

  27. 27 Mlog 27.12.06, 11:12:01
    FB

    No vidíš a tento bezkonkurenčně nejlepší správce souborů nemá ani SFTP. ;-)

    Zato já si jej užívám pomocí pluginu v SS. Plugin je i pro TC, ale musí se instalovat zvlášť.
    [5] To víš že to jde, ale stačí si nastavit Master Password a už máš hesla kvalitně šifrovaná.

    [8] Tomu se pak nedá říkat hacking.

  28. 28 rfree 28.12.06, 01:12:22
    FB

    [26] Tohle není přece pravda, Rado má jednoznačně pravdu že Linux je silný co se týká správy souborů. Podívej se třeba na Konqueror - Síťová transparentnost, FTP, Fish protokol, tabbed file-browsing, přímé otevírání archivů, konvertování obrázků,... je toho spousta. Gwenview je skvělý pro prohlížení obrázků kdekoliv.
    A co se týká indexace je tady třeba Beagle.

  29. 29 Marekzprahy 30.12.06, 12:12:21
    FB

    Nedávno jsem potřeboval zjistit heslo, které jsem měl uložené jenom v jednom FTP klientovi zašifrovaně. Nenapadlo mě nic jednoduššího než pustit wireshark (etercap) a přečíst si zapomenuté heslo rovnou z packetu. Je to univerzální a jednoduché, navíc Wireshark se hodí i na spoustu jiných věcí (a nemusí to být jenom škodlivé aktivity :-D).

  30. 30 Keff 30.12.06, 12:12:45
    FB

    [5] Na operu se někde na netu pohybuje bookmarklet co odhalí heslo (týká se to hesel z wandu k jednotl. www stránkám). Hledej, funguje:).

  31. 31 StandaT 16.01.07, 10:01:23
    FB

    Máte svá hesla v bezpečí?

    prográmek pro Operu se jmenuje "Unwand"

  32. 32 Tomáš Bílý 12.03.15, 10:03:38
    FB

    tak sice pár let po tom, co toto vlákno "umřelo" ale jenom bych se podělil o svou zkušenost... NIKDY NEPOUŽÍVEJTE NA FTP cracknutou verzi TOTAL COMMANDERA !!! shodili mi takto jeden web... (smazali pouze INDEX.PHP a nahradili jej svým... ) od té doby používám legální verzi FlashFXP - výborný klient a příležitostně na jiném PC používám FileZillu