Блокируем утечку паролей с компьютера пользователя

Это статья специально для тех, кто думает о безопасности и хочет защититься от кражи паролей и личной информации со своего компьютера.
Любимой и самой заманчивой целью авторов-программистов троянов являются ваши пароли(особенно от кошельков интернет валюты),  хранящиеся на хорд диске Вашего компьютера. В этой статье мы подробно рассмотрим один из наилучших способов предотвращения воровства паролей, а именно в случае если пользователь случайно запустил на своем компьютере троянскую программу.
Придумываем самый распространенный метод!
Дано:
Вы сервис-инженер по информационной безопасности. Вы проверяете компьютер пользователя. У него стоит The Bat!, Edialer, ICQ и Total Commander.
Одна из главных ваших задач:
Это зделать так, чтобы все пароли, лежащие на локальном жестком диске пользователя, при всем желании украсть не удалось, как бы пользователь не старался запуская трояны и тому подобное…
Решение:
Предлагается одно из решений, при помощи какой-либо утилиты разрешить доступ к паролям пользователя только программам The Bat!, Edialer, ICQ и Total Commander. которые непосредственно пользуются этой информацией, а всем другим программам этот доступ блокировать.
Наши инструменты !

Нашими инструментами будут следующие программы:
•    File monitor - монитор файловой системы
•    Registry Monitor - монитор реестра Windows
•    PassView от команды Nht – просмотрщик дешифратор паролей
•    Safe'n'Sec - система блокирования атак уровня хоста

Весь этот софт удобно будет записать на флешку. Когда вы будете у пользователя за компьютером, то вам необходимо будет установить только Safe'n'Sec на компьютер. Весь остальной софт запустится прямо с флешки. С точки зрения стоимости ПО, заплатить придется только за программу Safe'n'Sec. Весь остальной софт бесплатный и будет использоваться только для настройки и тестирования.
Демонстрация нашего метода!
Итак, про почту из программы TheBat! , она хранит пароли прямо рядом с письмами. Эту папку мы задаем при установки и настройки TheBat! и путь к этой папке всегда хранится в реестре Windows.
Эти пароли  защищены очень плохо, и найти их легко. Можно просмотреть, например, при помощи утилиты Pass View. (Она у нас будет изображать работу нашего трояна.) Итак давайте пробовать!. Запускаем программу Pass View и смотрим, что она смотрит пароли очень многих известных программ: Far, Outlook, The Bat!, Odigo, Edialer, Total Commander. Для профилактики  показываем эти пароли пользователю.
Смотрим на лицо пользователя - видим, как улыбка исчезает с его лица. А ведь он позвал вас именно по этому поводу. Начинаем расспрашивать как было дело и слышим, что он вчера запустил свежий и очень нужный апдейт от Микрософта, присланный ему ВАМИ (он же не знает, что обратный адрес можно подделать) и после этого почему-то кто-то сменил все его пароли и котрольные вопросы на его бесплатные почтовые ящики... Радуемся, что, слава богу, на корпоративном почтовом сервере, вы закрыли доступ по POP3 и IMAP4 и HTTP извне и никто не смог ни прочитать его почту, ни сменить пароль.
Иногда возникает ситуация, что путь к паролям неизвестен. Для этого можно использовать программу Filemon, чтобы посмотреть какие пути открывает приложение, или программу RegMon, чтобы посмотреть какие пути реестра читаются приложением. Некоторые программы хранят пароли в реестре.
Попробуем проверить это. Запускаем RegMon и FileMon, настраиваем фильтр и заставляем их выдавать информацию о программе PassView. Затем запускаем сам PassView, переходим на вкладку The Bat и видим, что сначала PassView лезет в реестр, чтобы узнать, где лежат пароли. Находит там путь "C:\den\mail":