"Архив статей"
Пароли в Интернет
Уже масса статей, книг и докладов было посвящено теме безопасности работы
в Интернете. Но я решил пойти дальше и показать, что на самом деле может
сделать рядовой хакер, располагающий начальными знаниями по взлому.
Итак, начнем. Вы, как и любой рядовой пользователь сети, любите посидеть в
чатах и на форумах. При том вы не задумываетесь о том, что это может быть
опасно. Допустим, вы нашли замечательный форум, где есть все, что вам нужно, и
вы решили зарегистрироваться на нем. Что ж, это одобрительно, но есть одно и
существенное "но". Когда вы проходите процесс регистрации, то вам нужно указать
ваш почтовый ящик, чтобы вам прислали пароль либо ссылку для активации вашей
учетной записи на данном форуме.
И что же вы делаете? Не задумываясь, вы спокойно вбиваете имеющийся адрес
электронной почты. Через некоторое время вам прибывает письмо, что вы успешно
зарегистрировались, что команда разработчиков форума рада вас приветствовать и
уверения в том, что ваша информация никуда не исчезнет.
Меня в последнее время очень удивляет беззаботность создателей форумов и
чатов, поскольку они все в один голос утверждают, что их продукт полностью
защищен от всяких покушений злобных хакеров. Так и хочется спросить у них:
"Ребята, вы хоть временами посещаете сайты по электронной безопасности, где уже
давно лежат программы для взлома вашего форума/чата?" Итак, что же мы имеем?
Форум, на котором вы зарегистрировались, и клятвенное убеждение разработчиков,
что он полностью защищен.
А что же имеет хакер? Статьи о PHP и SQL и их уязвимостях; а ведь собственно
с помощью PHP пишется большинство форумов, а SQL используется для создания баз
данных, в которых содержится вся информация, которую вы указали при регистрации
на форуме. В последнее время стали распространены форумы phpBB и MyBB, и хотя
эти форумы создают не чайники, а целые группы разработчиков, не проходит и
недели, как появляется новая информация об ошибках в исходном коде.
Соответственно, хакер производит взлом форума, о чем его владелец даже не
подозревает.
Особенно часто взламываются форумы, находящиеся на недавно построенных
сайтах. Поскольку создатели этих сайтов зачастую люди не имеющий опыта, но уже
пытающиеся прыгнуть выше своей головы, то они сразу ставят всяческие форумы,
доски объявлений, гостевые книги и т.п. Нередко эти форумы не настроены должным
образом, что облегчает задачу хакера при их взломе. Характерными ошибками таких
сайтов является вероятность ввести в поля "имя пользователя" и "пароль" строку "admin",
и мы тут же перехватываем управление форумом и делаем с ним, все что захочется.
Хорошо, если хакер попался добрый и он просто изменил вид форума, но бывают
хакеры любознательные, они как раз похищают базу данных, в которой хранится
информация о пользователях - имя пользователя, пароль и e-mail.
Давайте на время отклонимся от темы статьи и вспомним, а что же хранится в
почтовом ящике? Ну, во-первых, частная переписка. Я думаю, никому не будет
приятно, когда читают его письма. Во-вторых, пароли от кое-каких сервисов, т.е.
тех же форумах, ICQ и т.д. В-третьих, СПАМ. Я эдак думаю, СПАМ хакерам не
интересен, а вот личная переписка, а тем более пароли, точно должны бы их
заинтересовать. Так что же происходит? Хакер знает ваш e-mail и, соответственно,
возможно захотет его взломать.
"Ну и пускай, у меня суперпароль" - скажете вы. Позвольте вам возразить,
существует масса способов не просто взломать, а обойти пароль. Самый простой из
них - воспользоваться имеющейся опцией "Восстановление пароля через секретный
вопрос", такая опция дается крупными почтовыми сервисами, такими как Mail.ru и
Yandex.Почта. Как правило, пользователь в строку "Ответ на секретный вопрос"
строчит первое, что приходит на ум. Соответственно, и хакер вполне может угадать
ваш ответ. Самый простой пример: Вопрос - Мое любимое блюдо; Самый популярный
ответ - пельмени. Или многие любят комбинации - 111, qwerty, admin и, конечно
же, hacker. Даже если хакер не захочет отвечать на ваш секретный вопрос, он
просто может воспользоваться особой программой для перебора паролей, благо в
сети их множество.
Работать с такой программой очень просто - указываем адрес почтовика, имя
пользователя или адрес ящика, указываем способ поиска пароля - и вуаля через
некоторое время пароль у нас на блюдечке. Самая популярная программа для
перебора паролей - это DukeNN Mail Bruter 3.03, который позволяет подобрать
пароль для таких сервисов, как Mail.ru, Yandex, Rambler, Yahoo, Inbox.ru и т.д.
При этом программа может перебрать пароль массой способов. А сама процедура
редко занимает более часа.
Кстати, хочу заметить - я не зря начал разговор с форумов и чатов; с помощью
этой базы данных можно узнать ваш пароль. Большинство пользователей применяют
один и тот же пароль и для почтового ящика, и для чата, и для форума. Что,
разумеется, упрощает взлом и завладение вашим e-mail. Так, многие хакеры перед
тем, как активизировать перебор паролей, подставляют пароль, найденный на
форуме. В итоге, у хакера на руках: ваша частная переписка, имя пользователя и
пароли к сервисам. Хорошо, если среди паролей не встретится пароль на сервис
WebMoney или другие платежные системы, иначе вы можете лишиться всех ваших
вкладов. В принципе, хакер может также воспользоваться ваши паролями для взлома
других форумов и чатов, а также завладения некоторой информацией о вас. Еще один
вариант - это употребление почтового ящика для рассылки СПАМа, и если это
произойдет, вы потеряете ваш адрес навсегда. Хорошо, если под атакой оказался
элементарный домашний пользователь. С предприятиями ситуация гораздо
безнадежнее.
Так как у многих организаций сейчас появился выход в Интернет, большинство
сотрудников стало общаться в чатах и разнообразных службах знакомства. Зная, что
многие предприятия пожадничали на заработную плату системного администратора,
можно сказать, что почта опять-таки не защищена. Предположим, что хакер нашел
e-mail бухгалтера или менеджера, а соответственно после кое-какого времени он
получит доступ ко всей информации на компьютере, такой как счета, засекреченная
служебная информация, накладные и т.д. С компьютера пользователя можно
приобрести доступ к главному серверу предприятия, на котором может располагаться
все, что угодно. Думаю, конкуренты договорятся выложить круглую сумму для того,
чтобы узнать о вашем предприятии все.
Что же делать для того, чтобы описанное выше не случилось? Ну, во-первых,
нужно приучить себя к тому, чтобы не использовать одинаковые пароли. Кстати, о
паролях, идеальный пароль должен заключать большие и маленькие буквы, цифры, а
также, если это позволено, технические символы, типа запятых и скобок. И
запомните, чем длиннее пароль, тем продолжительнее он будет защищен от взлома.
Но тут есть одно неудобство - длинные пароли трудно запоминать, и велик соблазн
записать на бумажку, которая по закону подлости потеряется. Но программисты нас
выручили, сочинив программы для генерации и хранения паролей. Так, например,
программа LexxPossPass позволяет сгенерировать пароль всякой сложности, а
SCARABAY дозволит сохранить ваш пароль в надежном месте. Также встроенные
менеджеры паролей встречаются сейчас во многих браузерах, например, в FireFox. И
даже если их нет, то есть надстройки, в которых и исполняется механизм
сохранения и защиты паролей.
Для тех же, кто не хочет доверяться программам, есть еще один способ
придумать замысловатый пароль. Я думаю, что у каждого есть обожаемые афоризмы,
анекдоты или просто шутки - вот их мы и будем использовать в качестве пароля.
Можно также использовать разнообразные формулы из школы или ВУЗа. У такого
способа один недостаток - необходимо все вводить вручную, что потребует
кое-какого времени. Во-вторых, ответы на секретные вопросы не должны быть
стандартными, лучше посидеть, поломать голову над вопросом и ответом, чем
поплатиться от потери всей ваши переписки. В-третьих, рекомендую настроить и
пользоваться типовыми почтовыми средствами, а не хранить переписку в on-line
папках. Благо, в наше время есть очень хорошие программы, например, The Bat,
Mozilla Thunderbird. В-четвертых, если есть возможность, приобретите отдельный
ящик для чатов и форумов. Эти простые шаги помогут вам добавить препятствий
хакеру на пути к вашей информации, но не смогут полностью защитить ваш
компьютер.
Вы находитесь на странице: Архив статей.
Рекомендую также посетить раздел: Скачать бесплатно книги, учебники, самоучители, руководства
|
