информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Портрет посетителяSpanning Tree Protocol: недокументированное применениеАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / разное
БИБЛИОТЕКА
вход в библиотеку
книги
безопасность
программирование
криптография
internals
www
телефония
underground
беллетристика
разное
обзор: избранное
конкурс
рейтинг статей
обсуждение




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон




Хакеры?
Werwolf
Опубликовано: dl, 15.05.01 00:00

февраль - несколько европейских пользователей финансовой программы Quicken, активировавших на своих машинах ряд ActiveX-Controls, с каждым своим переводом денег через Интернет начинают терять 5-10 долларов, автоматически уходящих на никому не известные счета. Очень немногим и не сразу приходит в голову мысль проверить сумму перед нажатием Enter.

апрель - посетителям www.sexygirls.com, предлагается загрузить некую программу, позволяющую более комфортно просматривать архивированную графику. После загрузки файлов david.exe или david7.exe, управление модемом перехватывается хорошо скрытым "троянцем". Следующий же телефонный счет за многочасовую связь с Молдавией, вызывает искреннее, но слишком запоздалое изумление.

октябрь - немецкие клиенты Telekom Online получают E-Mail от мифического "webservice. Abteilung23", с якобы апдейтом программного обеспечения для выхода в онлайн. И... , усердно инсталлируют его на своих машинах.

ноябрь - один из знакомых в Бельгии скачивает через Интернет необходимый ему документ. Через пару дней солидная организация с досадой обнаруживает на большинстве своих компьютеров "WM Cap".

Всего несколько мелких случаев из массы подобных, но надеюсь общую закономерность вы уже уловили.

Да ! Пользователь зачастую сам для себя страшнее любого "хакера".

Уже стало аксиомой, что "жизнь" в Интернете не может быть лучше или хуже жизни реальной, со всеми её прелестями и проблемами. И наивно было бы полагать, что неписаные правила и законы Сети чем-то отличаются от тех, которыми вы руководствуетесь в повседневном существовании. За исключением, пожалуй, специфики контакта с внешним миром.

Именно об этом и хотелось бы поговорить. Не буду здесь затрагивать проблем связанных с "серьезной" безопасностью, реальными методиками нападения, дырами в браузерах и защите от них. Все нижесказанное ориентировано исключительно на стандартного, не отягощенного фундаментальными знаниями, пользователя. Профессионал не найдет здесь для себя ничего нового и, надеюсь, будет лишь солидарен с моей точкой зрения.

Несмотря на то, что на каждом углу кричат о "нападениях хакеров", "разгромленных серверах" и коварных "троянцах", основная масса потерь, на мой взгляд, проистекает от собственной неосмотрительности, а порой и глупости (да простят меня юзеры).

Никому не приходит в голову отдать первому встречному на улице ключи от своей квартиры. Мало кто пылает желанием раздаривать свои кредитки или гулять поздно вечером по темным подворотням. Другое дело в Сети, создающей обманчивое и опасное ощущение выхода за привычные рамки взаимоотношений, ежедневно приводящее к финансовым потерям, проблемам и досадным недоразумениям. Старое доброе криминологическое понятие виктимности столь же актуально для компьютерной преступности, как и для любой другой её разновидности.

Противостоять нападению профессионала очень и очень сложно, уж поверьте. Хорошо продуманная, организованная атака практически всегда приводит к желаемому результату ;-). По признанию одного из членов "Tiger Teams" : " ... в 90 случаях из ста мы добиваемся желаемого результата!" Так что, считайте это неизбежным злом и утешайте себя мыслью о том, что вы вряд ли когда-либо заинтересуете профессионала.

Но уберечься от самого себя, как ни парадоксально, оказывается для многих ничуть не легче.

А ведь казалось бы, все так просто - лишний раз проверить, нет ли чего "лишнего" в пришедшей к вам электронной почте, не разбрасываться номерами своих кредитных карточек, внимательнее проверять счета и не тянуть из Сети все, что не попадя на свою машину. Для этого вовсе не обязательно знать и понимать, что такое "DNS-Spoofing", "IP-Hijacking" и "Racing Authentication". Я не ратую за ненужную подозрительность и взгляд на всё исподлобья, но порой доверчивость юзеров изумляет. Чего стоит массовая любовь к анонимным ремейлерам, хотя всюду давно и подробно описано кем и зачем они финансируются. Сколько раз приходилось сталкиваться с тем, что многие просто не понимают содержимого "readme", только потому, что оно написано по-английски, но кнопка "I Agree" жмется при этом без лишних душевных терзаний.

Вытягивая из Сети бесплатную игрушку или просто понравившуюся утилиту, если вы не программист, то будьте хотя бы готовы к тому, что кроме своих прямых функций, она может выполнять еще массу "заданий" своего создателя. И отнюдь не всегда это будут невинные шалости - многим надеюсь еще памятна история с "PKZIP 3.00B", который "уплотнял" данные не методом компрессии, а агрессивно освобождал место на вашем жестком диске, просто стирая ненужные, по его мнению файлы. Вовсе необязательно быть профессионалом, дабы понять, что бесплатный сыр, как правило размещается в мышеловках. Фальшивые дополнения ко всеми любимому Dr.Web, периодически всплывающие на разных BBS, по прежнему пользуются популярностью, несмотря на регулярные предупреждения "АО Диалог Наука".

Часто достаточно только следовать правилам пользования корпоративной Сетью в офисе, и вы избавитесь от массы потенциальных проблем. Но постоянно находятся "умельцы", прячущие модем в ящик рабочего стола и при этом считающие себя гениями. Ненадолго, всего лишь на время сконфигурированный прямой выход в Интернет, в обход Firewall, мешающей интересным лично для вас Video-Streaming или Webcasting, конечно придаст вам авторитета в глазах коллег. Но во что могут обойтись фирме подобные шалости, как правило не принимается во внимание. Как ни грустна статистика, но в 70 процентах от всех случаев компьютерного саботажа за этим стоят сами сотрудники фирм, вольно или невольно способствующие образованию бреши в системах защиты.

Большая часть известных скандалов с Homebanking вызвана неосторожными действиями клиентов, либо их домочадцев. Если уж вы имеете неосторожность вести ваши банковские операции через рабочий компьютер, то по меньшей мере рассчитывайте на то, что все ваши коллеги потенциально в состоянии ознакомиться с вашим счетом.

Немало бед приносит и неистребимая наша страсть к "халяве". По данным за 1995 год, доля ворованного программного обеспечения в России составляла 96 процентов от всего используемого, что позволило нашей стране выйти на второе место после Словакии. Содержимое этих носителей, зачастую само по себе небезобидно. Ситуация за последнее время несколько "улучшилась", но по прежнему CD "из киоска за углом" продолжают оставаться надежными вирусоносителями. На двух компакт-дисках, привезенных мне позавчера из Москвы, четыре вируса чувствуют себя вполне уютно, из них один "троянец", отслеживающий сетевые пароли.

Закончившийся 29.12.97 в Гамбурге "14 Hacking Congress" продемонстрировал, что многие из новых методик и способов атак на рядового пользователя реализуемы, прежде всего, с его собственного попустительства.

И в заключение - на мой взгляд, гораздо больше пользы для нормального пользователя принесли бы не бесконечные опусы во всех средствах массовой информации, описывающие "хакерские подвиги" (коих на самом деле их не так уж много), а советы и рекомендации примитивных средств защиты, изложенные понятным даже для рядового юзера языком.

обсудить  |  все отзывы (0)

[5410; 2; 4]




Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach