информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Сетевые кракеры и правда о деле ЛевинаПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / разное
БИБЛИОТЕКА
вход в библиотеку
книги
безопасность
программирование
криптография
internals
www
телефония
underground
беллетристика
разное
обзор: избранное
конкурс
рейтинг статей
обсуждение




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон




Пароли в Интернет: взгляд изнутри
Lesnoy_chelovek
Опубликовано: dl, 20.02.06 02:29

Уже множество статей, книг и докладов было посвящено теме безопасности работы в Интернете. Но я решил пойти дальше и показать, что на самом деле может сделать рядовой хакер, обладающий начальными знаниями по взлому. Итак, начнем.

Вы, как и рядовой пользователь сети, любите посидеть в чатах и на форумах. При этом вы не задумываетесь о том, что это может быть опасно. Допустим, вы нашли просто замечательный форум, где есть все, что вам нужно, и вы решили зарегистрироваться на нем. Что ж, это похвально, но есть одно и существенное "но". Когда вы проходите процесс регистрации, то вам необходимо указать ваш почтовый ящик, чтобы вам прислали пароль либо ссылку для активации вашей учетной записи на этом форуме. И что же вы делаете? Не задумываясь, вы спокойно вбиваете существующий адрес электронной почты. Через некоторое время вам приходит письмо, что вы успешно зарегистрировались, что команда разработчиков форума рада вас приветствовать и уверения в том, что ваша информация никуда не пропадет.

Меня в последнее время очень удивляет беспечность создателей форумов и чатов, поскольку они все в один голос утверждают, что их продукт полностью защищен от всяких посягательств злобных хакеров. Так и хочется спросить у них: "Ребята, вы хоть иногда посещаете сайты по электронной безопасности, где уже давно лежат программы для взлома вашего форума/чата?" Итак, что мы имеем? Форум, на котором вы зарегистрировались, и клятвенное заверение разработчиков, что он полностью защищен. А что имеет хакер? Статьи о PHP и SQL и их уязвимостях; а ведь именно с помощью PHP пишется большинство форумов, а SQL используется для создания баз данных, в которых хранится вся информация, которую вы указали при регистрации на форуме. В последнее время стали распространены форумы phpBB и MyBB, и хотя эти форумы создают не новички, а целые группы разработчиков, не проходит и недели, как появляется новая информация об ошибках в исходном коде. Соответственно, хакер проводит взлом форума, о чем его владелец даже не подозревает. Особенно часто взламываются форумы, находящиеся на недавно созданных сайтах. Поскольку создатели этих сайтов зачастую люди неопытные, но уже пытающиеся прыгнуть выше своей головы, то они сразу ставят всяческие форумы, доски объявлений, гостевые книги и т.п. Зачастую эти форумы не настроены должным образом, что облегчает задачу хакера при их взломе. Характерными ошибками таких сайтов является возможность ввести в поля "имя пользователя" и "пароль" строку "admin", и мы тут же перехватываем управление форумом и делаем с ним, все что захочется. Хорошо, если хакер попался добрый и он просто поменял вид форума, но бывают хакеры любопытные, они как раз похищают базу данных, в которой хранится информация о пользователях - имя пользователя, пароль и e-mail.

Давайте на время отойдем от темы статьи и вспомним, а что же хранится в почтовом ящике? Ну, во-первых, личная переписка. Я думаю, никому не приятно, когда читают его письма. Во-вторых, пароли от некоторых сервисов, т.е. тех же форумах, ICQ и т.д. В-третьих, СПАМ. Я так думаю, СПАМ хакерам не интересен, а вот личная переписка, а тем более пароли, точно должны их заинтересовать. Так что же происходит?

Хакер знает ваш e-mail и, соответственно, может захотеть его взломать. "Ну и пусть, у меня суперпароль" - скажете вы. Позвольте вам возразить, существует множество способов не просто взломать, а обойти пароль. Самый простой из них - воспользоваться существующей опцией "Восстановление пароля через секретный вопрос", такая опция предоставляется крупными почтовыми сервисами, такими как Mail.ru и Yandex.Почта. Как правило, пользователь в строку "Ответ на секретный вопрос" пишет первое, что приходит на ум. Соответственно, и хакер вполне может разгадать ваш ответ. Самый простой пример: Вопрос - Мое любимое блюдо; Самый распространенный ответ - пельмени. Или многие любят сочетания - 111, qwerty, admin и, конечно же, hacker.

Даже если хакер не захочет отвечать на ваш секретный вопрос, он просто может воспользоваться специальной программой для перебора паролей, благо в сети их множество. Работать с подобной программой очень просто - указываем адрес почтовика, имя пользователя или адрес ящика, указываем способ поиска пароля - вуаля и через некоторое время пароль у нас на блюдечке. Самая известная программа для перебора паролей - это DukeNN Mail Bruter 3.03, который позволяет подобрать пароль для таких сервисов, как Mail.ru, Yandex, Rambler, Yahoo, Inbox.ru и т.д. При этом программа может перебрать пароль множеством способов. А сама процедура редко занимает больше часа.

Кстати, хочу заметить - я не зря начал разговор с форумов и чатов; с помощью этой базы данных возможно узнать ваш пароль. Большинство пользователей используют один и тот же пароль и для почтового ящика, и для чата, и для форума. Что, естественно, упрощает взлом и завладение вашим e-mail. Так, многие хакеры перед тем, как начать перебор паролей, подставляют пароль, найденный на форуме.

В итоге, у хакера на руках: ваша личная переписка, имя пользователя и пароли к сервисам. Хорошо, если среди паролей не попадется пароль на сервис WebMoney или другие платежные системы, иначе вы можете лишиться всех ваших вложений. В принципе, хакер может воспользоваться ваши паролями для взлома других форумов и чатов, а также завладения некоторой информацией о вас. Еще один вариант - это использование почтового ящика для рассылки СПАМа, и если это произойдет, вы потеряете ваш адрес навсегда.

Хорошо, если под атакой оказался простой домашний пользователь. С предприятиями ситуация гораздо мрачнее. Так как у многих организаций сейчас появился выход в Интернет, большинство сотрудников стало общаться в чатах и различных службах знакомства. Зная, что многие предприятия поскупились на заработную плату системного администратора, можно сказать, что почта опять-таки не защищена. Предположим, что хакер нашел e-mail бухгалтера или менеджера, а соответственно после некоторого времени он получит доступ ко всей информации на компьютере, такой как счета, закрытая служебная информация, накладные и т.д. С компьютера пользователя можно получить доступ к главному серверу предприятия, на котором может располагаться все, что угодно. Думаю, конкуренты согласятся выложить круглую сумму для того, чтобы узнать о вашем предприятии все.

Что же делать для того, что ы описанное выше не случилось? Ну, во-первых, необходимо приучить себя к тому, чтобы не использовать одинаковые пароли. Кстати, о паролях, идеальный пароль должен содержать большие и маленькие буквы, цифры, а также, если это позволено, технические символы, типа запятых и скобок. И запомните, чем длиннее пароль, тем дольше он будет защищен от взлома. Но тут есть одно неудобство - большие пароли трудно запоминать, и велик соблазн записать на бумажку, которая по закону подлости потеряется. Но программисты нас выручили, написав программы для генерации и хранения паролей. Так, например, программа LexxPossPass позволяет сгенерировать пароль любой сложности, а SCARABAY позволит сохранить ваш пароль в надежном месте. Также всторенные менеджеры паролей встречаются сейчас во многих браузерах, например, в FireFox. И даже если их нет, то есть надстройки, в которых и осуществляется механизм сохранения и защиты паролей.

Для тех же, кто не хочет доверяться программам, есть еще один способ придумать заковыристый пароль. Я думаю, что у каждого есть любимые афоризмы, анекдоты или просто шутки - вот их мы и будем использовать в качестве пароля. Можно также использовать различные формулы из школы или ВУЗа. У такого способа один недостаток - необходимо все вводить вручную, что потребует некоторого времени.

Во-вторых, ответы на секретные вопросы не должны быть типовыми, лучше посидеть, поломать голову над вопросом и ответом, чем поплатиться от потери всей ваши переписки. В-третьих, рекомендую настроить и пользоваться стандартными почтовыми средствами, а не хранить переписку в on-line папках. Благо, в наше время есть очень хорошие программы, например, The Bat, Mozilla Thunderbird. В-четвертых, если есть возможность, заведите отдельный ящик для чатов и форумов.

Эти простые шаги помогут добавить препятствий хакеру на пути к вашей информации, но не смогут полностью защитить ваш компьютер.

обсудить  |  все отзывы (9)

[38946; 102; 5.55]




Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach