Тема: як не бути недоумком або хакінг для школярів
https://replace.org.ua/post/182168/#p182168
Для початку варто сказати, що як правило найбільш слабкою ланкою комп'ютерної системи є користувач. Це причина, через яку мистецтво злому полягає на серйозну частину так званої соціальної інженерії - СІ. СІ це майстерність входити в довіру до людей, і за допомогою деяких хитрощів отримувати доступ до їх конфіденційної інформації. Для прикладу - у розмові хакер може запитати у жертви дівоче прізвище її матері - так, "заради інтересу". Дізнавшись відповідь, хакер скористається сервісом відновлення пароля від електронної пошти, де як секретне питання жертви стоїть ... правильно, дівоче прізвище матері! З розуміння логіки зломщика - "я спитаю, начебто поцікавився, нічого особливого", випливає прийом захисту від крадіжки інформації - дані, які може дізнатися кожен, не повинні бути ключем до вашого поштового "сейфа". В ідеалі, можливість відновлення пароля через секретне питання має бути неможливою. Якщо ви все-таки вирішили не відмовлятися від секретного питання, пам'ятайте, що питання має бути вашим власним (тобто ви повинні встановити питання самі, а не вибрати з доступних), і питання на кшталт "Моя улюблена футбольна команда" не підходять . Вдумайтесь – чи багато у світі існує футбольних команд? Потрібна відповідь підбирається, найбільше, за кілька годин – якщо ви шанувальник футболістів із Зімбабве.
Дана методика заволодіння інформацією актуальна і до наших днів, оскільки адміністратори популярних поштових серверів фізично не в змозі обробити всі заявки на ручне відновлення, що надходять від десятків тисяч користувачів. Робимо висновок - лазівка для хакера складається з користувальницької та адміністраторської ліні
Соціальна інженерія є лише одним із способів крадіжки інформації, заснованому на розумінні мислення користувача. Джон Крамер у фільмі "Пила" (виконував роль "Конструктора") говорив - "Я не знаю, я лише передбачаю. Це можливо, коли ти можеш думати, як твоя жертва". Незалежно від того, по який бік барикад ви знаходитесь, подумайте, чи є зручним щоразу при вході до пошти (ФБ, аккаунт в іншій соціальній мережі, аккаунт на форумі, і т.д.) вводити пароль на зразок &jezla-NS45a? Більшість користувачів ПК не мають техніки швидкого друку, відповідно, введення безлічі складних паролів є для них непосильним завданням. Тепер подивимося, скільки в даній лазівці ліні користувальницької та ліні адміністраторської.
Якщо користувачу незручно вводити довгий і складний пароль, він у більшості випадків навіть не розглядає навчання машинопису як вирішення проблеми. Набирати пароль 100 разів на день, немов буддійський чернець, терпіння вистачить не у кожного, і крім того, паролів має бути багато. Принаймні більше одного - щоб заволодівши одним паролем, зловмисник не отримав доступу до всього і одразу. Якою є можливість заволодіти паролем?
Перше - підглянути пароль, що повільно набирається, благо щоб зробити це непомітно не так вже й складно. "Відвернись!" людини, яка повільно набирає пароль, мало що вирішує - за звуком клавіш цілком реально зрозуміти, скільки символів використовується в паролі, про цінність цієї інформації я розповім трохи нижче.
Якщо користувач не турбує себе тренуванням пам'яті, а записує паролі на листок - випадковий погляд на цей листок відповідає на всі запитання. Якщо, звичайно, у вас все гаразд із фотографічною пам'яттю. У разі чого - ви випадково глянули на цей листок, і поняття не маєте, що там за літери, вірно?
Використання кейлогера - програми, що записує текстовий файл натискання клавіш. Антивіруси для неї не будуть проблемою, якщо додати програму до списку винятків. (тижпрограміст)
Крадіжка cookies - інформація, що використовується сайтом, щоб не питати у вас щоразу пароль. Припустимо, що ви випадково закрили віконце браузера - так от, cookies не дадуть вам стомити себе повторним набором пароля. Cookies є інформацією, до якої доступ ззовні за замовчуванням дозволено в більшості сучасних браузерів.
"Фейк" - дублікат сторінки авторизації. Ви перейшли на ukr.mail.net, вводите логін і пароль для доступу до поштової скриньки www.ukr.net.
SQL-вразливість. Я не кажу вам про можливість знайти SQL-ін'єкцію на популярному ресурсі, але деякі користувачі мають звичку реєструватися де заманеться, тут їм допомагають адміни зі своєю політикою огородження від гостей.
У випадку, якщо дозволено автоматичне відновлення пароля – підбір відповіді на секретне запитання або крадіжку мобільного телефону, за допомогою якого можна встановити новий пароль. Чим добрий цей спосіб? Секретне питання може бути не таким вже й секретним (читай перший абзац), а мобільний телефон красти необов'язково - можна просто вийняти сім-карту. Люди залишають телефони на очах у оточуючих - якщо ви нахабно схопите телефон і втечете, проблем із законом не уникнути, та й вийти з приміщення або відійти на деяку відстань від місця подій вам не вдасться - не дадуть. А ось обшук у пошуках маленької картки досить скрутний, а заява про блокування втраченої SIM дає ефект аж ніяк не в той момент, коли вона була написана. Таким чином, у вас є, в даному випадку, як мінімум кілька годин для розкриття всіх таємниць які знаходяться за сімома замками.
У разі, якщо автоматичне відновлення неможливе – писатимемо лист у техпідтримку! У нас запитують відповідь на секретне запитання, яке ми коли-небудь використовували. Наша відповідь гадам - "Та не пам'ятаю я, якого кольору була моя зубна щітка 15 років тому! Не пам'ятаю, і все! Зате я міг написати там, помилково, свій номер паспорта 0000 000 000 (випадкові цифри, серія та номер не обов'язково повинні бути коректними.) Допомагає здебільшого.
Отже, ми подивилися на ситуацію з погляду хакера. Тепер подумаємо, як нам уникнути таких подарунків долі. Від таких сюрпризів з відновленням пароля нас врятує:
1. Періодична перевірка пошти. Відновлення поштової скриньки, як правило, неможливе, якщо на нього найближчим часом хтось заходив.
2. Жодних секретних питань для даунів домогосподарок! Читай перший абзац.
3. Слідкуйте за своїм телефоном! Останнім часом, щоб завести сім-карту, потрібен паспорт (пишу на майбутнє). Щоб завести обліковий запис у соціальній мережі, потрібна сім-карта. Щоб зв'язатися з друзями, потрібний обліковий запис. Цей ланцюжок не надто захищений від чужих хитрих планів та брудних мрій. Можу дати рекомендацію не втрачати паспорта, але це занадто банально. Хоча хто знає?
4. Якщо у вас є антивірус (про організацію грамотного захисту Windows без нього (антивіруса) я, можливо, ще розповім), зміна його налаштувань повинна захищатися окремим паролем. Завжди. Загалом завжди.
5. Вибирайте стійку пошту. Що означає стійке? Подивимося:
ukr.net - як тільки ви зв'яжетесь з нелегалом, UKRNET зіллє всю інформацію про вас людям у погонах. Однак, для "білої" пошти зійде, якщо не прошляпили решту моментів безпеки.
gmail.com - купа можливостей відновлення, обов'язкова прив'язка до номера, лист у техпідтримку, що у 50% випадків закінчується наданням доступу до скриньки. Не треба. Краще не треба. Це зручно, але в цій зручності криється небезпека.
safe-mail та mail.com - саме воно. У випадку mail.com ситуація для зломщика ускладнюється тим, що примітивні брути, навчені роботі з конкретними доменами, не перетравлюють піддоменів типу scientist.com або catlover.com. Здорово, правда?6.Вибір надійного пароля – захист від брутфорсу. Використання спецсимволів, цифр та літер різних регістрів – це добре. Безліч паролів – це теж добре. А ось чого робити не варто, то це:
Не робіть логін частиною пароля. Про однакові логін та пароль мовчу - зазвичай поштові сервери такого маразму не дозволяють.
Пароль не повинен містити інформативних даних або шматка іншого пароля.
Хороших паролів має бути багато. Не можна "складати всі яйця в один кошик".
Найкраще місце для паролів – ваша голова. Не записуйте паролів, це зайве.
7. Жодних переходів за незнайомими посиланнями! Вони можуть містити XSS сайт, з якого ви на них перейшли. Я не буду пояснювати, що таке XSS, скажу тільки, що вразливості подібного роду зустрічаються постійно. Просто не натискайте куди попало - куки будуть цілішими. До речі, щодо куків - сувора політика щодо них допомагає у багатьох випадках. Забороняйте доступ до куки, коли без нього можна обійтися. Не потрібно лінуватися, ваша лінь робить хакерів щасливими. Вважатимемо, що альтруїсти цього не читають.
8. Дивись на адрусу. Іншими словами, остерігайтеся фейків. Якщо ви вводите логін та пароль для доступу до поштової скриньки на mail.com, в адресному рядку має бути mail.com, а не meil-kom.ucoz.ua. Для розкриття фейку можна спробувати змінити мову сторінки, пройтися за правилами сайту або заглянути в інформацію про розробників - ледачі хацкери копіюють головну сторінку сайту з усіма посиланнями, а ось на інші посилання їх терпіння не вистачає - а як же, хочеться адже похацкерить якнайшвидше!
9. Не треба заводити десятки облікових записів на форумах шанувальників "Манік'юр від Оленки". Сайт дірявий, поки він маловідомий, разом із популярністю приходять натовпи зломщиків, разом із натовпами зломщиків приходить наганяй адміну і необхідність закривати дірки в безпеці. Натяк зрозумілий.
Ось вам кілька прикладів із життя. Користувач Ю. – винятковий дятел, А. – не зовсім, принаймні іноді включає верхню голову. Ніякого спеціального софту не було задіяно, все, що знадобилося - кілька хвилин клацати на кнопочки.
Ю створив скриньку на urk.net. Секретне питання – назва улюбленої футбольної команди.
А. додав Ю. у друзі у скайпі, побачив його логін Skype, який (це теж потрібно взяти на замітку), як виявилося після перевірки, є логіном скриньки. Побачивши секретне запитання, А. приготувався перебирати: Спартак, ЦСКА, Локомотив... Перебирати особливо не довелося - перший варіант підійшов. Ю. залишився без пошти, А., переглянувши листи скриньки, побачив у них перший і єдиний пароль Ю. - 123qw456.
Ю. дізнався про злам і швиденько повернув собі пошту. А. спробував отримати доступ до скриньки, але на місці секретного питання красувалося "Номер паспорта", і довелося відкласти захід до найкращих часів. А. загуглив логін Ю., і з'ясувалося, що на одному популярному ресурсі Ю. нещодавно зареєструвався. Адреса скриньки адмін того ресурсу приховати не постарався - у публічному доступі знаходилася адреса другої скриньки Ю. А. скористався відновленням пароля другої скриньки, і тут з'ясувалося, що секретним питанням, в даному випадку, стоїть ім'я матері Ю. Пара хвилин перебору поширених імен зробили своє справа. Добре б Ангеліна якась, а тут Світлана. Не дуже хитро. У листах другої скриньки Ю. знаходився другий пароль - "123qw456qw123". А. з усмішкою ввів отриманий пароль до першої скриньки. Mission complete.
Варто сказати, що немає, захисту, який неможливо було б обійти, але вдумайтеся - чи так вам хочеться, щоб син вашого давнього ворога, почувши про ваші сповнені любові і обожнення стосунки, парою кліків миші поставив вас на коліна? Очевидно, що ні.