Але я вирішив піти далі й показати, що насправді може зробити пересічний хакер, що володіє початковими знаннями зі злому.
Отже, почнемо.
Ви, як і пересічний користувач мережі, любите посидіти у чатах і на форумах. При цьому ви не замислюєтеся про те, що це може бути небезпечно. Припустимо, ви знайшли просто чудовий форум, де є все, що вам потрібно, і ви вирішили зареєструватися на ньому. Що ж, це похвально, але є одне і істотне "але". Коли ви проходите процес реєстрації, то вам необхідно вказати вашу поштову скриньку, щоб вам надіслали пароль або посилання для активації облікового запису на цьому форумі. І що ж ви робите? Не замислюючись, ви спокійно вбиваєте існуючу адресу електронної пошти. Через деякий час вам приходить лист, що ви успішно зареєструвалися, що команда розробників форуму рада вас вітати і запевнення в тому, що ваша інформація нікуди не пропаде.
Мене останнім часом дуже дивує безпечність творців форумів і чатів, оскільки вони всі в один голос стверджують, що їхній продукт повністю захищений від будь-яких зазіхань злісних хакерів. Так і хочеться запитати в них: "Хлопці, ви хоч іноді відвідуєте сайти по електронній безпеки, де вже давно лежать програми для злому вашого форуму / чату?" Отже, що ми маємо? Форум, на якому ви зареєструвалися, і клятви завірення розробників, що він повністю захищений. А що має хакер? Статті про PHP і SQL та їх вразливості; адже саме за допомогою PHP пишеться більшість форумів, а SQL використовується для створення баз даних, в яких зберігається вся інформація, яку ви вказали при реєстрації на форумі. Останнім часом стали поширені форуми phpBB і MyBB, і хоча ці форуми створюють не новачки, а цілі групи розробників, не проходить і тижня, як з'являється нова інформація про помилки у вихідному коді. Відповідно, хакер проводить злом форуму, про що його власник навіть не підозрює. Особливо часто зламуються форуми, що знаходяться на нещодавно створених сайтах. Оскільки творці цих сайтів часто люди недосвідчені, але вже намагаються стрибнути вище своєї голови, то вони відразу ставлять усілякі форуми, дошки оголошень, гостьові книги і т.п. Найчастіше ці форуми не налаштовані належним чином, що полегшує завдання хакера при їх зломі. Характерними помилками таких сайтів є можливість ввести в поля "ім'я користувача" та "пароль" рядок "admin", і ми тут же перехоплюємо управління форумом і робимо з ним, все що заманеться. Добре, якщо хакер попався добрий і він просто поміняв вигляд форуму, але бувають хакери цікаві, вони якраз викрадають базу даних, в якій зберігається інформація про користувачів - ім'я користувача, пароль і e-mail.
Давайте на час відійдемо від теми статті і згадаємо, а що ж зберігається в поштовому ящику? Ну, по-перше, особисте листування. Я думаю, нікому не приємно, коли читають його листи. По-друге, паролі від деяких сервісів, тобто тих же форумах, ICQ і т.д. По-третє, СПАМ. Я так думаю, СПАМ хакерам не цікавий, а от особисте листування, а тим більше паролі, точно повинні їх зацікавити. Так що ж відбувається?
Хакер знає ваш e-mail і, відповідно, може захотіти його зламати. "Ну і нехай, у мене СуперПароль" - скажете ви. Дозвольте вам заперечити, існує безліч способів не просто зламати, а обійти пароль. Найпростіший з них - скористатися існуючої опцією "Відновлення паролю через секретне питання", така опція надається великими поштовими сервісами, такими як Mail.ru і Yandex.Почта. Як правило, користувач у рядок "Відповідь на секретне питання" пише перше, що приходить на розум. Відповідно, і хакер цілком може розгадати вашу відповідь. Найпростіший приклад: Питання - Моє улюблене блюдо; Найпоширеніша відповідь - пельмені. Або багато хто любить сполучення - 111, qwerty, admin і, звичайно ж, hacker.
Навіть якщо хакер не захоче відповідати на ваше секретне питання, він просто може скористатися спеціальною програмою для перебору паролів, благо в мережі їх безліч. Працювати з подібною програмою дуже просто - вказуємо адресу поштовика, ім'я користувача або E-mail, вказуємо спосіб пошуку пароля - вуаля і через деякий час пароль у нас на блюдечку. Найвідоміша програма для перебору паролів - це DukeNN Mail Bruter 3.03, який дозволяє підібрати пароль для таких сервісів, як Mail.ru, Yandex, Rambler, Yahoo, Inbox.ru і т.д. При цьому програма може перебрати пароль безліччю способів. А сама процедура рідко займає більше години.
До речі, хочу зауважити - я не даремно почав розмову з форумів і чатів; за допомогою цієї бази даних можливо дізнатися ваш пароль. Більшість користувачів використовують один і той же пароль і для поштової скриньки, і для чату, і для форуму. Що, природно, спрощує злом і заволодіння вашим e-mail. Так, багато хакерів перед тим, як почати перебір паролів, підставляють пароль, знайдений на форумі.
У підсумку, у хакера на руках: ваша особиста переписка, ім'я користувача і паролі до сервісів. Добре, якщо серед паролів не попадеться пароль на сервіс WebMoney або інші платіжні системи, інакше ви можете позбутися всіх ваших вкладень. В принципі, хакер може скористатися ваші паролями для злому інших форумів і чатів, а також заволодіння деякою інформацією про вас. Ще один варіант - це використання поштової скриньки для розсилки СПАМу, і якщо це станеться, ви втратите вашу адресу назавжди.
Добре, якщо під атакою виявився простий домашній користувач. З підприємствами ситуація набагато похмурішим. Так як у багатьох організацій зараз з'явився вихід в Інтернет, більшість співробітників стало спілкуватися в чатах і різних службах знайомства. Знаючи, що багато підприємств поскупилися на заробітну плату системного адміністратора, можна сказати, що пошта знову-таки не захищена. Припустимо, що хакер знайшов e-mail бухгалтера або менеджера, а відповідно після деякого часу він отримає доступ до всієї інформації на комп'ютері, такий як рахунки, закрита службова інформація, накладні і т.д. З комп'ютера користувача можна отримати доступ до головного сервера підприємства, на якому може розташовуватися все, що завгодно. Думаю, конкуренти погодяться викласти круглу суму для того, щоб дізнатися про ваше підприємство все.
Що ж робити для того, що и описане вище не сталося? Ну, по-перше, необхідно привчити себе до того, щоб не використовувати однакові паролі. До речі, про паролі, ідеальний пароль повинен містити великі і маленькі букви, цифри, а також, якщо це дозволено, технічні символи, типу ком і дужок. І запам'ятайте, чим довше пароль, тим довше він буде захищений від злому. Але тут є одна незручність - великі паролі важко запам'ятовувати, і велика спокуса записати на папірець, який за законом підлості загубиться. Але програмісти нас виручили, написавши програми для генерації та зберігання паролів. Так, наприклад, програма LexxPossPass дозволяє згенерувати пароль будь-якої складності, а SCARABAY дозволить зберегти ваш пароль в надійному місці. Також вбудовані менеджери паролів зустрічаються зараз у багатьох браузерах, наприклад, в FireFox. І навіть якщо їх немає, то є надбудови, в яких і здійснюється механізм збереження і захисту паролів.
Для тих же, хто не хоче довірятися програмам, є ще один спосіб придумати хитромудрий пароль. Я думаю, що у кожного є улюблені афоризми, анекдоти або просто жарти - ось їх ми і будемо використовувати в якості пароля. Можна також використовувати різні формули зі школи або ВНЗ. У такого способу один недолік - необхідно все вводити вручну, що потребують деякого часу.
По-друге, відповіді на секретні питання не повинні бути типовими, краще посидіти, поламати голову над питанням і відповіддю, ніж поплатитися від втрати всієї ваші листування. По-третє, рекомендую налаштувати і користуватися стандартними поштовими засобами, а не зберігати листування в on-line папках. Благо, у наш час є дуже хороші програми, наприклад, The Bat, Mozilla Thunderbird. По-четверте, якщо є можливість, заведіть окремий ящик для чатів і форумів.
Ці прості кроки допоможуть додати перешкод хакеру на шляху до вашої інформації, але не зможуть повністю захистити ваш комп'ютер.
Отже, почнемо.
Ви, як і пересічний користувач мережі, любите посидіти у чатах і на форумах. При цьому ви не замислюєтеся про те, що це може бути небезпечно. Припустимо, ви знайшли просто чудовий форум, де є все, що вам потрібно, і ви вирішили зареєструватися на ньому. Що ж, це похвально, але є одне і істотне "але". Коли ви проходите процес реєстрації, то вам необхідно вказати вашу поштову скриньку, щоб вам надіслали пароль або посилання для активації облікового запису на цьому форумі. І що ж ви робите? Не замислюючись, ви спокійно вбиваєте існуючу адресу електронної пошти. Через деякий час вам приходить лист, що ви успішно зареєструвалися, що команда розробників форуму рада вас вітати і запевнення в тому, що ваша інформація нікуди не пропаде.
Мене останнім часом дуже дивує безпечність творців форумів і чатів, оскільки вони всі в один голос стверджують, що їхній продукт повністю захищений від будь-яких зазіхань злісних хакерів. Так і хочеться запитати в них: "Хлопці, ви хоч іноді відвідуєте сайти по електронній безпеки, де вже давно лежать програми для злому вашого форуму / чату?" Отже, що ми маємо? Форум, на якому ви зареєструвалися, і клятви завірення розробників, що він повністю захищений. А що має хакер? Статті про PHP і SQL та їх вразливості; адже саме за допомогою PHP пишеться більшість форумів, а SQL використовується для створення баз даних, в яких зберігається вся інформація, яку ви вказали при реєстрації на форумі. Останнім часом стали поширені форуми phpBB і MyBB, і хоча ці форуми створюють не новачки, а цілі групи розробників, не проходить і тижня, як з'являється нова інформація про помилки у вихідному коді. Відповідно, хакер проводить злом форуму, про що його власник навіть не підозрює. Особливо часто зламуються форуми, що знаходяться на нещодавно створених сайтах. Оскільки творці цих сайтів часто люди недосвідчені, але вже намагаються стрибнути вище своєї голови, то вони відразу ставлять усілякі форуми, дошки оголошень, гостьові книги і т.п. Найчастіше ці форуми не налаштовані належним чином, що полегшує завдання хакера при їх зломі. Характерними помилками таких сайтів є можливість ввести в поля "ім'я користувача" та "пароль" рядок "admin", і ми тут же перехоплюємо управління форумом і робимо з ним, все що заманеться. Добре, якщо хакер попався добрий і він просто поміняв вигляд форуму, але бувають хакери цікаві, вони якраз викрадають базу даних, в якій зберігається інформація про користувачів - ім'я користувача, пароль і e-mail.
Давайте на час відійдемо від теми статті і згадаємо, а що ж зберігається в поштовому ящику? Ну, по-перше, особисте листування. Я думаю, нікому не приємно, коли читають його листи. По-друге, паролі від деяких сервісів, тобто тих же форумах, ICQ і т.д. По-третє, СПАМ. Я так думаю, СПАМ хакерам не цікавий, а от особисте листування, а тим більше паролі, точно повинні їх зацікавити. Так що ж відбувається?
Хакер знає ваш e-mail і, відповідно, може захотіти його зламати. "Ну і нехай, у мене СуперПароль" - скажете ви. Дозвольте вам заперечити, існує безліч способів не просто зламати, а обійти пароль. Найпростіший з них - скористатися існуючої опцією "Відновлення паролю через секретне питання", така опція надається великими поштовими сервісами, такими як Mail.ru і Yandex.Почта. Як правило, користувач у рядок "Відповідь на секретне питання" пише перше, що приходить на розум. Відповідно, і хакер цілком може розгадати вашу відповідь. Найпростіший приклад: Питання - Моє улюблене блюдо; Найпоширеніша відповідь - пельмені. Або багато хто любить сполучення - 111, qwerty, admin і, звичайно ж, hacker.
Навіть якщо хакер не захоче відповідати на ваше секретне питання, він просто може скористатися спеціальною програмою для перебору паролів, благо в мережі їх безліч. Працювати з подібною програмою дуже просто - вказуємо адресу поштовика, ім'я користувача або E-mail, вказуємо спосіб пошуку пароля - вуаля і через деякий час пароль у нас на блюдечку. Найвідоміша програма для перебору паролів - це DukeNN Mail Bruter 3.03, який дозволяє підібрати пароль для таких сервісів, як Mail.ru, Yandex, Rambler, Yahoo, Inbox.ru і т.д. При цьому програма може перебрати пароль безліччю способів. А сама процедура рідко займає більше години.
До речі, хочу зауважити - я не даремно почав розмову з форумів і чатів; за допомогою цієї бази даних можливо дізнатися ваш пароль. Більшість користувачів використовують один і той же пароль і для поштової скриньки, і для чату, і для форуму. Що, природно, спрощує злом і заволодіння вашим e-mail. Так, багато хакерів перед тим, як почати перебір паролів, підставляють пароль, знайдений на форумі.
У підсумку, у хакера на руках: ваша особиста переписка, ім'я користувача і паролі до сервісів. Добре, якщо серед паролів не попадеться пароль на сервіс WebMoney або інші платіжні системи, інакше ви можете позбутися всіх ваших вкладень. В принципі, хакер може скористатися ваші паролями для злому інших форумів і чатів, а також заволодіння деякою інформацією про вас. Ще один варіант - це використання поштової скриньки для розсилки СПАМу, і якщо це станеться, ви втратите вашу адресу назавжди.
Добре, якщо під атакою виявився простий домашній користувач. З підприємствами ситуація набагато похмурішим. Так як у багатьох організацій зараз з'явився вихід в Інтернет, більшість співробітників стало спілкуватися в чатах і різних службах знайомства. Знаючи, що багато підприємств поскупилися на заробітну плату системного адміністратора, можна сказати, що пошта знову-таки не захищена. Припустимо, що хакер знайшов e-mail бухгалтера або менеджера, а відповідно після деякого часу він отримає доступ до всієї інформації на комп'ютері, такий як рахунки, закрита службова інформація, накладні і т.д. З комп'ютера користувача можна отримати доступ до головного сервера підприємства, на якому може розташовуватися все, що завгодно. Думаю, конкуренти погодяться викласти круглу суму для того, щоб дізнатися про ваше підприємство все.
Що ж робити для того, що и описане вище не сталося? Ну, по-перше, необхідно привчити себе до того, щоб не використовувати однакові паролі. До речі, про паролі, ідеальний пароль повинен містити великі і маленькі букви, цифри, а також, якщо це дозволено, технічні символи, типу ком і дужок. І запам'ятайте, чим довше пароль, тим довше він буде захищений від злому. Але тут є одна незручність - великі паролі важко запам'ятовувати, і велика спокуса записати на папірець, який за законом підлості загубиться. Але програмісти нас виручили, написавши програми для генерації та зберігання паролів. Так, наприклад, програма LexxPossPass дозволяє згенерувати пароль будь-якої складності, а SCARABAY дозволить зберегти ваш пароль в надійному місці. Також вбудовані менеджери паролів зустрічаються зараз у багатьох браузерах, наприклад, в FireFox. І навіть якщо їх немає, то є надбудови, в яких і здійснюється механізм збереження і захисту паролів.
Для тих же, хто не хоче довірятися програмам, є ще один спосіб придумати хитромудрий пароль. Я думаю, що у кожного є улюблені афоризми, анекдоти або просто жарти - ось їх ми і будемо використовувати в якості пароля. Можна також використовувати різні формули зі школи або ВНЗ. У такого способу один недолік - необхідно все вводити вручну, що потребують деякого часу.
По-друге, відповіді на секретні питання не повинні бути типовими, краще посидіти, поламати голову над питанням і відповіддю, ніж поплатитися від втрати всієї ваші листування. По-третє, рекомендую налаштувати і користуватися стандартними поштовими засобами, а не зберігати листування в on-line папках. Благо, у наш час є дуже хороші програми, наприклад, The Bat, Mozilla Thunderbird. По-четверте, якщо є можливість, заведіть окремий ящик для чатів і форумів.
Ці прості кроки допоможуть додати перешкод хакеру на шляху до вашої інформації, але не зможуть повністю захистити ваш комп'ютер.
+1
