Безопасность в Мировой паутине. Хроники с Ричардом Сталлмэном

вторник, 21 февраля 2012 г.

Безопасность в Мировой паутине

«Процент застрахованности пользователя от атак, исходящих из Сети, ничтожно мал. Интернет придуман человеком... Кража персональных данных, взломы, фишинг, кардинг – киберпреступность. Хакеры. Кто они сегодня и стоит ли бояться профессионалов?

Некоторые не понаслышке знакомы с перечисленными видами вторжений и не раз сталкивались с ними. Для других, кто остаётся в нейтральной стороне - в новинку», - Брайан Кребс (Brian Krebs), корреспондент западного цифрового издания Krebs On Security.

Чтобы выяснить общее положение вещей для рядового пользователя Интернета в мире киберпреступности и на сегодняшний день, Брайан Кребс составил хронику, представленную основными параграфами безопасности в Сети, некогда изложенные отцом-основателем проекта и фонда GNU, одним из величайших мастеров, представляющих область программирования, Ричардом Сталлмэном (Richard Stallman).

Общее положение. «Со мной такого не случится!» или «Почему именно Я?»

«Злоумышленника нисколько не волнует, даже мысль о том, что и какого будет жертве, в голову не приходит. Обыватель Сети живёт мыслью «Со мной такого не случиться!», а в результате, когда уже слишком позднозадаёт себе вопрос: «Почему именно Я?» Это общая позиция мысли, установка, из-за которой большинство пользователей Интернета о безопасности совершенно не думает. Но, а сама правда звучит странно и причудливо: «Ничего личного»

Реальность более гибка. Для киберпреступника, который поставил курс на что-то, цель не вы сами, а персональные данные, ну и ведомость мыслью «Хочу, потому что могу и всё сойдёт с рук» добавляет уверенности. Чтобы оказаться жертвой не нужно обладать внушительной банковской суммой. Напротив, есть и те, кто превращает материальные ценности жертвы в пассивный доход, управляя счетами так, как заблагорассудиться, не без этого, разумеется. Ну, а другим игра с жертвой представляется и оказывается большой радостью, нежели интерес к её материальным ценностям, здесь всё дело заключается в манипуляциях с ней.

Чтобы не отдаваться пустым словам, можно обратиться к минувшим событиям. Вот тот же случай с PayPal, когда группа изощрённых злоумышленников с начала 2006 по август 2011 года свободно пользовалась и распоряжалась счетами пользователей всемирной платёжной системы. Код защиты PayPal оказался уязвим. Киберпреступники обладали глубокими знаниями в Java (JavaScript) программировании, благодаря этому была разработана и написана небольшая утилита, задача которой заключалась в перехватывании персональных данных пользователей PayPal, стоило лишь подключить данную утилиту к цепочке уязвимого кода защиты. Она создавала фантомные окна, а также осуществляла задержку времени, отведённого на раскрытие оригинальных окон авторизации PayPal. Конечно, тут было весьма трудно и проблематично понять, где оригинал диалогового окна авторизации, а где подделка. Позволю согласиться, что даже квалифицированный программист, обладающий степенью, мог оказаться на крючке.

Вылов горехакеров оказался нелёгким, но удачным. Группу студентов в составе из семи человек задержали. Для этой цели был создан виртуальный сервер PayPal с соответствующим вспомогательным программным обеспечением. Отчёт мониторинга и логирования операций производили эксперты.

По признанию задержанных, средства пользователей PayPal практически оказывались не тронутыми, за исключением лишь числа, находящегося после запятой. Понимаете, любой электронный счёт своего владельца имеет окончание и представлен периодичностью, которая округляется. Благодаря этой периодичности пользователи не замечали отклонений. В результате для группы хакеров, которые переводили числа после запятой, получались неплохие суммы, а уж если учесть количество пользователей PayPal во всём мире… 

Это единичный случай, когда в деле участвуют такие головы. Попались… А настоящий мастер своего дела никогда не проиграет партию», - Ричард Сталлмэн.

По ту сторону призмы экрана

«Сама угроза в адрес рядового пользователя Сети сегодня поступает от «скриптовых детишек» (script kiddies), мало чего понимающих и тем более слабо разбирающихся в коде. Увы, но хакерами их назвать никак нельзя. Они не обладают богатым опытом в области программирования и даже близко не соответствуют этой области. А сама «шалость» базируется на выуженной информации из Сети. Это в свою очередь никчёмные кем-то воедино собранные строчки кода, которыми стыдно пользоваться уважающему себя взломщику, да ему это и не нужно, он самостоятельно сотворит то, что ему нужно.

Как я уже говорил, лицами, использующими подобные сведения, чаще оказываются подростки, которые едва понимают значение отдельно взятого элемента из общего кода, как и не отдают себе отчёта в том, какие последствия за собой это может повлечь. И даже, если они смогут что-то получить от вас, то это легко поправимо и потом они не самая большая угроза Сети. А профессионалам вы (как рядовой пользователь Сети, единица) не интересны.

Истинных творцов своего дела никогда не поймать, это профессионалы. Чаще это люди зрелого возраста. Они не распространяются брошюрами, литературой, им это ни к чему. И их действительно следует остерегаться в определённых местах Мировой паутины. И вот это самое сложное. Вчера какая-либо значимая и уважаемая вами социальная сеть, вэб-сайт, например, со значимым содержимым и прочее, всё то, что вызывало у вас доверие, сегодня может оказаться уткой. Впрочем, вы даже об этом и не узнаете. Вот снова пример. Вы наверняка слышали о взломе вэб-сайта компании NOKIA. Это было совершено профессионалом. Всё шло как обычно, пользователи пользовались вэб-ресурсом и работал он исправно и вдруг… Нет, ничего опасного из того, что бы угрожало конфиденциальным данным миллионов пользователей «гений» не натворил, разве что влез и оставил визитную карточку, послание, которое звучало так: «Ваша система защиты уязвима». В течение нескольких часов группа поддержки не могла устранить неприятность с главной страницы вэб-сайта компании. Что умник хотел сказать своей выходкой, думаю, что это и так ясно.

Всё это, конечно, выглядит как преувеличение, можно даже подумать, что все хакеры действуют как организованный и целенаправленный «мафиозный клан» киберпреступников. Но порой даже так. Одни операции может осуществлять один человек, для другого случая предусмотрена деятельность более двух лиц. Хотя в выигрыше остаются одиночки, которые истинно возжелали выбрать именно этот путь. Точно одно: человек, который однажды испытал огромное чувство восторга от своих возможностей, назад повернуть не сможет - соблазн велик. Таков их стержень, а в то же время это и слабость. Многие на этом строят свою личную жизнь: кража счетов, ценной информации, её продажа, переводы. И поверьте, вовсе не обязательно для этого иметь целый бункер, нашпигованный электроникой с высокотехнологичными комплектующими. Нет, даже простой, средних характеристик, лэптоп вполне сгодится. Этого будет достаточно для того, чтобы совершать задуманное. А уже при наличии той или иной заполученной информации, ею же можно распоряжаться как вздумается», - Ричард Сталлмэн.

Охота

«А кому до этого сегодня есть дело. Экспертам на это нет совершенно никакого дела. Не известно. Может им просто не хватает профессионализма, либо лично знают этих людей, а благодаря их существу имеют свою работу, а, возможно, и сами этим помышляют, понимаете, о чём я…» - Ричард Сталлмэн.

Хакер. Истоки термина и его искажённое истолкование

«Если до этого вы были настроены скептически и негативно относились к термину «хакер», то вам предстоит поменять свою точку зрения в корне. Что значит термин «хакер»? Изначально он применялся по отношению к гениям, которые отлично разбираются не только в техническом устройстве персональных компьютеров, но и в области программирования, независимо от того, самородок ли этот гений или представляет из себя студента какого-либо высшего учебного заведения, позволяющего получать высшее техническое образование тесно связанного с программированием и информационными технологиями. Истоки термина произрастают из МТИ (Массачусетский технологический институт). И по праву это нарицание принадлежит тем, кто обладает отличными знаниями в программировании и техническом устройстве электронно-вычислительных машин, но, разумеется, при этом этот человек способен справляться с задачей любой технической и специальной (программирование) сложности, проявляет энтузиазм и незаурядность в их решении. Это уникум в среде профессионалов. Надеюсь, что теперь ясно, что не каждый IT-специалист является хакером.

Были годы, что и говорить. Мы с ребятами были на волне и, казалось, нам нет равных. Это восторг, когда такие знания в голове и ты сам, чёрт побери, можешь всё, что пожелаешь на той стезе, которую выбрал. Мы это делали, мы были теми самыми ребятами!

Сегодня этот термин обрёл осквернительный оттенок. К нему у людей появляется неприязнь, как бы этого не хотелось, и его связывают с бытовым термином «вор», просто потому, что тот, кто может что-то взломать, то обязательно с целью совершить хищение. И мне таких «хакеров» жаль. Они же больше ничего не могут и их, кроме как калеками не назвать. Насмотревшись «ящика» (YouTube), либо после очередного сеанса кинолент о хакерах, начинают усаживаться за мониторы и уподобляться образам голливудских актёров, которые в кино беспорядочно постукивают по клавишам, а на экранах, как бы странно это не выглядело, что-то происходит.

Время... Сам термин «хакер» всё больше отходит на второй, а то и третий план. Появляются новые его виды, которые сами по себе уже предполагают и указывают на него в том контексте, что человек что-то может. «Белые шляпы» и «Чёрные шляпы». Этим понятиям придают особый смысл, их уже давно культивируют в общественной среде, а пришли они из среды информационных технологий, где эти термины можно слышать довольно часто. И не трудно понять, что они значат. Но строгого контраста между этими терминами проводить не имеет никакого смысла совершенно. Не стоит этого делать просто потому, что за ними стоят такие же люди, как и мы с вами. И тем и нам известны добро и зло одинаково, ну, разве что «морально одарённому» этого не понять», - Ричард Сталлмэн.

Инструменты кибератак

«Какой самый популярный обозреватель среди воришек? Что выбрали бы вы? Они предпочитают FireFox. Этот обозреватель Сети гибок, позволяет совершать кражи независимо от того, какой обозреватель установлен у потенциальной жертвы. Для броузера FireFox пишут, написано и разрабатывается достаточное количество плагинов и приложений светлого и тёмного характера использования. Но это и не важно для тех, кто может пользоваться одним очень важным плюсом любого обозревателя, функцией просмотра внутреннего кода. С её помощью можно подключиться к любому ресурсу в Мировой паутине, посмотреть его внутреннее устройство кода, а дальше... Что это, как не взлом?

Знаете, сегодня обозревателями Мировой паутины не устанавливаются границы вероломного хакерства. Хотите, используйте для этих целей Flash... А вы знаете, что используя Macromedia Flash можно заниматься хакерством. Тот же, многопользовательский Torrent-клиент для загрузок и передачи файлов, с его помощью можно получить удалённый доступ к любому персональному компьютеру жертвы. Помимо этого и, как казалось бы на первый взгляд, безобидного программного обеспечения, существует стороннее специализированное программное обеспечение, конечно, это категория программного обеспечения сниферы. Некоторые из них позволяют обойти любой зашифрованный канал чьей-либо частной сети или провайдера. Сами провайдеры просматривают вашу деятельность в Мировой паутине. Что мне заново открывать Америку, когда обо всём этом ежегодными и ежемесячными выпусками тиражируются мировые компьютерные журналы и на тех же страницах всё это изобилует иллюстрированными подробностями. Там же незавуалированно указываются вэб-сайты, с которых можно совершать загрузку соответствующего программного обеспечения. Цензура не запрещает», - Ричард Сталлмэн.

Что такое фишинг? Способы защиты и советы пользователям Мировой паутины

«Фишинг[1] можно рассматривать как один из самых сложных, но в то же время один из самых доступных методов запланированной кибератаки. Основная деятельность фишинга не разработка и внедрение вредоносного программного обеспечения с целью получить информацию. Это на втором месте. Тут главный руководитель обман. Если хакеру это удалось, совершить обман, то ему удалось совершить пол дела. Многие мошенники, руководствуются искусством обмана, практически с каждым, кто завёл электронную почту, либо мэссенджер (программное обеспечение, разработанное и написанное для общения), несмотря на то, какой вид общения поддерживает этот мэссенджер, видео, аудио, просто чат, стараются вступить в контакт. Всё начинается с простого, с предложения познакомиться. Те же социальные сети… Как бы это странно не прозвучало, но человек не учится: без какого-либо подозрения указывает конфиденциальные данные и отправляет их псевдоадминистраторам социальной сети, вэб-ресурса, кому-либо запросившему эти данные через мэссенджеры. Но разве не ясно и не очевидно то, что, создавая личный профиль где-либо в Сети, администраторы уже ставятся в известность и эти конфиденциальные данные им ни к чему запрашивать повторно. Но скажите мне, для чего тогда придумана процедура сброса пароля доступа к профилю. И, к сожалению, для многих это остаётся слишком недостижимой материей для понимания.

Фиширы часто претендуют на кого-то, кто не знает простых правил поведения в Сети. Чаще их жертвами становятся пожилые люди и подростки, иногда взрослые, которые впервые узнали, что такое персональный компьютер или мобильное устройство, Мировая паутина. Киберпреступники подступают к жертве в лице представителя какой-либо организации, социальной сети, банка, представляются друзьями, которых вы знаете, например, они могут выступать теми, с кем вы познакомились недавно на Facebook, Google+, Twitter и так далее. Защиту от фишинга не может представить ни одно программное обеспечение или антивирусное программное обеспечение. Нет лекарства. Ваш разум и бдительность являются этой защитой.

Несколько советов для тех, кто желает подальше держаться от проделок фиширов:

- оставайтесь предвзятыми к различного рода электронным заманчивым предложениям и сообщениям, которые поступают на адрес вашей электронной почты, мэссенджер или на страницы ваших профилей в социальных сетях;

- вы можете иметь друзей, среди которых есть те, чьи профили могли пострадать (могли быть или были взломаны) от действия фиширов. Также не стремитесь писать угрозы или оскорбления своим друзьям, которые могли быть источником фишинг-атаки, потому что они также могли оказаться жертвами подобных обстоятельств;

- не открывайте электронные письма или послания, пришедшие с подозрительных электронных адресов или от людей, которых вы не знаете;

- в социальных сетях, мэссенджерах или иных средствах частного обмена сообщениями в общении с малознакомыми людьми не оставляйте комментариев, которые содержат некоторую долю сведений о вас или ваших близких;

- помните, что основной ящик электронный почты не средство общения, а безрассудное указание его адреса на различных вэб-ресурсах ни к чему хорошему не приведёт. Никогда не отправляйте с адреса электронной почты и не храните там конфиденциальные данные, которые могут представлять комбинацию логина и пароля виртуальных платёжных систем, представлять доступ к банковским реквизитам и денежным операциям, а также представлять пары логина и пароля доступа к вэб-ресурсам. Не храните данную информацию ни в каком из сервисов, расположенном в Мировой паутине;

- прежде, чем начать пользоваться услугами каких-либо вэб-ресурсов узнайте о них, осведомитесь о сертификате, узнайте, верно ли был введён URL-адрес вэб-ресурса и не был ли изменён его корневой домен. Довольно часто хакеры умело подделывают главные страницы социальных сетей и доменные имена;

- поисковые системы не несут ответственности за содержимое представленного результата поиска и не могут вам указать на то, которые из гиперссылок могут привести на инфицированные или содержащие вредоносное программное обеспечение вэб-ресурсы;

- никогда и ни при каких обстоятельствах не сообщайте персональные сведения о себе и вашем профиле, от аккаунта или электронной почты. Администраторы и тем более модераторы вэб-ресурсов не в праве спрашивать или требовать от вас персональные данные, а в противном случае требуйте от них указать их данные, требуйте указать причину с целью получить гарантию во избежание мошеннического случая.

Это лишь опорные точки противостояния фишингу, не более чем самая малость. Но, как я уже говорил, большинство и эти сведения игнорирует. Помните, что последним уровнем безопасности, границей, становятся ваши решения. Доверие в Мировой паутине порой может дорого обойтись», - Ричард Сталлмэн.

«В какой-то момент каждый гость Сети всё же совершает ошибку, а после неизбежного результата открывает для себя познавательную статью о сетевой безопасности какого-нибудь Джона Позадзидиса (Jhon Pazadzides)[2]. Если такие люди появляются, то только потому, что представляли собой незнаек или изливались невежеством и легкомыслием. А это может говорить о том, что они созрели для обращения своего внимания к источникам, описывающим способы защиты и предупреждения предстоящих и потенциальных угроз», - Брайан Кребс.

По материалам: KrebsOnSecurity.

Автор статьи (русскоязычная версия): Рон Милдарт.


[1] Фишинг – одна из разновидностей хищения персональных данных в Мировой паутине, где основным методом получения конфиденциальных данных жертвы является использование её непроинформированности или неосведомлённости об элементарных основах сетевой безопасности, правил пользования вэб-ресурсов, социальных сетей, вэб-сервисов и другое, на которых были созданы аккаунты. Например, отдельные группы пользователей остаются в неведении о том, что вэб-ресурсы Сети, где пользователи могут быть зарегистрированы, не рассылают электронных сообщений с просьбой сообщить конфиденциальные данные для совершения процедуры авторизации.


[2] Джон Позадзидис является автором статьи «Как легко забрать ваши слабые пароли».
 

Программное Обеспечение

Поиск по вэб-сайту