Pull to refresh

Я вижу вас насквозь, а вы при этом наивно полагаете, что находитесь в полной безопасности

Reading time 5 min
Views 8K
Кевин Митник в одном из своих интервью журналистам, сказал, что самое слабое звено в системе безопасности — это человек. Именно благодаря навыкам социальной инженерии, ему удалось стать одним из известнейших хакеров современности. Если вы считаете, что Кевин, как показывают в фильмах про хакеров, сидел в темной комнате с кучей мониторов с циферками и взламывал всех и вся оттуда, никогда эту комнату не покидая, то вы глубоко заблуждаетесь.

Ладно. Задайте себе вопрос — что уже интернет знает о Вас? Скорее всего, интернет о вас знает уже все, а что, как говорится, seen can not be unseen в глобальной сети. Теперь второй вопрос — как этим могут воспользоваться злоумышленники.

Я не буду придумывать суперхакерские сюжеты для тупых американских боевичков, где мегатеррористы стирают полностью электронные жизни людей, подменяют identity в базах данных полиции, ищут перхоть в волосах со спутников итд. Я не сомневаюсь, что это все возможно уже сейчас, но не всем нам. А что доступно всем?

У вас есть блог? Твиттер? Страничка во вконтакте или фейсбуке? Вы активный пользователь форумов? Тогда мы идем к вам…

Я перечитал свой же текст и мне стало страшно. Серьезно.

Сразу, как говорится, в лоб. Какое-то время назад в сети блогеры переписывали друг у друга статейку, как один парень используя только публично доступные источники данных в итоге получил толи доступ к кредитке своей подруги толи банковскому счету. Кому не лень, киньте ссылку.

Мораль же такова — в интернете о вас уже столько публичной информации, которой вполне достаточно, чтобы получить доступ к вашим приватным данным и приватным данным ваших друзей.

Что.



Популярные в последние годы социальные сети выполняют отличную задачу — собирают друзей irl (in real life), объединяют людей по интересам, создают комьюнити. Мне нравится, что я могу посмотреть как и где живет мой одноклассник, которого я не видел уже 10 лет, мне приятно общаться с людьми с теми же интересами что и у меня на каком-то сайте специализированного комьюнити. Мне тоже хочется, чтобы народ узнал о том, как я тут живу, какая у меня машина, где я отдыхал летом. Я указываю максимальное количество данных о себе в профиле в надежде, что когда-то забытый друг меня найдет и у меня станет +1 виртуального друга больше.

У меня есть Твиттер, я пишу туда время от времени какие-то мысли, свое настроение и наблюдения за окружающим миром.

Еще у меня есть несколько блогов. Блог — это вроде бы дневник изначально по замыслу. Знаете, раньше такие тетрадочки были, в которые писали «сегодня мы с Васей лепили снежную бабу» а потом «я ненавижу нашу училку по русскому языку», так вот теперь у нас есть блоги, которые вроде бы играют ту же роль, но доступны всем. И народ хочет иметь больше читателей и чтоб ему еще и отвечали, мол, «да, училка дура!».

Люди пишут на форумах. Тот же lytdybr или вопросы/ответы по каким-то насущным темам.

У людей приватная переписка хранится на gmail.com вечно.

Кому.



Злоумышленнику сейчас собрать достаточно информации о вас не составляет никакого труда. Достаточно немного погуглить и он будет знать о вас все: где и когда вы родились, полные данные на ваших родителей, имена всех ваших домашних питомцев, любые расписания, где и когда вы отдыхали, как менялось ваше настроение за последний год, какую музыку вы слушаете, с кем дружите и что едите. И это только из ПУБЛИЧНЫХ источников. Ему не пришлось еще даже что-то изобретать и тем более нарушать закон.

Вероятно, вы просто сейчас никому не нужны.

Зачем.



Вы можете и не быть целью злоумышленника, но помните что я написал в самом начале про слабое звено. Через вас можно спокойно пробраться в компанию где вы работаете или к людям с которыми вы дружите.

Я уверен, что дернув за одну публично доступную веревочку, она вытянет целый рулон информации, которую вы бы предпочли скрыть.

Как.



У людей есть круги доверия. Я доверяю полностью небольшой части своих друзей и родственников. Я доверяю многим знакомым. Я не доверяю мало знакомым людям. И тем более незнакомым.

Но если человек знает все обо мне, ему СИЛЬНО проще войти ко мне в круг доверия и получить нужную информацию. Достаточно лишь при случайном разговоре показать, что у нас случайно совпали интересы (конечно же, я же обо всех интересах написал на вконтакте), а потом как-то перевести вопросы в нужное ему русло, а я и не замечу.

Черт возьми, он может притвориться моим другом Васей, который входит в первый круг. Ниразу от друзей по аське не приходили вопросы одолжить денег? Ну а спам во вконтакте от друзей?

O RLY?
image
Картиночка, чтоб было повеселее.

А теперь больше реальных примеров. Хватит абстрактных страшилок.

Все вы в курсе, что не так давно утащили туеву хучу логинов и паролей вконтакте. Как это сделали сейчас не важно. Важно, что выложили все это дело в интернет. Лично Павел Дуров недолго думая (видимо) по всему листу сбросил пароли взломанных пользователей. А теперь вопрос — у скольки процентов пользователей списка пароль на почту (которая является логином) совпадал с паролем на вконтакте? Сколько из них имело ящик на gmail? Сколько из них когда-либо удаляли письма из него? Сколько сервисов позволяют восстановить пароль имея доступ к почтовому ящику?

Все, вся электронная жизнь человека у вас в руках. Потянули за ниточку.

Кто из вас в форме восстановления пароля куда-либо ставил вопрос «кличка питомца»? Думаете из ваших вконтактов и блогов я не найду ответа на этот вопрос? Реальная история.

Однажды в популярном сервисе приватных закладок под паролем password я нашел рутовый sftp логин для основного сервера крупной компании. Внутри было интересно.

Ну и еще, признайтесь, у вас всего 1-2 пароля для всех сервисов? А вы уверены в надежности каждого из них?

Нужны еще примеры? Их Д О Ф И Г А.

Это я еще нигде не упомянул про дырявый софт и кучу уязвимостей. Дырами все же не каждый может воспользоваться, а публично доступной информацией вполне любой.

Что делать.



Молиться, если верите в Бога. Если вы активный сетевой житель, то уже сложно что-то сделать. Все ваши странички находятся в кэше поисковиков, агрегаторов и «машин времени». Вспомните каждый сервис, которым вы пользуетесь, найдите надежную программу для генерации и хранения паролей, сделайте уникальный пароль для каждого сервиса. Удаляйте ненужную переписку. Закройте публичный доступ к вашим вконтактами.

И помните, если вы параноик, это не значит, что за вами никто не следит.

P.S. каждый пункт сильно сократил, иначе получалось уж сильно длинно и нудно.
P.P.S. тут хорошо написали.

Об этом надо говорить и напоминать постоянно, как на пачках сигарет о вреде курения. При регистрации на тех же самых форумах и социальных сетях нужно большими красными буквами писать, что все что вы тут напишите, может быть использовано против вас.

Дело в том, что большинство читающих этот пост, это IT специалисты, и они(мы) знакомы со всей кухней изнутри, а отсюда негодование — мол, да ну нафиг как так, не верю не может быть, фуфло, херня, давайка детка на меня что-нибудь нагугли. При этом у нас по 10 паролей разной степени секьюрности, минимум 3 мыла (регистрации в говносервисах, текучка и приватная почта которую знает не больше 20 человек). Для нас это все в порядке вещей, самой собой разумеющееся, а отсюда и негодование.

Но это для нас, а что для девочки 17 лет, которая вдруг решилась пошалить и в «приватной» переписке со своим бойфрендом в какой-нибудь соцсети решит выложить фоточки со своими сисечками? Завтра, ну или послезавтра, эти сисечки окажутся на фишках.


Скажите, вы считаете себя слабым звеном? И я нет. Я пойду присматриваться к секретарше Маше и ее вконтактику. Зачем мне вы с вашей гиковостью и параноей.
Tags:
Hubs:
+90
Comments 230
Comments Comments 230

Articles