Кевин Митник в одном из своих интервью журналистам, сказал, что самое слабое звено в системе безопасности — это человек. Именно благодаря навыкам социальной инженерии, ему удалось стать одним из известнейших хакеров современности. Если вы считаете, что Кевин, как показывают в фильмах про хакеров, сидел в темной комнате с кучей мониторов с циферками и взламывал всех и вся оттуда, никогда эту комнату не покидая, то вы глубоко заблуждаетесь.
Ладно. Задайте себе вопрос — что уже интернет знает о Вас? Скорее всего, интернет о вас знает уже все, а что, как говорится, seen can not be unseen в глобальной сети. Теперь второй вопрос — как этим могут воспользоваться злоумышленники.
Я не буду придумывать суперхакерские сюжеты для тупых американских боевичков, где мегатеррористы стирают полностью электронные жизни людей, подменяют identity в базах данных полиции, ищут перхоть в волосах со спутников итд. Я не сомневаюсь, что это все возможно уже сейчас, но не всем нам. А что доступно всем?
У вас есть блог? Твиттер? Страничка во вконтакте или фейсбуке? Вы активный пользователь форумов? Тогда мы идем к вам…
Я перечитал свой же текст и мне стало страшно. Серьезно.
Сразу, как говорится, в лоб. Какое-то время назад в сети блогеры переписывали друг у друга статейку, как один парень используя только публично доступные источники данных в итоге получил толи доступ к кредитке своей подруги толи банковскому счету. Кому не лень, киньте ссылку.
Мораль же такова — в интернете о вас уже столько публичной информации, которой вполне достаточно, чтобы получить доступ к вашим приватным данным и приватным данным ваших друзей.
Что.
Популярные в последние годы социальные сети выполняют отличную задачу — собирают друзей irl (in real life), объединяют людей по интересам, создают комьюнити. Мне нравится, что я могу посмотреть как и где живет мой одноклассник, которого я не видел уже 10 лет, мне приятно общаться с людьми с теми же интересами что и у меня на каком-то сайте специализированного комьюнити. Мне тоже хочется, чтобы народ узнал о том, как я тут живу, какая у меня машина, где я отдыхал летом. Я указываю максимальное количество данных о себе в профиле в надежде, что когда-то забытый друг меня найдет и у меня станет +1 виртуального друга больше.
У меня есть Твиттер, я пишу туда время от времени какие-то мысли, свое настроение и наблюдения за окружающим миром.
Еще у меня есть несколько блогов. Блог — это вроде бы дневник изначально по замыслу. Знаете, раньше такие тетрадочки были, в которые писали «сегодня мы с Васей лепили снежную бабу» а потом «я ненавижу нашу училку по русскому языку», так вот теперь у нас есть блоги, которые вроде бы играют ту же роль, но доступны всем. И народ хочет иметь больше читателей и чтоб ему еще и отвечали, мол, «да, училка дура!».
Люди пишут на форумах. Тот же lytdybr или вопросы/ответы по каким-то насущным темам.
У людей приватная переписка хранится на gmail.com вечно.
Кому.
Злоумышленнику сейчас собрать достаточно информации о вас не составляет никакого труда. Достаточно немного погуглить и он будет знать о вас все: где и когда вы родились, полные данные на ваших родителей, имена всех ваших домашних питомцев, любые расписания, где и когда вы отдыхали, как менялось ваше настроение за последний год, какую музыку вы слушаете, с кем дружите и что едите. И это только из ПУБЛИЧНЫХ источников. Ему не пришлось еще даже что-то изобретать и тем более нарушать закон.
Вероятно, вы просто сейчас никому не нужны.
Зачем.
Вы можете и не быть целью злоумышленника, но помните что я написал в самом начале про слабое звено. Через вас можно спокойно пробраться в компанию где вы работаете или к людям с которыми вы дружите.
Я уверен, что дернув за одну публично доступную веревочку, она вытянет целый рулон информации, которую вы бы предпочли скрыть.
Как.
У людей есть круги доверия. Я доверяю полностью небольшой части своих друзей и родственников. Я доверяю многим знакомым. Я не доверяю мало знакомым людям. И тем более незнакомым.
Но если человек знает все обо мне, ему СИЛЬНО проще войти ко мне в круг доверия и получить нужную информацию. Достаточно лишь при случайном разговоре показать, что у нас случайно совпали интересы (конечно же, я же обо всех интересах написал на вконтакте), а потом как-то перевести вопросы в нужное ему русло, а я и не замечу.
Черт возьми, он может притвориться моим другом Васей, который входит в первый круг. Ниразу от друзей по аське не приходили вопросы одолжить денег? Ну а спам во вконтакте от друзей?
O RLY?
Картиночка, чтоб было повеселее.
А теперь больше реальных примеров. Хватит абстрактных страшилок.
Все вы в курсе, что не так давно утащили туеву хучу логинов и паролей вконтакте. Как это сделали сейчас не важно. Важно, что выложили все это дело в интернет. Лично Павел Дуров недолго думая (видимо) по всему листу сбросил пароли взломанных пользователей. А теперь вопрос — у скольки процентов пользователей списка пароль на почту (которая является логином) совпадал с паролем на вконтакте? Сколько из них имело ящик на gmail? Сколько из них когда-либо удаляли письма из него? Сколько сервисов позволяют восстановить пароль имея доступ к почтовому ящику?
Все, вся электронная жизнь человека у вас в руках. Потянули за ниточку.
Кто из вас в форме восстановления пароля куда-либо ставил вопрос «кличка питомца»? Думаете из ваших вконтактов и блогов я не найду ответа на этот вопрос? Реальная история.
Однажды в популярном сервисе приватных закладок под паролем password я нашел рутовый sftp логин для основного сервера крупной компании. Внутри было интересно.
Ну и еще, признайтесь, у вас всего 1-2 пароля для всех сервисов? А вы уверены в надежности каждого из них?
Нужны еще примеры? Их Д О Ф И Г А.
Это я еще нигде не упомянул про дырявый софт и кучу уязвимостей. Дырами все же не каждый может воспользоваться, а публично доступной информацией вполне любой.
Что делать.
Молиться, если верите в Бога. Если вы активный сетевой житель, то уже сложно что-то сделать. Все ваши странички находятся в кэше поисковиков, агрегаторов и «машин времени». Вспомните каждый сервис, которым вы пользуетесь, найдите надежную программу для генерации и хранения паролей, сделайте уникальный пароль для каждого сервиса. Удаляйте ненужную переписку. Закройте публичный доступ к вашим вконтактами.
И помните, если вы параноик, это не значит, что за вами никто не следит.
P.S. каждый пункт сильно сократил, иначе получалось уж сильно длинно и нудно.
P.P.S.
тут хорошо написали.
Об этом надо говорить и напоминать постоянно, как на пачках сигарет о вреде курения. При регистрации на тех же самых форумах и социальных сетях нужно большими красными буквами писать, что все что вы тут напишите, может быть использовано против вас.
Дело в том, что большинство читающих этот пост, это IT специалисты, и они(мы) знакомы со всей кухней изнутри, а отсюда негодование — мол, да ну нафиг как так, не верю не может быть, фуфло, херня, давайка детка на меня что-нибудь нагугли. При этом у нас по 10 паролей разной степени секьюрности, минимум 3 мыла (регистрации в говносервисах, текучка и приватная почта которую знает не больше 20 человек). Для нас это все в порядке вещей, самой собой разумеющееся, а отсюда и негодование.
Но это для нас, а что для девочки 17 лет, которая вдруг решилась пошалить и в «приватной» переписке со своим бойфрендом в какой-нибудь соцсети решит выложить фоточки со своими сисечками? Завтра, ну или послезавтра, эти сисечки окажутся на фишках.
Скажите, вы считаете себя слабым звеном? И я нет. Я пойду присматриваться к секретарше Маше и ее вконтактику. Зачем мне вы с вашей гиковостью и параноей.
комментарии (231)
а информация о том, что 15го июля в 12 часов дня я был в Париже, может пригодиться
Тем более не помогут им твои фотки из Парижа. А кому они «помогут»? А никому.
Не надо разводить параною.
но вы правы, это неудачный пример
Звонили на мобильный и говорили что «Вашего сына/племянника/брата/свата/…
забрала милиция, и чтобы его не посадили надо привести определенную сумму в
определенное место, немедленно. Так вот к чему это я,
Люди одумайтесь, размещение информации о себе в интернете равнозначно
тому что вы напишете пишите на входной двери когда вас не бывает дома.
> размещение информации о себе в интернете равнозначно тому
> что вы напишете пишите на входной двери когда вас не бывает дома.
Вовсе не равнозначно, вообще не вижу никакой связи.
А информацию о том, когда вы не дома, вполне можно получить, и без всякого вашего содействия.
У меня например в ЖЖ и в фейсбуке в френдах преимущественно люди с которыми я вживую не виделся никогда.
Что же дают комуто мои фотографии например с сотрудниками по работе? С одной стороны это какбы информация, с другой стороны совершенно не секретная. Если кто-то способен узнать на фотографии человека с которым я рядом, то скорее всего он уже знает что мы с ним вместе работаем.
Можно согласится что это всёже какая-то инфа. Но не особо ценная или полезная, это точно.
Для сравнения, помнится по рос. ТВ не так давно был сюжет о том, что в продаже есть слитые некоторыми банками кредитные истории, включающие полные паспортные данные людей. Вот это серьёзная инормация на большое число людей в одном месте.
правда их актуальность не такая высокая 2004-06 г.
ну вот по вконтакту например круг друзей(сами друзья) может многое человеке дать инфы
Какое отношение это имеет информация о какой-то поездке к собственно «электронной жизни»?
Ваш провайдер — вот кто знает что вы порно на редтубе смотрите, а не ваш блог или другая соцсеть.
А доступ к мылу это подчас менее инетересно чем например история Скайпа и прочих мессенджеров, которую вы не получите даже имея пасворды.
> Все, вся электронная жизнь человека у вас в руках. Потянули за ниточку.
Ааа! Буу! Фсем баяцца полчиса (-;
В тех же случаях, когда скрываться надо — генерить себе левый ник pwgen'ом и юзать TOR.
Не удалось, все равно длинно и нудно. И бесполезно.
Дело в том, что большинство читающих этот пост, это IT специалисты, и они(мы) знакомы со всей кухней изнутри, а отсюда негодование — мол, да ну нафиг как так, не верю не может быть, фуфло, херня, давайка детка на меня что-нибудь нагугли. При этом у нас по 10 паролей разной степени секьюрности, минимум 3 мыла (регистрации в говносервисах, текучка и приватная почта которую знает не больше 20 человек). Для нас это все в порядке вещей, самой собой разумеющееся, а отсюда и негодование.
Но это для нас, а что для девочки 17 лет, которая вдруг решилась пошалить и в «приватной» переписке со своим бойфрендом в какой-нибудь соцсети решит выложить фоточки со своими сисечками? Завтра, ну или послезавтра, эти сисечки окажутся на фишках.
Уверен, что через пару лет уже 19-летняя девочка с сисечками за пояс заткнет всех тут отписавшихся в плане сохранения приватности в Сети
Сдаётся мне, автор коммента слегка ошибся с возрастом отрастания сих важных органов…
Признайтесь, вы сами бывает хвастаетесь в сети своим друзьям (как вы думаете, только им) о какой-то новой дорогущей штукенции.
А если еще и статус *ух-ты! Скоро отпуск* где-нибудь светится.
А если еще в фотоальбоме есть фото, где квартира просматривается…
То остается только продумать с помощью ГуглМапс пути отступления и пойти на очередное дело.
А вообще, перед тем, как уехать в отпуск усыпите своего дворника — чаще всего они являются наводчиками для домушников. Просто доброжелательно болтают с бабушками у подъезда (а они то в курсе, кто да где, как живет и где бывает и готовы с радостью поделиться этим со случайным достойным слушателем), раньше всех встают и очень многое слышат.
Соседи наши делали ремонт и заказали много дорогой мебели. Мебель привезли, подняли, уехали.
На следующий день приехал тот же бусик и те же люди принялись таскать мебель обратно. На вопросы бабушек ответили, мол, цвет не подошел, а нам таскать вот теперь. Дружное комьюнити бабушек вместо того, чтобы как-то уточнить этот факт принялось обзывать соседей зажравшимися буржуями и чуть-ли не помогали выносить эту самую мебель.
Я думаю, вы поняли, что на самом деле это было самое обыкновенное ограбление.
Сказывается то, что отношения с соседями «нонче совсем не те» © и я вот со своими только когда в дверях встречаюсь — здороваюсь.
как-то начал анализировать записи — выявил группу лиц, которая тусовалась под домом и высматривала в окна.
Через 2 дня узнаю что у соседа этажом ниже взломали и обокрали квартиру
Именно с видео удалось идентифицировать домушников, оказалось в нашем районе аналогично вставили ещё 5 жилищ.
В милиции ребята признались что ориентировались при выборе жертвы по висящим на улице дорогим кондиционерам и стеклопакетам
Ну а камера full-hd в этом плане отработала на 5 с плюсом :)
как жирное ЗЫ: и кто тут ещё скажет что нужно всё выпячивать наружу? ау saldacenkaw?
это уже дальше более приватную информацию чтоб получить
Дата рождения: 13 Сентября 1987
Проживает: Брест, Белорусия, Суворова 75-48
Телефон: +375 29 6105336
ICQ: 314108
skype: roma.soldatenkov
Почта: saldacenkaw@gmail.com
Поддерживает кандидатуру Майкла Джексона на Нобелевскую премию мира
потому что у меня нет цели что-то с вами или через вас делать
вообще, вот человек сказал хорошо
habrahabr.ru/blogs/infosecurity/75316/?reply_to=2182723#comment_2182694
И, блин, хоть убей не помню никаких майклов джексонов )))
ищешь, записываешь новую информацию, goto 1
А у valyardа что-то ЧСВ зашкалило сильно. Товарищ valyard, это смотрится нелепо.
Второй ник — MoToPuCT?
если у меня цель не личн вы, то я пойду гуглить кого-нить другого.
Лучше попробуйте на меня что-нибудь нагуглить, интересно очень. Спасибо.
Большая часть информации — во whois сайта, в подвале страниц которого — Ваше имя )
Попутно открыл для себя сервис, на котором можно поднять whois истории домена, а также там есть поиск по имени владельца, небесплатно, правда. Поэтому он оказался почти бесполезен. Почти — т.к. в результатах поиска по владельцу показывают первую букву имени домена.
Можно купить сим-карту на Ваше имя и использовать канал связи для перевода крупных сумм посредством украденных клиент-банк эккаунтов на счета фирм-помоек.
Это так, навскидку.
Кстати, пацанам на черных джипах чтобы приехать тоже нужна причина (не занимайте крупных сумм у бандитов, не играйте в долг в казино, да и вообще не влезайте в долги, а то продадут Ваш долг тем, кто может легко взыскать).
Хотя, выдуманный номер паспорта тоже не пройдет, наверное. Т.е. банк отпадает.
Симку, видимо, приплел зря. ) Кстати, есть места, где симку можно купить без паспорта.
Этот совет был актуален во все времена, не важно активны вы в интернете или нет. Когда дело касается крупных денег — рано или поздно найдут, как ни прячься.
2.в супермаркете содрать дамп карты
3.позвонить в банк и снять лимит операций на сутки, назвав адрес, дату рождения, ФИО, кодовое слово.
4.отовариться по Вашей карте без ввода пин-кода в пос-терминале на значительную сумму
5.PROFIT
я спокойно пробиваю всё, в т.ч. родителей любого человека живущего в Украине
пользуйтесь
Но всё-же девичью фамилию матери там никак не выковырять в случае её смены. :)
2. то есть вам нужно еще подкупить кассира чтобы он сделал дамп, при этом еще нескольких человек из СБ этого супермаркета?
3. кодовое слово отнюдь не всегда девичья фамилия
4. отлично, только на шаге три нужно попросить еще отключить услугу смс-чек иначе чревато.
5. ага
я спокойно пробиваю всё, в т.ч. родителей любого человека живущего в Украине
пользуйтесь
Для получения девичьей фамилии как-раз тухлая и нужна, чтобы родители были в ней, и субъект
смс-информирование скажет что с тебя списали денег, и что? ведь уже списали :)
Дело в том что деньги сразу не списываются, а «блокируются». Человек блокирует карту (максимум 15 минут). Если это снятие денег без ввода пин-кода то Банк на стороне клиента и как правило шустро возвращает деньги.
Причина проста: иначе на этом стали бы зарабатывать нерадивые клиенты по сговору и по манибэку.
А злой дядя уже ушел с плазмой за Ваш счет :)
Ага с плазмой, меня тут паспорт попросили предъявить в перекрестке ибо у них якобы больше 2000> даже при вводе пин-кода нужны документы. :)
100% отказ, и цитирование договора: держатель карты при её утере должен по горячей линии поставить её в стоп-лист.
Если фрод случился после звонка — деньги банк и возвращает, но ведь понятно что такой ситуации не будет, карта моментально в стоп-листе и транзакция невозможна.
Если до звонка с просьбой поставить в стоп-лист — клиент неправ и никаких возвратов железно
Собственно по-этому все банки записывают все звонки на горячую линию
Очень неприятный сюрприз был :( К счастью, ничего не пропало.
Зато у них есть банк клиент, в инструкции к которому сказано, что IE является достаточно безопасным браузером для совершения банковских операций, а в других браузерах оно не работает, так что ощутить всю мощь их банк-клиента не позволил ощутить мой «небезопасный linux» :)
Сгодится разве что, чтобы пробить по адресу прописанных там людей (а обычно это родители или родственники соответственно) и позвонить, например якобы от имени коррумпированных сотрудников милиции, которые якобы его задержали и требуют перевести деньги (одно время прямо всплеск таких разводов был).
Сейчас на такой развод даже мой дедушка 85 летний не купится (был прецедент).
И те кому нужно пробить для того чтобы убить/обворовать не станут рисковать за бабло пробивать в МВД. Они что идиоты?
Надеюсь доходчиво объяснил?
+такой пассивный поиск не единственный источник информации, и всё равно придется самому что-то смотреть, куда-то звонить и тп для нахождения полной информации.
Девочка получит бесценный жизненный опыт, который ещё много раз пригодится в жизни:) Ибо нефиг в облаках летать.
Раньше частенько пугал новичков в IRC, «угадывая» их дни рождения:) Но практической ценности в этом нет. В обычной жизни подкупить правоохранительные органы и «пасти клиента» — быстрее, эффективнее и уже давно налажено.
> Я перечитал свой же текст и мне стало страшно. Серьезно.
(Зевая) Вах, баюс.
Госпыдя, кого-то еще интересуют чьи-то сиськи?
По моему вы просто тетешкаете и баюкаете собственное осеннее психическое обострение, лелейте его и дальше, и к 40 годам вам понадобятся услуги врача-специалиста +;)
Подумайте об этом.
С другой стороны спорить с психически девиированным — себе дороже. Он же искренне уверен, что агенты ФСБ его зомбируют, пуская сквозь розетку квартиры отравляющих газов.
Это для нас смешно, а чуваку с шапочкой из фольги на самом деле нифига не смешно.
Уж не говоря о том, что тут, на хабре, для доброй половины это любимая и лелеемая многими годами манечка.
я не знаю как звучит фраза в оригинале и откуда она, но у меня она звучит так: «если у вас паранойя, это еще не значит, что за вами никто не следит». перевожу: «если у вас (подтвержденное докторами) расстройство психики, при котором вам кажется, что за вами постоянно следят, и вы уже смирились с этим, совсем не обязательно, что за вами на самом деле никто не следит». такие дела.
Не забудьте выложить фоточки на фишках)
Зер гут.
Финансовые онлайн-сервисы сложнее потерять. Не думаю, что те же вебмани позволяют восстановить доступ через мыло (хотя кто их знает, не пользуюсь). Пароли к Интернет-банкам тоже по мылу не восстанавливаются и не высылаются (т.е. в архиве gmail не хранятся).
— Использую KeePass для генерации длинных разных паролей и их хранения.
был у меня случай, когда во время пользования вебманями остановился комп.
я подождал секунд 30 и перезагрузил
через 30 секунд в кипере нашел от себя перевод на 700у.е.
сидел троян с удаленным управлением, и передавал управление консолью злому человеку после ввода всех паролей в кипере, а для пользователя имитировал «висящий» компьютер…
собственно и капча не спасла :)
ну хотябы не флэш
Автор решил в очередной раз попугаться; попугался, и думает — может еще кого напугать выйдет?
злоумышленники воруют деньги так:
1. Аккаунт твиттера
2. Аккаунт вконтакте
3. ??????
4. PROFIT!
Зато у меня только три пароля для всех сервисов и э-банкинга т.к. тут находится точка равновесия между необходимостью помнить более 9000 разных паролей (или записывать, что лишь дольше) и простым удобством.
Сначала утверждается, что про любого можно нарыть кучу информации, в конце это же утверджение опровергается: про любого, кроме гиков, которые всё равно никому не нужны. И при чём здесь вообще секретарше Маша, если нужно нарыть инфы на какого-нибудь гика? Терморектальный криптоанализ к ней применить? Так проще сразу к субъекту.
у меня у бабушки нет блога, нет твиттера, нет акаунта во фейсбуке, и вообще она с трудом представляет себе что такое интернет. соответственно ее информация нигде не засвечена в публичном доступе и к ней эта статья не относится.
Сперва тупые переводы промтом мицгола, потом негодования и псевдовежливостью шахиджаняна.
Сейчас тут пугают, что 17и летних девочек похакают в контакте и в твиттере.
Как любят писать «юмористы» с упячки «галактеко опасносте!!!111».
Егор Коткин
Москва
Редактор
egorkotkin@gmail.com
8 965 408 30 01
487408468
ekotkin.moikrug.ru/
twitter.com/Andorro/
kotkin-egor.livejournal.com/
www.free-lance.ru/users/ekotkin
bobrdobr.ru/people/andorro/
vkontakte.ru/id45440183
www.roem.ru/user/Andorro/
А в остальном — вери гуд, если не считать того, что половина этой инфы есть в моём профиле Хабрахабра :)
p.s. Например обо мне
P.S. Когда-то очень хорошая знакомая ответила мне на одну серьезную проблему: — Да это всё пустяки, главное близкие живы и здоровы. С тех пор, это фраза у меня автоматом возникает в голове на любое оскорбление, как миниум, в сети.
И стыдно ещё. А информацией в наш информационный век уже никого, увы, не удивишь.
Черт, а я ведь есть на фейсбуке. =\
Проводил несколько экспериментов по данной теме. В современных организациях (различные техподдержки, кол-центры, даже секретари в банках) большинство готово к потенциальным атакам. А вот самые обычные люди: жены, дети этих самых сотрудников (про которых легче всего найти интернете все что угодно) готовы поверить в любую лапшу по телефону и рассказать сколько угодно действительно тяжело находимой информации. Которую значительно проще использовать не в благих целях.
А вообще, думаю наверняка у более менее каждого есть история, как он лет 5 назад знакомился с какой-нибудь девушкой в аське и через полчаса звонил ей на домашний пользуясь только знаниями о ее ip адресе.
А про вконтакте. Ребята вообще молодцы. Думаю, что у большинства хабролюдей пароли на разные ресурсы все же разные. Но 100% все хоть раз да ввели пароль от своей почты, вместо пароля от вконтакта. Просто на автомате.
Ну ip адрес был получен, т.к. ее icq клиент его не прятал. Дальше большое спасибо ее провайдеру, который всех клиентов записал в dns в in-addr.arpa с их фамилиями. Ну а по фамилии уже можно практически все. Благо всегда было где достать «секретные» базы. Повезло, фамилия оказалась довольно редкой и по ней можно было найти и адрес и телефон.
Это немного не относится к социальной инженирии. Но в полне по теме того, что в сети очень многие как на ладони. :)
Подскажите хороший хранитель паролей (XP)…
Тот же Брюс Шнайер давным-давно сформулировал золотое правило: безопасность — это всегда компромисс между степенью защищённости и удобством использования. Одним из важных следствий этого правила является такое: любая мера, направленная на повышение удобства аутентификации неизбежно ухудшает защищённость. Всякие менеджеры паролей, безусловно, не являются исключением.
Ну и постепенно начал «выводить» «лишнюю» информацию из сети — пройдет время, и это будет найти очень сложно, пройдет много времени — невозможно. Интернет все-таки обновляется и это хорошо.
www.archive.org
Так что про невозможно это вы погорячились
Как-то было нужно, вытащил удаленный сгоряча блог одного музыканта.
На днях я чисто по человечески попросил человека удалить мою скопированную им информацию с моего блога на его сайт. Удалил.
Как минимум, для втирания в доверие этого будет достаточно: «О, милая, надо же, КАК совпадают наши с тобой интересы!..»
##
Не доверяйте вообще никому в интернете. Контакт в ICQ, по идее, принадлежащий вашему брату, может давно уже не принадлежать брату, хотя он об этом возможно ничего и не знает. Сейчас я не буду вдаваться в технические подробности взлома, расскажу о самых простых и самых быстрых методах.
Никогда не используйте секретные вопросы в качестве метода восстановления пароля. Это полнейший идиотизм, практически на любой вопрос можно при желании найти ответ. Если уж используете, то придумайте вопрос, формулировку и смысл ответа на него можете знать только вы (например, что-нибудь из детства). Если вы на вопрос «Любимый цвет?» выбираете ответ «а никакой», то учтите, что вы тут не самый умный ;-) Еще больший маразм ставить вопросы типа «Девичья фамилия матери». Типа сложно, ага. Берем обычную базу, купленную в метро за 80 рублей, пробиваем вас, пробиваем жителей квартиры, находим бабушку и привет. Или идем в одноклассников, находим там вашу мать (их там дох*я и больше), смотрим сообщества. Там скорее всего есть сообщество ее школы. Так вот уже в списке участников сообщества подавляющее большинство указывает свою фамилию девичью, чтобы одноклассники вкурили кто это. Вот и все, способ проверен много раз, и каким бы глупым он не был, он работает.
Не так давно встретился вопрос «нечетные четные:». Естественно, испробовал кучу разных слов и цифр, через несколько месяцев попробовал то же самое не в качестве ответа на вопрос, а как пароль. Готово.
Ответ на вопрос«Любимое блюдо» как правило занимает пару дней (по три варианта в час). Короче, секретные вопросы — самый простой способ спереть у вас все что можно. Есть почта — есть все остальное. С «номер машины:» тоже ничего сложного нет. Во-первых, ГИБДД-базы, во-вторых ГИБДД-друзья.
Социальная инженерия, учитывая уровень развития интеллекта очень большой части пользователей Сети — мощнейшее оружие. С ее помощью можно выяснить информацию от имени кошки/собаки (те же секретные вопросы) и вплоть до пароля к почте, что бы я проверил ее на вирусы (бывало и такое). Еще можно, имея в кармане аккаунты некоторых людей, от их имени написать их друзьям, например про какой-нибудь опрос. Друзьям (особенно подругам доверяют), а как я уже говорил, в таких случаях писать могут далеко не они. Следы можно вычищать, а можно и не вычищать потому, что когда выяснят что это типичный развод лохов, все пароли будут уже у того, кого надо. Так вот об опросах. Девушки, например, безумно тащатся от опросов типа «кто твой идеальный парень» или «какой цвет тебе подходит», ну или совсем маразматические типа «узнай свое счастье». То, что с такими людьми вообще вредно общаться, мы опустим. На странице с опросом помещено два поля: для электронной почты и для пароля. Почта для получения результатов, а пароль для доступа к ним. Вводят, высылают. Опрос оповещает, что результаты будут в течении дня. (иными словами, посылает нахуй) А пароли, естественно, уже летят на мэил.ру или на яндекс, меняются, пароли от вконтакта высылаются туда же, счастье, смена всего и вся, «что это за нахуй?? у меня не открываеться!!» и т.п. На опрос никто, как правило не думает, он там так мирно и висит. Для вида можно послать результаты, тогда точно не спалят. В начале прошлого лета, я таким образом получил в районе пяти сотен эл. адресов и паролей кретинов, с тех пор такой наглой чушью не занимаюсь.
Или боитесь, что все прознают указанные секретные методы взлома?
пусть висит
Не согласен с этой точкой зрения.
Кто просит в ответах на секретный вопрос писать настоящую «девичью фамилию матери», а если там просто табор отсебячины которую можно запомнить?
а можо и забыть
ну и получается еще один пароль на восстановление пароля… а пароль на пароль восстановления пароля?
1) использовать разные ники-пароли-мыла на всех ресурсах
2) менять стилизацию всех отправляемых в Интернет текстов и т.д.
Но, вообще, по-моему, первого пункта достаточно. То есть человека в интернете достаточно просто идентифицировать по мылу, нику, аське.
P.S. можно сделать сервис, генерирующий весь набор, автоматически создающий случайное мыло, регистрирующий аську, скайп, всё для одноразовой связи, впоследствии всё удаляющий. Но это так, инструмент, пользователь ещё должен заботиться о сокрытии IP-адреса, благодаря которому могут также идентифицировать, но на другом уровне (на уровне провайдера, государства и пр.)
А вообще, — любая анонимизация уменьшает удобство использования сервисов.
как было хорошо сказано выше — надо себя вести так, что бы в случае деанонимизации не было стыдно.
imho серьезные люди сейчас не будут использовать интернет для поиска информации — для них куда проще и действеннее офлайновые методы.
Если есть человек — есть уязвимость.
Проблема в другом. Существует ряд служб, идентифицирующих пользователя допотопными и непригодными для информационного общества методами. Например, в банках используется жестко заданный «секретный» вопрос — девичья фамилия матери, и кто-то полагает, что эта информация в наше время действительно может быть секретной. Под вопросом также пригодность современных образцов паспортов и некоторых других документов. Эти проблемы нужно идентифицировать и обращать на них внимание соответствующих компаний и органов власти (для чего и необходимо гражданское общество, «электронное государство» и тому подобные сущности). «Приватности» образца прошлого века в информационном обществе нет и быть не может, потому что не существует больше способа оперативно отследить, занимается ли некий гражданин сбором информации о другом гражданине (возможно, в преступных целях) или нет. Зато можно осложнить реализацию преступного замысла — установить камеры наблюдения, снизить ценность де-факто общедоступной информации для принятия финансовых и других важных решений, повысить надежность идентификации клиентов в тех же банках и других местах для предотвращения злоупотреблений и т. д. Прошлый век пишущих машин и бумажных «баз данных» ушел навсегда, его методы больше не работают!
я не задумывался, я прямым текстом все написал в статье
да, приватную иформацию обычно не выкладывают, но собранная по кусочкам публичная информация может сильно облегчить доступ к приватной
Например девичья фамилия матери: узнать ее в современном мире не проблема (или небольшая проблема). И я уже давно не видел ни одного места, где именно _требуют_ девичью фамилию. Я в таких местах обычно использую что-нибудь другое. Например в качестве кодового слова (вместо девичьей фамилии) в одном из мест, где это требуется используется 18-значный цифровой код, который мне выдала одна игра в глубоком детстве. Я две недели искал куда его запихнуть, поэтому запомнил на всю жизнь, а когда дорос до ассемблера, выяснил что генерится он случайно при старте новой тгры.
Или вот например паспорт: его защищенность irl поддерживается статьей УК о подделке документов и некоторыми защитами, которые применены при изготовлении. Серия и номер паспорта конечно не публичны, но и шибко уж секюрными не назовешь, они ничем не защищены, защищен только реальный единичный экземпляр. Соответственно использовать паспорт (его серию и номер) можно только там, где этот паспорт может быть предъявлен, но никак не онлайн, где достаточно ввести эти ничем не защищенные цифры.
Как-то так…
Пишите рядом с формочкой с паролем напоминание «не вводите тут такой же пароль, как на вашем почтовом ящике. Придумывайте новый пароль для каждого нового сайта».
Проверяйте при регистрации, что пароль не password, не совпадает с логином, можно даже постучаться на тут же введенную почту пользователя и проверить, не подходит ли пароль туда, и сказать об этом.
При вводе пароля пишите о его защищенности и мягко рекомендуйте ввести посложнее, не забывая давать рекомендации как именно посложнее. Мягко — если человек всё-таки хочет ввести именно такой пароль, пусть вводит.
Не храните пароли в базе в открытом виде, храните md5/sha1 и т.д.
Всё в ваших руках, повторюсь, делайте интернет лучше.
Плюс бесит своё представление о «правильности» пароля в разных местах.
Из последнего: пароль из букв и цифр не был принят, ибо в нём нет ни одного спецсимвола. Пришлось вставить "_". В то же время знаю сайты, на которых не принимаются пароли СО спецсимволами! Вот и приходится выдумывать три-четыре пароля на все случаи жизни, и подставлять их даже не по «степени секьюрности», а по критерию съедобности сервисом…
задолбали такие бесполезные статьи.
2) тупой, ибо смысл статей не понимает
Гугль марать о такого не хочется.
Такая уж интересная особенность интернета — информация не удаляется. Так что еще далекие потомки будут при желании знать кто такой Вася Пупкин и чем он занимался 12 июля 2009 года.
никому
как ни прескорбно, даже вашим внукам
а закрытую информацию о работе компании я не скажу ни близким, ни дальним друзьям — слежка за мной просто теряет смысл… работа отдельно, личная жизнь отдельно — не привык это смешивать…
а фотки или типа того — думаю, это волнует только девушек, и то не всех…
если девушка красивая и её фотки оказались на фишках — это даст ей славу и кучу поклонников — у неё будет богаче выбор… будет королевой, ну, или просто гордо пошлет всех… а если не очень красивая — вряд ли она кому-то будет показывать свои откровенные фотки, значит, и на фишках их не будет…
то есть всем безралично и поэтому вряд ли что-то изменится…
Это только пример. Вот еще:
Кредитными картами пользуетесь? онлайн оплатой? вот тут вас и может застичь подвох.
Все думают что они не такие как люди из новостей, что их не каснется беда. Это называется халатность, и почти все о ней потом жалеют (мне так кажется).
Вы свое будущее не знаете, и любая информацию может сыграть с вами злую шутку, сейчас 21 век, век информации.
И не о каждом активном пользователи интернета возможно найти инфу по логину или же ящику.
Например выход в сеть по контракту зарегестрировану на знакомого + vpn+ SOCKS
Как тут упоминалось для каждой цели использование разных icq, email, ников.
Так же при регистрации желательно не указывать свою настаящию дату рождения инициалы.
p.s По крайней мере мне удаёться соблюдать относительною анонимность в сети
p.p.s. Параноик — это всего лишь человек, которому известны факты.
Сегодня здесь выложили файлик с паролями от известного сервиса. И что? Этим людям есть что скрывать? Кому нужно скрывать, те умеют.