Pull to refresh

Тезисы про взломы жж и вообще по безопасности

Reading time5 min
Views922
Народ чего-то разволновался — взлом жж, караул.

Ну фигня ж все это. Рецепт от pisma_izdaleka:


1) Не пускайте троянов себе на машину. Для этого достаточно в 99% случаев просто не пользоваться IE. Используйте маргинальные браузеры. Маргинальные — в данном случае — хорошие, но не на движке IE и не шибко распространенные. Мой выбор — Опера. IE оставьте для доверенных сайтов исключительно. Поставьте антивирус (опционально, на любителя), файрвол включите наконец, а лучше сидите за NAT'ом. Любителям вареза и порнушки принять дополнительные меры — например, завести себе виртуальную машину и скачивать исключительно туда. Вообще, виртуальная машина способна решить массу проблем. Ее можно легко бакапить. Ее можно переносить на флешке. Ее можно быстро уничтожить, если потребуется. Весь перечисленный софт можно подобрать качественный и бесплатный.

Пояснение: почему не стоит использовать именно IE. Дело в том, что этот браузер единственный (если я правильно помню) использует технологию ActiveX и прочие, приближенные к ней. Объект ActiveX — фактически полноценная мини-программа, которая скачивается с сервера и запускается на вашей машине с такими же правами, что и вы сами имеете. Иногда это необходимо. Но: эта штука дает полный доступ к вашей машине и при этом обнаруживает сплошные дыры, так, что их латать не успевают. Оглянуться не успеете, как подцепите какую-нибудь дрянь, пусть даже просто рекламную. Еще один момент — IE установлен в системе по умолчанию (он часть системы при этом), его используют абсолютное большинство неподготовленых пользователей и именно этот браузер — объект номер один для исследования уязвимостей. Есть сайты, которые без IE не работают (например, нужна та же поддержка ActiveX) или работают плохо (визуально корежат разметку страниц). Если это сайт, которому я доверяю — например, мой интернет-банкинг или gmail, я работаю через IE. Во всех других случаях категорическое требование использовать именно IE «а то не получите всего удовольствия» — прямое для меня указание на этот сайт больше не заходить _никогда_.

Да, еще насчет движка IE. Он используется и при отображении HTML писем в почтовиках вроде Outlook, Outlook Express. Можно получить каку даже просто открыв письмо от доброжелателя.

2) Шифруйте почтовый трафик — держите почту на gmail и получайте ее по pop3 via SSL (не через web, он не шифрован, а через pop3 — через вашу любимую почтовую программу). mail.ru — это хорошо, но pop3 у него «голый», без SSL (все ваши пароли и письма летают по сетке в открытом виде) + mail.ru — отечественная система. Не подумайте ничего плохого, я патриот российского шоколада, но тут иной случай: в российской системе работают наши, родимые, российские люди — очень общительные и друзей у них много, в т.ч. купивших книгу как-стать-хакером. Именно через почту в основном и ломаются жж. Если вы завязли на mail.ru и прочем — все равно переезжайте на gmail, а на период миграции на mail.ru установите автоматическую переадресовку писем на ваш новый адрес. Про то, что пароли надо придумать разные и сложные — уже как-то и говорить неудобно. Про то, что в секретном вопросе «Как зовут вашу собаку» не надо писать действительное или распространенное имя собаки — уже как-то и говорить неудобно. Девичья фамилия матери тоже не обязательна быть правдивой. Плохо запоминаются пароли? Есть программы для хранения паролей. Ctrl+C, Ctrl+V.

Mail.ru в вышеприведенном абзаце — приведен условно. Применимо к любому местному почтовому сервису. Пока только на загнивающем Западе всерьез думают о privacy.

Удивлены, откуда хакер узнал адрес почты, указанный в вашем жж? Проще простого. Как правило у вас всего один адрес и вы за годы пребывания в сети засветили его везде, где только возможно — на сайтах одноклассников, в ICQ, на форумах, в жж, наконец. Яндекс — найдется все.

Удивлены, откуда хакер узнал ваш IP и атаковал ваш компьютер? Ну, например, комментили в его жж. Или отправили ему письмо со своей машины. Или использовали старую версию ICQ. Вообще, это не интересно. Защита не в том, чтобы прятать такую информацию. Лучше закройте свой компьютер.

Удивлены, откуда хакер узнал ваш пароль? Вспомните, на скольких сопутствующих дружественных ресурсах вроде ljplus, фотохостингах и форумах вы использовали тот же самый набор букв и цифр, к тому же порой легко угадываемый? Зачем ломать непосредственно жж? Можно начать с менее защищенного ресурса.

3) Всегда четко представляйте, как идет ваш трафик. Используете WiFi без (хорошего) криптования — ваш трафик может читать сосед за стеной или любой любознательный с ноутбуком или КПК на скамейке у вашего подъезда. Не шифруете контент — все доступно вашему домовому, районному, городскому провайдеру и прочим СОРМам. Это не паранойя. Это реальность.

4) Контролируйте доступ к вашей машине — физический и сетевой (расшаренные папки всевозможных видов — в том числе пиринговые сети).

5) Следите за анонсами — софт для бакапа жж уже есть, написать восстановление технически несложно — напишут, если захотят, быстро. Не забывайте бакапить. Автоматизируйте этот процесс, потому что человек склонен забывать.

Много страшных пунктов? Не более, чем в правилах личной гигиены. Новые времена — новые правила. Привыкайте.

Какая разница, отчего потерять данные — от злобных хакеров или от уборщицы тети Маши со шваброй? Чем клеймить врагов, лучше минимизировать риск заранее и относиться ко всему, как к неизбежному злу.

Все подловы — на элементарной безалаберности. Отлаженной системы нет — иначе валили бы всех нужных, а не того, кого получится.

Со всем знаком не понаслышке — с одной стороны занимаюсь разработкой софта для сетевой безопасности + бывший неплохой сисадмин, а с другой когда-то давно развлекался примерно тем же, чем сейчас гроза всех времен и народов Хелл. Только что жж тогда еще не было. Ничего принципиально оригинального и нового с тех пор не изобрели. Разве что WiFi добавил интереса. Но хакера, способного поднять свою задницу и географически приблизиться именно к этой конкретной жертве на расстояние радиосниффинга еще поискать среди гражданских надо.

Update: Если кому-то интересно, в принципе, можно было бы развить тему — вместо потока параноидальных и терминоемких советов представить взгляд с другой стороны: написать примерный алгоритм взлома данного конкретного жж, как бы это сделал лично я. Так, шаг за шагом, следя за ходом событий, можно понять, где слабые места. Мне кажется, так будет нагляднее. Хотя и подтолкнет кого-то на подвиги, к сожалению.

Update2: Или раскрыть тему отдельными постингами — потому что есть много нюансов.

От себя (через pisma_izdaleka) хочу добавить, наряду уже со сказанным, про секретный вопрос, который нужно написать при восстановлении пароля. Все так и пишут — имя собкаи и фамилию матери. Не стоит этого делать. Социальную инженерию еще никто не отменял.

ну и хрестоматийный спасательный круг — использовать Mac OS X или Posix системы для работы:-)

P.S.: в апдейтах сделаны намётки на будущие посты, которых может и не оказаться. Плсюованием темы и здравыми комментариями можно пригласить сюда автора, дать ему кармы и ждать качественных, актуальных и полезных статей — видно, что автору есть что сказать и он вполне может доступно это изложить.

P.P.S.: тов. Hell, интересно, что ты сделаешь здесь.
Tags:
Hubs:
Total votes 12: ↑8 and ↓4+4
Comments35

Articles