Кевин Митник в одном из своих интервью журналистам, сказал, что самое слабое звено в системе безопасности — это человек. Именно благодаря навыкам социальной инженерии, ему удалось стать одним из известнейших хакеров современности. Если вы считаете, что Кевин, как показывают в фильмах про хакеров, сидел в темной комнате с кучей мониторов с циферками и взламывал всех и вся оттуда, никогда эту комнату не покидая, то вы глубоко заблуждаетесь.
Ладно. Задайте себе вопрос — что уже интернет знает о Вас? Скорее всего, интернет о вас знает уже все, а что, как говорится, seen can not be unseen в глобальной сети. Теперь второй вопрос — как этим могут воспользоваться злоумышленники.
Я не буду придумывать суперхакерские сюжеты для тупых американских боевичков, где мегатеррористы стирают полностью электронные жизни людей, подменяют identity в базах данных полиции, ищут перхоть в волосах со спутников итд. Я не сомневаюсь, что это все возможно уже сейчас, но не всем нам. А что доступно всем?
У вас есть блог? Твиттер? Страничка во вконтакте или фейсбуке? Вы активный пользователь форумов? Тогда мы идем к вам…
Я перечитал свой же текст и мне стало страшно. Серьезно.
Сразу, как говорится, в лоб. Какое-то время назад в сети блогеры переписывали друг у друга статейку, как один парень используя только публично доступные источники данных в итоге получил толи доступ к кредитке своей подруги толи банковскому счету. Кому не лень, киньте ссылку.
Мораль же такова — в интернете о вас уже столько публичной информации, которой вполне достаточно, чтобы получить доступ к вашим приватным данным и приватным данным ваших друзей.
Популярные в последние годы социальные сети выполняют отличную задачу — собирают друзей irl (in real life), объединяют людей по интересам, создают комьюнити. Мне нравится, что я могу посмотреть как и где живет мой одноклассник, которого я не видел уже 10 лет, мне приятно общаться с людьми с теми же интересами что и у меня на каком-то сайте специализированного комьюнити. Мне тоже хочется, чтобы народ узнал о том, как я тут живу, какая у меня машина, где я отдыхал летом. Я указываю максимальное количество данных о себе в профиле в надежде, что когда-то забытый друг меня найдет и у меня станет +1 виртуального друга больше.
У меня есть Твиттер, я пишу туда время от времени какие-то мысли, свое настроение и наблюдения за окружающим миром.
Еще у меня есть несколько блогов. Блог — это вроде бы дневник изначально по замыслу. Знаете, раньше такие тетрадочки были, в которые писали «сегодня мы с Васей лепили снежную бабу» а потом «я ненавижу нашу училку по русскому языку», так вот теперь у нас есть блоги, которые вроде бы играют ту же роль, но доступны всем. И народ хочет иметь больше читателей и чтоб ему еще и отвечали, мол, «да, училка дура!».
Люди пишут на форумах. Тот же lytdybr или вопросы/ответы по каким-то насущным темам.
У людей приватная переписка хранится на gmail.com вечно.
Злоумышленнику сейчас собрать достаточно информации о вас не составляет никакого труда. Достаточно немного погуглить и он будет знать о вас все: где и когда вы родились, полные данные на ваших родителей, имена всех ваших домашних питомцев, любые расписания, где и когда вы отдыхали, как менялось ваше настроение за последний год, какую музыку вы слушаете, с кем дружите и что едите. И это только из ПУБЛИЧНЫХ источников. Ему не пришлось еще даже что-то изобретать и тем более нарушать закон.
Вероятно, вы просто сейчас никому не нужны.
Вы можете и не быть целью злоумышленника, но помните что я написал в самом начале про слабое звено. Через вас можно спокойно пробраться в компанию где вы работаете или к людям с которыми вы дружите.
Я уверен, что дернув за одну публично доступную веревочку, она вытянет целый рулон информации, которую вы бы предпочли скрыть.
У людей есть круги доверия. Я доверяю полностью небольшой части своих друзей и родственников. Я доверяю многим знакомым. Я не доверяю мало знакомым людям. И тем более незнакомым.
Но если человек знает все обо мне, ему СИЛЬНО проще войти ко мне в круг доверия и получить нужную информацию. Достаточно лишь при случайном разговоре показать, что у нас случайно совпали интересы (конечно же, я же обо всех интересах написал на вконтакте), а потом как-то перевести вопросы в нужное ему русло, а я и не замечу.
Черт возьми, он может притвориться моим другом Васей, который входит в первый круг. Ниразу от друзей по аське не приходили вопросы одолжить денег? Ну а спам во вконтакте от друзей?
O RLY?
Картиночка, чтоб было повеселее.
А теперь больше реальных примеров. Хватит абстрактных страшилок.
Все вы в курсе, что не так давно утащили туеву хучу логинов и паролей вконтакте. Как это сделали сейчас не важно. Важно, что выложили все это дело в интернет. Лично Павел Дуров недолго думая (видимо) по всему листу сбросил пароли взломанных пользователей. А теперь вопрос — у скольки процентов пользователей списка пароль на почту (которая является логином) совпадал с паролем на вконтакте? Сколько из них имело ящик на gmail? Сколько из них когда-либо удаляли письма из него? Сколько сервисов позволяют восстановить пароль имея доступ к почтовому ящику?
Все, вся электронная жизнь человека у вас в руках. Потянули за ниточку.
Кто из вас в форме восстановления пароля куда-либо ставил вопрос «кличка питомца»? Думаете из ваших вконтактов и блогов я не найду ответа на этот вопрос? Реальная история.
Однажды в популярном сервисе приватных закладок под паролем password я нашел рутовый sftp логин для основного сервера крупной компании. Внутри было интересно.
Ну и еще, признайтесь, у вас всего 1-2 пароля для всех сервисов? А вы уверены в надежности каждого из них?
Нужны еще примеры? Их Д О Ф И Г А.
Это я еще нигде не упомянул про дырявый софт и кучу уязвимостей. Дырами все же не каждый может воспользоваться, а публично доступной информацией вполне любой.
Молиться, если верите в Бога. Если вы активный сетевой житель, то уже сложно что-то сделать. Все ваши странички находятся в кэше поисковиков, агрегаторов и «машин времени». Вспомните каждый сервис, которым вы пользуетесь, найдите надежную программу для генерации и хранения паролей, сделайте уникальный пароль для каждого сервиса. Удаляйте ненужную переписку. Закройте публичный доступ к вашим вконтактами.
И помните, если вы параноик, это не значит, что за вами никто не следит.
P.S. каждый пункт сильно сократил, иначе получалось уж сильно длинно и нудно.
P.P.S. тут хорошо написали.
Об этом надо говорить и напоминать постоянно, как на пачках сигарет о вреде курения. При регистрации на тех же самых форумах и социальных сетях нужно большими красными буквами писать, что все что вы тут напишите, может быть использовано против вас.
Дело в том, что большинство читающих этот пост, это IT специалисты, и они(мы) знакомы со всей кухней изнутри, а отсюда негодование — мол, да ну нафиг как так, не верю не может быть, фуфло, херня, давайка детка на меня что-нибудь нагугли. При этом у нас по 10 паролей разной степени секьюрности, минимум 3 мыла (регистрации в говносервисах, текучка и приватная почта которую знает не больше 20 человек). Для нас это все в порядке вещей, самой собой разумеющееся, а отсюда и негодование.
Но это для нас, а что для девочки 17 лет, которая вдруг решилась пошалить и в «приватной» переписке со своим бойфрендом в какой-нибудь соцсети решит выложить фоточки со своими сисечками? Завтра, ну или послезавтра, эти сисечки окажутся на фишках.
Скажите, вы считаете себя слабым звеном? И я нет. Я пойду присматриваться к секретарше Маше и ее вконтактику. Зачем мне вы с вашей гиковостью и параноей.
Ладно. Задайте себе вопрос — что уже интернет знает о Вас? Скорее всего, интернет о вас знает уже все, а что, как говорится, seen can not be unseen в глобальной сети. Теперь второй вопрос — как этим могут воспользоваться злоумышленники.
Я не буду придумывать суперхакерские сюжеты для тупых американских боевичков, где мегатеррористы стирают полностью электронные жизни людей, подменяют identity в базах данных полиции, ищут перхоть в волосах со спутников итд. Я не сомневаюсь, что это все возможно уже сейчас, но не всем нам. А что доступно всем?
У вас есть блог? Твиттер? Страничка во вконтакте или фейсбуке? Вы активный пользователь форумов? Тогда мы идем к вам…
Я перечитал свой же текст и мне стало страшно. Серьезно.
Сразу, как говорится, в лоб. Какое-то время назад в сети блогеры переписывали друг у друга статейку, как один парень используя только публично доступные источники данных в итоге получил толи доступ к кредитке своей подруги толи банковскому счету. Кому не лень, киньте ссылку.
Мораль же такова — в интернете о вас уже столько публичной информации, которой вполне достаточно, чтобы получить доступ к вашим приватным данным и приватным данным ваших друзей.
Что.
Популярные в последние годы социальные сети выполняют отличную задачу — собирают друзей irl (in real life), объединяют людей по интересам, создают комьюнити. Мне нравится, что я могу посмотреть как и где живет мой одноклассник, которого я не видел уже 10 лет, мне приятно общаться с людьми с теми же интересами что и у меня на каком-то сайте специализированного комьюнити. Мне тоже хочется, чтобы народ узнал о том, как я тут живу, какая у меня машина, где я отдыхал летом. Я указываю максимальное количество данных о себе в профиле в надежде, что когда-то забытый друг меня найдет и у меня станет +1 виртуального друга больше.
У меня есть Твиттер, я пишу туда время от времени какие-то мысли, свое настроение и наблюдения за окружающим миром.
Еще у меня есть несколько блогов. Блог — это вроде бы дневник изначально по замыслу. Знаете, раньше такие тетрадочки были, в которые писали «сегодня мы с Васей лепили снежную бабу» а потом «я ненавижу нашу училку по русскому языку», так вот теперь у нас есть блоги, которые вроде бы играют ту же роль, но доступны всем. И народ хочет иметь больше читателей и чтоб ему еще и отвечали, мол, «да, училка дура!».
Люди пишут на форумах. Тот же lytdybr или вопросы/ответы по каким-то насущным темам.
У людей приватная переписка хранится на gmail.com вечно.
Кому.
Злоумышленнику сейчас собрать достаточно информации о вас не составляет никакого труда. Достаточно немного погуглить и он будет знать о вас все: где и когда вы родились, полные данные на ваших родителей, имена всех ваших домашних питомцев, любые расписания, где и когда вы отдыхали, как менялось ваше настроение за последний год, какую музыку вы слушаете, с кем дружите и что едите. И это только из ПУБЛИЧНЫХ источников. Ему не пришлось еще даже что-то изобретать и тем более нарушать закон.
Вероятно, вы просто сейчас никому не нужны.
Зачем.
Вы можете и не быть целью злоумышленника, но помните что я написал в самом начале про слабое звено. Через вас можно спокойно пробраться в компанию где вы работаете или к людям с которыми вы дружите.
Я уверен, что дернув за одну публично доступную веревочку, она вытянет целый рулон информации, которую вы бы предпочли скрыть.
Как.
У людей есть круги доверия. Я доверяю полностью небольшой части своих друзей и родственников. Я доверяю многим знакомым. Я не доверяю мало знакомым людям. И тем более незнакомым.
Но если человек знает все обо мне, ему СИЛЬНО проще войти ко мне в круг доверия и получить нужную информацию. Достаточно лишь при случайном разговоре показать, что у нас случайно совпали интересы (конечно же, я же обо всех интересах написал на вконтакте), а потом как-то перевести вопросы в нужное ему русло, а я и не замечу.
Черт возьми, он может притвориться моим другом Васей, который входит в первый круг. Ниразу от друзей по аське не приходили вопросы одолжить денег? Ну а спам во вконтакте от друзей?
O RLY?
Картиночка, чтоб было повеселее.
А теперь больше реальных примеров. Хватит абстрактных страшилок.
Все вы в курсе, что не так давно утащили туеву хучу логинов и паролей вконтакте. Как это сделали сейчас не важно. Важно, что выложили все это дело в интернет. Лично Павел Дуров недолго думая (видимо) по всему листу сбросил пароли взломанных пользователей. А теперь вопрос — у скольки процентов пользователей списка пароль на почту (которая является логином) совпадал с паролем на вконтакте? Сколько из них имело ящик на gmail? Сколько из них когда-либо удаляли письма из него? Сколько сервисов позволяют восстановить пароль имея доступ к почтовому ящику?
Все, вся электронная жизнь человека у вас в руках. Потянули за ниточку.
Кто из вас в форме восстановления пароля куда-либо ставил вопрос «кличка питомца»? Думаете из ваших вконтактов и блогов я не найду ответа на этот вопрос? Реальная история.
Однажды в популярном сервисе приватных закладок под паролем password я нашел рутовый sftp логин для основного сервера крупной компании. Внутри было интересно.
Ну и еще, признайтесь, у вас всего 1-2 пароля для всех сервисов? А вы уверены в надежности каждого из них?
Нужны еще примеры? Их Д О Ф И Г А.
Это я еще нигде не упомянул про дырявый софт и кучу уязвимостей. Дырами все же не каждый может воспользоваться, а публично доступной информацией вполне любой.
Что делать.
Молиться, если верите в Бога. Если вы активный сетевой житель, то уже сложно что-то сделать. Все ваши странички находятся в кэше поисковиков, агрегаторов и «машин времени». Вспомните каждый сервис, которым вы пользуетесь, найдите надежную программу для генерации и хранения паролей, сделайте уникальный пароль для каждого сервиса. Удаляйте ненужную переписку. Закройте публичный доступ к вашим вконтактами.
И помните, если вы параноик, это не значит, что за вами никто не следит.
P.S. каждый пункт сильно сократил, иначе получалось уж сильно длинно и нудно.
P.P.S. тут хорошо написали.
Об этом надо говорить и напоминать постоянно, как на пачках сигарет о вреде курения. При регистрации на тех же самых форумах и социальных сетях нужно большими красными буквами писать, что все что вы тут напишите, может быть использовано против вас.
Дело в том, что большинство читающих этот пост, это IT специалисты, и они(мы) знакомы со всей кухней изнутри, а отсюда негодование — мол, да ну нафиг как так, не верю не может быть, фуфло, херня, давайка детка на меня что-нибудь нагугли. При этом у нас по 10 паролей разной степени секьюрности, минимум 3 мыла (регистрации в говносервисах, текучка и приватная почта которую знает не больше 20 человек). Для нас это все в порядке вещей, самой собой разумеющееся, а отсюда и негодование.
Но это для нас, а что для девочки 17 лет, которая вдруг решилась пошалить и в «приватной» переписке со своим бойфрендом в какой-нибудь соцсети решит выложить фоточки со своими сисечками? Завтра, ну или послезавтра, эти сисечки окажутся на фишках.
Скажите, вы считаете себя слабым звеном? И я нет. Я пойду присматриваться к секретарше Маше и ее вконтактику. Зачем мне вы с вашей гиковостью и параноей.
