Шифрование: цифровые доспехи

[SDA]

Один день хакера в Web 2.0
Дорогой друг! Все стало очень просто. Раньше мне приходилось придумывать вирусы и атаковать сети, чтобы показать, какой я умный, но сегодня стать хакером проще простого: миллионы домашних пользователей работают совсем без защиты. Самое трудное — найти тебя, мою жертву. Однако благодаря новейшим технологиям — вычислительному «облаку», особенно социальным сетям, программному обеспечению как службе (SaaS, software as a service — модным приложениям Web 2.0) и оперативным хранилищам, мне стало проще найти тебя и собрать о тебе данные. Я расскажу, как это делается.

10:00. Время «выпустить на волю» новую программу Facebook, остроумную игру о котятах в микроволновой печке. Запуская мое приложение, ты соглашаешься поделиться со мной всеми данными своего профиля, и если при этом ты сообщил хоть что-то полезное для меня (например, номер кредитной карточки), то я считаю, что ты заслуживаешь того, чтобы я украл это. Вот образец подобного трюка, придуманного, к сожалению, не мной: в марте 2008 г. с помощью программы выгрузки изображений Aurigma ActiveX были организованы атаки с переполнением буфера, в ходе которых в ПК пользователей размещались вредоносные программы.

11:00. Мой новый фальшивый профиль в службе MySpace почти готов. Основное назначение Web 2.0 — обмен материалами, подготовленными пользователями. Мои материалы — вредоносные программы, и особенно приятно, что пользователи сами загружают их. Большинство людей не представляют, насколько просто настроить профили MySpace. Программа завладевает вашим ПК, пока в него скрыто загружаются «вредители» с другого инфицированного с моим участием Web-сервера. Это старый проверенный прием, применявшийся много раз. Кажется, впервые он был использован вирусом *Samy на основе JavaScript, который поразил службу MySpace в 2005 г.

14:00. После хорошего обеда и освежающего сна я продолжил атаку, разместив вредоносные элементы iFrame на сайтах, которым ты уже доверяешь. iFrame — это HTML-элемент, позволяющий вставить одну Web-страницу в другую. Я разместил атакующие средства на украинском сервере, вставив в пользующиеся твоим доверием Web-узлы, например CNN и Play*Station.com, элементы iFrame.

16:00. Сети социального взаимодействия также очень хороши для хакеров. Направляюсь в Интернет, чтобы продать украденные данные о кредитных картах и банковских счетах. За пределами США существуют тысячи серверов с досками объявлений, где всякий может покупать и продавать чужие личные данные. Это стало так просто, что даже цены на эту информацию упали. За данные о твоей кредитной карте Visa я получил всего 3 долл., но не остался внакладе, потому что сегодня я похитил несколько тысяч номеров кредитных карт.

18:00. Пора переключить внимание на сетевые приложения. Ты пользуешься Google Docs? Отличная служба. С ее помощью можно даже вставить вредоносный элемент iFrame в электронную таблицу.

Я могу обмануть тебя, заставив открыть мою электронную таблицу, или просто взломать твою учетную запись и вставить iFrame в твою электронную таблицу. Открыв документ, ты заразишь свой ПК ботом, который перехватывает личную информацию и пароль, когда ты регистрируешься на банковских сайтах.

Не обижайся на меня, друг. В конце концов, ты сам облегчил мне задачу.

До встречи в Интернете,

Твой 53CUR17Y W47CH.

Защитите свои данные

Меры предосторожности, которые помогут вам не стать жертвой хакера:

1. Используйте комплекс безопасности. Необходимо установить программный брандмауэр, программы против спама, шпионажа и компонентов rootkit, а также автономные средства блокировки несанкционированного доступа.

2. Обновляйте сигнатуры. Чаще загружайте новые сигнатуры, чтобы комплекс безопасности распознавал новые типы атак.

3. Используйте надежные пароли. Они должны быть разными для различных Web-узлов, содержать более шести символов, в том числе буквы и цифры. Нельзя употреблять имена, открыто упоминаемые в Интернете, например кличку вашей собаки, которая указана на странице Facebook.

4. Применяйте шифрование. При возможности шифруйте файлы важных данных, как хранящиеся на компьютере, так и передаваемые через сеть. Всегда щелкайте на ссылке Sign in securely (Безопасный вход).

читать
Несимметричное оружие
Защита файлов и папок с использованием EFS в Vista
Обустройство домашней сети WiFi
72 совета по безопасности
94 совета по безопасности
InfoWatch CryptoStorage 1.0
Безопасность Windows 7: BitLocker и другие
Беспроводная безопасность
Олег Калядин (InfoWatch)
http://www.pcmag.ru/reviews/detail.php?ID=33737