Пароли в Интернет: взгляд изнутри

[SDA]

Вы, как и рядовой пользователь сети, любите посидеть в чатах и на форумах. При этом вы не задумываетесь, о том, что это может быть опасно. Допустим, вы нашли просто замечательный форум, где есть все, что вам нужно, и вы решили зарегистрироваться на нем. Что же это похвально, но есть одно и существенное "но". Когда вы проходите, процесс регистрации, то вам необходимо указать ваш e-mail, по простому почтовый ящик, для того что бы вам прислали пароль, либо ссылку для активации вашей учетной записи на этом форуме. И что же вы делаете? Не задумываясь, вы спокойно вбиваете существующий адрес электронной почты. Через некоторое время вам приходит письмо, что вы успешно зарегистрировались, что команда разработчиков форума рада вас приветствовать и уверения вас в том, что ваша информация никуда не пропадет.
Меня в последнее время очень удивляет беспечность создателей форумов и чатов, поскольку они все в один голос утверждают, что их продукт полностью защищен от всяких посягательств злобных хакеров. Так и хочется спросить у них: "Ребята, вы хоть иногда посещаете сайты по электронной безопасности, где уже давно лежат программы для взлома вашего форума/чата?" Итак, что мы имеем? Форум, на котором вы зарегистрировались, и клятвенное заверение разработчиков, что он полностью защищен. А что имеет хакер? Статьи о PHP и SQL и их уязвимостях, а ведь именно с помощью PHP пишется большинство форумов, а SQL используется для создания баз данных, в которых храниться вся информация, которую вы указали при регистрации на форуме. В последнее время стали, распространены форумы phpBB и MyBB, и хотя эти форумы создают не новички, а целые группы разработчиков, не проходит и недели, как появляется новая информация об ошибках в исходном коде. Соответственно хакер проводит взлом форума, о чем его владелец даже не подозревает. Особенно часто взламываться форумы, находящиеся на недавно созданных сайтах. Поскольку создатели этих сайтов зачастую люди не опытные, но уже пытающиеся прыгнуть выше своей головы, то они сразу ставят всяческие форумы, доски объявлений, гостевые книги и т.п. При это, что часто встречается, эти форумы не настроены должным образом, что облегчает задачу хакера при их взломе. Характерными ошибками таких сайтов, является возможность ввести в поля имя пользователя и пароль строку "admin", и мы тут же перехватываем управление форумом, и делаем с ним, все что захочется. Хорошо, если хакер попался добрый, и он просто поменял вид форума, но бывают хакеры любопытные, они как раз похищают базу данных, в которой храниться информация о пользователях, где стандартно храниться ваше имя пользователя, пароль и e-mail.
Давайте на время отойдем от темы статьи, и вспомним, а что же храниться в почтовом ящике? Ну, во-первых, личная переписка. Я думаю никому не приятно, когда читают его письма. Во-вторых, пароли от некоторых сервисов, т.е. тех же форумах, ICQ и т.д. В-третьих СПАМ. Я так думаю, СПАМ хакерам не интересен, а вот личная переписка, а тем более пароли, точно должны их заинтересовать. Так что же происходит?

Хакер знает ваш e-mail, а соответственно может захотеть его взломать. "Ну, и пусть, у меня суперпароль" - скажете вы. Позвольте вам возразить, существует множество способов не просто взломать, а обойти пароль. Самый простой из них воспользоваться существующей опцией "Восстановление пароля через секретный вопрос", такая опция предоставляется крупными почтовыми сервисами, такими как Mail.ru и Yandex.Почта. Как правило, пользователь в строку "Ответ на секретный вопрос" пишет первое, что приходит на ум. Соответственно и хакер вполне может разгадать ваш ответ. Самый простой пример: Вопрос - Мое любимое блюдо; Самый распространенный ответ - пельмени. Или многие любят сочетания - 111, qwerty, admin и, конечно же, hacker.
Даже, если хакер не захочет отвечать на ваш секретный вопрос, он просто может воспользоваться специальной программой для перебора паролей, благо, если хорошо поискать в сети, их множество. Работать с этой программой очень просто - указываем адрес почтовика, имя пользователя или адрес ящика, указываем способ поиска пароля - вуаля и через некоторое время пароль у нас на блюдечке. Самая известная программа для перебора паролей - это DukeNN Mail Bruter 3.03, который позволяет подобрать пароль для таких сервисов, как Mail.ru, Yandex, Rambler, Yahoo, Inbox.ru и т.д. При этом программа может перебрать пароль множеством способов. А сама процедура редко занимает больше часа.

Кстати, хочу заметить - я не зря начал разговор с форумов и чатов, и что с помощью базы данных, возможно, узнать ваш пароль. Большинство пользователей используют один и тот же пароль и для почтового ящика, и для чата, и для форума. Что естественно упрощает взлом и завладения вашим e-mail. Так многие хакеры перед тем, как начать перебор паролей, подставляют пароль найденный на форуме.

В итоге, у хакера не руках - ваша личная переписка, имя пользователя и пароли к сервисам. Хорошо, если среди паролей не попадется пароль на сервис WebMoney или другие платежные системы, иначе вы можете лишиться всех ваших вложений. В принципе, хакер может воспользоваться ваши паролями для взлома других форумов и чатов, а так же завладения некоторой информации о вас. Еще один вариант - это использование почтового ящика для рассылки СПАМа, если это произойдет, то вы потеряете ваш адрес навсегда.
Это хорошо, если под атакой оказался простой домашний пользователь. С предприятиями ситуация гораздо мрачная. Так как у многих организаций сейчас появился выход в Интернет, большинство сотрудников стало общаться в чатах и различных службах знакомства. Зная, что многие предприятия поскупились на заработную плату системного администратора, можно сказать, что почта, опять таки не защищена. Предположим, что хакер нашел e-mail бухгалтера или менеджера, а соответственно после некоторого времени он получит доступ ко всей информации на компьютере, такой как счета, закрытая служебная информация, накладные и т.д. С компьютера пользователя можно получить доступ к главному серверу предприятия, на котором может располагаться все что угодно. Думаю, конкуренты согласятся выложить круглую сумму для того, что бы узнать о вашем предприятии все.

Что же делать, для того, что бы описано выше не случилось? Ну, во-первых, необходимо приучить себя к тому, что бы не использовать одинаковые пароли. Кстати, о паролях, идеальный пароль должен содержать большие и маленькие буквы, цифры, а так же, если это позволенное, технические символы, типа запятых и скобок. И запомните, чем длиннее пароль, тем дольше он будет защищен от взлома. Но тут есть одно неудобство - большие пароли трудно запоминать, и велик соблазн записать на бумажку, которая по закону подлости потеряется. Но программисты нас выручили, написав программы для генерации и хранения паролей. Так, например, программа LexxPossPass позволяет сгенерировать пароль любой сложности, а SCARABAY позволит сохранить ваш пароль в надежном месте. Также востренные менеджеры паролей встречаются сейчас во многих браузерах, например в браузере от компании Mozilla - FireFox. И даже если их нет, то есть надстройки, в которых и осуществляется механизм сохранения и защиты паролей.
Для тех же, кто не хочет доверяться программам, есть еще один способ придумать заковыристый пароль. Я думаю, что у каждого есть любимые афоризмы, анекдоты или просто шутки - вот их мы и будем использовать в качестве пароля. Можно также использовать различные формулы из школы или ВУЗа. У такого способа один недостаток - необходимо все вводить вручную, что потребует некоторого времени.

Во-вторых, ответы на секретные вопросы, не должны быть типовыми, лучше посидеть поломать голову над вопросом и ответом, чем поплатиться от потери всей ваши переписки. В-третьих, рекомендую настроить и пользоваться стандартными почтовыми средствами, а не хранить переписку в on-line папках. Благо, в наше время есть очень хорошие программы, например The Bat, Mozilla Thunderbird. В-четвертых, если есть возможность, заведите отдельный ящик для чатов и форумов.

Эти простые шаги помогут добавить препятствий хакеру на пути к вашей информации, но не смогут полностью защитить ваш компьютер.

BugTraq.Ru

[Matic17]

На счет багов...
Обнаруженная уязвимость в "движке" форума phpBB - позволяет злоумышленнику включать в сообщение форума произвольные скрипты и HTML-код. Причиной этого стала некорректная обработка содержимого BBCode "[IMG]". Т.е. для примера, если отправить сообщение, используя следующий код: "", где "exploit.jpg" будет занимать переименованный любой HTML-файл на другом сервере, при просмотре страницы, содержащей это сообщение, данный файл будет выполнен на компьютере пользователя

[Matic17]

...Блин... Пример не печатается... Глупые phpBB... короче
img http://theremotehost.com/exploit.jpg /img
искаженно, но кто разбирается тот поймет