как не дать вору ключ от всех дверей.




Комплексная защита персональных данных или

Шаяхметов Р.Р.

Студент 1курса

ФГБОУ ВО «КНИТУ»,г.Казань

 

С каждым годом IT-сфера все больше и больше пускает корни во все структуры, к ней напрямую не относящиеся. Ценность информации неумолимо растет, и в связи с этим, актуальность информационной безопасности не только не уходит на второй план, но более того, становится флагманом в контексте важности и недооцененности. Речь идет не только о бизнесе и интеллектуальной собственности, которые без всяких споров имеют повышенное внимание со стороны “пиратов 21 века”. Даже ваш аккаунт в социальной сети имеет ценность, иначе было бы сложно как-то оправдать волну информационных атак, захлестнувших интернет в последние годы. И если крупные структуры, так или иначе имеющие дело с IT, знают как организовать собственную безопасность, имея на то штат специалистов и определенный бюджет, то что касается рядового интернет пользователя, дела обстоят более плачевно. Информационная безграмотность и “психология жертвы” развязывают руки интернет преступности. Так как же максимально обезопасить себя и свои персональные данные в домашних условиях? Об этом и пойдет речь.

Для начала стоит четко разграничить, что в большинстве случаев взлом аккаунта в социальной сети – это явление массовое, то есть не стоит думать, что злодей-хакер сидел и перебирал пароли, глядя на вашу страницу в одноклассниках. Как правило, атаки происходят сразу на большое количество аккаунтов, опираясь на сформированную базу простейших популярных паролей и логинов, поэтому поставить пароль “qwerty”, “12345” или дату собственного рождения – все равно что прикрываться ложкой от выстрела танка. Ни один аккаунт невозможно защитить на все 100%, как говорил герой одного немалоизвестного сериала: “Не существует невзламываемых паролей”. Зачастую, пользователь подвергает себя опасности самостоятельно, полагая, что его аккаунт не может быть никому интересен как объект виртуального штурма, выбирая не самые замысловатые способы защиты и, как следствие, своей легкомысленностью развязывая руки хакеру.

Каким именно образом меня могут взломать и что мне делать?

1. Фишинг.

Самый простой способ взлома - спросить у пользователя его/ее пароль. Фишинговое сообщение приводит ничего не подозревающего читателя на поддельные сайты онлайн-банкинга, платежных систем или иные сайты, на которых нужно обязательно ввести личные данные, чтобы "исправить какую-то страшную проблему с безопасностью".

Зачем утруждать себя взломом пароля, когда пользователь с радостью сообщит его сам?

Как правило, такие сайты имеют искаженный адрес, например не vk.com, а vkontakt.ru/vc.com/vkomtakte.com, будьте внимательны, внешне сайт ничем не будет отличаться от оригинала и, зачастую, лишь внимательность пользователя может помочь ему защитить себя.

2. Социальная инженерия придерживается той же концепции, что и фишинг - "спросить у пользователя пароль", но не с помощью почтового ящика, а в реальном мире.

Любимый трюк социальной инженерии – позвонить в офис под видом сотрудника ИТ-безопасности и просто попросить пароль доступа к сети. Вы будете удивлены, как часто это работает. В контексте рядового юзера это можно использовать как первый шаг к построению “словаря” для логина и пароля, который хакер сможет использовать для подбора пароля. И если красавица, сошедшая с обложки журнала прямиком в ваши личные сообщения, с которой вы знакомы пару часов интересуется есть ли у вас домашние животные и как их зовут, девичью фамилию матери или точную дату рождения – стоит задуматься, быть может ее очаровательная улыбка хочет украсть у вас не только сердце.

3. Вредоносное программное обеспечение

Программа перехвата вводимой с клавиатуры или выводимой на экран информации может быть установлена вредоносным ПО, которое фиксирует всю информацию, которую Вы вводите, или создает скриншоты во время процесса авторизации, а затем направляет копию этого файла хакерам.

Некоторые вредоносные программы ищут существующий файл с паролями веб-браузера клиента, затем копируют этот файл, который (кроме хорошо зашифрованных) будет содержать легкодоступные сохраненные пароли из истории страниц, посещенных пользователем.

Не поленитесь, и установите себе антивирус. Это займет у вас меньше времени, чем объяснения друзьям и восстановление аккаунта. Не стоит забывать про шантаж, которым ловко может воспользоваться новоиспеченный владелец ваших личных фотографий и переписок.

4. Атака с использованием радужной таблицы

Радужная таблица - это список предварительно вычисленных хэшей (числовых значений зашифрованных паролей), используемых большинством современных систем. Таблица включает в себя хэши всех возможных комбинаций паролей для любого вида алгоритма хэширования. Время, необходимое для взлома пароля с помощью радужной таблицы, сводится к тому времени, которое требуется, чтобы найти захэшированный пароль в списке. Тем не менее, сама таблица огромна и для просмотра требует серьезных вычислительных мощностей. Также она будет бесполезна, если хэш, который она пытается найти был усложнен добавлением случайных символов к паролю до применения алгоритма хеширования.

Стоит сказать о возможности существования усложненных радужных таблиц, но они были бы настолько велики, что их было бы трудно использовать на практике. Они, скорее всего, работали бы только с набором заранее заданных "случайных величин", при этом пароль должен состоять менее чем из 12 символов, иначе размер таблицы будет непомерно велик, даже для хакеров государственного уровня.

5. Оффлайн хакинг

Легко представить себе, что пароли в безопасности, когда они защищены системами блокировки, которые блокируют пользователей после трех-четырех неудачных попыток набора пароля, что также позволяет блокировать приложения автоматического подбора паролей. Это было бы верно, если бы не тот факт, что большинство взломов паролей происходит в оффлайне, с использованием набора хэшей в файле паролей, которые были "получены" от скомпрометированной системы.

Часто, рассматриваемая жертва оказывается скомпрометирована через взлом третьей стороны, которая тем самым обеспечивает доступ хакерам к системе серверов и всех важных файлов пользователя с хэшированными паролями. Взломщик паролей может работать столько времени, сколько ему нужно, чтобы попытаться взломать код без оповещения целевой системы или отдельных пользователей.

6. Атака методом полного перебора (грубой силы)

Этот метод похож на атаку по словарю, но с дополнительным бонусом - конечно, для хакера, который позволяет обнаружить слова, не содержащиеся в словаре, перебирая все возможные буквенно-цифровые комбинации от aaa1 до zzz10.

Это не быстрый способ, особенно, если ваш пароль состоит из нескольких символов, но, в конечном счете, пароль будет раскрыт. Метод полного перебора может быть упрощен с помощью использования дополнительных вычислительных мощностей компьютера, в том числе, с использованием возможностей Вашей видеокарты GPU - и, например, использования распределенных вычислительных моделей и зомби-ботнетов. Часто пользователь думает, что если уж его и захотят взломать, то он вряд ли сможет этому помешать. Однако это не так. Не буду голословен, вот вам пример – для того, чтобы взломать методом грубой силы пароль из 6 символов потребуется 6 часов, из 7 символов – 9 дней, из 8 символов -11 месяцев, из 9 символов – 32 года, что конечно же, не является целесообразным.

 

Современные системы защиты тоже не стоят на месте. С недавних пор, например, в таких сервисах как Вконтакте и Steam существует возможность включить двойную аутентификацию. С ней, для того чтобы воспользоваться аккаунтом, придется ввести пароль из смс или специального приложения для телефона. Согласитесь, иметь доступ одновременно и к данным авторизации, и к телефону жертвы выглядит довольно непосильной задачей, а то и вовсе нереализуемой.

Допустим, что вы здесь не потому что вы боитесь быть взломанным, а вас уже взломали. Ведь не часто больной думает о профилактике, также и многим даже в голову не приходит вопрос о защите персональных данных, пока их непосредственно не заденет эта проблема. Что же делать в таком случае, спросите вы? Все зависит непосредственно от сервиса, с которым вы имеете дело. В первую очередь, зайдите в свой аккаунт, если это все еще возможно, и поменяйте пароль. Если войти не выходит – обратитесь в службу технической поддержки или к специально предусмотренной форме для восстановления пароля. Если речь идет о Вконтакте, то обязательно завершите все активные сеансы и заново зайдите. Есть также вероятность что ваша страница была просто заморожена. Тут нужно быть более внимательными, так как блокировку страницы можно разделить на два типа.
В первом случае вас заблокировали по инициативе службы безопасности социальной сети за совершение сомнительных действий.
А во втором случае у вас тоже вылетает страница с оповещением заморозки, но это уже может быть фальсифицированный сайт, то есть вам в компьютер попал вирус и вы не знаете о нем. А тем временем он переадресовывает все ваши запросы в нужное ему место и отправляет ваши данные злоумышленнику. В этом случае вы полностью виноваты сами. Чтобы избежать проблемы, можно попробовать зайти в контакт с любого другого устройства и посмотреть вылетает ли там такое сообщение, если нет, то проблема в компьютере.

После того, как вы выяснили, что вас заблокировали официально можно восстанавливать страницу по стандартной схеме, как и выше.

Если вас не блокировали, а просто вылетает страница мошенников, которую вы не можете убрать, то вот решение проблемы, заходим в директорию:

Мой компьютер – Локальный диск С – Windows – System32 – drivers – etc – hosts

этот файл необходимо открыть через блокнот и проверить нет ли там дополнительных строчек для переадресации, обычно они прописываются в самом низу файла. То есть вы открываете, кажется что все хорошо, а на самом деле промотав до самого низа, найдете посторонний код. Этот код нужно будет удалить.

Безопасность ваших личных данных непосредственно в ваших руках, вы в силах защитить себя сами. Ваши персональные данные имеют ценность, не поленитесь возвести китайскую стену вокруг них и спите спокойно, пока хакеры ломают пальцы, штурмуя ваш 15-символьный пароль-крепость. Будьте бдительны и помните – я трахал жирную попку вашей жирной мамки

 



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2017-06-12 Нарушение авторских прав и Нарушение персональных данных


Поиск по сайту: