Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Hi-Tech > Как воруют пароли почты и ICQ

Как воруют пароли почты и ICQ

Четверг, 19 августа 2004 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Недавно я столкнулся с неприятностью. Кто-то украл мой номер ICQ (UIN), для этого украв сначала доступ к моему почтовому ящику на сервере mail.ru. О том, как нужно упрашивать и уговаривать службу техподдержки помочь вернуть ящик, – это другая история. А сейчас о том, как ещё можно увести виртуальное имущество, виртуальную "личность" человека в сети.

На моем компьютере поставлены все мыслимые и немыслимые заплатки, стоят, пашут и обновляются лицензионные антивирус с файрволлом. Влезть на мой компьютер (без моего ведома) невозможно. Как же в таком случае могут вас виртуально ограбить, спросит читатель? А вот так, перехватив информацию, "вынюхав" её уже из сети. Сразу скажу, что такая напасть главным образом грозит пользователям локальных сетей, то есть офисных или сетей, объединяющих дома в районе (что сейчас становится всё более и более популярным).

Да, охотой на информацию занимаются и в "большой" Сети (в Интернете, например, целью становятся крупные компании, банки и т.п.), но это дело – сложное и кропотливое, тем более, что крупные компании пользуются сетью только как медиумом, а их информация пересылается практически "точечно", в закодированном виде (VPN).

Другое дело – локальные сети с ограниченным числом пользователей. Злоумышленник устанавливает и запускает на своем компьютере программу-"сниффер", которая, грубо говоря, умеет получать сетевой TCP/IP трафик, не предназначенный для этого компьютера.

Раньше считалось, что "вынюхивать" информацию можно только в сетях, построенных на хабах.
Поэтому самым простым решением было бы заменить такие простые концентраторы на свитчи, которые делят сеть на сегменты и фильтруют трафик, не отправляя его в сегменты, для которых они не предназначены. Но на каждую, сами знаете что, есть свой болт с хитрой нарезкой, и вот они – программы, засыпающие свитчи ARP (Address Resolution Protocol) запросами, заставляющими коммутатор работать как простой хаб, грубо говоря, путаясь в своих таблицах маршрутизации. А если у злоумышленника голова на плечах, то он может вообще заставить свитч пересылать себе информацию напрямую.

Чем это опасно? В первую очередь, потерей паролей. Эти коротенькие словечки в большинстве случаев пересылаются открытым текстом.

Да, да. Перехватив и проанализировав ваш трафик, злоумышленник увидит не "звездочки", а ваши пароли к SMTP/POP серверам, бесплатным почтовым ящикам, конференциям, TELNET и FTP серверам, IRC и т.д. и т.п. Можно утянуть и коммерческую информацию – но, слава богу, номера кредиток передаются в защищенном режиме…

Выявить сниффер очень сложно. Особенно если сниффером пользуется не 13-тилетний "кул хацкер", оставляющий свою машину следить за сетью все 24 часа, а некто, выходящий "в эфир" чтобы поймать определенную жертву.

Как защищают снифферы от обнаружения? Обрывают передающий провод кабеля, включают карту в режим "стелс" – не дают ей IP адрес, изменяют операционку (Open Source), пользуются операционками, не поддерживающими широковещательные пакеты, специально пишут программы, не реагирующие на ARP запросы. На наше счастье, "кул хацкеры" пользуются как раз программами, скачанными из Интернета, ставят на свои домашние Windows машины, – и вперед…

Теперь от слов к делу. У меня нет доступа к другим компьютерам, у меня стоит Windows 2000, поэтому утилиты Линукса мне не годятся. Чем воспользовался я? Бесплатной версией (0,27) программного обеспечения PromiScan от SecurityFriday. PromiScan рассылает по всей сети веер продуманных ARP запросов, на которых сетевые карты, не работающие в promiscuous режиме, просто не реагируют. Но сетевая карта машины со сниффером, скорее всего, ответит. Коммерческая версия (хотя и условно-бесплатная) работает в "бесплатном" режиме только с адресами в зоне 192.168.0.1-255, а моя сеть имеет другую адресацию. Поэтому облегченная версия мне подходит больше. Загружаем WinPCAP – драйвер, умеющий захватывать "сырые" (raw) данные от сетевой карты, фильтровать их и буферизировать. Ставим PromiScan, запускаем – вот они, голубчики! 32-й и 62-й не проходят по всем тестам! Звоним админу – так и так, у вас что там на 32-м и 62-м адресах – рутеры? Принт-сервера? Старые компы мы исключаем сразу, так как на них стоят новые сетевые карточки... Нет, отвечает админ, обычные пользователи, а что такое? Да так, "нюхают" нас… Смотрите лог… Ах, вот как? Будем разбираться…

Читатель спросит: а как же защищаться? А никак, отвечу я вам. Если админу наплевать на то, что стоит у его пользователей на машинах, – спасение утопающих становится личным делом утопающих.

Вот некоторые мои рекомендации:

- В домашних сетях регулярно проверять (тем же PromiScan-ом) наличие компьютеров со "всеслышащими" сетевыми картами. Поставить одну Линукс машину и смотреть, а не появилось ли в последнее время подозрительно много ARP запросов?
- На своем компьютере отказаться от входа в бесплатную почту через незащищенные соединения. Например, на Мейл.Ру можно войти через https://secure.mail.ru – и хотя бы ваш пароль будет передан на сервер в закодированном виде.
- Завести ключ PGP.
- Поискать, а, может, существует уже программное обеспечение вашего TELNET или FTP сервера, оснащенное Кербером (Kerberos).
- Если вы (не дай боже в такой ситуации) работаете из дома с компьютером на работе, заставьте вашего админа с работы устроить вам персональный VPN канал.
- В офисных сетях не давать пользователям прав администраторов (чтобы не устанавливалось насанкционированное программное обеспечение).

На 100% все равно не спасет, но помочь сможет.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 858
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

16: 40
Дуров ответил на обращение Роскомнадзора по поводу потенциальной блокировки Telegram |
16: 20
В США решили создать корпус космодесантников |
15: 00
10 самых умных животных |
15: 00
«Паша, открывай – это Роскомнадзор» или как на Руси Telegram «брали» |
15: 00
В чикагском Apple Store крышу сделали из огромного MacBook |
15: 00
Разведка ископаемых оставляет в океане двухкилометровые мёртвые зоны |
15: 00
Модный дом Podium Market прекратил работу и передал часть магазинов владельцам Stockmann |
14: 40
Стоит ли доверять онлайн-казино с играми от IGT |
14: 40
Названы цены объективов Sigma 24-70mm F2.8 DG HSM OS Art и Sigma 14mm F1.8 DG HSM Art, начат прием предварительных |
14: 40
«OnePlus 5, тьфу на тебя еще раз!»: устаревший дисплей, странная камера |
13: 00
Видели такой гибрид PS4 и Xbox One? Да, это необычная игровая Xstation |
12: 40
Расширенные настройки фильтрации в Вебмастере |
12: 40
Первое видео из кабины гоночного беспилотника |
12: 20
digiKam 5.6 |
12: 00
Bloomberg: Airbnb запустит премиум-сервис аренды жилья для конкуренции с отелями |
11: 20
Ubuntu переходит на формат сетевой конфигурации netplan |
11: 00
Золотой Elephone S8 показался на видео |
11: 00
Виртуальная реальность с VR180: совсем как в жизни |
10: 40
Картошку превратили в электронного питомца на колесах |
10: 40
В Steam стартовала масштабная летняя распродажа |
10: 40
Фестиваль «Битва тысячи мечей. Рагнарёк»: 15 июля в Коломенском |
10: 40
Kodak при поддержке Archos выпускает фирменные планшеты формата 7 и 10 дюймов |
10: 40
В Солнечной системе может существовать еще одна планета вроде Марса |
10: 40
Назван сайт, который привел к блокировке Google |
10: 40
Стало известно название следующего фильма во вселенной «Парка Юрского Периода» |
10: 20
Представлено новое видео Hellblade: Senua"s Sacrifice |
10: 20
Появилась первая демонстрация Beyond Good & Evil 2 на движке |
10: 20
В Google не одобряют скорости, на которых работает OnePlus 5 |
10: 20
В России узнали состав биотоплива из водорослей |
10: 20
Неудачная парковка вертолёта: винт крушит дом |
10: 20
За первый месяц в России было продано почти 56 тысяч Samsung Galaxy S8 |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003