Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Hi-Tech > Как воруют пароли почты и ICQ

Как воруют пароли почты и ICQ

Четверг, 19 августа 2004 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Недавно я столкнулся с неприятностью. Кто-то украл мой номер ICQ (UIN), для этого украв сначала доступ к моему почтовому ящику на сервере mail.ru. О том, как нужно упрашивать и уговаривать службу техподдержки помочь вернуть ящик, – это другая история. А сейчас о том, как ещё можно увести виртуальное имущество, виртуальную "личность" человека в сети.

На моем компьютере поставлены все мыслимые и немыслимые заплатки, стоят, пашут и обновляются лицензионные антивирус с файрволлом. Влезть на мой компьютер (без моего ведома) невозможно. Как же в таком случае могут вас виртуально ограбить, спросит читатель? А вот так, перехватив информацию, "вынюхав" её уже из сети. Сразу скажу, что такая напасть главным образом грозит пользователям локальных сетей, то есть офисных или сетей, объединяющих дома в районе (что сейчас становится всё более и более популярным).

Да, охотой на информацию занимаются и в "большой" Сети (в Интернете, например, целью становятся крупные компании, банки и т.п.), но это дело – сложное и кропотливое, тем более, что крупные компании пользуются сетью только как медиумом, а их информация пересылается практически "точечно", в закодированном виде (VPN).

Другое дело – локальные сети с ограниченным числом пользователей. Злоумышленник устанавливает и запускает на своем компьютере программу-"сниффер", которая, грубо говоря, умеет получать сетевой TCP/IP трафик, не предназначенный для этого компьютера.

Раньше считалось, что "вынюхивать" информацию можно только в сетях, построенных на хабах.
Поэтому самым простым решением было бы заменить такие простые концентраторы на свитчи, которые делят сеть на сегменты и фильтруют трафик, не отправляя его в сегменты, для которых они не предназначены. Но на каждую, сами знаете что, есть свой болт с хитрой нарезкой, и вот они – программы, засыпающие свитчи ARP (Address Resolution Protocol) запросами, заставляющими коммутатор работать как простой хаб, грубо говоря, путаясь в своих таблицах маршрутизации. А если у злоумышленника голова на плечах, то он может вообще заставить свитч пересылать себе информацию напрямую.

Чем это опасно? В первую очередь, потерей паролей. Эти коротенькие словечки в большинстве случаев пересылаются открытым текстом.

Да, да. Перехватив и проанализировав ваш трафик, злоумышленник увидит не "звездочки", а ваши пароли к SMTP/POP серверам, бесплатным почтовым ящикам, конференциям, TELNET и FTP серверам, IRC и т.д. и т.п. Можно утянуть и коммерческую информацию – но, слава богу, номера кредиток передаются в защищенном режиме…

Выявить сниффер очень сложно. Особенно если сниффером пользуется не 13-тилетний "кул хацкер", оставляющий свою машину следить за сетью все 24 часа, а некто, выходящий "в эфир" чтобы поймать определенную жертву.

Как защищают снифферы от обнаружения? Обрывают передающий провод кабеля, включают карту в режим "стелс" – не дают ей IP адрес, изменяют операционку (Open Source), пользуются операционками, не поддерживающими широковещательные пакеты, специально пишут программы, не реагирующие на ARP запросы. На наше счастье, "кул хацкеры" пользуются как раз программами, скачанными из Интернета, ставят на свои домашние Windows машины, – и вперед…

Теперь от слов к делу. У меня нет доступа к другим компьютерам, у меня стоит Windows 2000, поэтому утилиты Линукса мне не годятся. Чем воспользовался я? Бесплатной версией (0,27) программного обеспечения PromiScan от SecurityFriday. PromiScan рассылает по всей сети веер продуманных ARP запросов, на которых сетевые карты, не работающие в promiscuous режиме, просто не реагируют. Но сетевая карта машины со сниффером, скорее всего, ответит. Коммерческая версия (хотя и условно-бесплатная) работает в "бесплатном" режиме только с адресами в зоне 192.168.0.1-255, а моя сеть имеет другую адресацию. Поэтому облегченная версия мне подходит больше. Загружаем WinPCAP – драйвер, умеющий захватывать "сырые" (raw) данные от сетевой карты, фильтровать их и буферизировать. Ставим PromiScan, запускаем – вот они, голубчики! 32-й и 62-й не проходят по всем тестам! Звоним админу – так и так, у вас что там на 32-м и 62-м адресах – рутеры? Принт-сервера? Старые компы мы исключаем сразу, так как на них стоят новые сетевые карточки... Нет, отвечает админ, обычные пользователи, а что такое? Да так, "нюхают" нас… Смотрите лог… Ах, вот как? Будем разбираться…

Читатель спросит: а как же защищаться? А никак, отвечу я вам. Если админу наплевать на то, что стоит у его пользователей на машинах, – спасение утопающих становится личным делом утопающих.

Вот некоторые мои рекомендации:

- В домашних сетях регулярно проверять (тем же PromiScan-ом) наличие компьютеров со "всеслышащими" сетевыми картами. Поставить одну Линукс машину и смотреть, а не появилось ли в последнее время подозрительно много ARP запросов?
- На своем компьютере отказаться от входа в бесплатную почту через незащищенные соединения. Например, на Мейл.Ру можно войти через https://secure.mail.ru – и хотя бы ваш пароль будет передан на сервер в закодированном виде.
- Завести ключ PGP.
- Поискать, а, может, существует уже программное обеспечение вашего TELNET или FTP сервера, оснащенное Кербером (Kerberos).
- Если вы (не дай боже в такой ситуации) работаете из дома с компьютером на работе, заставьте вашего админа с работы устроить вам персональный VPN канал.
- В офисных сетях не давать пользователям прав администраторов (чтобы не устанавливалось насанкционированное программное обеспечение).

На 100% все равно не спасет, но помочь сможет.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 822
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

18: 41
Какие метрики использовать для оценки эффективности корпоративного блога |
18: 21
5 правил компании будущего: как руководить, кого нанимать и к чему стремиться — Мнение автора TechCrunch Даниэля Ли |
18: 01
Сонные люди оказались опаснее пьяных |
17: 21
Появились снимки изнутри нового кампуса Apple [фото] |
17: 01
Super Mario Run не будет работать без интернета |
17: 01
Баскетбольный мяч против законов физики |
17: 01
Land Rover построил дом для Санта-Клауса |
17: 01
«Азбука вкуса» и «Афиша-Еда» запустили сервис для доставки ингредиентов по рецептам журнала |
13: 01
Как очистить автомобильные коврики от соли |
13: 01
На выпуск устройства Lief, помогающего справляться со стрессом за счет ритмичного дыхания, уже собрано вдвое больше средств, чем намечалось |
13: 01
Китайские производители смартфонов за год нарастили поставки на 18,6% |
13: 01
Безрамочный смартфон Elephone S8 будет оснащен SoC Helio X27 |
12: 21
«Твоё Имя» обошло по сборам «Ходячий Замок» |
12: 21
LG V5? На «рендерах» нехарактерный для линейки V дизайн |
12: 21
Надёжность OpenVPN будет проверена в ходе аудита |
12: 21
Стоимость памяти DRAM продолжит расти |
12: 21
Головное устройство Sony XAV-AX100 с поддержкой Apple CarPlay и Android Auto поступило в продажу с небольшой задержкой |
12: 21
Сравнение Crash Bandicoot N Sane Trilogy с оригиналом |
11: 41
Начинается Шестая Вебмастерская. Присоединяйтесь! |
11: 41
Участникам «Снято на iPhone» прислали фотоальбомы с их работами |
11: 41
S7 Airlines предложила подписчикам стать пилотами планетохода и выиграть авиабилеты |
11: 41
Связанные с владельцами «Техносилы» инвесторы выкупили «Эльдорадо» |
11: 41
Патенты Samsung демонстрируют дрон необычной формы |
11: 41
Полиция Нидерландов следом за орлами возьмет на вооружение Microsoft HoloLens |
11: 41
Cortana научилась выключать PC и делать перезагрузку |
11: 21
В магазине Google Store больше нельзя купить часы Huawei Watch |
11: 21
По слухам, LeEco увольняет около 1400 сотрудников |
11: 21
Смартфоном Geotel A1 можно колоть орехи |
11: 21
Super Mario Run показали в новом видео |
11: 21
«Ростелеком» сообщил об отражении кибератаки на пять крупнейших банков |
11: 21
«Почта России» решила отправлять мелкие посылки в Якутию |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003