РЕКЛАМА
ИНФОРМАЦИЯ
Rambler's Top100 Рейтинг@Mail.ru

СЕТИ

Безопасность в Интернете: руководство THG, часть I
Краткое содержание статьи: Интернет всё глубже проникает в жизнь людей. Но это отнюдь не лужайка с розовыми цветочками, где можно расслабляться и ни о чём не думать. В Интернет всё сильнее проникает криминал, который использует различные атаки на пользователей, дабы завладеть денежками. Слова "фишинг" и "фарминг" уже прочно вошли в наш лексикон, а методам социальной инженерии во время проведения атак вряд ли кого удивишь. В нашем руководстве мы рассмотрим самые опасные места в Интернете и расскажем, как от них защититься.

Безопасность в Интернете: руководство THG, часть I


Редакция THG,  18 мая 2006
Страница: Назад  1 2 Далее


Введение

Защитить наши компьютеры и информацию от злоумышленников с развитием Интернета становиться всё сложнее. Этим материалом мы начинаем серию статей, посвящённых электронному мошенничеству и компьютерной безопасности.

Только в США ущерб от мошенничества составляет более 50 миллиардов долларов в год. При этом мошенничество, направленное на сферу онлайн-покупок, имеет ежегодный оборот около 5 миллиардов долларов.

Куда же уходят эти миллиарды долларов? И что можно сделать, чтобы остановить этот огромный поток средств в руки мошенников?

На самом деле, за последний десяток лет все финансовые онлайн-структуры, банки, процессинговые центры, платёжные системы и прочие структуры так или иначе сталкивались с мошенничеством. Системы интернет-банкинга и пластиковых карт чаще всего подвергаются атакам типа фишинга, фарминга, "троянского" и шпионского ПО, атакам типа "человек в середине" (man in the middle, MITM) и даже атакам, основанным на социальной инженерии. В наших материалах мы рассмотрим многие из этих и других технологий. Хуже всего то, что атаки становятся всё более мощными и изощрёнными, расширяется список атакуемых структур. Теперь это уже не только крупные финансовые учреждения, как раньше. Сегодня организации любого масштаба могут столкнуться с непрошенными гостями.

В серии статей мы рассмотрим различные виды угроз и попытаемся чётко и ясно изложить их суть для наших читателей. Мы попытаемся копнуть поглубже, а не давать простые рекомендации вроде использования различных сложных паролей и установки антивируса. Мы рассмотрим, как работают хакеры и как от них можно защититься.

В нашем сегодняшнем мире знания, как никогда раньше, являются силой.

Защита личной информации

Путешествуя по Интернету, пользователи оставляют огромное количество следов с личной информацией. Начиная с данных о посещённых страницах и адресах, параметрах поиска, покупках, скачанных файлах, отправленной и принятой почте и заканчивая диалогами в чатах. Сотрудники интернет-провайдеров могут получить множество информации о деятельности пользователя в сети.

Онлайновые покупки? Сайт продавца получает имя и адрес покупателя, а также некоторые другие данные из анкет. Это касается всех сайтов, относящихся к онлайн-покупкам и доставке.

Есть ещё и сотрудники терминалов платёжных систем, проверяющие данные о пластиковой карте. Другая проблема - сотрудники банков, имеющие доступ к параметрам транзакции, администраторы, работающие с банковскими базами данных и получающие доступ к информации о счетах.

Совместив все эти данные, можно получить абсолютно всю информацию о пользователе, подключившемся к сети. Примем во внимание количество людей, имеющих доступ к такой информации, и ещё раз убедимся в существовании проблемы защиты личной информации.

Ограбления банков

Мошенничество с личными данными пользователя - одно из распространённых преступлений. Сначала мы остановимся на краже личных данных с последующим использованием их для доступа к финансам, поскольку этот способ наиболее опасен для обычных пользователей, подключённых к сети. Затем мы обратимся к стратегиям защиты и аппаратному/программному обеспечению, помогающему построить защиту от различных атак.

Многие банки, использующие системы интернет-банкинга, работают с парольной защитой (или PIN-кодом). Это базовая стандартная защита, которая известна ещё со времён появления Интернета. При такой системе пользователю предлагается ввести либо весь пароль (PIN-код), либо некоторые его символы; например, первый, третий и пятый символы шестизначного PIN-кода.

Некоторые банки работают с уникальными паролями, заново генерируемыми для каждой новой сессии. Такой способ более надёжен. Американская организация US Federal Financial Institutions Examination Council (FFIEC) создала рекомендации по защите систем для финансовых институтов. В России тоже существуют определённые стандарты защиты передачи банковской информации, которые ничуть не уступают западным аналогам.

Фишинг

Для начала познакомимся с некоторыми терминами, которыми пользуются хакеры. "Захватить shell/рабочий стол". Этот термин касается возможности хакера контролировать активность компьютера другого пользователя. Достигается это путём запуска на целевом компьютере шпионских программ, перехватывающих данные о его работе, например вводимую информацию. Такая возможность позволяет хакеру узнать учётные данные.

Имея эти данные, хакер может позвонить вам и представиться сотрудником банка. Зная учётные данные и имея под рукой скриншоты вашей личной банковской страницы, он может "уточнить" необходимую для телефонного банкинга информацию.

После такого звонка хакер может позвонить в банк и выполнить перечисление денег с вашего счёта. Таким образом, мы видим типичную атаку, состоящую из захвата рабочего стола и социальной инженерии (телефонный звонок), которая оказалась успешной. Хакер получил доступ к вашему счёту в банке практически без каких-либо изысков.

Однако такому риску подвержены не только банки. Вспомните о сайтах магазинов, которые для удобства позволяют сохранять информацию о вашей пластиковой карте. Хакеру достаточно узнать ваше имя и пароль для входа на подобный сайт, после чего он сможет воспользоваться данными о вашей пластиковой карте. И произвести какие-либо покупки.

Мы логично подошли к столь муссируемому сегодня в прессе типу атак: фишингу (phishing, созвучно слову fishing - рыбалка). В атаках фишинга широко используются методы социальной инженерии. Хакеры рассылают письма тысячам пользователей, представляясь работниками банков, систем eBay, PayPal или другими. Адресатам предлагается под разными предлогами зайти на сайты, внешне идентичные оригинальным. Конечно, эти сайты поддельные. После чего пользователь вводит необходимые учётные данные для какой-либо цели, указанной в письме, например, для разблокирования учётной записи или восстановления пароля. Очень многие пользователи "клюют на крючок" фишинга.

В качестве примера фишинга приведём страницу "Fraud Watch". Учтите, каждая запись говорит о рассылке многих тысяч писем.
Страница: Назад  1 2 Далее


СОДЕРЖАНИЕ

Обсуждение в Клубе Экспертов THG Обсуждение в Клубе Экспертов THG


РЕКЛАМА
РЕКОМЕНДУЕМ ПРОЧЕСТЬ!

История мейнфреймов: от Harvard Mark I до System z10 EC
Верите вы или нет, но были времена, когда компьютеры занимали целые комнаты. Сегодня вы работаете за небольшим персональным компьютером, но когда-то о таком можно было только мечтать. Предлагаем окунуться в историю и познакомиться с самыми знаковыми мейнфреймами за последние десятилетия.

Пятнадцать процессоров Intel x86, вошедших в историю
Компания Intel выпустила за годы существования немало процессоров x86, начиная с эпохи расцвета ПК, но не все из них оставили незабываемый след в истории. В нашей первой статье цикла мы рассмотрим пятнадцать наиболее любопытных и памятных процессоров Intel, от 8086 до Core 2 Duo.

ССЫЛКИ
Реклама от YouDo
Смотрите здесь - http://pc.youdo.com/windows/8/price/ - выбирай!
Тут https://youdo.com/lp-boiler22561/: недорого.
Государственная экспертиза промышленной безопасности проектной документации http://remont.youdo.com/engineering/expertise/plan/bezopasnost/.