Ваше местоположение в сети:
Рубрика:

Безопасность в интернете

Разделы сайта:

Только совсем недавно я опубликовал статью о XSS - уязвимости на сайтах, приводящей к потере ваших аккаунтов (адресов почты, профилей в социальных сетях и.т.п.). И вот вскоре я сам обнаружил, что мой аккаунт вконтакте заблокирован "за рассылку спама" и, вероятно, был взломан. Аккаунт я практически сразу восстановил (свою историю расскажу в конце статьи), но само происшествие заставило меня еще раз вернуться к теме безопасности в интернете.

Давайте обсудим, какие опасности таит интернет, и как с ними бороться. Я, конечно, не устану повторять, что на вашем компьютере должен быть хороший антивирус, да и сетевой экран не помешает, но, как выясняется, наличие этих двух программ (или одной "в двух лицах") не всегда убережет вас от потери аккаунта от почты, форума или социальной сети. Как же теряются такие аккаунты?

Вирусы

Вирусы, проникающие на ваш компьютер - одна из основных причин. Что приятно, с ними-то как раз легко бороться, установив хороший антивирус. Конечно, всегда есть шанс, что вы подхватите вирус последнего поколения, еще отсутствующий в базах антивируса, но он весьма мал. Но не думайте, что в интернете опасно, если вы поставили антивирус.

Атаки хакеров

Обычно они наиболее страшны, если у вас есть реальный IP-адрес, в противном случае они могут поступать из локальной сети (правда, и в ней могут найтись "хакеры"). Защищает от них сетевой экран, кроме того, очень хорошо в этой роли может выступать домашний роутер - он же и позволит одновременно создать свою домашнюю сеть и развести интернет на несколько компьютеров.

Невнимательность

Всегда смотрите за тем, куда вы вводите свой пароль. В интернете полно фишинговых сайтов - сайтов, имитирующих известные ресурсы. Введя пароль на таком сайте, вы отдаете его в руки злоумышленников. И никакой антивирус вам в таком случае не поможет. Я не буду развивать эту тему, можете почитать здесь.

XSS и XSRF

К сожалению, не все зависит от вас. Для полной безопасности в интернете нужно, как на картинке, выдернуть кабель спрятать под замок. Иногда достаточно просто зайти на какой-то сайт, и вы потеряете свой аккаунт или выполните какое-нибудь действие по рассылке спама. И виноваты будете в этом не вы, а разработчики того сервиса, которым вы пользовались.

internet safety

Про один из видом таких уязвимостей, XSS-атаки, я уже писал чуть ранее. Если кратко, то заключается она в том, что владелец уязвимого сайта недостаточно хорошо фильтрует пользовательские данные, размещаемые на нем (например, комментарии). Тем самым, злоумышленник может разместить такой текст, что при открытии вами страницы с ним выполнится код, который отправит ему вашу cookie для этого сайта. После чего он сможет воспользоваться вашим аккаунтом.

Еще одна из уязвимостей сайтов подобного рода - XSRF (cross-site request forgery). От XSS они принципиально отличаются тем, что в данном случае зловредный код будет размещаться не на уязвимом сайте (например, vkontakte.ru), а на каком-то стороннем. Тем самым, снимаются все ограничения на код - злоумышленник волен размещать на своем сайте что угодно. С другой стороны, скрипт на таком сайте ограничен в своих возможностях. Он уже не может просто так взять cookies, относящиеся к vkontakte.ru. Что он может, так это открыть какой-то адрес на vkontakte.ru, даже отправить заполненную форму (с использованием тэга iframe и события onload), и если вы залогинены на вконтакте, может что-то произойти. Что именно - это зависит от кода и от того, насколько хорошо поработали владельцы сайта вконтакте, чтобы защититься от подобных атак.

Очень интересный пример такой уязвимости от 2008 года. Достаточно было зайти на сайт tvoydohod.ru, чтобы в поле "ваш сайт" в контакте стал тот самый tvoydohod.ru. Что, естественно, приводит к тому, что и твои друзья переходят по этой ссылке, и они начинают указывать на этот сайт. Подробности вы можете прочитать по ссылке, но что примечательно, так это то, что сначала программисты вконтакте отреагировали, что это - вообще не уязвимость, мол нечего переходить по подозрительным ссылкам.

И изничтожить подобные уязвимости не получается до конца. Вот еще одна недавняя статья в тему.

Что же делать?

Вообще говоря, как пользователь вы от подобных атак достаточно беззащитны. Существует плагин для firefox, нацеленный на защиту от XSRF, но я не уверен в его возможностях.

На самом деле, единственное, что я хочу посоветовать для безопасности в интернете - это использование в ваших аккаунтах подтвержденного мобильного телефона. Ведь если у злоумышленника нет к нему доступа, то он тогда и не сможет увести аккаунт. И это существенно лучше, чем все вопросы восстановления - он ни за что не угадает, с каким кодом пришла смс на ваш номер. При этом, добавляя номер, убедитесь в том, что вы не просто заполнили поле профиля "номер телефона", а что он действительно может использоваться для восстановления доступа.

В этом, наверное, и состоит смысл статьи. Я описал многочисленные уязвимости, перед которыми вы беззащитны. Поэтому если ваш аккаунт вам дорог, не забывайте про подтверждение на мобильный телефон!

Моя история

Напоследок, расскажу обещанную историю про мой аккаунт вконтакте. На самом деле, все было очень просто и быстро. Зайдя на какой-то сайт, где должна была быть кнопка для голосования, я обнаружил надпись "this is not vkontakte and not vk site". Подумал, что наверное, что-то не так с сайтом, но вскоре увидел такую надпись где-то еще. Либо что-то не так с вконтакте, либо с моим аккаунтом. Второе вероятней. Захожу и вижу сообщение, что мой аккаунт заблокирован вчера вечером за рассылку спама; меня просят придумать новый пароль.

Цепочка действий в этот момент. Во-первых, соображаем, действительно ли это сайт вконтакте. Для этого проверяю свой файл hosts. На всякий случай подключаюсь к стороннему серверу по SSH. Да, это действительно сайт вконтакте, IP-адреса совпадают. Значит, я действительно могу вводить старый пароль и выдумывать новый.

На следующем шаге меня просят проверить мобильный телефон и ввести код подтверждения. Ура, аккаунт разблокирован.

Далее следует подумать вот о чем. Как вы могли попасть в такую ситуацию. Вирусы? Возможно, стоит провериться. Но не в моем случае, у меня Ubuntu. Пароль сложный, не думаю, что его могли подобрать. Тем более, что если бы подобрали, то уже и сменили бы. Так что вероятно, что я пал жертвой XSS или XSRF-атаки. Ну естественно, читал про уязвимости, ходил по странным сайтам, вот и попал на такое (вероятно, что это была именно XSFR-атака - доступ к аккаунту не получили, но действие по рассылке спама выполнили). Так что в моем случае никаких дополнительных мер, кроме восстановления, не потребовалось.

← Выложить фотографиюАйПадло →
comments powered by Disqus