Перейти к содержанию

Статья, полезная любому сотруднику


Рекомендуемые сообщения

Размышления о кибербезопасности

 

Статья написана обычным пользователем Живого Журнала. Девушка, написавшая ее, не является специалистом по безопасности. И тем удачнее у нее получилось. Я бы показал этот материал каждому сотруднику любой организации. Здесь человеческим языком излагаются серьезные вещи, на которых массово ловятся пользователи. Далее - текст статьи

 

Это - записки дилетанта. Сочиняя этот текст, я нарушаю некоторые свои правила, и поэтому в чем-то рискую. Очень надеюсь, что рискую не зря :)

Это только кажется, что Интернет предоставляет людям безграничную свободу. На самом деле все совершенно не так. Если Вы натворите что-то противозаконное, Вас немедленно вычислят по IP. Но и без него, как правило, раскрыть личность человека бывает не слишком трудно.

- Кому нужно за мной шпионить? -

спросите Вы. Кажется, что если человек не суперзвезда или другая публичная личность, данные о нем никому не интересны. Но в наше время это не совсем так. Миром давно уже правит информация. Чтобы манипулировать человеком, вовсе не обязательно знать "все его трещинки". Достаточно знать все его мелочи. Первое впечатление о человеке складывается за четыре минуты. И если в эти четыре минуты Ваш собеседник предложит Вам Ваши любимые сигареты, как бы невзначай угостит Вашим любимым напитком и (опять же невзначай) похвалит Вашу любимую музыку, то у Вас сложится более чем благоприятное впечатление о новом знакомом. А у него появится более чем благоприятная возможность манипулировать Вами.

Разве это не повод держать свои личные данные в секрете?

 

Я не буду повторять тут прописные правила о том, что "никому не нужно говорить пароли". Это и так более чем понятно. А вот о том, что пароли не стоит вводить где попало, я пожалуй, повторю. Не заходите в почту с компьютеров сомнительных граждан (особенно тех, которые настойчиво предлагают проверить у них свой почтовый ящик). Я неоднократно слышала о программе, которая записывает в отдельный файл все, что было набрано на клавиатуре. Ваш логин и пароль она зафиксирует тоже. И все, они уже в руках злоумышленника. Поэтому внимательно выбирайте место, откуда Вы заходите в почту.

Впрочем, сами создатели почтовых ящиков дают замечательный шанс их утратить.

Посмотрите на эти картинки. Вот интерфейс почты YAндекса.

http://pics.livejournal.com/niotkyda/pic/0000qse3.jpg

 

А вот так выглядит главная страница майл.ру

http://pics.livejournal.com/niotkyda/pic/0000rwbb.jpg

 

Ничего криминального, на первый взгляд. Но это только на первый. Обратите внимание на "галочки". В яндексе галочка ставится, когда нужно "запомнить" пользователя, а в майле - когда пользователя НЕ нужно запоминать. Поскольку речь идет о двух самых популярных (и наверняка конкурирующих) почтовых провайдерах в интернете, то у большинства обладателей почтового ящика в системе Яндекс, есть таковой и на майле. Вы ставите не там галочку (или не ставите ее там, где нужно) и Ваш почтовый ящик открыт всем и каждому. Поэтому чуть-чуть внимательности не повредит.

Но яндекс и майл хороши хотя бы тем, что они очень трепетно относятся к Вашим кодовым словам. Они не дадут злоумышленнику их увидеть: Ваши ответы в на контрольный вопрос заменяются произвольным количеством звездочек.

А вот почта гмайл.ру (не путать с гугловским гмайл.ком!!!) в этом плане отличилась: она покажет Ваше кодовое слово всем! А поскольку у большинства пользователей одно и то же кодовое слово для всех почтовых ящиков, то Вы рискуете...

 

http://pics.livejournal.com/niotkyda/pic/0000s05q.jpg

 

(так выглядит страничка персональных данных в гмайл.ру)

 

Яндексовский ящик можно погубить еще одним способом: зарегистрировать в нем свой номер телефона. Теперь для того чтобы восстановить пароль нужен не только ответить на контрольный вопрос, но еще и ввести код подтверждения, который придет на номер телефона. Вроде бы все прекрасно: безопасность ящика многократно увеличена. НО! Эта система защиты годится только для случая, когда у пользователя один номер телефона пожизненно. Если Вы купили новую сим-карту, а старую выбросили, то Вам нужно не забыть подтвердить свой номер. В противном случае Вам не получить код подтверждения и не восстановить пароль. С почтовым ящиком в этом случае тоже можно проститься (хотя бы на время препирательств с техподдержкой).

 

Майл, кстати, тоже не идеален. В этой почте есть очень вредная функция, которой нет в Яндексе. Письмо можно пометить, как непрочитанное. Знаете, что это значит? Хулиган, подобравший Ваш пароль, с легкостью прочтет абсолютно все письма, потом те, которые нужно, пометит как непрочитанные и Вы никогда не поймете, что в Вашей почте кто-то похозяйничал до Вас.

 

Ну и уж совсем лирика - если у Вас один пароль на все возможные аккаунты - не надо, прошу, не надо об этом говорить. Зачем провоцировать чужое любопытство? Пароль, кстати, нужно не просто знать наизусть, но еще и набирать его не задумываясь. Даже суперсложный пароль с легкостью подглядят, если Вы набираете его с черепашьей скоростью. Кстати, не забывайте менять пароли хотя бы раз в полгода.

И напоследок: ну прекратите, наконец, ставить в качестве пароля год рождения, qwerty и 111111!!! Это не пароли!!! Это - профанация. Некоторое время назад я цинично влезла в почтовый ящик совершенно неизвестного мне человека (он сделал свой адрес общедоступным на форуме). Сделала я это из спортивного любопытства и больше такие подвиги (честное пионерское!!!) не повторяла. Просто из любопытства попробовала первый попавшийся пароль. qwerty, ага!!! :) Стоило, наверное, предупредить человечка о грозящей ему опасности потерять ящик, но мне не захотелось этого делать. Пусть мне будет стыдно, но кто-то меньше знает и поэтому крепче спит :)

 

А теперь давайте поговорим о живых журналах. И опять прописные истины:

если Вы хотите сохранить анонимность - не указывайте в настройках журнала учебные заведения. Сличив некоторые подробности, знакомые с легкостью узнают, что Вы - это Вы. Поэтому, желая оставаться неузнанными, меняйте детали!!! Пусть Ярославль будет Костромой, Мурманск - Архангельском, а Хабаровск - Петропавловском. Везде есть ночные клубы, парикмахерские, стервозное начальство и коллеги-гады. А скрыв или изменив некоторые (очень незначительные!) подробности Вы уже не рискуете быть узнанными этими самыми гадами-коллегами.

Возможно, у Вас есть два журнала. Один - для всех, другой - анонимный, где Вы пишете свои самые сокровенные тайны. НЕ НАДО ИХ ВЗАИМНО ДОБАВЛЯТЬ В ДРУЗЬЯ!!! И НЕВЗАИМНО, КСТАТИ, ТОЖЕ. Смешно?! А сколько людей прокалываются? Кстати, общих друзей тоже лучше не иметь. И ради Бога (или Б-га, кому уж как удобнее) не надо публиковать одни и те же фотографии (или фото из одних и тех же серий) в два разных журнала. Мир, как говорится, тесен. Не обязательно помещать в журнал фотографии, где есть Ваше лицо. Достаточно обнародовать фото одного и того же любимого котика, вида из окна или панорамы деревни, где Вы отдыхали прошлым летом. И все. Вас узнали.

И еще. Если Вы заглядываете в журналы людей, с которыми Вы не в лучших отношениях, то поздравляю! - они могут запросто узнать, что Вы их читаете. Есть такой счетчик, который предоставляет лжплюс (Вы, кстати, тоже можете его установить), он фиксирует всех, кто был на страничке, к тому же может быть невидимым. Поэтому, если хотите незаметно посмотреть чей-то ЖЖ, то 1) разлогиньтесь, 2) используйте прокси-сервер или зайдите с чужого компьютера.

 

"Закрытые клубы" и сообщества не дают никакой гарантии "закрытости" Ваших тайн. Никакой гарантии, слышите! Ни-ка-кой!!! В дневник "френдз онли" может залезть виртуал и разболтать Ваши тайны. (вот пример) В сообщество, кстати, тоже. (об этом читайте здесь). Но на моей памяти было хуже.

Закрытый дамский клуб (не называю его по этическим соображениям), куда просто так не вступишь, имел сайт с материалами "только для своих" и общедоступными статьями. И, до кучи, очень плохо написанную систему авторизации. Проблема была вот в чем: если человек авторизировался на сайте (вводил свой логин и пароль), а потом давал кому-то ссылку на общедоступную статью, то его логин и пароль в зашифрованном виде передавались в гиперссылке. Я кликнула по одной такой ссылке - и увидела рядом со статьей надпись о том, что я авторизированна как Мария (и получила доступ к конфиденциальной инфе Маши и всех ее друзей).

Поскольку информация была действительно не для посторонних глаз, я написала в техподдержку закрытого клуба. Меня попытались наругать за излишнее любопытство :)))

Сейчас авторизацию переписали и пароли, насколько мне известно, тоже сменили. Надеюсь, что члены клуба стали немного повнимательнее (кстати, я написала администратору сайта, что было бы неплохо запретить все пароли типа 1111 и 2007, надеюсь, что они так и сделали). Но до этого момента вместо конфиденциальности была профанация, самая настоящая.

Теперь давайте поговорим про Ваши ники. И тут мне тоже есть что сказать :) Очень многие любят необычные никнеймы. Такие, чтоб не было ни у кого. В этом нет ничего плохого, при одном условии - красивый и неординарный псевдоним легко может Вас выдать. Ну например (сделано моими шаловливыми ручками специально для Вас!). Поэтому, если хотите, чтоб никто Вас не узнал - не пишите свой никнейм куда попало!

Или еще вариант. Некоторые форумы позволяют иметь в логине и латинские и русские буквы. Чем не шанс обмануть поисковик? Напишите вместо Мага - Мaгa :) Вторую Магу Яндекс не найдет, ибо буквы "а" в этом имени написаны латиницей! И мои интимные тайны уже не будут висеть на первых местах в поисковиках.

Здорово, да? :)

 

Ну вот, пожалуй на сегодня все.

Пост будет дополняться по мере надобности.

 

PS: простите меня за кардинальное изменение стилистики этих записок. Меня попросил об этом очень хороший человек, и я не смогла отказать :)

 

Источник

 

Автор: Оля с ником niotkyda

Ссылка на комментарий
Поделиться на другие сайты

Вот уж точнее не напишешь style_emoticons/default/smile20.gif . Только что-то сомнение гложет что это простая офисная девочка. География её походов и перечень случайных проб впечатляет.

Ссылка на комментарий
Поделиться на другие сайты

Она не офисная девочка, а студентка одного из Московских ВУЗов, будет журналисткой и наверно хорошей. ИМХО, если проанализировать, то скорее она учится писать статьи, для этого подбирает интересные темы и публикует их на различных сайтах. В целом статья интересная и актуальная, но ничего нового в ней, лично я, не нашел.

style_emoticons/default/smile9.gif

Ссылка на комментарий
Поделиться на другие сайты

В целом статья интересная и актуальная, но ничего нового в ней, лично я, не нашел.

style_emoticons/default/smile9.gif

33132[/snapback]

Именно поэтому я сказал, что ее показал бы каждому сотруднику, а не каждому СБ-шнику. Статья, написанная пользователем для пользователей нормальным человеческим языком - идеальный вариант для донесения до подопечных Службы Безопасности элементарных вещей, о которых подопечные вообще не думают и которые могут создать проблемы СБ, если о них не думать и дальше.

Ссылка на комментарий
Поделиться на другие сайты

Что-то есть, но как-то несистематично (видно только учится писать статьи style_emoticons/default/smile1.gif )

и некоторые тезисы не доведены до конца (не владеет темой?). Вопрос в том, что это статья затрагивает тему личной безопасности человека в социальных сетях (блоги, форумы, эл. почта и т.д.) и защиты от сбора информации о человеке для последующей социальной инженерии его, а не кибербезопасность в-целом...

Ей бы сходить на сайт уважаемого CI-KP и поучиться технологиям защиты(ей, кстати в каментах тоже писали о технологиях). Скорее, это даже женская статья, так как главной угрозой в ней обозначена защита от охмурения парнями с помошью некоторой private-информации style_emoticons/default/smile5.gif

Ссылка на комментарий
Поделиться на другие сайты

Я могу только присоедениться к положительным отзывам о статье, девушка мне кажется простым и доступным языком для любого пользователя написала о проблемме сокрытия личной информации в интернете.

Ссылка на комментарий
Поделиться на другие сайты

А мне понравилась статья, скопировал для информационного листа сотрудникам. Доходчиво, очень доступным языком написано.

Спасибо CI-KP и автору статьи.

Ссылка на комментарий
Поделиться на другие сайты

Ну, я не могу сказать, что мне статься совсем не понравилась.

Только что коллега рассказал, как он вчера "пробивал" одного кандидата по резюме - по e-mail, указанному в резюме, вышел на его блог, а там такое написано style_emoticons/default/smile13.gif после чего его ни одна серьезная контора его не возьмет...

 

Так что для социальные сети - наглядное применение правила "язык мой - враг мой"... style_emoticons/default/smile2.gif

 

 

 

Ссылка на комментарий
Поделиться на другие сайты

А кто сказал, что статья плохая?

 

Товарищи, статья замечательная! Но сразу после написания статьи, появился вопрос, что же это за офисная девочка? А оказалось, что не сотрудник офиса, а будущий журналист. Девочка, видимо, оценивает свои силы?! И читает сейчас отзывы. Ну, так и псть читает, лишь бы тема была интересной. Кстати, эта же самая статья была размещена, не только на этом форуме.

Ссылка на комментарий
Поделиться на другие сайты

Для всех кого тема заинтересовала, могу добавить:

Попробуйте по интернет-помошнику, войти к кому-либо и заказать КТКС, используя дату рождения владельца номера. Уверяю, в 30%, успех гарантирован. Обращаю Ваше внимание, что колличество попыток неограничено.

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.

×
×
  • Создать...