Перейти к содержанию

Статья, полезная любому сотруднику


Рекомендуемые сообщения

Размышления о кибербезопасности

 

Статья написана обычным пользователем Живого Журнала. Девушка, написавшая ее, не является специалистом по безопасности. И тем удачнее у нее получилось. Я бы показал этот материал каждому сотруднику любой организации. Здесь человеческим языком излагаются серьезные вещи, на которых массово ловятся пользователи. Далее - текст статьи

 

Это - записки дилетанта. Сочиняя этот текст, я нарушаю некоторые свои правила, и поэтому в чем-то рискую. Очень надеюсь, что рискую не зря :)

Это только кажется, что Интернет предоставляет людям безграничную свободу. На самом деле все совершенно не так. Если Вы натворите что-то противозаконное, Вас немедленно вычислят по IP. Но и без него, как правило, раскрыть личность человека бывает не слишком трудно.

- Кому нужно за мной шпионить? -

спросите Вы. Кажется, что если человек не суперзвезда или другая публичная личность, данные о нем никому не интересны. Но в наше время это не совсем так. Миром давно уже правит информация. Чтобы манипулировать человеком, вовсе не обязательно знать "все его трещинки". Достаточно знать все его мелочи. Первое впечатление о человеке складывается за четыре минуты. И если в эти четыре минуты Ваш собеседник предложит Вам Ваши любимые сигареты, как бы невзначай угостит Вашим любимым напитком и (опять же невзначай) похвалит Вашу любимую музыку, то у Вас сложится более чем благоприятное впечатление о новом знакомом. А у него появится более чем благоприятная возможность манипулировать Вами.

Разве это не повод держать свои личные данные в секрете?

 

Я не буду повторять тут прописные правила о том, что "никому не нужно говорить пароли". Это и так более чем понятно. А вот о том, что пароли не стоит вводить где попало, я пожалуй, повторю. Не заходите в почту с компьютеров сомнительных граждан (особенно тех, которые настойчиво предлагают проверить у них свой почтовый ящик). Я неоднократно слышала о программе, которая записывает в отдельный файл все, что было набрано на клавиатуре. Ваш логин и пароль она зафиксирует тоже. И все, они уже в руках злоумышленника. Поэтому внимательно выбирайте место, откуда Вы заходите в почту.

Впрочем, сами создатели почтовых ящиков дают замечательный шанс их утратить.

Посмотрите на эти картинки. Вот интерфейс почты YAндекса.

http://pics.livejournal.com/niotkyda/pic/0000qse3.jpg

 

А вот так выглядит главная страница майл.ру

http://pics.livejournal.com/niotkyda/pic/0000rwbb.jpg

 

Ничего криминального, на первый взгляд. Но это только на первый. Обратите внимание на "галочки". В яндексе галочка ставится, когда нужно "запомнить" пользователя, а в майле - когда пользователя НЕ нужно запоминать. Поскольку речь идет о двух самых популярных (и наверняка конкурирующих) почтовых провайдерах в интернете, то у большинства обладателей почтового ящика в системе Яндекс, есть таковой и на майле. Вы ставите не там галочку (или не ставите ее там, где нужно) и Ваш почтовый ящик открыт всем и каждому. Поэтому чуть-чуть внимательности не повредит.

Но яндекс и майл хороши хотя бы тем, что они очень трепетно относятся к Вашим кодовым словам. Они не дадут злоумышленнику их увидеть: Ваши ответы в на контрольный вопрос заменяются произвольным количеством звездочек.

А вот почта гмайл.ру (не путать с гугловским гмайл.ком!!!) в этом плане отличилась: она покажет Ваше кодовое слово всем! А поскольку у большинства пользователей одно и то же кодовое слово для всех почтовых ящиков, то Вы рискуете...

 

http://pics.livejournal.com/niotkyda/pic/0000s05q.jpg

 

(так выглядит страничка персональных данных в гмайл.ру)

 

Яндексовский ящик можно погубить еще одним способом: зарегистрировать в нем свой номер телефона. Теперь для того чтобы восстановить пароль нужен не только ответить на контрольный вопрос, но еще и ввести код подтверждения, который придет на номер телефона. Вроде бы все прекрасно: безопасность ящика многократно увеличена. НО! Эта система защиты годится только для случая, когда у пользователя один номер телефона пожизненно. Если Вы купили новую сим-карту, а старую выбросили, то Вам нужно не забыть подтвердить свой номер. В противном случае Вам не получить код подтверждения и не восстановить пароль. С почтовым ящиком в этом случае тоже можно проститься (хотя бы на время препирательств с техподдержкой).

 

Майл, кстати, тоже не идеален. В этой почте есть очень вредная функция, которой нет в Яндексе. Письмо можно пометить, как непрочитанное. Знаете, что это значит? Хулиган, подобравший Ваш пароль, с легкостью прочтет абсолютно все письма, потом те, которые нужно, пометит как непрочитанные и Вы никогда не поймете, что в Вашей почте кто-то похозяйничал до Вас.

 

Ну и уж совсем лирика - если у Вас один пароль на все возможные аккаунты - не надо, прошу, не надо об этом говорить. Зачем провоцировать чужое любопытство? Пароль, кстати, нужно не просто знать наизусть, но еще и набирать его не задумываясь. Даже суперсложный пароль с легкостью подглядят, если Вы набираете его с черепашьей скоростью. Кстати, не забывайте менять пароли хотя бы раз в полгода.

И напоследок: ну прекратите, наконец, ставить в качестве пароля год рождения, qwerty и 111111!!! Это не пароли!!! Это - профанация. Некоторое время назад я цинично влезла в почтовый ящик совершенно неизвестного мне человека (он сделал свой адрес общедоступным на форуме). Сделала я это из спортивного любопытства и больше такие подвиги (честное пионерское!!!) не повторяла. Просто из любопытства попробовала первый попавшийся пароль. qwerty, ага!!! :) Стоило, наверное, предупредить человечка о грозящей ему опасности потерять ящик, но мне не захотелось этого делать. Пусть мне будет стыдно, но кто-то меньше знает и поэтому крепче спит :)

 

А теперь давайте поговорим о живых журналах. И опять прописные истины:

если Вы хотите сохранить анонимность - не указывайте в настройках журнала учебные заведения. Сличив некоторые подробности, знакомые с легкостью узнают, что Вы - это Вы. Поэтому, желая оставаться неузнанными, меняйте детали!!! Пусть Ярославль будет Костромой, Мурманск - Архангельском, а Хабаровск - Петропавловском. Везде есть ночные клубы, парикмахерские, стервозное начальство и коллеги-гады. А скрыв или изменив некоторые (очень незначительные!) подробности Вы уже не рискуете быть узнанными этими самыми гадами-коллегами.

Возможно, у Вас есть два журнала. Один - для всех, другой - анонимный, где Вы пишете свои самые сокровенные тайны. НЕ НАДО ИХ ВЗАИМНО ДОБАВЛЯТЬ В ДРУЗЬЯ!!! И НЕВЗАИМНО, КСТАТИ, ТОЖЕ. Смешно?! А сколько людей прокалываются? Кстати, общих друзей тоже лучше не иметь. И ради Бога (или Б-га, кому уж как удобнее) не надо публиковать одни и те же фотографии (или фото из одних и тех же серий) в два разных журнала. Мир, как говорится, тесен. Не обязательно помещать в журнал фотографии, где есть Ваше лицо. Достаточно обнародовать фото одного и того же любимого котика, вида из окна или панорамы деревни, где Вы отдыхали прошлым летом. И все. Вас узнали.

И еще. Если Вы заглядываете в журналы людей, с которыми Вы не в лучших отношениях, то поздравляю! - они могут запросто узнать, что Вы их читаете. Есть такой счетчик, который предоставляет лжплюс (Вы, кстати, тоже можете его установить), он фиксирует всех, кто был на страничке, к тому же может быть невидимым. Поэтому, если хотите незаметно посмотреть чей-то ЖЖ, то 1) разлогиньтесь, 2) используйте прокси-сервер или зайдите с чужого компьютера.

 

"Закрытые клубы" и сообщества не дают никакой гарантии "закрытости" Ваших тайн. Никакой гарантии, слышите! Ни-ка-кой!!! В дневник "френдз онли" может залезть виртуал и разболтать Ваши тайны. (вот пример) В сообщество, кстати, тоже. (об этом читайте здесь). Но на моей памяти было хуже.

Закрытый дамский клуб (не называю его по этическим соображениям), куда просто так не вступишь, имел сайт с материалами "только для своих" и общедоступными статьями. И, до кучи, очень плохо написанную систему авторизации. Проблема была вот в чем: если человек авторизировался на сайте (вводил свой логин и пароль), а потом давал кому-то ссылку на общедоступную статью, то его логин и пароль в зашифрованном виде передавались в гиперссылке. Я кликнула по одной такой ссылке - и увидела рядом со статьей надпись о том, что я авторизированна как Мария (и получила доступ к конфиденциальной инфе Маши и всех ее друзей).

Поскольку информация была действительно не для посторонних глаз, я написала в техподдержку закрытого клуба. Меня попытались наругать за излишнее любопытство :)))

Сейчас авторизацию переписали и пароли, насколько мне известно, тоже сменили. Надеюсь, что члены клуба стали немного повнимательнее (кстати, я написала администратору сайта, что было бы неплохо запретить все пароли типа 1111 и 2007, надеюсь, что они так и сделали). Но до этого момента вместо конфиденциальности была профанация, самая настоящая.

Теперь давайте поговорим про Ваши ники. И тут мне тоже есть что сказать :) Очень многие любят необычные никнеймы. Такие, чтоб не было ни у кого. В этом нет ничего плохого, при одном условии - красивый и неординарный псевдоним легко может Вас выдать. Ну например (сделано моими шаловливыми ручками специально для Вас!). Поэтому, если хотите, чтоб никто Вас не узнал - не пишите свой никнейм куда попало!

Или еще вариант. Некоторые форумы позволяют иметь в логине и латинские и русские буквы. Чем не шанс обмануть поисковик? Напишите вместо Мага - Мaгa :) Вторую Магу Яндекс не найдет, ибо буквы "а" в этом имени написаны латиницей! И мои интимные тайны уже не будут висеть на первых местах в поисковиках.

Здорово, да? :)

 

Ну вот, пожалуй на сегодня все.

Пост будет дополняться по мере надобности.

 

PS: простите меня за кардинальное изменение стилистики этих записок. Меня попросил об этом очень хороший человек, и я не смогла отказать :)

 

Источник

 

Автор: Оля с ником niotkyda

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 10
  • Создана
  • Последний ответ

Вот уж точнее не напишешь style_emoticons/default/smile20.gif . Только что-то сомнение гложет что это простая офисная девочка. География её походов и перечень случайных проб впечатляет.

Ссылка на комментарий
Поделиться на другие сайты

Она не офисная девочка, а студентка одного из Московских ВУЗов, будет журналисткой и наверно хорошей. ИМХО, если проанализировать, то скорее она учится писать статьи, для этого подбирает интересные темы и публикует их на различных сайтах. В целом статья интересная и актуальная, но ничего нового в ней, лично я, не нашел.

style_emoticons/default/smile9.gif

Ссылка на комментарий
Поделиться на другие сайты

В целом статья интересная и актуальная, но ничего нового в ней, лично я, не нашел.

style_emoticons/default/smile9.gif

33132[/snapback]

Именно поэтому я сказал, что ее показал бы каждому сотруднику, а не каждому СБ-шнику. Статья, написанная пользователем для пользователей нормальным человеческим языком - идеальный вариант для донесения до подопечных Службы Безопасности элементарных вещей, о которых подопечные вообще не думают и которые могут создать проблемы СБ, если о них не думать и дальше.

Ссылка на комментарий
Поделиться на другие сайты

Что-то есть, но как-то несистематично (видно только учится писать статьи style_emoticons/default/smile1.gif )

и некоторые тезисы не доведены до конца (не владеет темой?). Вопрос в том, что это статья затрагивает тему личной безопасности человека в социальных сетях (блоги, форумы, эл. почта и т.д.) и защиты от сбора информации о человеке для последующей социальной инженерии его, а не кибербезопасность в-целом...

Ей бы сходить на сайт уважаемого CI-KP и поучиться технологиям защиты(ей, кстати в каментах тоже писали о технологиях). Скорее, это даже женская статья, так как главной угрозой в ней обозначена защита от охмурения парнями с помошью некоторой private-информации style_emoticons/default/smile5.gif

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...