Недостатки веб-сервисов и как с ними бороться

Недостатки веб-сервисов побуждают злоумышленников к краже личных данных. Они взламывают аккаунты и воруют письма. Мы расскажем вам, как защититься, если это вообще возможно.

Взлом Facebook. С помощью плагина Firesheep для браузера Firefox хакеры могут воровать аккаунты веб-сервисов На момент подготовки номера более миллиона потенциальных киберпреступников загрузили плагин Firesheep, позволяющий без проблем входить в аккаунты пользователей на Amazon, Facebook и на почтовые серверы. Правда, это возможно только в тех случаях, когда жертва использует для доступа в Интернет открытые и плохо защищенные беспроводные сети, доступные, например, в гостиницах, или корпоративные сети. Но таких сетей великое множество, и они имеют настолько серьезные недостатки в системе безопасности, что могут стать причиной огромного ущерба — например, в результате оформления заказов за счет жертвы.

Все эти проблемы влекут за собой ослабление эффективности систем сетевой защиты и могут стать насущными для каждого из нас. Более того, в некоторых случаях «пробелы» в системе настолько критичны, что обеспечение надежной защиты не представляется возможным. CHIP расскажет, что собой представляют эти слабые места.

Интернет: взлом аккаунтов на Amazon

Интернет-кафе с некоторых пор стали просто раем для мошенников, нацеленных на кражу персональных данных. Представьте себе следующий сценарий развития событий.

Находясь в кафе, вы вышли в сеть по беспроводной связи, к которой имеют доступ и другие пользователи. В одной из вкладок вы вошли в свой ящик электронной почты, в другой — просматриваете любимые веб-сайты. Что в этом время делает пользователь за соседним столиком? Он проник в ваш аккаунт на Amazon и просматривает ваши сообщения на Facebook. При этом он может и не быть опытным хакером: все, что ему нужно, — это установить дополнение для браузера Firefox под названием Firesheep.

Данный плагин — яркий пример того, насколько просто стало проникать в чужую личную сферу, взламывать аккаунты в Twitter или входить на Flickr под именем жертвы.

Даже если при аутентификации используется зашифрованное соединение и передача данных доступа также предусматривает их шифрование, то после их проверки последующий обмен информацией на многих сервисах никак не защищен (см. таблицу далее). И здесь в игру вступает программа Firesheep. Она сканирует все соединения в пределах беспроводной сети и перехватывает все передаваемые сессионные файлы cookie. Риск в данном случае не является теоретическим — он реален и очень высок. Любой, даже неопытный пользователь сможет установить плагин, открыть его окно на боковой панели Firefox и начать просмотр информации о том, кто из потенциальных жертв в данный момент использует тот или иной сервис. Щелчком мыши мошенник может открыть чужой профиль и при этом будет обладать всеми правами и полной свободой действий, как если бы аутентификация была произведена с помощью его личных данных.

В зависимости от того, какой сервис был выбран злоумышленником, последний сможет, например, отправлять электронные сообщения, публиковать «твиты» или размещать изображения. Пока жертва находится в системе под своим именем, злоумышленник может выдавать себя за него. Тот факт, что программа Firesheep не способна перехватывать пароли, в принципе, вызывает определенное чувство утешения, однако оно обманчиво. На одном из примеров мы продемонстрируем, как легко можно взломать и завладеть аккаунтом на Amazon.

Хитрость состоит в следующем. Если при аутентификации жертва использует свой адрес электронной почты, хакер может попытаться авторизоваться на Amazon с помощью данного адреса. В связи с тем, что он не знает пароль, он подает заявку на его сброс. В результате Amazon направит на адрес жертвы сообщение об изменении данных доступа. Так как в этот момент мошенник находится в системе, он может беспрепятственно изменить пароль, тем более если жертва занята другими делами или просматривает веб-сайты на другой вкладке. Если хакер проявит сноровку и удалит соответствующие письма из почтового ящика, то подмена пароля останется незамеченной. А если он, используя чужую персональную информацию, завладеет данными банковских счетов пользователя, которые могут находиться, например, в его электронной переписке, то сможет осуществлять покупки за его счет до тех пор, пока жертве не будет предъявлен счет на оплату процентов по кредитной карте.

Проблема в том, что Amazon при изменении пароля не задает контрольного вопроса, как это принято в электронной платежной системе PayPal. Таким образом, электронная почта предоставляет злоумышленникам все возможности для изменения данных доступа. Поэтому никогда не выполняйте аутентификацию через открытые беспроводные сети на сервисах, которые зашифрованы не полностью. Адресная строка браузера должна быть выделена цветом, а аббревиатуре «https» следует появляться не только на странице аутентификации, но и всех остальных.

Как всегда, для каждого действия существует и противодействие: для защиты от Firesheep имеются дополнение Blacksheep, которое обнаруживает в беспроводной сети шпионский плагин и направляет пользователям соответствующее предупреждение. Что интересно, оно основано на коде самого Firesheep.

Количество случаев неправомерного использования личных данных растет за счет онлайн-сервисов. Веб-форма для подачи заявки на переадресацию корреспонденции и простая возможность изменения пароля на сайте Amazon провоцируют на кражу персональных данных. В будущем подобные случаи участятся, если владельцами сервисов не будут приняты соответствующие меры.

Используется ли шифрование?

Насколько низок уровень защиты некоторых веб-сервисов?Если бесплатные почтовые службы, интернет-магазины и различные сообщества будут применять шифрование, то хакеры уже не смогут воровать пароли и получать доступ к аккаунтам пользователей с помощью простых программ. Однако не все подходят к этому вопросу с должной ответственностью. Из таблицы ниже вы узнаете, на каких сайтах данные подвергаются шифрованию только при аутентификации, а на каких оно применяется полностью.