`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Игорь Дериев

Полная сетевая социализация

+1313
голосов

Видимо, к ней идем. Буквально, как у вульгарных коммунистов – общие хозяйство, жены, логины… Причем я имею в виду вовсе не традиционные «утечки», которые, кстати, тоже случаются с завидной регулярностью.

Существует ряд годами известных проблем и технических приемов, обеспечивающих определенные бреши в информационной безопасности конечных пользователей. А многие продолжают смело, если даже не с гордостью, наступать на те же грабли. Тенденции же в мире киберпреступности таковы, что если еще несколько лет назад мы опасались лишь настоящих хакеров (в худшем смысле слова), и снисходительно брюзжали на проказничающих «студентов», то сегодня последним по плечу то, что и не снилось в свое время первым.

Так, на недавней хакерской (в хорошем смысле слова) конференции ToorCon некто Эрик Батлер представил интеллектуальный сниффер Firesheep, выполненный в виде плагина для Firefox. И сделал это не по злобе, а дабы привлечь внимание общественности. Как можно догадаться, овца в названии присутствует вовсе не случайно. Firesheep умеет перехватывать в открытых сетях (Wi-Fi без шифрования) сторонние «печеньки»-cookie,  в которых хранятся наши пароли и обмен которыми зачастую не шифруется. Надо ли говорить, что таким образом взламывается и Facebook, и Twitter, и (потенциально) многие другие популярные сервисы?

Причем, тут действительно нет ничего нового. И уязвимость cookie, и снифферы – далеко не новость. Но вот простота, с которой реализована атака, вызывает уважение. Конечно, можно возразить, что пользоваться открытыми Wi-Fi-точками вообще негигиенично. Однако, согласитесь, тяжело удержаться от соблазна в тех же США, где их – на каждом углу, тогда как в большинстве гостиниц за Интернет по старинке требуют $12 в сутки. К тому же почтовый трафик может (и должен) шифроваться на уровне клиента, а еще есть VPN… Но кажется маловероятным, что кто-то станет поднимать VPN, чтобы всего лишь оперативно «чирикнуть» в Twitter. В таком случае, мне кажется, будет нелишним познакомиться с созвучным словом twit (допускаю, что его этимология может быть иной, но все-таки совпадение показательное).

Соответственно, давно известен и выход – HTTPS. Только SSL-шифрование, естественно, должно применяться для всего сеанса, а не только при регистрации. Почему же этого не делают? Ведь соответствующие сертификаты не так уж дороги, особенно если их соотнести со «стоимостью» самих сетей. Думается, во-первых, из-за халатности – пользователи ведь и так идут косяком отарой, а оттого, что у некоторых стащат пароли, их станет только еще больше. А во-вторых, из-за того, что применение шифрования неизбежно создает дополнительную нагрузку на серверы – выбор же между качеством обслуживания и количеством обслуженных делается однозначный.

Последнее время мне все чаще приходят приглашения зарегистрироваться в различных социальных сетях, нередко даже информацию о новых знакомых получаю в виде ссылки на профиль в одной из сетей (и, соответственно, не могу прочесть полную информацию). Уже чувствую себя белой вороной, но пока что все-таки воздерживаюсь :) Как-то действительно острой необходимости еще не ощутил, а вот подобные нюансы настораживают.

+1313
голосов

Напечатать Отправить другу

Читайте также

If you can't beat them, join them! Чекатимемо Вас у соціальних мережах :)

т.е. избежать этого в любом случае не получится? ;)

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT