Полная сетевая социализация

Видимо, к ней идем. Буквально, как у вульгарных коммунистов – общие хозяйство, жены, логины… Причем я имею в виду вовсе не традиционные «утечки», которые, кстати, тоже случаются с завидной регулярностью.

Существует ряд годами известных проблем и технических приемов, обеспечивающих определенные бреши в информационной безопасности конечных пользователей. А многие продолжают смело, если даже не с гордостью, наступать на те же грабли. Тенденции же в мире киберпреступности таковы, что если еще несколько лет назад мы опасались лишь настоящих хакеров (в худшем смысле слова), и снисходительно брюзжали на проказничающих «студентов», то сегодня последним по плечу то, что и не снилось в свое время первым.

Так, на недавней хакерской (в хорошем смысле слова) конференции ToorCon некто Эрик Батлер представил интеллектуальный сниффер Firesheep, выполненный в виде плагина для Firefox. И сделал это не по злобе, а дабы привлечь внимание общественности. Как можно догадаться, овца в названии присутствует вовсе не случайно. Firesheep умеет перехватывать в открытых сетях (Wi-Fi без шифрования) сторонние «печеньки»-cookie,  в которых хранятся наши пароли и обмен которыми зачастую не шифруется. Надо ли говорить, что таким образом взламывается и Facebook, и Twitter, и (потенциально) многие другие популярные сервисы?

Причем, тут действительно нет ничего нового. И уязвимость cookie, и снифферы – далеко не новость. Но вот простота, с которой реализована атака, вызывает уважение. Конечно, можно возразить, что пользоваться открытыми Wi-Fi-точками вообще негигиенично. Однако, согласитесь, тяжело удержаться от соблазна в тех же США, где их – на каждом углу, тогда как в большинстве гостиниц за Интернет по старинке требуют $12 в сутки. К тому же почтовый трафик может (и должен) шифроваться на уровне клиента, а еще есть VPN… Но кажется маловероятным, что кто-то станет поднимать VPN, чтобы всего лишь оперативно «чирикнуть» в Twitter. В таком случае, мне кажется, будет нелишним познакомиться с созвучным словом twit (допускаю, что его этимология может быть иной, но все-таки совпадение показательное).

Соответственно, давно известен и выход – HTTPS. Только SSL-шифрование, естественно, должно применяться для всего сеанса, а не только при регистрации. Почему же этого не делают? Ведь соответствующие сертификаты не так уж дороги, особенно если их соотнести со «стоимостью» самих сетей. Думается, во-первых, из-за халатности – пользователи ведь и так идут косяком отарой, а оттого, что у некоторых стащат пароли, их станет только еще больше. А во-вторых, из-за того, что применение шифрования неизбежно создает дополнительную нагрузку на серверы – выбор же между качеством обслуживания и количеством обслуженных делается однозначный.

Последнее время мне все чаще приходят приглашения зарегистрироваться в различных социальных сетях, нередко даже информацию о новых знакомых получаю в виде ссылки на профиль в одной из сетей (и, соответственно, не могу прочесть полную информацию). Уже чувствую себя белой вороной, но пока что все-таки воздерживаюсь :) Как-то действительно острой необходимости еще не ощутил, а вот подобные нюансы настораживают.