кое-что о паролях
Несколько дней назад мой "друг" в "одноклассниках" прислал мне линк, на который я, не задумываясь, кликнул. Там появился привычную совершенно уже до омерзения страничку логина в "одноклассников", так что я конечно не задумываясь ввел имя (я все время забываю, что в поле "имя пользователя" они ожидают мой e-mail) и пароль. После чего увидел некий странный экран, который вроде бы объяснял, что я на сайте "одноклассники", но адрес был совсем другой и своего имени я не увидел. Только тогда Штирлиц понял как близок он был к провалу я понял, что меня элементарно надули, вслед за моим другом. Специалистом, кстати, хорошим по компьютерным сетям и безопасности. И что это какие-то сквоттеры завладели его эккаунтом, и собирались уже завладеть моим. Не на того напали! Я сразу бросился менять свой пароль на "одноклассниках". И только когда не получилось, понял, что на их сквоттерской странице я ввел, по своему обыкновению, неправильный пароль. Вероятно, если бы я не ошибся с самого начала, рыпаться было бы уже бесполезно, и мой "юзер" в сети "одноклассники" начал бы жить совершенно независимой от меня жизнью, и мне никогда не удалось бы его вернуть.
Но это присказка. Сказку рассказали на днях на Black Hat - конференции хакеров. Суть изобретения такая: сначала в локальную сеть проникает агент sslstrip (обычными средствами, доступными хакерам). Потом он отлавливает линки (точнее, редайректы), которые ведут браузер на защищенные (https) сервисы. Вместо https: браузеру передается http: Браузер продолжает разговаривать в открытом режиме. На самом деле, его связь ведет к тому же sslstrip. На этот раз он работает как proxy, передавая всё по https настоящему серверу. Ну, и по пути ворует не только пароли, но и прочую конфиденциальную информацию, идущую от пользователя серверу или от сервера пользователю. Оказывается, редкие пользователи обращают внимание на то, что в адресной строке нет https: и что в статусе нет замочков.
Кстати, похожую технологию мы использовали для рассылки рекламы в бесплатном dial-up интернете вместе с beps и mishka2000 а также другими юзерами и неюзерами. Тоже обман был, я был откровенно рад, когда эта бизнес-модель прогорела, хотя работу искать тогда было не легче, чем сейчас.
Но это присказка. Сказку рассказали на днях на Black Hat - конференции хакеров. Суть изобретения такая: сначала в локальную сеть проникает агент sslstrip (обычными средствами, доступными хакерам). Потом он отлавливает линки (точнее, редайректы), которые ведут браузер на защищенные (https) сервисы. Вместо https: браузеру передается http: Браузер продолжает разговаривать в открытом режиме. На самом деле, его связь ведет к тому же sslstrip. На этот раз он работает как proxy, передавая всё по https настоящему серверу. Ну, и по пути ворует не только пароли, но и прочую конфиденциальную информацию, идущую от пользователя серверу или от сервера пользователю. Оказывается, редкие пользователи обращают внимание на то, что в адресной строке нет https: и что в статусе нет замочков.
Кстати, похожую технологию мы использовали для рассылки рекламы в бесплатном dial-up интернете вместе с beps и mishka2000 а также другими юзерами и неюзерами. Тоже обман был, я был откровенно рад, когда эта бизнес-модель прогорела, хотя работу искать тогда было не легче, чем сейчас.