Игор Дерієв: "Повна мережева соціалізація"
Мабуть, до неї йдемо. Буквально, як у вульгарних комуністів - загальні господарство, дружини, логіни ... Причому я маю на увазі зовсім не традиційні «витоки», які, до речі, теж трапляються із завидною регулярністю.
Існує ряд роками відомих проблем і технічних прийомів, що забезпечують певні прогалини в інформаційній безпеці кінцевих користувачів. А багато хто продовжує сміливо, якщо навіть не з гордістю, наступати на ті ж граблі. Тенденції ж у світі кіберзлочинності такі, що якщо ще кілька років тому ми побоювалися лише справжніх хакерів (в гіршому розумінні слова), і поблажливо нарікали на вередували «студентів», то сьогодні останнім по плечу те, що й не снилося свого часу першим.
Так, на нещодавній хакерської (у хорошому сенсі слова) конференції ToorCon хтось Ерік Батлер представив інтелектуальний сніффер Firesheep, виконаний у вигляді плагіна для Firefox. І зробив це не по злобі, а щоб привернути увагу громадськості. Як можна здогадатися, вівця в назві присутнє зовсім не випадково.Firesheep вміє перехоплювати у відкритих мережах (Wi-Fi без шифрування) сторонні «печеньки»-cookie, в яких зберігаються наші паролі та обмін якими найчастіше не шифрується. Чи треба говорити, що таким чином зламується і Facebook, і Twitter, і (потенційно) багато інші популярні сервіси?
Двічі клацніть на комусь, і ви миттєво увійшли як власник.
Причому, тут дійсно немає нічого нового. І вразливість cookie, і сніффери - далеко не новина. Але ось простота, з якою реалізована атака, викликає повагу. Звичайно, можна заперечити, що користуватися відкритими Wi-Fi-точками взагалі негігієнічно. Однак, погодьтеся, важко втриматися від спокуси в тих же США, де їх - на кожному розі, тоді як у більшості готелів за Інтернет по-старому вимагають $ 12 на добу. До того ж поштовий трафік може (і повинен) шифруватися на рівні клієнта, а ще є VPN ... Але здається малоймовірним, що хтось стане піднімати VPN, щоб всього лише оперативно «чірікнуть» на Twitter. У такому випадку, мені здається, буде незайвим познайомитися із співзвучною словом twit (припускаю, що його етимологія може бути іншою, але все-таки збіг показовий).
Відповідно, давно відомий і вихід - HTTPS. Тільки SSL-шифрування, природно, має застосовуватися для всього сеансу, а не тільки при реєстрації. Чому ж цього не роблять? Адже відповідні сертифікати не такі вже дорогі, особливо якщо їх співвіднести з «вартістю» самих мереж. Здається, по-перше, через недбалість - користувачі адже і так йдуть косяком отарою, а тому, що у деяких стягнуть паролі, їх стане тільки ще більше. А по-друге, через те, що застосування шифрування неминуче створює додаткове навантаження на сервери - вибір ж між якістю обслуговування і кількістю обслужених робиться однозначний.
Останнім часом мені все частіше приходять запрошення зареєструватися в різних соціальних мережах, нерідко навіть інформацію про нові знайомих отримую у вигляді посилання на профіль в одній з мереж (і, відповідно, не можу прочитати повну інформацію). Вже відчуваю себе білою вороною, але поки що все-таки утримуюся:) Як-то дійсно гострої необхідності ще не відчув, а ось подібні нюанси насторожують.