|
|
Пишет dolboeb (![[info]](http://lj.rossia.org/img/userinfo.gif){kind=small} dolboeb)@ 2007-06-19 13:21:00 |
 |
|
 |
|
|
|
|
|
|
 |
|
 |
Правда и мифы о "взломе ЖЖ"
В связи с недавними взломами отдельных журналов и сообществ (![[info]](http://lj.rossia.org/img/userinfo-lj.gif)
vorobieva_irina@lj, sholademi@lj, yakovlev_igor@lj, ![[info]](http://lj.rossia.org/img/community-lj.gif)
ru_yabloko@lj, desnicyn@lj, ru_politix@lj и проч.) напрашиваются два закономерных вопроса: кто виноват, и что делать.
Механизм всех перечисленных взломов совпадает с тем, который был использован в своё время противv_alksnis@lj.
Подбирается пароль к почтовому ящику жертвы на веб-почтовом сервисе типа @Mail.Ru, Gmail.com или Pochta.Ru (во всех известных мне случаях пароль был достаточно короткий и простой для механического перебора, по свидетельству потерпевших)
Получив доступ к этому ящику, злоумышленник меняет в нём пароль и заказывает на почту напоминание пароля к ЖЖ
Получив пароль, злоумышленник заходит в ЖЖ под именем жертвы. Стирает все записи, пишет свои собственные, оставляет сообщения, подводящие аккаунт под заморозку — либо по жалобе взломщика, либо по жалобе самого владельца
Если администрация почтового сервера оказывает содействие потерпевшему, то он имеет возможность вернуть себе почтовый ящик с новым паролем, затем добиться восстановления своего ЖЖ, и вручную там восстанавливать разрушенное вандалом (как сделала vorobieva_irina@lj). Если помощи от администрации почтового сервиса не добиться (как не получил её yakovlev_igor@lj от службы поддержки Гугла), то механизм общения со службой поддержки ЖЖ непонятен, и ru_yabloko@lj, как видим, недоступно.
Конечно, очень хотелось бы, чтобы где-нибудь у админов ЖЖ существовала секретная кнопка, которая позволяла бы по первому требованию "откатывать" любой ЖЖ к положению за секунду до прихода хакера. Однако же проблема тут не только техническая, к сожалению. Есть еще интересный вопрос на каком основании саппорт ЖЖ должен на эту кнопку жать. По письму? А если это письмо от хакера, взломавшего ящик? По звонку? По личной авторизации? Проблема не то чтоб нерешаемая, но не стоит думать, что она давно и просто решена в ЖЖ или каких-либо иных многопользовательских системах.
Больше всего для минимизации подобных рисков может сделать сам пользователь.
подбор паролей методом тыка (brute force) наиболее эффективен, если пользователь поленился сделать пароль к своей почте сложным. Не ленитесь
Не все пароли воруются методом тыка. Десятки тысяч компьютеров заражены троянскими программами, позволяющими красть пароли (а не только использовать машину для DDoS-атак без ведома её владельца). В этой связи необходимо пользоваться актуальной копией антивируса, не упускать возможность установки любых security updates операционной системы и броузерного софта, перестать открывать аттачменты в почте и ссылки, присланные знакомыми по ICQ
восстановление Вашего доступа к почтовому ящику гораздо быстрее, проще и эффективнее, если тот ящик, который Вы прописали в своём ЖЖ основным, находится в Вашем офисе или вузе, в ведении знакомого сисадмина, а не в системе, где есть еще десятки миллионов халявных пользователей, кроме Вас, и саппорт завален их письмами
ЖЖ с комментариями можно бэкапить различными программами, из которых мне больше всего почему-то нравится ljsm. Рекомендации по другим программам приветствуются
ЖЖ без комментариев можно транслировать взад-вперед — на другие блогхостинговые платформы и, при необходимости, обратно. Мой ЖЖ, например, транслируется сюда, сюда и сюда. Записи, которые туда экспортированы, доступны обратной трансляции в ЖЖ. Подзамочные посты таким способом спасти не удастся, к сожалению.
Если ничего из вышеперечисленного не сделано, остаётся мучительный и трудоёмкий путь восстановления публичных записей через кэш поисковых машин.
Существуют ли механизмы избирательного backup/restore в СиксАпарте, и как (на каком основании) они могут быть задействованы, является темой отдельного интересного обсуждения. Которое мы, конечно же, проведём, однако схемы — и по технологии, и по авторизации запрашивающего — не слишком просты, и не могут быть автоматизированы. Поэтому меры личной предосторожности имеют приоритет.
Сервер ЖЖ защищён от взлома ровно настолько, насколько защищён: за 8 лет его существования не зафиксировано случаев, когда бы злоумышленники получили доступ к дневникам, используя уязвимость серверного софта (как это случалось со многими базами платёжной информации в США, откуда похищались номера кредиток). Это, мне кажется, неплохой показатель. Но серверный софт ЖЖ никак не защищает тех паролей к Mail.Ru, в создании и хранении которых пользователь проявил халатность. Софт ЖЖ не может защитить нас от троянских вирусов, от снифферов, от уязвимостей в коде наших броузеров и операционных систем.
Инструкция по борьбе с хакером на опережение отavva@lj не утратила актуальности со времени своего создания в январе 2004. Рекомендую начинать её читать до взлома Вашего ЖЖ, а не после.
NB: Обсуждение программ для архивирования ЖЖ
В связи с недавними взломами отдельных журналов и сообществ (
vorobieva_irina@lj, sholademi@lj, yakovlev_igor@lj, ru_yabloko@lj, desnicyn@lj, ru_politix@lj и проч.) напрашиваются два закономерных вопроса: кто виноват, и что делать.Механизм всех перечисленных взломов совпадает с тем, который был использован в своё время против
v_alksnis@lj. vorobieva_irina@lj). Если помощи от администрации почтового сервиса не добиться (как не получил её yakovlev_igor@lj от службы поддержки Гугла), то механизм общения со службой поддержки ЖЖ непонятен, и ru_yabloko@lj, как видим, недоступно.Конечно, очень хотелось бы, чтобы где-нибудь у админов ЖЖ существовала секретная кнопка, которая позволяла бы по первому требованию "откатывать" любой ЖЖ к положению за секунду до прихода хакера. Однако же проблема тут не только техническая, к сожалению. Есть еще интересный вопрос на каком основании саппорт ЖЖ должен на эту кнопку жать. По письму? А если это письмо от хакера, взломавшего ящик? По звонку? По личной авторизации? Проблема не то чтоб нерешаемая, но не стоит думать, что она давно и просто решена в ЖЖ или каких-либо иных многопользовательских системах.
Больше всего для минимизации подобных рисков может сделать сам пользователь.
Существуют ли механизмы избирательного backup/restore в СиксАпарте, и как (на каком основании) они могут быть задействованы, является темой отдельного интересного обсуждения. Которое мы, конечно же, проведём, однако схемы — и по технологии, и по авторизации запрашивающего — не слишком просты, и не могут быть автоматизированы. Поэтому меры личной предосторожности имеют приоритет.
Сервер ЖЖ защищён от взлома ровно настолько, насколько защищён: за 8 лет его существования не зафиксировано случаев, когда бы злоумышленники получили доступ к дневникам, используя уязвимость серверного софта (как это случалось со многими базами платёжной информации в США, откуда похищались номера кредиток). Это, мне кажется, неплохой показатель. Но серверный софт ЖЖ никак не защищает тех паролей к Mail.Ru, в создании и хранении которых пользователь проявил халатность. Софт ЖЖ не может защитить нас от троянских вирусов, от снифферов, от уязвимостей в коде наших броузеров и операционных систем.
Инструкция по борьбе с хакером на опережение от
avva@lj не утратила актуальности со времени своего создания в январе 2004. Рекомендую начинать её читать до взлома Вашего ЖЖ, а не после.NB: Обсуждение программ для архивирования ЖЖ
