Нещодавно я зіткнувся з неприємністю. Хтось вкрав мій номер ICQ (UIN), для цього вкравши спочатку доступ до моєї поштової скриньки на сервері mail.ru. Про те, як потрібно просити і умовляти службу техпідтримки допомогти повернути ящик, - це інша історія. А зараз про те, як ще можна відвести віртуальне майно, віртуальну "особистість" людини в мережі.
На моєму комп'ютері поставлені всі мислимі і немислимі заплатки, стоять, орють і оновлюються ліцензійні антивірус з файрволлом. Влізти в мій комп'ютер (без мого відома) неможливо. Як же в такому випадку можуть вас віртуально пограбувати, запитає читач? А ось так, перехопивши інформацію, "винюхав" її вже з мережі.
Відразу скажу, що така напасть, головним чином, загрожує користувачам локальних мереж, тобто офісних або мереж, які об'єднують будинку в районі (що зараз стає все більш і більш популярним).
Так, полюванням на інформацію займаються і у великій мережі (в інтернеті, наприклад, метою стають великі компанії, банки і т. П.), Але це справа - складна і копітка, тим більше що великі компанії користуються мережею тільки як медіумом, а їх інформація пересилається практично "точково", в закодованому вигляді (VPN).
Інша справа - локальні мережі з обмеженим числом користувачів. Зловмисник встановлює і запускає на своєму комп'ютері програму-сниффер, яка, грубо кажучи, вміє отримувати мережевий TCP / IP-трафік, що не призначений для цього комп'ютера.
Раніше вважалося, що "винюхувати" інформацію можна тільки в мережах, побудованих на хабах.
Тому найпростішим рішенням було б замінити такі прості концентратори на свитчи, які ділять мережу на сегменти і фільтрують трафік, що не відправляючи його в сегменти, для яких вони не призначені. Але на кожну самі знаєте що є свій болт з хитрою нарізкою, і ось вони - програми, що засинають свитчи ARP (Address Resolution Protocol) запитами, що змушують комутатор працювати як простий хаб, грубо кажучи, плутаючись у своїх таблицях маршрутизації. А якщо у зловмисника голова на плечах, то він може взагалі змусити свитч пересилати собі інформацію безпосередньо.
Чим це небезпечно? В першу чергу, втратою паролів. Ці коротенькі слівця в більшості випадків пересилаються відкритим текстом.
Так Так. Перехопивши і проаналізувавши ваш трафік, зловмисник побачить не "зірочки", а ваші паролі до SMTP / POP-серверів, безкоштовним поштовим скринькам, конференцій, TELNET- і FTP-серверів, IRC і т. Д. І т. П. Можна тягнути і комерційну інформацію - але, слава богу, номери кредиток передаються в захищеному режимі ...
Виявити сниффер дуже складно. Особливо якщо сніффером користується не 13-річний "кул хацкер", який залишає свою машину стежити за мережею всі 24 години, а хтось, що виходить "в ефір" щоб зловити певну жертву.
Читач запитає: а як же захищатися? А ніяк, відповім я вам. Якщо адміну наплювати на те, що стоїть біля його користувачів на машинах, - порятунок потопаючих стає особистою справою потопаючих.
Ось деякі мої рекомендації:
- У домашніх мережах регулярно перевіряти (тим же PromiScan'ом) наявність комп'ютерів з "всечуюче" мережевими картами. Поставити одну "Лінукс" -машинний і дивитися, чи не появилося останнім часом підозріло багато ARP-запитів?
- Завести ключ PGP.
- Пошукати: а може, існує вже програмне забезпечення вашого TELNET- або FTP-сервера, оснащене "Кербером" (Kerberos).
- Якщо ви (не дай боже в такій ситуації) працюєте з дому з комп'ютером на роботі, змусьте вашого адміна з роботи влаштувати вам персональний VPN-канал.
- В офісних мережах не давати користувачам прав адміністраторів (щоб не встановлювалося несанкціоноване програмне забезпечення).
На 100% все одно не врятує, але допомогти може.