Вы случайно оказались в числе первых ста посетителей только что открывшегося
почтового сервера с красивым адресом, например roma@mail.ru или сайта вида
www.roma.narod.ru. Вы успешно зарегистрировались, но уже через неделю Outlook
или Internet Explorer вам выдал: «Invalid Password». Обращаться в
службу поддержки? Безусловно, суппорт поможет вам вернуть отобранный кем-то
ящик, но это займет много времени и сил. Какие же ошибки вы допустили и как
удалось хакеру получить пароль от вашего ящика?
Основной способ получения пароля от емейла это не
перебор стандартных паролей, не использование специальных программ, как
анонсируют повсюду в интернете, а всего-навсего правильное использование
поисковика Яndex. Естественно, я не буду рассматривать примитивный случай,
когда паролем является имя пользователя или его фамилия,
это проверяется очень быстро.
Вы, получив новый емейл или создав домашнюю страничку с красивым адресом
(URL), решили оповестить друга по сети и, зайдя на его домашнюю страницу,
оставили там сообщение вида:
Имя: Ламеров Рома
Город: Санкт-Петербург
E-mail: roma@mail.ru
http://www.roma.narod.ru
Текст: «Привет, друг! Я сменил мыло! И создал хоумпагу!!! Пиши и
заходи!»
Возможен вариант, когда вы участвуете в конкурсе или размещаете анкету на
сайте знакомств. Человек, которому нужно вскрыть ваш ящик и сменить пароль,
воспользуется поисковиком: зайдет на Яндекс и введет: «roma@mail.ru».
Яндекс, как самый-самый продвинутый поисковик, найдет страницу из гостевой или
анкеты знакомств и выдаст ему ваше имя. Теперь хакер идет на сайт, содержащий
базу данных по Санкт-Петербургу, к примеру на http://interweb.spb.ru/phone, и
вводит ваше имя. Он получает адрес и имена прописанных вместе с Ламеровым
родственников. Другой способ найти данные о Роме в базе
ICQ.com, если, конечно, он там зарегистрирован. Что теперь? Атакующий идёт на
сайт почтовой службы, нажимает кнопку «Забыл пароль», и отвечает
на секретный вопрос, например имя одного из родственников или дата рождения,
тем самым получая доступ к ящику Ламерова. Если вопрос задан несколько иначе,
например имя любимой собачки, то хакеру не составит никакого труда позвонить
Роме домой, познакомиться и выведать ответ на вопрос. Такой способ очень эффективен и
проверен автором статьи.
Заграничные службы поддержки очень доверчивы, даже служба поддержки
Hotmail.com, почтового сервиса Microsoft. Послав в службу поддержки послание
типа «Hi! I was travelling in Russia for three weeks, so I forgot my
password. Please send it me. My name is Roma Lamerov» и указав в письме
домашний адрес, хакер в 99% случаев получит пароль от нужного ему емейла. Этот
способ также проверялся автором на службах поддержки сайтов www.usa.net и
www.hotmail.com (а еще говорят про безопасность проектов Microsoft!).
Мораль: Во-первых, не использовать логин, совпадающий с паролем (в нашем
примере это roma), во-вторых, стараться «ходить под ником», то
есть никогда нигде не писать имя и фамилию; помните: ваши друзья и так поймут,
кто оставил сообщение. В-третьих, стараться использовать численно-буквенные
пароли длиной не менее 8 симвлов для стопроцентной гарантии того, что никто
никогда не подберет ваш пароль. Пример удачного пароля: 5GHaY07j. Такой пароль
довольно трудно запомнить на первый взгляд, но поверьте, автор этой статьи
хранит в голове не менее 10 подобных паролей. И, наконец, никогда не сообщать
никому ваш пароль, не писать его на лицевой странице записной книжки
В начале 2001 года были распространены сообщения вида «Вас беспокоит
служба поддержки. Нами была зафиксирована попытка взлома вашего емейла,
поэтому его функционирование приостановлено. Пришлите нам ваш пароль для
проверки и возобновления работы«. Об этом писали и предупреждали также
на Народе.Ру.
Помните, что любая служба поддержки и так знает, какой у вас пароль.
Помните фильм «Хакеры» и три самых распространенных пароля?
Напомню, это были «Love, God и Sex». К этому списку сегодня надо
прибавить такие слова, как «Britney», «Lopez» (не
смотрите MTV, в общем ;-), «Sony», «LG»,
«Trinitron» (обычно написаны на лицевой стороне монитора ;-),
«password», «parol» и другие. Регистрируя новый
e-mail, заполняйте как можно больше граф и, самое главное, те данные, которые
невозможно узнать по базам данных при обращении в службу
поддержки по факту взлома вам надо будет вспомнить всё, что вы заполняли.
Завершая этот текст, хочется сказать одно: почитайте УК РФ, если вы читали
это пособие не для защиты, а для того, чтобы узнать, как ломают сайты в
интернете.
Бабчинский Роман Олегович
24.01.2002, опубликовано 30.01.2002
Статья предоставлена на конкурс «Народный редактор»