LINUX.ORG.RU
ФорумTalks

Безопасен ли интернет?

 , ,


2

1

Пробежавшись по всем сайтам, услугами которыми пользуюсь, залезая в формочки «забыл пароль», «забыл логин», попытался оценить защищенность своих аккаунтов.

Например, RU-CENTER для восстановления пароля предлагает выслать им один листочек с логином и подписью, и скан паспорта. Подпись подделать не трудно под копирку, свой собственный логин, который требуется указать, я уже засветил в сети, так что мошенникам, чтобы получить контроль над моими доменами, осталось только раздобыть скан моего паспорта. Вот так вот, неприятно.

Интернет-банкинг Сбербанка предлагает варианты

а) авторизацию по логину и паролю плюс подтверждение по SMS

б) авторизацию по логину и паролю плюс подтверждение одноразовым паролем, которые распечатает любой банкомат, если дать ему карточку, а карточке нужен пин-код

okay.jpg, будем считать, что наши финансы условно защищены от физического хищения.

Однако, тот-же сбербанк предлагает услугу «перевести деньги посредством одной SMS на короткий номер 900», то есть, прикиньте, у вас подключен интернет-банкинг, — а он у вас подключён 100%, вы устанавливаете на свой Android-телефон вирусное приложение, которое отправляет SMS на номер 900, чтобы перевести деньги злоумышленнику. И всё, приплыли. Нету больше ваших денег.

Ехаем дальше.

Многие сайты предлагают восстановить пароль посредством e-Mail, в зависимости от уровня сервиса мыло взламывается. На всех сайтах аккаунты угоняются, даже на этом ЛОРе.

Другие многие сайты идут дальше и вводят авторизацию посредством SMS, восстановление пароля посредством SMS, подтверждение посредством SMS — в том числе и банки. В зависимости от того, насколько вы «крупная пташка» и интересуете мошенников, которые имеют связи в местечковом филиале ОпСоса г. Усть-Задрищенск, как-бы возможно отправить запрос на восстановление вашей SIM-карты, в итоге получив доступ к вашему номеру, не так ли? В этом моменте я плохо разбираюсь, но SIM-карту можно восстановить — печальный(?) факт.

Ехаем дальше.

В последнее время активизировался такой вид мошенничества, когда путём взлома вашей анкеты ВКонтакте и других аккаунтов в социальных сетях, даже Skype, у всех ваших друзей мошенники просят дать денег в долг, от вашего же лица.

Или коллекторы и банки, которым вы должны деньги, напишут всем вашим друзьям, какой вы редиска и не отдаёте долги. Неприятно, но таким образом получается, что даже список друзей ВКонтактике должен быть приватным, виден только вам. Рекомендую.

Но что-то я заговорился, простите.

Интернет! Меня интересует, насколько безопасен интернет.

Расскажите кто-нибудь на пальцах пожалуйста, доморощенному админу локалхоста, как защитить допустим, свои собственные почтовые сервера от спуфинга днс? Вот вы отправляете письмо на яндекс, а вашему почтовому серверу DNS говорит, что mx.yandex.ru имеет адрес 10.10.10.10, который на самом деле, ваш сосед.

Или почему я должен доверять «провайдеру по середине», который находится между мной и сервером яндекса, что если этот самый провайдер мог подвергнуться взлому и теперь злоумышленники выдают фейковые IP-адреса для A-записей.

Как работает интернет и как доверять узлам-по-середине?

Если по https передаётся защищённый трафик и это понятно, что никто его не увидет кроме вас, но как мы можем быть уверены, что передаём трафик вообще нужному IP-адресу, а не компьютер хакера?

★★★★★

настраивать свой dns который бы от корневых серверов до конца сам проходил и адрес искал.

А еще можно взломать компьютер и перевести все твои деньги с карты. Как защититься? Хранить деньги под матрасом наличными.

onon ★★★ ()
Последнее исправление: onon (всего исправлений: 1)

Интернет-банкинг
банк

Они уже на этом моменте не совсем твои. Совсем твоими они являются, когда лежат тугими пачками в жестяной банке из под печенья у тебя дома.

Ехаем

Убивать.

когда путём взлома вашей анкеты ВКонтакте и других аккаунтов в социальных сетях, даже Skype
ВКонтакте
социальных сетях
Skype

У нас здесь такое не принято.

user42 ★★ ()
Последнее исправление: user42 (всего исправлений: 1)

как мы можем быть уверены, что передаём трафик вообще нужному IP-адресу

Ты уверен, что понимаешь, как работает https?

generator ★★★ ()
Ответ на: комментарий от generator

Не уверен. И слепо доверяться готовым решениям тоже боязно. Пытаюсь разобраться. :)

Spoofing ★★★★★ ()

Ясно дело, небезопасен. Залезешь на лор, почитаешь тупняка в толксах - все, минимум полчаса жизни как фаллосом сдуло. Безвозвратно. А мог бы полезно полчаса провести.

LexArt ★★ ()

как мы можем быть уверены, что передаём трафик вообще нужному IP-адресу, а не компьютер хакера?

расстрелять

r_asian ★☆☆ ()

Однако, тот-же сбербанк предлагает услугу «перевести деньги посредством одной SMS на короткий номер 900», то есть, прикиньте, у вас подключен интернет-банкинг, — а он у вас подключён 100%, вы устанавливаете на свой Android-телефон вирусное приложение, которое отправляет SMS на номер 900, чтобы перевести деньги злоумышленнику. И всё, приплыли. Нету больше ваших денег.

А вот обломись. Мой интернет-банкинг подключен на специальную карточку для расходов на день, там более нескольких тысяч никогда не лежит. Основная часть денег всегда на совсем отдельных счетах, да и не в одном банке.

Sadler ★★★ ()

Как страшно стало жить, не то что сто лет назад.

как мы можем быть уверены, что передаём трафик вообще нужному IP-адресу

Сертификаты.

arturpub ★★ ()
Ответ на: комментарий от Sadler

Плюсую.
А ещё можно открыть вклад «До востребования» и систематически перекидывать деньги туда, ещё и проценты получать.

dogbert ★★★★★ ()

Расскажите кто-нибудь на пальцах пожалуйста, доморощенному админу локалхоста, как защитить допустим, свои собственные почтовые сервера от спуфинга днс?

DNSCrypt, например.

Или почему я должен доверять «провайдеру по середине», который находится между мной и сервером яндекса, что если этот самый провайдер мог подвергнуться взлому и теперь злоумышленники выдают фейковые IP-адреса для A-записей.

Заодно им придётся сломать удостоверяющий центр, чтобы получить поддельные сертификаты для всех защищённых соединений.

но как мы можем быть уверены, что передаём трафик вообще нужному IP-адресу, а не компьютер хакера?

А зачем хакеру нужен поток, который нельзя расшифровать? У него рандом сломался?

Sadler ★★★ ()
Ответ на: комментарий от Sadler

поток, который нельзя расшифровать

совсем упустил этот момент из виду. спасибо!

Spoofing ★★★★★ ()
Ответ на: комментарий от dogbert

А ещё можно открыть вклад «До востребования» и систематически перекидывать деньги туда, ещё и проценты получать.

Ага. У сбера порядка 7% всего, но и этого хватает, чтобы, скажем, оплачивать коммуналку с процентов. Если бы ещё инфляция у нас не зашкаливала, я бы только там деньги и держал.

Sadler ★★★ ()
Ответ на: комментарий от LexArt

А можно и параллельно чем-то полезным заниматься. Я вот bridge (подставку) для скрипки выпиливаю.

Sadler ★★★ ()
Ответ на: комментарий от dormeur86

Уже. Конпелирую DNSCrypt, чтобы запустить как проксю для сервера Bind.

Spoofing ★★★★★ ()
Ответ на: комментарий от r_asian

вообще-то, не можем: достаточно подменить сертификат безопасности, использовать неподписанный сертификат, и т.п.

next_time ★★★★★ ()
Ответ на: комментарий от next_time

достаточно подменить сертификат безопасности

А чтобы читать все зашифрованные сообщения, достаточно их расшифровать.

использовать неподписанный сертификат

Если Вам внезапно пришёл самоподписанный сертификат, то это хороший повод перепроверить канал на MitM, и уж точно не стоит устанавливать соединение по такому каналу.

Sadler ★★★ ()
Ответ на: комментарий от next_time

сопрут же. залезут в квартиру и сопрут.

Дык нужно хранить в местах, где найти нереально. Например, в унитазе, завернутые в герметичный пакет. Или в батарее.

drull ★☆☆☆ ()
Ответ на: комментарий от onon

да: как ни защищайся — всё равно могут спереть. КСЖ.

next_time ★★★★★ ()
Ответ на: комментарий от Sadler

А чтобы читать все зашифрованные сообщения, достаточно их расшифровать.

сертификат-то легко подменить. достаточно зашить троянца в образ с пиратской виндой. или в исходники ПО, если у цели — линукс. кстати, ПО обычно ставят от рута.

Если Вам внезапно пришёл самоподписанный сертификат, то это хороший повод перепроверить канал на MitM, и уж точно не стоит устанавливать соединение по такому каналу.

осталось объяснить это каждой домохозяйке

next_time ★★★★★ ()
Ответ на: комментарий от next_time

сертификат-то легко подменить. достаточно зашить троянца в образ с пиратской виндой. или в исходники ПО, если у цели — линукс.

Ну да, нет ничего проще. Только твой образ потом кто-то должен установить, а исходники — собрать.

кстати, ПО обычно ставят от рута.

ПО обычно ставят из доверенных источников.

осталось объяснить это каждой домохозяйке

Нет задачи защитить каждую домохозяйку.

Sadler ★★★ ()
Последнее исправление: Sadler (всего исправлений: 1)
Ответ на: комментарий от Sadler

Только твой образ потом кто-то должен установить

сам же жадный юзер скачает и установит

а исходники — собрать.

./configure && make install?

ПО обычно ставят из доверенных источников.

нет, многие ставят ПО из репозитариев, где его никто не проверяет. по крайней мере, это касается реп генты, арча, и бОльшей части реп дебиана.

next_time ★★★★★ ()
Ответ на: комментарий от next_time

сам же жадный юзер скачает и установит

Вы живёте в каком-то своём мире. У виндов как минимум сверяется хэш ISO-шника, а все средства взлома на десять раз проверяются. В крайнем случае купите уже свою версию винды или не ломайте её, она давно вполне себе работает невзломанная, и даже обновляется.

./configure && make install?

Сырцы не читай @ сразу компиляй!

нет, многие ставят ПО из репозитариев, где его никто не проверяет.

Мейнтейнер и не обязан это делать. Если пользователь сомневается в сырцах, он может выкачать их самостоятельно и проверить. Конечно, если проект ранее был замечен в таких махинациях, он должен быть навсегда исключён из репозитория.

Sadler ★★★ ()
Последнее исправление: Sadler (всего исправлений: 1)
Ответ на: комментарий от user42

У нас здесь такое не принято.

Эм, у «вас» - это у кого?

DeadEye ★★★★★ ()
Ответ на: комментарий от onon

настраивать свой dns который бы от корневых серверов до конца сам проходил и адрес искал.

Не поможет . В свое время «защитники животных» в ходе атаки на guns.ru отравили корневой DNS.

BlackJack ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.