Отредактировано:08.02.10 21:02
[COLOR=darkblue]
[SIZE=+2][B]Ошибка профессора Плейшнера
(окончание)[/B][/SIZE]
[SIZE=+1]
[FONT=Geneva]
— Во-первых, базы существуют на каждом ресурсе, где пользователь регистрируется, при этом большинство ресурсов никак не озабочены системой безопасности хранения этих баз. Данные пользователей лежат едва ли не в открытом доступе. Во-вторых, нельзя перекладывать всю ответственность на ресурсы. Люди должны наконец осознать, что понятие «виртуальная реальность» устарело. Вы же не оставляете, к примеру, свой кошелек на прилавке магазина, отходя в соседний отдел, и не диктуете номер своей кредитки по телефону, стоя посреди людной площади? Пора привыкать к тому, что и в Сети надо соблюдать те же правила безопасности. 80% пользователей имеют одинаковые логины и пароли на всех своих профилях и аккаунтах: электронной почты, социальных сетей, форумов и т.д. Киберпреступники, получив логин и пароль с незащищенного форума про «вышивание крестиком», совершенно спокойно получают доступ к почте и другим ресурсам, у которых как раз очень надежная защита данных.
Протестовать против создания баз, мне кажется, могут только ну уж совсем малообразованные люди. Весь Интернет, да что там Интернет — все общество строится на создании объединяющих баз. Никто же не возмущается по поводу обязательной регистрации по месту жительства, например (да ладно, еще как возмущаются. — Ю.Р.). А насчет утечек — опять же это вопрос не только к разработчикам. Пришло время, когда пользователям надо начинать задумываться о том, где и какую информацию о себе оставлять и, самое главное, какие действия совершать.
Конечно, Екатерина Должикова права: системы, подобные SkyPetr, есть всего лишь инструмент. Но о том, что он может быть использован и в преступных целях, не нужно забывать: классическим примером целой процветающей преступной отрасли, основанной на сборе данных о пользователях (как минимум об их адресах электронной почты), является рассылка незапрошенной корреспонденции — спама.
И зачем-то информацию о пользователях ведь собирают подпольно: так, в Великобритании зафиксирован сайт, собирающий резюме уволенных сотрудников. Оказалось, что за вполне законной на первый взгляд деятельностью стоит вымышленное кадровое агентство. И эксперты говорят, что большинство посланных резюме содержат по крайней мере восемь позиций персональных данных, которые могут быть теоретически использованы для «кражи личности». Аналогичная история случилась летом прошлого года и в России, где хакерская группировка Phreak предлагала спамерам на подпольных форумах за 600 долларов базу данных, содержащую тысячи резюме, собранных в автоматическом режиме с крупнейших сайтов по поиску работы. Такие базы могут использоваться, например, для адресных фишинговых атак — если клиенту поступает письмо якобы от банка, где он действительно имеет счет, вероятность успеха мошеннической операции резко возрастает.
Будем объективны: наверное, тенденцию к сбору персональных данных, как в маркетинговых целях, так и в интересах служб охраны порядка, уже не переломить. Но это не значит, что следует забывать о возможных негативных последствиях такой тенденции и пускать дело на самотек. Впрочем, сами пользователи тут могут себе помочь больше других, если действительно, как говорит Екатерина, начнут «задумываться о том, где и какую информацию о себе оставлять».
Под текст
[B]Не сообщайте пароли, явки и PIN-коды[/B]
Есть такое понятие — «кража идентификационной информации, удостоверяющей личность». В США «кража личности» уже давно является преступлением номер один. Типовой пример: злоумышленник узнает номер социального страхования какого-нибудь человека, заводит себе дюжину кредитных карточек на его имя, в результате платить по счетам приходится этому человеку.
Подоспела и свежая российская история. 20 мая сотрудники Управления «К» МВД России задержали в Москве семейную пару, обманувшую более 10 тыс абонентов сотовой связи примерно на 100 млн рублей. При помощи специальной программы мошенники отправляли SMS в платежную систему с номера, который идентифицировался как номер потенциальной жертвы. Система, в свою очередь, отправляла абоненту 4-значный ПИН-код для доступа в систему управления счетом. Чтобы его узнать, мошенники звонили абоненту, представлялись устроителями лотерей и предлагали получить денежный приз, который якобы выиграл абонент. Узнав PIN-код и паспортные данные абонента, мошенники получали полный доступ к его счету, переводили деньги через другие «электронные кошельки» на пластиковые карты, а затем обналичивали их. Сотрудники Управления «К» полагают, что сейчас они задержали организаторов обширной сети аферистов; исполнителей предстоит установить. Против задержанных возбуждено уголовное дело по ст. 272 УК РФ (неправомерный доступ к компьютерной информации) и ст. 159 УК РФ (мошенничество).
Это преступление — типичный пример «кражи личности», полный аналог того, что в Интернете носит название фишинга — рассылки подложных писем от лица реальных организаций.
[/FONT]
[/SIZE]
babr.ru
2010-02-03 13:00 | Обзоры - Безопасность - Курьезы
http://internetua.com/oshibka-professora-pleishnera
[/COLOR]