2/1001. Безопасность ICQ

2/1001. Безопасность ICQ
Продолжим начатую ранее тему, посвящённую такому вопросу как:

Безопасность ICQ

Сегодня поговорим о паролях. С одной стороны эта тема избитая и банальная, а с другой - по-прежнему многими игнорируемая.
name='more'>

Давайте попробуем понять - что такое пароль от Вашей "аськи" (далее без кавычек)? На самом деле, это то единственное, что с точки зрения сервиса ICQ отличает Вас от всех других жителей планеты. Ваш номер известен другим людям, выбранное имя пользователя тоже, даже адрес электронной почты скорее всего не является тайной, а вот пароль предполагается, что должны знать только Вы, и именно благодаря правильно введённому паролю сервис ICQ "узнаёт"  Вас и предоставляет доступ.

Посмотрим, что случится, если этот пароль станет известным кому-то другому. Назовём этого другого по сложившейся традиции злоумышленником.

Итак, у злоумышленника, узнавшего Ваш пароль, есть два варианта действий: сменить пароль и стать полноценным владельцем Вашего номера или, не меняя пароля, пользоваться Вашей аськой параллельно с Вами.

Первый случай называется угоном аськи, страдают от него в первую очередь владельцы красивых и коротких номеров. Понятно, что, например, владельцу номера 141219792130  (на самом деле такие длинные номера ещё не в ходу, но для примера подойдёт) опасаться угона особо нечего, если только для злоумышленника эти цифры не означают чего-то особенного (например, дату и время его рождения - 14 декабря 79 года в половину десятого), но такой вариант слишком маловероятен. А вот красивые номера - это уже более ценный товар. Во-первых, понравившийся номер злоумышленник может просто оставить себе на память о Вашей беспечности, позволившей ему узнать Ваш пароль, а во-вторых, такой номер можно выгодно продать. Кстати, если новый владелец будет достаточно наивен, то номер можно угнать и повторно.

Теперь перейдём ко второму варианту - использование злоумышленником аськи параллельно с пользователем. Получить доступ к переписке в этом случае не получится: аська всё же не электронный почтовый ящик и сообщения на сервере не сохраняет, да и одновременно два клиента для одного и того же номера запущены быть не могут и читать приходящие к Вам сообщения таким способом не получится. Поэтому  ревнивому мужу нужно либо стараться получить доступ к сохранённой истории переписки на жёстком диске компьютера, либо пытаться использовать методы социальной инженерии. Скажем, войти в аську от имени "подозреваемой" и написать мужской  части контактного листа что-то вроде "Солнышко, мне что-то очень одиноко... Опиши нашу последнюю встречу так, чтобы во мне проснулись все тёплые чувства и захотелось её повторить... А я посижу и почитаю...", конечно же, с сохранением стилистики автора. Затем, на посыпавшиеся недоумённые вопросы останется  лишь ответить "Сорри, ошиблась окном" и нагло прочитать ответы от того единственного (или, быть может, нескольких - как знать?), из-за которого всё и затевалось. Опять-таки стоит отметить, что вероятность такого развития событий тоже крайне мала, да и потом Вам может и вовсе нечего и неоткого скрывать. Чего же тогда опасаться в параллельном использовании Вашей аськи злоумышленником?

Пожалуй, единственная реальная ценность для рядового злоумышленника (а не Вашей ревнивой половины) - это Ваш контакт лист и возможность отправить им от Вашего имени ссылку на нужный сайт. Пройдя по этой ссылке Ваш друг может легко подцепить вирус, троян или шпиона, после чего его компьютер превратиться в послушного зомби, выполняющего удалённые команды злоумышленника. Мы ещё будем говорить о таких "зомбосетях", пока отмечу же, что рассылаемая друзьям от Вашего имени всякая "пакость" в наше время - это, по меньшей мере, некультурно, тем более, что защититься от кражи пароля от аськи не так и сложно.

Вот несколько простых правил:
  • выбирайте сложноугадываемый пароль
  • не используйте один и тот же пароль на все случаи жизни
  • не пользуйтесь функцией автосохранения пароля в ICQ-клиенте
  • позаботьтесь о защите доступа к Вашей электронной почте, которая служит для восстановления забытого пароля от ICQ
Здесь мы на несколько ночей оставим в стороне частный вопрос безопасности ICQ и поговорим немного о паролях вообще.

И первые лучи солнца озарили клавиатуру...
Alt text

Алексей Комаров

Всё, что я пишу в этом блоге, отражает только мою личную точку зрения и не имеет никакого отношения к точке зрения организации, в которой я работаю (работал) или с которой у меня существуют (существовали) официальные или неофициальные отношения.