Безопасность в сети

Опубликовано автором andreev.pix

🏴 САЙТЫ (SSL/HTTPS/HTTP/COOKIES)

Используемые термины:
SSL — замОк для сайта.
Шифр SSL — ключ от замка. Пример шифра: буква «А» обезличивается, она теперь h64eb543. Чем сложнее шифр, тем буква А становится длиннее и запутаннее.
HTTPS:// — браузер подставляет это перед названием сайта в адресной строке, если сайт имеет сертификат SSL, иначе HTTP://.

Будьте внимательны, когда входите в аккаунт (личный кабинет) на сайт (любой), особенно, когда платите с банковской карты на незашифрованных сайтах (http://). Если сайт имеет сертификат SSL или в адресной строке написано https спереди названия сайта, то всё ок. Особенно касается случаев, когда сидите в бесплатных вай-фай спотах. (ВАЖНО!) Даже если вы находитесь в кафе, и там есть пароль, то вероятно, что мошенник тоже может его получить и слушать ваш трафик сети.

Прикол в расшифровке трафика. Хулиган коннектится (подключается) к вай-фай, на котором вы сидите и слушает трафик (на каких сайтах сидели, какой логин и пароль вводили и на каком сайте и тому подобное). Без SSL (https) трафик прослушать и прочитать легко. Логины и пароли видны, кто слушает трафик сети. А с SSL(#http’s) символы шифруются. Да, SSL сертификат не всегда бывает надёжным. Шифр подобрать можно. Тут уже зависит от совести хозяина сайта и от намерений, кто хочет узнать ваши данные.

— Если вы дома
Если вы дома, и у вай-фай стоит пароль — это не говорит о том, что вас не могут прослушать. Взломать точку реально, особенно, если стоит простой пароль, или у вас включён WPS режим у роутера.

А как быть с приложениями для телефона, спросите… Там же не видно хттпс или хттп, как передаются данные…зашифровано или нет. Тут сложнее. Только доверие к сервису. Всё.

🏴 КУКИ (Cookies — от англ. печенька)

Вкратце — это печенька, как ключ во дворец. Каждая кука особенна. Её создаёт грубо говоря тот сайт, на который заходите. Кука хранится на вашем устройстве. Она содержит информацию о вашем успешном входе (сессию) и прочие данные, которые нужны для работы сайта. Всё дело в сессии. Получив код сессии, можно спокойно войти с любого устройства и местоположения на сайт без ввода логина и пароля.
Чтобы кука не попала в чужие руки, вам достаточно не открывать сомнительные ссылки (рекламы, спам, ссылки из выдачи поисковика). Но есть более хитрый способ украсть куку. Это послать уведомление из приложения на телефон. Бдыыыщ. К примеру так и взламывают ВК аккаунты. Нажали на уведомление, действия не произошло… а кука уже улетела злоумышленнику. Упс.

🏴 КАРТИНКИ (Base64)

Здравствуйте, вот тут ещё интереснее. Любая картинка — это текст в кодировке Base64. Открываем в блокноте картинку, пишем туда скрипт, который заранее перекодиррвали в Base64. Сохраняем. Заливаем на сайт или кидаем другу. Вы как пользователь скачали, открыли и код выполнился. Никакой магии. Обычная дыра, которую обычно не видят антивирусы.
Возможно видели картинки, которые весят 100МБ и больше. Открываешь, а там пиксель 1х1. Это из этой серии.

🏴 ПРОГРАММЫ НА WINDOWS (СТИЛЛЕРЫ)

Стиллер (англ. stealer) — вор, злоумышленник. После инициализации, открывает порт (телепорт) или отправляет данные на свой е-маил. Данные, которые собираются с вашего компьютера. Это могут быть файлы, или доступ к периферийным устройствам компьютера. Клавиатура, веб-камера и прочее. С клавиатурой просто… вы печатаете сайт, переходите на него, входите с логином и паролем, и всё… Всё что печатали, это получил злоумышленник) Стиллеры иногда самоуничтожаются при следующей загрузки компьютера.

— Кряки, взломанные приложения
Вам с уверенностью на форуме или где ещё скажут — отключить антивирус. Ну типа взломанная программа… антивирус по-любому будет ругаться. Хочешь установить — вырубай антивирус. И как раз в такие программы вшиваются стиллеры. Зависит от ресурса от куда качаете. Злоумышленнику собирать установщик свой для этого не обязательно. Стиллер вшивается спокойно в оригинальный установщик программы. И даже не заметите разницу, что произошло. Установилась программа, работает, и всё… а в этот момент ваши данные либо собираются либо отправились на почту этому гавнюку.

— Word документы
Частый случай. Вшивают в документ незамысловатую логику скрипта (код самовыполняющийся). При открытии документа, скрипт выполняется и данные о вас утекли.

🏴 ПРИЛОЖЕНИЯ НА ТЕЛЕФОН

Любое скачанное приложение не из маркетплейса айфона или андройда, ответственность ложится на вас.

🏴 СООБЩЕНИЯ НА ТЕЛЕФОНЕ

Есть и такие кадры, точнее были. Приходит СМС не понятно от кого, открываете её, и скрипт сработал. А какой код сработал и что он сделал, остаётся в секрете. Это утечка данных, или управление устройством или ликвидация вообще системы. Благо, сейчас Android вроде как чуть улучшил безопасность своей системы. Но на Xiaomi там она доработаннее. Включая даже то, что доступ к файловой системе закрыт напрочь. Системные файлы не изменить. А если нужно снять ограничения, то это надо писать в Xiaomi с обоснованной просьбой, для чего вам это. С iOS не так однозначно. Там зависит от прошивки. Дыры бывают, но не часто. Потому, меньше риск остаться съеденым.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Не забудьте написать. Нам есть, что вам предложить, если чего не нашли или просто хотели бы с нами связаться.
x