Жеке маалымат коопсузбу?




акыркы бир нече жылда Интернет өсүшү жана Интернет-соода штанганын менен ким уурулук статистика, ошондой эле жаңы баскычтарында кайра тирилген деп эч нерсеси жок. Global интернет колдонуу дүйнө жүзү боюнча топтолгон 182-2000 күнүнө Nielsen / NetRatings айрым 2005% өстү. Жылдын гана 2005-жылдын декабрына чейинки, 685,000 керектөө алдамчылык жана жеке маалыматтарды уурдоо даттанууларды караганда Federal Соода Комиссиянын ТЭК боюнча арыздануу базасына кабарлашты. берилиштер базасына 1997 ачылды бери дээрлик 3 млн арыздар жерде катталган. Ошол 2005 арыздарды 37 статистикасы 680,000%-жылы жеке маалыматтарды уурдоо учурлары деп айткан. маанилүү маалыматтарды уурдоо даттанууларды Кээ бир кредиттик картасын (26%), анын ичинде, тел же коммуналдык алдамчылык (18%), банктын алдамчылык (17%), иш менен камсыз болуу алдамчылык (12%), мамлекеттик документтер / пайда алдамчылык (9%), (5%) боюнча жана кредит алдамчылык келатат.


так жеке маалыматты уурдоо Көрүнүп тургандай, бул жерде негизги маселе болуп саналат жана күн сайын начарлап баратат. Сиз интернет аркылуу иш кылып жаткан болсо ыктымалдыгы Сиз Интернет бузуку тузагына түшүп, жаман иштери жөнүндө ушул түрү курмандыгы болуп калышы мүмкүн деп жогорулатуу. Бул "кибер каракчылар" тарабынан колдонулган термин "Хакер" жана кээ бир ыкмаларын, биз бар болсо да, биз кээ бир бул кылмыш коргонуу үчүн эмне кылсак болот бул документте кийинчерээк талкууланат, бирок азыр талкууланат.

бир хакер деген эмне?



жалпы маалымат каражаттарынын сөз айкашы "хакер" өзүнүн курдаштары менен коомдук популярдуулукка ээ үчүн компьютер системалары менен зыяндуу иш-аракеттерди аткаруу чагылдырып адамга айтылат. Ушул Кодексте эрдик (ката) таап, өздөрүнүн кызыкчылыгы үчүн пайдалануу жолу менен, алардын иштеп жаткан системасынын көлөмдүү билим аркылуу уруксатсыз компьютер тутумдарына кирүү мүмкүнчүлүгүнө ээ болуп, кимдир-бирөө болушу мүмкүн. Балким, кимдир бирөө Дос (кызматынын баш тартышы) аркылуу компьютер системасын иштен ниеттенүүдө ресурстары системасына мыйзамдуу суроо-колдонуучулар үчүн мындан ары да жеткиликтүү болуп, мындай чабуул. Биз толугу менен бул документтин кийин кол салуу бул түрлөрүн карап чыгабыз.

Менен чындык "кибер каракчылар" жалпысынан жакшы балдар жана курулуш компьютер коопсуздук системалары окуу убактысынын абдан көп өткөргөн адам болот деп эсептелет. деген термин "курак" биз буга чейин талкууланган зыяндуу иштин түрлөрүн жүзөгө турган адамды мүнөздөө үчүн колдонуп, эмне болмок. Бирок, бул документтин калган биз түшүнүксүздүктөн алыс качуу чыныгы термин "Cracker" бир тете "өздөрүн" дагы белгилүү мөөнөт колдонот.

тарыхта белгилүү тармак Ителги кол бири Christmas күнү белгилүү өздөрүн Nadira-Metnick тарабынан Tustomu Shimomura компүтер тармагынын 1994 кол салуу болуп калды. тармак Nadira-Metnick тейлөө жана кирүү кол тартышы ар кандай түрлөрүн колдонуп Shimomura түзүлүшүнүн көзөмөлгө алыш үчүн алган. Бул чабуул ишке ашыруу үчүн зарыл болгон, сен тажрыйба, анткени, "структураланган чабуул" деп атаган жана эмне болду. сени бир эстеп үчүн "структураланган кол" дагы бир түрү февраль 7-11 2000 кол Мухаммед сыяктуу желе жыкты, Amazon жана башкалардын арасында кескин азайган CNN, ал тургай, бөлүнгөн тартышы пайдалануу боюнча бир нече сааттар бою толугу менен ажыратылууга тийиш эмес кызмат кол салуу.

кол салуу көп түрлөрү бонитети түрү болуп саналат. Көп учурда бул кол салуулар бул тармакка ичинде алар кылган кандай эч кандай түшүнүк бар адам тарабынан башташат. кол салуу бул түрү, ошондой эле, "Script-атуулдарыбыздын" менен да жол-жоболоштурулушу мүмкүн. A "Script-атуулдарыбыздын" эмне кылып жатышканын эч кандай реалдуу билимге аз кесиптик өздөрүн менен код мурда жасалган Ителги колдонулат жана ээ болгон адам болуп саналат. Бул атакалар куралдардын айрымдары максаттуу аскер дареги киргизүү жана бир баскычты бир түртүү, башка эч нерсени талап кылат. Бул коркунуч улам атакалар куралдардын басымдуу суммасында (Кол жазмалар) менен WinNUKE, Шайтан, NMAP жана Naptha сыяктуу желеден жүктөп алуу үчүн жеткиликтүү абдан реалдуу болот. Trinoo, TFN, TFN2K жана Stracheldraht (Feb 2K кол колдонулат) сыяктуу комплекстүү Ителги аспаптар да адилеттүү жонокой табылган, бирок натыйжалуу колдонуу үчүн дагы ар тараптуу билим талап болот. жөнөкөйлүк үчүн бул чабуулдарды бузуп түшүп үчүн биз эки негизги категориялар боюнча, аларды мүмкүн.


DoS кызматы жана мүмкүндүк кол баш тартуу.




DoS (кызматынын баш тартуу) кол салуулар: а DoS кол негизги максаты кызмат Ушундай системаны же өчүрүү жай системасы колдонуучуларга жеткиликтүү болуп сунуш кылат. кол салуу бул түрү көбүнчө системалардын ресурстарынын азайып же кадимки тартипте иштеп, аны токтотуп системасында белгилүү аялуулугун (ката) пайдаланып, улам пайда болот. Бул жөнөкөй мисал мыйзамдуу жол бир системага ушунчалык таштанды кыймылын жөнөтүп турган бир эле учурда өтө көп телефон чалуулардын байлап жаткан байланыш линияларын окшош иштетилген жок. ошол эле учурда, система боюнча кол салуулардан дагы татаал нускалары бир нече түзмөктөр DDoS же кызмат чабуулдарынан баш таратылды деп аталат ишке киргизүү.

Мүмкүндүк чабуул: кирүү кол негизги максаты уруксатсыз (корголгон) маалыматы сыяктуу система ресурстарына жетүү үчүн же жөн эле мыйзамсыз иш-аракеттерди жүзөгө ашыруу үчүн ички тармак системасына көзөмөлдү колго алууга да болот. An мүмкүндүк кол көп системасы жоруктарын жана мдъъ системасын далилдеш үчүн кээ бир түрүн чалгындоо менен жаратылыштын кызматынын кол, бирок, жалпысынан, кол салуулар бир баш тартуу алабыз. кирүү кол эске калыштуусу жетиштүү таралган коркунуч Коомдук Engineering болуп саналат. Коомдук Engineering адамдардын атайылап дүүлүктүрүү да кирет, анткени көзөмөлдөө үчүн кыйла натыйжалуу жана оор мүмкүндүк кол салуу болуп саналат. Коомдук инженерия мисалы жалган көркөм аркылуу кимдир бирөө менен жарактуу логинди жана паролду үйрөнүү менен системасынын камсыздоосун ээ бир хакер болмок. IE: суратып чындыгында андай эмес да, кимдир бирөө бир ишенсе болот, болот.

Жогоруда ыкмалардын кээ бирлери күч уруксатсыз маалыматтарга жетүү үчүн колдонулган жана, тилекке каршы, бул сеники болушу мүмкүн болот. Бактыга жараша, бирок, көпчүлүгү дагы бир көрүнүктүү компаниялардын негизги тармактар ​​менен бизнес үчүн көбүнчө физикалык техника коопсуздугу, мониторинг, үч эсе жана дайыма зарылдыгына аркылуу тууралуу айткам көпчүлүк коркунучтардан камсыз кылынат. Албетте системалардын бул түрүнө коркунуч ар дайым бар, бирок алардын түйүндөрүн коргоо үчүн бул компаниялар тарабынан сарпталган акча жана убакытты көп суммага канча аз ыктымал жана алардын кардардын маалымат. Бул бир аз көбүрөөк эркин сезиши үчүн, ал эми бир нече мүнөт, эмне системасы жөнүндө күтүшүбүз керекпи? Эми биз бир аз жакшыраак ойлонуп коргоо үчүн эмне кылсак болот, кээ бир нерселер жөнүндө сөз болот.

1: Сиз унутпашыбыз керек абдан маанилүү нерселерге, балким, бир сен алардын аныктыгын текшерүү үчүн жолдор менен кеткен, эгерде кимдир-бирөө сиздин жеке маалыматтарды эч качан болуп саналат. Бул электрондук почта жана башка жеке маалыматтарды ачылышына алып келиши мүмкүн кандайдыр бир аттарын жана сырсөздөрү кирет. Биз буга чейин айтылгандай коомдук Engineering уруксатсыз кирүү чабуулдардын негизги себеби болуп саналат. Көргөзүү, дарыядан өтүп, же кордо жеке маалыматты уурдоо абдан популярдуу түрү болуп саналат. Бул сиз окшош же бир нерсени "эсебинин маалыматын тактоо" жана аны уурдап үчүн киргизүү үчүн, бул берилиштерди сайтка шилтеме менен камсыз болушу керек деп айтып мыйзамдуу электрондук почта же тез кабар болуп эмне алууга мүмкүн болуп эсептелет. бул суроосунун чыныгы сайтка баштапкы кодун дал жатам, анткени силер да мыйзамдуу карап жиберет, бул мыйзамдуу булагы сайттан келген көрүнөт -га шилтеме берген учурда, мисалы, кашка жатат. Бул жолкусунда эмне үчүн жакшы нерсе чыныгы арыз келип турган кардарларды колдоо Номерге чакыруу болуп саналат. Көбү ири уюмдар баштапкы Катталгандан тышкары бул маалыматты эч качан талап кылат. Көпчүлүк компаниялар алардын сайтында мындай шумдук жок жөнөтүүгө мүмкүн болгон конкреттүү бир электрондук почта дарегин ээ болот. кол салуу бул түрү да чалуу аркылуу келе албайт, ошондуктан, бул учурда сиз чакырууну жана кардарларды колдоо бөлүмүнүн кырдаал жөнүндө сураш үчүн билдирүүсүндө саналып тел номери менен түздөн-түз байланышып, ажыратып, аппаратты өчүрүү керек деп ойлойм.

2: Эгер сиз электрондук почта аркылуу жөнөтүп кандай маалыматтын түрү сак болгула. Эгер маанилүү жөнөтүп, бирок эмне жиберем да маанилүү болуп саналат. демейки боюнча Email ачык текст менен жөнөтүлөт. кызмат көрсөтүүчү үчүн жол өтөөдө же кийлигишип мүмкүн Тажрыйбалуу хакер (киши-орто кол) жонокой стандарттык электрондук почта аркылуу жиберген эч нерсе окуй алат. Жок туура өзгөрүүлөр качан тапшырам http://www.entrust.com/ (санариптик къбёлъктёр) сыяктуу электрондук encrypting үчүн кээ бир ыкмалары жана PGP http://www.pgp.com/ (жакшы купуялуулук) колдонсо болот, бирок жакшы коюм Имейл аркылуу ар кандай жеке маалыматты жиберүүгө эч качан болуп саналат.

3: Эгер коопсуз деп билген бир коом менен иш кылып жаткан болушу керек. Адатта Wal-Mart же Gap сыяктуу ири компаниялар менен иш алып барууда кыйынчылыктар да жок, бирок сиз дагы, ошондой эле, алар, чогултуу жана аны менен эмне деген маалымат сиз жакшы түшүнүк бар, мисалы, алардын купуялык жана коопсуздук саясатын окуу керек алар бүтүмдөрдү камсыз кылуу үчүн колдонгон каражаты катары. Сайт даяр Бул маалыматка ээ болбосо, анда Мен алар менен бизнес жүргүзүү сунуш эмес. Көбү жеке менчик желе бүтүмдөр SSL же Secure Socket Layer эсе менен камсыз кылынат. Бул интернет бүтүмдөрдү encrypting үчүн баштапкы стандарт болуп саналат жана ал Интернет Engineering тактикалык тарабынан бекитилет. Сиз байланыш корголгон билген болсо, сиздин браузердин дарек жаатындагы карап HTTPS көрөт: // желе дареги алдында. Эскертүү: S сессиясынын SSL менен камсыз кылынат деп билдирет HTTPS-жылы.

4. күчтүү сырсөздөрдү колдонуу. Адатта сен, бери дегенде эле, 8 белгилерди пайдаланууга тамга жана сандардан турган аралашманы колдонуп, толук сөздөрдү колдонгон эмес, логин жана удаалаш сандарды колдонуп, жок, туура эмес жана кимдир болжоого мүмкүн болгон жеке маалыматты колдонуу үчүн эмес, аракет керек Сиздин туулган эле.

Бул жерде Sans сайтында күчтүү сырсөздөрдү жаратуу документке шилтеме болуп саналат: https://www.sans.org/rr/whitepapers/authentication/1636.php

Анын да сырсөздөрдү сактап же жергиликтүү системасына аларды кеш эч качан жакшы идея. Сиздин система кандайдыр бир жол менен бузулган болсо, анда сиздин каттоо сырсөздөр болуп саналат.

5. сизде зымсыз байланыш тармагын колдонуп жаткан болсо, аны камсыз кылат. Зымсыз тармактар ​​жонокой "согуш айдоочулары" же ал тургай, жакынын алыстан алып жыттоого болот. жонокой guessable болушу мүмкүн SSID сыяктуу ар кандай демейки тууралоолорун өзгөртүү. роутерди алыскы администраторго өчүрүү жана пароль жергиликтүү өзалдынча башкарууну коргоо. Use MAC дареги чыпкалоо гана роутерди үчүн ишенимдүү байланыштарды уруксат берүү. сиздин жеткиликтүү күчтүү сүйлөмү иштетүү. Мына, мен дагы жалпы Linksys зымсыз G Багыттоочу бири менен бир зымсыз тармагын камсыз кылуу боюнча мурда жазган макала бар.

6. тышкы дүйнөдөн келип чыккан жол тартып Сиздин коргоо үчүн жеке Firewall колдон. IE: Силерге бир сурамды алган эмес Traffic.

7. вирус программасын колдонуу жана аны бүгүнкү күнгө чейин сактап тургула. Сиздин вирус түшүнүктөр эски болсо, программалык камсыздоо, ал эми пайдасыз экенин унутпа. реалдуу убакытта (тиркемелерин ачпай жүктөп же алдын ала боюнча) электрондук почта аркылуу таба аласыз. дайыма демин таба аласыз. Анын да белгисиз булактардан келген эч качан ачык тиркемелер жакшы идея. түшүндүрүү үлгү программалык чейин болсо да жуктуруп калуу мүмкүнчүлүгү ар дайым бар, ошондуктан түзүлүшү мүмкүн алдында Virus программалык вирус дал үлгүлөрүнүн таянат болушу керек.

8. шпион салуу программалык камсыздоону колдонуу, аны бүгүнкү күнгө чейин сактап тургула. Сенин баш алып салуу аныктамасы эски болсо, программалык камсыздоо, ал эми пайдасыз экенин унутпа. дайыма демин таба аласыз. Spyware гана айрым учурларда тажатма эле эмес, коркунучтуу да болушу мүмкүн эмес.

Эгер жогоруда аталган жөнөкөй кадамдарды болсо, ким уурулук жана жеке алдамчылык каршы жакшыраак корголгон болот. Мен макаланы ээ болгон жана жолдо бир нерсени же эки үйрөндүм үмүттөнөм.
Бул жерде Sans сайтында күчтүү сырсөздөрдү жаратуу документке шилтеме болуп саналат: https://www.sans.org/rr/whitepapers/authentication/1636.php