Карл Шкафиц - Omert@. Руководство по компьютерной безопасности и защите информации для Больших Боссов

Кроме того, нажатия клавиш — это всё тексты (уже действительно как на ладони), набираемые тобой на компьютере.

Поэтому шпионские программы могут проделать серьёзнейшую брешь в обороне твоей конфиденциальной информации — это уязвимость, которую не следует недооценивать.

Как этому противостоять? Собственно, все способы уже перечислены: защита файрволом локальной сети (если Интернет ты получаешь через локальную сеть офиса), защита файрволом твоего компьютера, вовремя установленные критические обновления операционной системы, обязательное сканирование компьютера на присутствие троянов и шпионских программ, ну и не брать в рот всякую гадость — то есть аккуратно обращаться с электронной почтой, полученной бог знает от кого, и уж ни под каким видом не отвечать «Да» на всякие подозрительные вопросы из Интернета и не запускать выполняемые файлы, приложенные к письмам.

Да, в случае когда тебе нужно будет понаблюдать за своими сотрудниками, кейлоггеры могут сыграть неоценимую службу Именно они, и только они способны записывать почту, которую крысятничающий субъект хитроумно посылает через веб-браузер в обход корпоративного сервера. Программу можно настроить так, что она сама отправит твоим людям отчёт о бурной деятельности клавиатуры sorchetto, потенциального крысёныша.

В случае когда всё нужно сделать красиво, можно купить клавиатуру с интегрированным в неё кейлоrгером, тогда даже очень шустрый и продуманный topo de fognia быстро окажется в твоей мышеловке. Прогресс дошёл до такого уровня, что в магазинах Нью-Йорка можно выбрать клавиатуру с логгером любого нужного тебе производителя, которой можно в момент заменить мишень на столе субъекта, — хочешь Dell, хочешь Compaq, хочешь IBM. При её стоимости около одного Франклина, оригинальные потёртости воспроизведут за 50 дополнительных Вашинrтонов.

Уже практически любой солидный человек пользуется различным интернет-банкингом, работает с так называемыми электронными деньгами (электронными платежными системами) и оплачивает в онлайне (то есть через Интернет) различные товары и услуги. И так как речь в данном случае идет о деньгах, вопрос защиты и безопасности встаёт во весь свой электронный рост. Насколько я мог судить, у многих Больших Парней в этом вопросе наблюдается редкостная путаница. Одни из них вообще не пользуются электронными платежами, потому что опасаются хищения средств, другие наоборот — в восторге от открывающихся возможностей оплачивают кредиткой всё на свете, а потом удивляются, куда это вдруг деваются деньги со счёта... Давай всё-таки немного разберёмся с этим вопросом.

Итак, электронные платежи делятся на три основных вида:

1. Электронный банкинг

Это когда ты заводишь счёт в банке, поддерживающем онлайновую работу со счётом, и через Интернет производишь различные операции с этим счётом: смотришь статистику, получаешь выписки, делаешь различные стандартные и нестандартные операции.

2. Оплата пластиковой карточкой через Интернет

Многие товары и услуги можно оплатить прямо в онлайне — введя номер твой пластиковой карточки и expiration date (окончание её срока действия). С одной стороны, делать это очень страшно. С другой, многие пользователи не зря боятся вводить номер своей карточки в онлайне.

3. Использование электронных платёжных систем

Это специальный вид электронного банкинга, когда ты используешь не свой обычный банковский счёт и не пластиковую карту, а специальные электронные платёжные системы, которые намного более защищены по сравнению с обычными способами онлайновой оплаты.

Теперь разбираемся подробно.

Если на Западе электронный банкинг — вещь уже сама собой разумеющаяся, то в России подобный вид услyг развит пока очень слабо. Но, как и в случае с сусликом, которого не видно с первого взгляда, электронный банкинг в России всё-таки есть.

Во-первых, ряд крупных банков предоставляют по крайней мере онлайновое получение статистики. В этом случае вопрос безопасности стоит не очень остро, потому что если вдруг злоумышленник и получит несанкционированный доступ, то максимум, что он сможет сделать, — это посмотреть выписки по счетам, а похитить деньги у него не получится. Во-вторых, несколько крупных банков предоставляют полноценный онлайновый банкинг, то есть ты имеешь возможность проводить любые операции со своим счётом через Интернет. Вот здесь вопрос безопасности встает со всей неумолимостью, потому что если в этом случае злоумышленник получит возможность доступа к счёту то он просто похитит деньги и вернуть их будет крайне сложно или невозможно.

Как образом осуществляется безопасность в этом случае?

1. Стандартные логин и пароль, проверяемые при входе на сайт

Причем логином при этом может служить номер пластиковой карты (если она привязана к счёту). Понятно, что способ на редкость ненадёжный (чтобы похитить деньги, достаточно узнать эти данные — логин и пароль), но тем не менее он используется в некоторых банках. Если на твоём компьютере кто-то установил шпиона, то злоумышленник без особых проблем узнает эти данные для входа.

На вскрытие этого вида защиты направлен ещё один довольно распространенный вида мошенничества. Тебе приходит письмо якобы от твоего банка, в котором, например, просят подтвердить приход на твой счёт немаленькой суммы денег (предположим, $2,000). В письме написано, что если ты не сделаешь подтверждения, то сумма уйдет отправителю. В тексте письма есть ссылка, при нажатии которой ты попадаешь на обычную страницу ввода логина и пароля твоего банка. Разумеется, это поддельная страничка, но ты об этом не догадываешься, потому что и адрес, вроде, банка (есть способы сделать так, чтобы даже адрес в строке браузера был похож на настоящий), и выглядит всё так же, как и всегда Ты, если не задумаешься над тем, с какой это стати вдруг потребовалось подтверждать приход неких сумм, введешь логин и пароль, после чего получишь сообщение из серии: «Спасибо, сумма подтверждена». Логин и пароль при этом попадают к злоумышленникам, которые тут же пытаются залезть на твой счёт и перевести с него всё, что можно, на свои счета, причём деньги направляются через длинную цепочку подставных счетов, так что концов потом никаких не найдешь.

2. Логин и пароль плюс карточка уникальных ключей

Для получения информации о счете достаточно ввести просто логин и пароль. Однако для проведения любой операции необходимо также ввести уникальный код, который добывается путем стирания защитного слоя со специальной пластиковой карточки, которая выдается банком. Таких кодов на ней — штук сто, так что карточки хватает надолго. Идея защиты в том, что даже если злоумышленник каким-то образом похитит твои логин с паролем, то без этой (именно данной конкретной) карточки он ничего сделать не сможет.