Узнав, что на вашем PC работает какой-либо сервер, злоумышленник (или вирус) может послать ему некорректный запрос. К примеру, у веб-сервера можно запросить страничку с очень длинным (из нескольких тысяч символов) именем. Некоторые серверы, получив такой запрос, окажутся не в состоянии его обработать, а в результате машинные инструкции, спрятанные в запросе, будут переданы на выполнение процессору вашего компьютера. Вот так, через уязвимость в сервере будет взломана очередная – теперь уже ваша! – персоналка.
Правильная настройка серверов и латание в них «дыр» – удел высококвалифицированных специалистов (системных администраторов) и главный источник головной боли для них. Трезво оцените свои способности, подумайте, нужны ли вам проблемы и примите единственно правильное решение.
Каждый день в доступных на массовом рынке программных продуктах обнаруживается в среднем полтора десятка новых уязвимостей. Часть таких открытий публикуется и становится достоянием общественности, немедленно попадая в эксплоит-базы (PacketStorm, Metasploit и др.), а часть продается на черном рынке и некоторое время остается доступной только узкому кругу профессионалов. Цена на хорошую «дыру» может достигать нескольких тысяч долларов.
Вы навряд ли вспомните, как долго в детстве вас учили не тянуть в рот что попало. Но приучив соблюдать чистоту за обеденным столом, наши родители просто не могли сделать то же самое по отношению к столу компьютерному. Между тем соблюдение «гигиены» и здесь позволит избежать очень многих проблем.
Воспринимайте с толикой недоверия все, что попадает на ваш компьютер из внешнего мира. Речь идет о безопасности ваших данных и сохранности вашего кошелька, поэтому не стесняйтесь быть немножко параноиком. Новомодная утилита, принесенная из института на флэшке, может быть инфицирована вирусом. DOC-файл в электронном письме от друга может оказаться замаскированным EXE-приложением (и, кстати, не пора ли сменить почтовую программу, которая позволяет себе такие фокусы?). Симпатичная аркада с FTP-сервера локальной сети или из пиринговой сетки вроде Kazaa/Gnutella – ну, вы сами понимаете… Относитесь с толикой сомнения к любым советам скачать что-либо, даже если они исходят от знакомых (вирусы и мошенники часто подменяют обратные адреса), и даже документы от друзей подвергайте проверке антивирусом. Друг может доставить вам неудобства, сам того не желая.
Наконец, с особым недоверием относитесь к бесплатному сыру всех сортов. Если что-то стоит денег, а вам достается бесплатно, будьте готовы к сюрпризам – и чаще неприятным.
Произнесите слово «хакер» – и фантазия обывателя нарисует мрачного героя, который мыслит шестнадцатеричными кодами и может силой мысли заставить зависнуть компьютеры в радиусе километра. Увы, все это выдумки киношников. На самом деле в подавляющем большинстве случаев работа взломщика есть рутинный перебор давно известных вариантов. Для чего, естественно, пользуют особые программные инструменты, удобные и несложные в изучении. Такие, к примеру, как WHAX/Backtrack – швейцарский нож компьютерных секьюрити: на одном CD собраны огромные базы данных, описывающие уязвимость в различных программах, средства их поиска и эксплуатации. Что касается компьютерных вирусов, то они действуют еще менее искусно, «зная» лишь несколько «дыр» и атакуя в лоб.
Сложность современных программ так велика, что брешью в защите компьютера может стать и MP3-плеер, и интернет-пейджер, не говоря уже об офисных пакетах и самой операционной системе. Вы можете подхватить заразу, попытавшись открыть документ Word, воспроизведя WMA-композицию или приняв сообщение через ICQ. Каждый день в популярных программах обнаруживаются новые ошибки. Но как только «дыра» найдена, разработчики стараются ее залатать. Отсюда автоматически следует еще один способ защиты от вторжения – более свежее программное обеспечение. Обновляйтесь! Инсталлируйте новые версии всех программ, которыми вы пользуетесь, а когда новых версий нет – устанавливайте заплатки (патчи). В последнем случае, возможно, придется попотеть – нередко установка патчей приводит к неожиданным эффектам и программа отказывается работать или работает не так, как нужно. Но игра стоит свеч.
Прямой (путем перебора ключей) взлом сообщения, зашифрованного с помощью PGP/GPG, даже с привлечением мощнейшего суперкомпьютера потребует времени, многократно превышающего время жизни Вселенной.
В Екатеринбурге вот уже несколько месяцев не утихает скандал вокруг одного из провайдеров кабельного Интернета. А случилось вот что: некая женщина провела себе выделенную линию и какое-то время ею не пользовалась. А когда наконец Интернет понадобился, оказалось, что кто-то уже поработал через ее аккаунт на несколько тысяч рублей. В ходе последующих разбирательств выяснилось, что если бы жертва защитила свое подключение паролем, то злоумышленник не смог бы осуществить злодейство. Но клиентка паролем пренебрегла.
Между тем на носу – эпоха Веб 2.0. Переводя на русский, Интернет превращается из коллекции веб-страничек в бесконечную вселенную интерактивных веб-сервисов. Почта, пейджеры, альбомы и многое-многое другое – и везде требуется свой пароль. Наверняка у многих из вас почтовые ящики уже хранятся на серверах Google или Mail.ru, а что будет завтра, когда появится веб-офис? Пренебрегать паролями сегодня – все равно что оставлять незапертой дверь в собственную квартиру, поэтому помните три основных правила: пароль должен быть достаточной длины, не обладать смысловым наполнением и регулярно обновляться!
Кроме того, будьте уверены – ваши пароли нет необходимости знать кому-либо кроме вас. Для разработчиков это правило очевидно, если же вы простой пользователь – примите его как закон природы. Если кто-то просит вас раскрыть пароль, насторожитесь! Правильные системы строятся так, что нужды в раскрытии паролей пользователей не возникает никогда. В противном случае задумайтесь о том, чтобы сменить программу или сервис на разработку конкурентов – сменить сейчас, пока ваши данные еще не скомпрометированы.