Почему хакеры еще не украли ваши деньги

Почему хакеры еще не украли ваши деньги

Почему хакеры еще не украли ваши деньги  Единственное, что спасает нас от тотального разгула киберпреступности, это исключительно лень самих преступников. Для того, чтобы получить доступ к банковским приложениям, номерам счетов, кредитных карт и т.д., вовсе не надо писать километры сложного кода и заниматься брутфорсингом. Достаточно просто встать и взять то, что само идёт в руки.

Думаете, я шучу? Ничего подобного.

Некоторое время назад, когда я ещё работала в государственной конторе скромным инженером техподдержки, пользователь задала мне вопрос, адекватного ответа на который у меня не нашлось.

Она спросила меня, почему абсолютно у всех сотрудников пароль на вход в систему 12345.

В самом деле, если пароль одинаковый, может быть, имеет смысл вообще обойтись без него? Тогда я была скромным и исключительно вежливым человеком, у меня не поворачивался язык ответить так, как стоило бы.

Задай она мне этот вопрос сейчас, я бы сказала: «Уважаемая, необходимость пароля – это сугубо техническое требование для всех машин, находящихся в домене. Без пароля обойтись невозможно. А вот ставить вам разные пароли нам запретило руководство. Почему? Потому что сто человек государственных служащих оказались не способны запомнить свой уникальный пароль из шести-семи символов».

Пароли – это бич любой it-инфраструктуры. Какие бы драконовские методы вы не применяли, люди будут записывать собственные пароли на бумажках и прикреплять их на самых видных местах. К монитору, под клавиатуру, в собственный ежедневник на первой странице. Пароли будут храниться в электронном виде на рабочем столе, на общедоступном сетевом диске или где угодно, только не в собственной голове.

Я лично наблюдала работу бухгалтера довольно крупного московского банка, у которой в текстовом документе были собраны логины и пароли абсолютно всех работников бухгалтерии.

Люди передают пароли друг другу, а, если имеют возможность изменять их, заменяют на что-то вроде Маша1961 или Вася88. Рассказывать о безопасности, о сохранении информации бесполезно, в качестве сотрудника it-отдела можно только скрежетать зубами и упрашивать вышестоящее руководство «как-то повлиять».

Мне известны только два случая «дрессировки» пользователей с плохой памятью. В первом администратор выдавал каждому пользователю хороший пароль, состоящий из 7 цифр и букв в разном регистре. Если пользователь внезапно его забывал, то следующий пароль генерировался уже из 8 символов, и так до десяти.

После этого на стол начальства ложилась записка от администратора о служебном несоответствии сотрудника N занимаемой должности.

Во втором случае всё было ещё проще, пользователи получали пароли не от системного администратора, а от начальника службы безопасности компании. В комплекте с учетными данными шла суровая лекция на тему информационной безопасности. Повторения никто не хотел, и, как ни удивительно, ситуаций «забыл пароль, потому что он слишком сложный» там не было.

На сегодняшний день создано множество программ, которые должны обеспечивать сохранность информации. Но каким бы серьёзным не было программное обеспечение, всё упирается в человеческий фактор. Дабы не быть голословной, приведу несколько примеров из личного опыта. Наверняка многим, имеющим хоть какое-то представление о работе банковских систем, известны vpn-ключи Амикон. Стандартный пароль на этот ключ состоит из четырёх единиц, естественно, менять его необходимо при первой же установке. Это написано в инструкции, это повторяет техподдержка, это, наконец, логично и понятно любому адекватному человеку. За время своей работы в IT я перевидала немало людей, работающих с Амиконом, пароль не менял никто. То же самое касается ключей e-token и rutoken. То же самое – в системе дистанционного банковского обслуживания (ДБО BS-Client) и других.

И дело тут не в ленивых айтишниках, которые не обращают внимания на безопасность (хотя, конечно, и таких в природе хватает).

Дело в том, что айтишникам часто просто не дают менять пароли. Почему? Я только процитирую слова одной начальницы отдела: «Это слишком сложно, мои сотрудники не запомнят». Стоит ли говорить про пароль главного бухгалтера не самой маленькой компании, состоящий из трёх цифр? А про пароль «Maksim» от электронной подписи генерального директора?

Конечно, можно справедливо заметить, что некоторые программы требуют от пользователей выполнения слишком большого количества действий, связанных с безопасностью работы. В частности, для отправки платежных поручений через банк-клиент СБРФ требуются пароль на вход в сам банк-клиент, пароль на vpn до банка и пароль на электронно-цифровую подпись. Всё это мы умножаем на число юридических лиц и число банк-клиентову некоторых бухгалтеров их не один, не два и не пять), и сумма необходимых к запоминанию паролей становится внушительной. В связи с этим нет ничего удивительного в том, что бухгалтерия хранит все секретные записи в ярком ежедневнике с огромными закладками по каждому банку отдельно в верхнем ящике тумбочки рядом с рабочим компьютером.

Всё это понятно и не вызывает вопросов, но, с другой стороны, надо же понимать, что банковские приложения – это серьёзные системы, работа с которыми требует осторожности и осмотрительности. По долгу службы бухгалтер ежедневно взаимодействует с чужими деньгами и в случае утечки информации пострадать может множество людей. Стоит ли пенять в таком случае на высокие требования безопасности и неудобство работы?

Справедливости ради стоит сказать, что и сами создатели многочисленных банковских приложений порой ничуть не лучше конечных пользователей. Так, к примеру, совсем недавно мне пришлось столкнуться с проблемой, связанной с программой Контур-Экстерн, системой для составления и отсылки отчетов в пенсионный фонд, Росстат, налоговую и фонд социального страхования через интернет. Ситуация следующая: в течение довольно длительного времени бухгалтерия в полном составе готовит сложный отчет в этой программе. Затем отчет подписывается электронной подписью и отправляется по адресу. После этого всякий контроль за кропотливо составленным отчетом теряется: отчет либо верен и принимается, либо неверен и отбрасывается. Вернуть отчет для работы над ошибками невозможно. Разумно предположить, что неплохо бы сохранять отчет себе на жесткий диск перед отправкой. Более того, такая возможность существует. Но проблема заключается в том, что отчет сохраняется в формате, который может прочитать только сама программа отчетов, читать она его не хочет, так как отчет уже отослан, а конвертация превращает отчет просто в набор цифр.

Мне довелось вести занимательный разговор с техподдержкой этого чуда. Я узнала, что отчет действительно нельзя просмотреть, «потому что нельзя». Вопрос, «а зачем тогда вообще есть возможность его сохранить?» остался без ответа.

Между тем, если верить информации на сайте программы, она внедрена почти на миллионе предприятий по всей России.

В самом начале я не зря упомянула про банковские карты. Большинство людей почему-то свято уверено в том, что для того, чтобы перевести деньги с карты, необходимо иметь под рукой считывающий терминал и знать уникальный пин-код, состоящий из четырёх цифр. Однако это не так, для проведения подобной операции достаточно только знать номер кредитной карты (на передней стороне карты) и код CVC2 или CVV2 (на обратной стороне). То есть вся информация для проведения банковской операции имеется у нас на самой карте. И вот именно ксерокопии карт (с двух сторон) всех сотрудников компании мне довелось как-то наблюдать на столе у бухгалтера компании. Я не знаю, для чего была необходима эта операция, но факт заключался в том, что любой желающий мог зайти в кабинет, взять со стола стопку бумаг и воспользоваться ими по своему усмотрению. Подобное не происходило только потому, что злодеев в тот момент рядом не оказалось.

Многие думают, что в серьёзных финансовых (и других серьезных) компаниях всё происходит как-то иначе. Но нет, люди везде одинаковые.

Так, например, в одном из московских отделений крупного российского банка пароли от учетных записей сотрудников лежат просто на столе, причем записаны по принципу: «логин такой-то, пользователь такой-то».

В дорогой частной медицинской клинике в подмосковном городе В. установлен один и тот же пароль ко всем учетным записям МИС (Медицинская Информационная Система). А в ней, между тем, помимо экономических данных содержится вся информация о пациентах, их диагнозы, результаты анализов и обследований. На логичный вопрос системного администратора: «Почему здесь у всех пароль единичка?» был получен уникальный по своей незамутненности ответ: «А так было написано в примере в инструкции». Между тем, согласно ФЗ-152 и совместного Приказа ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20 от 13.02.2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных», информация о состоянии здоровья относится к наивысшей, первой категории.

Бухгалтер крошечного магазина, хранящая «пороли» (орфография сохранена) на рабочем столе в txt-файле, будет точно также поступать, устроившись на работу в солидный банк.

Девочки-менеджеры, где бы они ни работали, будут без вопросов передавать друг другу свои учетные данные, нимало не печалясь о том, что это противоречит политике информационной безопасности. Про именные сертификаты, хранящиеся на флешке вперемешку с музыкальными и видеофайлами, не хочется даже говорить. Бухгалтер прекрасно осведомлён о том, что в случае утери сертификата его не получится восстановить за один день, однако продолжает использовать рабочую флешку в личных целях. Увы, помочь тут может только самое серьёзное административное вмешательство, но до этого доходит только в случае уже произошедшего инцидента.

Впрочем, всё написанное выше относится не только к информационным технологиям. Множество людей считает, что с ними не случится ничего плохого, потому что «со мной такое не может случиться». Подобная точка зрения порождает фантастическую беспечность, результаты которой могут быть катастрофическими.

Лишняя безопасность никогда не помешает, береженого, как известно, и бог бережет. Для сохранения информации пользуйтесь самым надежным на сегодняшний день хранилищем – собственной головой.

http://www.gazeta.ru/techzone/2012/01/27_e_3976585.shtml

369
Комментарии (25)
  • 30 января 2012 в 16:32 • #
    Азат Гайткулов

    Спасибо, Эдуард! Благодаря Вашей статье вспомнил для чего я сел впервые за свой ПК :)

  • 30 января 2012 в 17:03 • #
    Эдуард Столбов

    Не за что, Азат :))).

  • 30 января 2012 в 16:33 • #
    Жанна Удовикова

    Неверное, хакерам, действительно, лень, если при таких системах хранения (головотяпстве) еще не всё украли. Но, тем не менее, где же взять, а, тем более, как запомнить такое количество паролей, когда каждый сайт требует при регистрации логин и пароль. Можно, конечно, избежать регистрации на сайтах, однако, на большинстве сайтов трудно просмотреть интересующую информацию без регистрации.

  • 30 января 2012 в 16:56 • #
    Александр Гранд

    Если хотите вообще забыть про все пароли и автоматически заполнять
    разнообразные формы, то скачайте программу RoboForm здесь:
    http://www.urldefender.com/link/roboform (1.64 Mb)

  • 30 января 2012 в 17:47 • #
    Сергей Поленок

    ЗНАКОВАЯ статья - народ беспечный, хакеры лентяи - как страшно жить :)

    А вы вдумайтесь в новую действительность, что ваши пароли никому НЕ НУЖНЫ. Пароли - это Ваша головная боль и служат они для авторизации и разграничения прав доступа, а не охраняют вас от мошенников-киберпреступников.

    Ведь как рассуждает народ по-старинке: вот сейчас злобный хакер снимет с моего электронного кошелька 3 рубля и обналичит в банке в джунглях Нигерии. Может и так, не спорю, но приведенные в статье факты говорят, что ситуация меняется: Интернет несет новую СОЦИАЛЬНУЮ РЕАЛЬНОСТЬ.

    Сначала анекдот: пошли крокодил Гена и Чебурашка комок (комиссионный магазин) грабить. Влез Чебурашка через форточку и говорит:
    - Дубленка - брать ? - Бери.
    - Телевизор - брать ? - Бери.
    - Кирзовые сапоги - брать? - Бери. - Но в них мусор. - Так вытряхни его. - Не могу, он меня за уши держит :)))

    Не так просто стало мошенничать в Сети, потому как информационное пространство становится гомеоморфным - обладает способностью откатать операцию назад и вычислить злоумышленника. Ведь сегодня все устройства - компьютеры, мобильные телефоны обладают уникальным номером, а Интернет-подключения - привязаны к месту жительства или к провайдеру, у которого ваши данные. Киберпреступник прежде всего должен обладать мощной системой динамического заметания следов, а уж потом заняться фишингом - рассылкой псевдописем с просьбой к вам внести свои личные данные и отправить ему, чтобы он любезно опустошил ваши счета. И даже этот канал сейчас перекроют - Сеть эволюционирует в сторону коллективной безопасности и спрятаться злоумышленнику будет все сложнее. И зарабатывать киберпреступнику становится настолько накладно, что легче пойти работать в Интернет-фирму - зарплата будет выше, если он будет помогать искать бреши в программном обеспечении, а не использовать свои знания для махинаций.

    Короче, в Сети становится все прозрачно, как в русской сказке - высоко сижу, далеко гляжу - не садись на пенек, не ешь пирожок...
    А секретные данные или компромат на кого-то сегодня уже не товар - все в Сети выложено. А бухгалтеров надо пожалеть - им некогда логины с паролями менять, когда фискальные коррупционеры законодательство каждый день меняют и все новые формы со штрафами придумывают...

  • 7 февраля 2012 в 18:15 • #
    Татьяна Маргевич

    Вот и наш программист также утверждает, как и вы. говорит, что кому очень надо, взломает любой пароль...

  • 30 января 2012 в 23:41 • #
    Юрий Beloyan

    Кроче КГбычно трудные трудности и одни сплошные потери потерь!
    Вот и верь после этого людя!
    Отдала я пароль при Луне!
    А ты грустно смотрел на дорогу
    В обветшалом своем зипуне!:)))
    Выпью с горя
    Где же кружка
    Сердце и освободится от холестерина!

  • 31 января 2012 в 16:20 • #
    Сергей Поленок

    Сколько можно повторять: Не ЧМО, а - МАЧО :)))

  • 3 февраля 2012 в 17:59 • #
    Михаил Новиков

    У нас в России ведь как? Полно специалистов поговорить, да и статья написана женщиной, а ник "Столбов". К коснись "Сделайте сайт, на котором люди смогут раплачиваться карточками, без проблем". И нет специалитов. Улетучились. На том, что очень мало, сайтов на которых можно платить пластиком, да так ни модератор- мечтатель и никто другой конф. информацией вам во вред не воспользуется в РФ целая отрасль держится. Тур-операторы называется. Держит страна бездельников, миллиарды они наживают, а на деле что проще? Купил билет, забронировал отель...
    Статья направлена на то, чтобы мы так и жили папуасами, боялись платить карточкой в Инете или как?

  • 3 февраля 2012 в 20:16 • #
    Эдуард Столбов

    А при чём здесь ник? Столбов, моя истинная фамилия. Батенька, Вам нужно быть внимательней. Во-первых, статья не моя. Я запостил её для всестороннего обсуждения. Ключевое слово - "ВСЕСТОРОННЕГО". Во-вторых, Михаил, отсутствие внимательности, это причина многих проблем. Прежде, чем формировать мнение, раз 10 прочтите текст. Это Вам нужно. Видимо так.

  • 3 февраля 2012 в 23:06 • #
    Михаил Новиков

    Думаете, я шучу? Ничего подобного.
    Некоторое время назад, когда я ещё работалА...
    Я лично наблюдалА работу бухгалтера....
    В самом начале я не зря упомянулА про банковские карты.... и т.д.

    ЕСЛИ ФАМИЛИЯ ПРАВИЛЬНАЯ, ТО ОРИЕНТАЦИЯ НЕ ПРАВИЛЬНАЯ, мягко говоря. 10 раз прочтите текст, прежде чем выдавать чужие мысли за свои, голубь мой, сизокрылый

  • 4 февраля 2012 в 14:57 • #
    Эдуард Столбов

    Михаил, Вы какой-то неадекватный. Да к тому же ещё и невнимательный. Ваши обвинения в мой адрес пусты. По каким признакам видно, что я выдаю чужие мысли за свои? Если Вы посмотрите внимательно, то увидите чуть ниже статьи ссылку на первоисточник и, соответственно на автора статьи. Так что Ваши нападки на меня совершенно "ни о чём". А посему, не вижу смысла вести этот пустой диалог. Ваши претензии ко мне, мне совершенно не понятны.

  • 4 февраля 2012 в 19:12 • #
    Михаил Новиков

    Если вам непонятно, то это может свидетельствовать либо о вашем идиотизме либо хамстве. Либо о том и другом вместе. Вам предложили диалог по существу проблемы. В ответ услышал советы идиота, что мне надлежит делать, что и как чтьать. Детей своих воспитывай, если они у тебя есть, мразь.

  • 4 февраля 2012 в 19:35 • #
    Эдуард Столбов

    Михаил, я никакой проблемы не вижу. Это Вы где-то углядели её, только непонятно где. А про хамство, уж кто бы говорил... И Вам всех благ, Михаил! :)

  • 11 февраля 2012 в 17:48 • #
    Александр Галаничев

    Эдуард, привет.

    Все просто на самом деле.
    Пишите под статьей:

    ТЕКСТ: ВИКТОРИЯ РУДНИК
    ФОТО: THINKSTOCK/FOTOBANK.RU

    ИСТОЧНИК HTTP://WWW.GAZETA.RU/TECHZONE/2012/01/27_E_3976585.SHTML

    инет вопросов.

    С уважением.

  • 11 февраля 2012 в 18:41 • #
    Эдуард Столбов

    Привет, Александр!
    Я так понимаю, что это вариант для прапорщиков? :)
    К счастью, прапорщиков единицы. Нормальных людей всё-таки больше.
    Если отсутствует связь между мозгом и глазами, то это проблема либо человека, либо специалиста медицинского направления. Мы все, люди взрослые и, надеюсь, адекватные. Если у кого-то проблемы с восприятием, то я искренне со-переживаю.

    С уважением

  • 12 февраля 2012 в 19:05 • #
    Александр Галаничев

    Почему для прапорщиков? :)
    Вполне цивилизованный и уважительный для автора вариант.
    Люди писали, фотографировали, Вы их упомянули. Неважно с критикой или благодарностью...
    Вам все равно копирнуть еще две-три строчки или нет, а людям приятно.

    И давайте вместе со-переживать откровенно неадекватным или откровенно больным людям.
    Таких я здесь как-то не встречал. Не повезло, наверное :)))

  • 12 февраля 2012 в 20:26 • #
    Эдуард Столбов

    Скорее повезло :).

  • 8 февраля 2012 в 18:57 • #
    Viktor Sarjuk

    Мишу Новикова, я бы прямо в офисе на его рабочем месте прибил бы молотком в навоз! Представте, это ведь такой клиент которого описывают в статье. Оно даже не видит ссылки на статью. Эдуард огромное спасибо за статью! Мои наблюдения идут дальше. Запомнить пароль и логин это еще цветочки. Нужно иметь 90IQ. А вот некоторые граждане не могут простой печатный текст усвоить с первого раза. Им преходится перечитывать его по нескольку раз. Вот в этом то собака и зарыта. Мозги работают только у 20% населения. И это еще оптимистическая статистика. Остальные это говорящие тела. Одни инстинкты! Вот их и берут в Банки, Фонды,Учреждения , Компании. А почему берут? Да потому ,что они стоят дешевле чем высокотехнологическая техника. И к тому же их еще можно иметь в рабочий перерыв. Две выгоды на лицо. Все по замкнутому кругу.

  • 8 февраля 2012 в 19:04 • #
    Эдуард Столбов

    Да, Виктор, согласен. Иногда приходится заниматься подбором персонала. Люди с высшим образованием, а ощущение, что только вчера закончили 8 класс. К сожалению, это не исключение. А с помощью Фурсенко, это будет правилом.

  • 8 февраля 2012 в 19:13 • #
    Viktor Sarjuk

    Вам лучше Фурсенко застрелить как Ленина, а то очень скоро России-Матушке прийдет гаплык.
    "ГОВОРЯЩИЕ ГОЛОВЫ" только думают что у них высшее образование. Ведь многие дамы и господа в вуз наведывались толко на сессию. А в школе они учились только до 5 класса, пока курить не начали. Дальше по нисходящей, пить, иметь, тупеть и сумасходить. И вот они работают в Банке. А там работу может делать, всю, 5 чел с помощью автоматизированной системы. Все остальные нужны, что бы вводить данные вручную, кофе приносить и развлекать, когда боссу угодно. А мозги для этого не нужны, вообще!

  • 8 февраля 2012 в 19:24 • #
    Viktor Sarjuk

    А еще одно интересное наблюдение. Многие гражданЕ, когда покупают новую технику, через полчаса глядения на нее говрят, что не могут понять как она работает. Когда им говорят : инстукцию посмотри. Они делают такие глаза , как будто им сказали : в школу сходи. Это то же из этой оперы. Это проблема. Ведь между глазами и мозгом связь отсутствует! Коннекта нет! Совсем.

  • 8 февраля 2012 в 19:36 • #
    Эдуард Столбов

    :))))))))

  • 14 февраля 2012 в 12:01 • #
    Александр Гранд

    Хакеры... Нехакеры... Все воруют!
    А ведь:
    "Девяносто пять процентов людей на земле -
    инертная масса. Один процент составляют
    святые и еще один - непроходимые кретины.
    Остается три процента - те, кто могут
    чего-то добиться... и добиваются".
    Стивен Кинг "Мертвая зона"

    Не попадают хакеры в 3 кинговых процента!!!

    А деньги прямо под ногами лежат.
    Наклонись и подними!!!


Выберите из списка
2019
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
май(1), июль(1)