Страницы

четверг, 22 декабря 2011 г.

Социальные сервисы и социальная инженерия – можно ли взломать аккаунт, не являясь профессиональным хакером?

Сегодня практически каждая социальная сеть или почтовый сервис имеют процедуру восстановления пароля. Она была разработана специально для забывчивых пользователей, утративших свои регистрационные данные. При ближайшем рассмотрении оказывается, что эта процедура может стать слабым местом в системе безопасности онлайн-сервисов.

Эксперты Positive Research провели исследование, в  котором проверили, насколько легко получить социальной инженерии, причем только с помощью социальной инженерии, без использования специальных знаний и технических инструментов. 

Объектами исследования стали самые популярные в России онлайн-сервисы и социальные сети:  «ВКонтакте», Facebook, Google, Почта Mail.Ru и Яндекс. 


В результате нескольких «социальных атак», направленных на сами сервисы (через процедуры восстановления паролей и виртуальное взаимодействие с сотрудниками службы поддержки), специалисты исследовательского центра получили доступ к учетным записям пользователей социальной сети «ВКонтакте» и почтовых сервисов Google и Mail.Ru. При этом для взлома аккаунтов «ВКонтакте» и Google экспертам было достаточно использовать только общедоступную информацию о человеке из интернета. В случае с  Mail.Ru доступ к аккаунту удалось получить только после того, как сам пользователь при виртуальном общении сообщил исследователям всю необходимую информацию.

Надежные механизмы защиты данных продемонстрировали Facebook и Яндекс. Причем система защиты, помешавшая специалистам Positive Research получить пароль к «Яндекс.Почте», может создать серьезные сложности как злоумышленникам, так и добросовестным, но забывчивым пользователям. Для восстановления пароля в Яндексе потребуется личное присутствие в офисе компании с паспортом. А возможности пользователя Facebook, забывшего пароль, в принципе ограничены. Если доступ к почте потерян, Facebook советует зарегистрироваться заново.

«Решая вопросы безопасности, интернет-сервисам приходится искать «золотую середину». Слишком мягкие правила и лояльность по отношению к пользователям приводят к тому, что аккаунты легко взламываются, а слишком жесткие правила могут оттолкнуть пользователей и создать им лишние неудобства», – комментирует Александр Навалихин, ведущий эксперт исследовательского центра Positive Research

Действия по восстановлению паролей касались реальных аккаунтов пользователей «ВКонтакте», Facebook, Google, Mail.Ru и Яндекса. Владельцев этих учетных записей предварительно проинформировали о целях исследования и получили от них согласие на совершение действий с их аккаунтами. После завершения проекта полученные реквизиты доступа были возвращены владельцам, никаких дополнительных действий с использованием этих данных не осуществлялось. Все интернет-ресурсы, с которыми работали эксперты, получили уведомления о найденных уязвимостях.

Исследовательский центр Positive Research продолжает анализировать безопасность социальных сетей и других популярных интернет-сервисов. Результаты последующих исследований будут раскрыты на международном форуме по практической безопасности Positive Hack Days 30-31 мая 2012 года в Москве.

Полное исследование можно посмотреть здесь.

Следите за новостями!




Комментариев нет:

Отправить комментарий