Şəxsi məlumatınız təhlükəsizdirmi?




Son bir neçə il ərzində internetin böyüməsi və internet alış-verişi bumu ilə şəxsiyyət oğurluğu statistikası yeni səviyyələrə yüksəldi. Qlobal internet istifadəçiləri, 182-2000-dən 2005% -lə dünya miqyasında yığılmış Nielsen / NetRatings-də artmışdır. 2005-un yanvar və dekabr ayları arasında yalnız 685,000 istehlakçı fırıldaqçılığı və şəxsiyyət oğurluğu şikayətləri Federal Ticarət Komissiyasının Sentinel Şikayət Veritabanına bildirildi. Verilənlər bazası 1997-də başladıldığı üçün orada təxminən 3 milyon şikayət var. 2005 statistika 37% -dən 680,000 şikayətlərinin kimlik oğurluq halları olduğu bildirildi. Daha çox əhəmiyyətli şəxsiyyət oğurluğu şikayətləri arasında kredit kartı fırıldaqçılıq (26%), telefon və ya kommunal sahtecilik (18%), bank fırıldaqçılıq (17%), məşğulluq fırıldaqçılıq (12%), hökumət sənədləri / faydaları fırıldaqçılıq (9%), (5%) daxil olan kredit böhranı.


Şəxsi məlumatların oğurlandığını açıq şəkildə görə bildiyiniz kimi böyük bir problemdir və hər gün pisləşir. İnternet üzərində iş görürsəniz, bir avtomat yırtıcıya qurban düşə və bu cür zərərli hərəkətlərin qurbanı olma ehtimalı artır. Ancaq bu sənədlərdən sonra müzakirə edəcəyimiz bu cinayətlərdən özünüzü qorumaq üçün edə biləcəyiniz bəzi şeylər var, amma bu an üçün "hacker" termini və bu "xakerlər" tərəfindən istifadə edilən bəzi üsulları müzakirə edəcəyik.

Hacker nədir?



Ümumi mətbuatda "hacker" termini onun kompetirləri ilə ictimaiyyətin populyarlığını qazanmaq üçün kompüter sistemləri ilə zərərli hərəkətlər həyata keçirmək üçün inkişaf edən bir şəxsi təsvir edir. Kodda istismar (böcəklər) tapmaq və onların üstünlüyündən istifadə etməklə onların əməliyyat sistemlərinin geniş məlumatları vasitəsilə icazəsiz kompüter sistemlərinə giriş əldə edən kimsə ola bilər. Bəlkə bir adam, DoS (Service of Denial of Service) hücumları vasitəsi ilə sistemlərin sistemlərə qanuni istəkləri olan istifadəçilər üçün artıq mövcud olmadığı üçün kompüter sistemlərini aradan qaldırmaq niyyətindədir. Daha sonra bu sənədlərdə daha sonra bu tip hücumları müzakirə edəcəyik.

Əslində "hackerlar" ümumiyyətlə yaxşı uşaqlar hesab olunur və kompüter təhlükəsizliyi sistemlərinin yaradılması və qurulması üçün çox vaxt sərf etmiş bir adam olardı. "Kraker" termini daha əvvəl müzakirə etdiyimiz zərərli fəaliyyət növlərini yerinə yetirəcək bir insanı təsvir etmək üçün istifadə edəcəyiniz şey olardı. Lakin, bu sənədin qalan hissəsində qarışıqlıqdan qaçınmaq üçün real vaxt "kraker" in ekvivalenti kimi daha geniş tanınmış "hacker" termini istifadə edəcəyik.

Tarixi ən məşhur şəbəkə hücumlarından biri, Milad günü məşhur məşhur hacker Kevin Metnick tərəfindən Tustomu Shimomura kompüter şəbəkəsinin 1994 hücumu idi. Kevin Metnick, Şimomura sisteminin nəzarətini əldə edə bilmək üçün müxtəlif növ Xidmətdən imtina və şəbəkə çıxış hücumlarını istifadə edərək istifadə etdi. Bu hücumu yerinə yetirmək üçün lazım olan təcrübədən ötəri "strukturlaşdırılmış hücum" deyəcəyiniz şey idi. Bəziləri xatırlaya biləcəyiniz digər bir "strukturlaşdırılmış hücum" xarakteristikası EBay, Amazon və CNN kimi digər ağır çəkilər kimi başqaları arasında olduqca yavaşladı və hətta Distributed Denial Xidmət hücumları.

Daha çox yayılmış hücum növləri qeyri-strukturlaşdırılmış xarakter daşıyır. Tez-tez bu hücumlar şəbəkə içərisindən hətta nə etdiklərini bilməyən bir şəxs tərəfindən başlanır. Bu tip hücumlar da "Script-Kiddy" tərəfindən icra edilə bilər. A "Script-Kiddy" peşəkar hacker tərəfindən kodlanmış əvvəlcədən hazırlanmış kodları istifadə edən və onların etdiyinə dair heç bir məlumatı olmayan bir şəxsdir. Bu hacking vasitələrinin bəziləri hədəf ev sahibinin ünvanından və bir düyməni basdıqdan daha çox tələb edir. Bu təhdid WinNUKE, SATAN, NMAP və Naptha kimi vebdə yükləmək üçün hazır olan hacking tools (skriptlər) geniş miqdarda görə çox realdır. Trinoo, TFN, TFN2K və Stracheldraht (Fevral 2K hücumlarında istifadə edilən) kimi daha mürəkkəb hackinq vasitələri də olduqca asanlıqla tapıla bilər, lakin səmərəli istifadə etmək üçün daha dərin məlumat tələb edir. Bu hücumları sadə şəkildə pozmaq üçün onları iki əsas kateqoriyaya yerləşdirə bilərik.


Xidmət və Etiraz hücumlarından imtina etməyin.




DoS (Xidmətdən imtina) hücumları: DoS hücumunun əsas məqsədi sistemin təklif etdiyi xidmətlərin istifadəçiləri üçün əlçatmaz olmasına imkan verən bir sistemi yavaşlatır və ya söndürür. Bu tip hücumlar ümumiyyətlə sistem resurslarının tükənməsi və ya sistemdə normal bir şəkildə fəaliyyət göstərməməsi üçün dayanan bilinən zəifliyin (bug) istismarına səbəb olur. Bunun sadə bir nümunəsi bir çox telefon zənglərindən bir anda telefon hatlarına bənzər bir şəkildə işlənə bilməyəcəyi bir sistemə çox zibil trafik göndərmək olardı. Bu hücumların daha mürəkkəb versiyaları DDoS və ya Distributed Denial of Service hücumları kimi tanınır və bir çox qurğular eyni zamanda sistemə hücumu başladır.

Access hücumları: Giriş hücumunun əsas məqsədi, məlumatlar kimi icazəsiz (qorunan) sistem resurslarına daxil olmaq və ya qeyri-qanuni fəaliyyət göstərmək üçün daxili şəbəkə sisteminin nəzarətindən istifadə etməkdir. Bir giriş hücumu tez-tez Xidmətdən imtina etmə xarakterinə, lakin sistemin istismar və istismar sistemlərinə məruz qalmaq üçün ümumiyyətlə bu təbiətin hücumlarını bir növ kəşf ilə izləyə bilər. Access hücumunu nəzərdən keçirərkən şübhəsiz ki, ən ümumi təhlükə Sosial Mühəndislikdir. Sosial Mühəndislik insanlara qarşı manipulyasiya ilə əlaqəli olduğu üçün ən effektiv və ən çətin giriş hücumudur. Sosial Mühəndisliyə nümunə bir aldatma sənəti vasitəsi ilə kimsədən etibarlı bir istifadəçi adı və şifrə öyrənməklə bir sistemə giriş əldə edən bir hacker olacaq. IE: Əslində olmadıqlarına baxmayaraq, birinə güvənəcək kimsə olmağı iddia edirlər.

Əvvəl müzakirə edilmiş üsullardan bəziləri icazəsiz məlumatlara möhkəm şəkildə daxil olmaq üçün istifadə edilə bilər və təəssüf ki, bu sizin ola bilər. Xoşbəxtlikdən, bizneslə məşğul ola biləcək daha görkəmli şirkətlərin ən böyük şəbəkələri ümumiyyətlə fiziki avadanlıq təhlükəsizliyi, monitorinqi, məlumatların şifrələməsi və daimi yenilənmə vasitəsi ilə danışdığımız ən təhlükələrdən qorunur. Aydındır ki, bu cür sistemlərə qarşı təhdid həmişə mövcuddur, lakin onların şəbəkələrini və müştərilərinin məlumatlarını qorumaq üçün bu şirkətlərin sərf etdiyi böyük məbləğ və vaxt sayəsində mümkündür. Bu bir az daha rahat hiss etməli, ancaq bir dəqiqə gözləyin, sisteminiz nədir? İndi özünüzü bir az daha yaxşı müdafiə etmək üçün edə biləcəyiniz bəzi şeylər haqqında danışacağıq.

1: Yəqin ki, yadda saxlamaq lazım olan ən vacib şeylərdən biri, öz şəxsiyyətini yoxlamaq üçün vasitələrdən keçməmişdən əvvəl şəxsi məlumatlarınızı kimsə verməyəcəkdir. Bu, e-poçtunuzu və digər şəxsi məlumatların aşkarlanmasına səbəb ola biləcək hər hansı bir istifadəçi adı və parol daxildir. Daha əvvəl müzakirə etdiyimiz kimi, Sosial Müdafiə icazəsiz giriş hücumlarının başlıca səbəbidir. Phishing, bantlama və ya tarama xüsusi məlumat oğurluqlarının çox məşhur bir formasıdır. Bu, "haqq-hesab bilgilerinizi güncəlləşdirməlisiniz" və ya oxşar şeylər tələb etdiyini iddia edərək qanuni bir e-poçt və ya ani mesaj kimi görünən və onu oğurlamaq üçün bu məlumatları daxil etmək üçün bir siteye bir keçid verən şeydir. Bağlantı tez-tez maskelidir ki, bu qanuni mənbədən gəldiyi və saytın kodunu qanuni göründüyü üçün göndərdiyi saytdan gəlir, çünki onlar sözügedən faktiki sayta mənbə kodunu uyğunlaşdırdılar. Bu vəziyyətdə ediləcək ən yaxşı şey, gerçək bəyanınıza gələcək müştəri dəstək nömrəsini çağırır. Ən böyük təşkilatlar bu məlumatı ilk qeydiyyatdan kənarda heç vaxt xahiş etməyəcəklər. Çox şirkətin öz veb saytında mövcud olan aldatmacaları qabaqlaya biləcəyiniz xüsusi bir e-poçt ünvanı olacaq. Bu cür hücum bir telefon zəngi ilə də ola bilər, buna görə də bu vəziyyətdə mən zəngdən çıxmağı və müştəri dəstək şöbəsi ilə əlaqəli bir vəziyyətdən məlumat almaq üçün bir nömrəli telefon nömrəsi ilə əlaqə saxlayın.

2: E-poçt vasitəsilə göndərdiyiniz növün hansı növünə diqqət yetirin. Göndərdiyiniz yer vacibdir, amma göndərdiyiniz şey də vacibdir. Varsayılan e-poçt aydın mətlə ilə göndərilir. Bir xidmət təminatçısına (insan içində hücum) tıxanan və ya trafikə qaçan təcrübəli bir hacker, standart e-poçt arasında göndərilən hər şeyi asanlıqla oxuya bilər. Entrust http://www.entrust.com/ (rəqəmsal sertifikatlar) və PGP http://www.pgp.com/ (olduqca yaxşı gizlilik) kimi düzgün şəkildə konfiqurasiya edildikdə, lakin ən yaxşı şəkildə istifadə edilə bilən e-poçt şifrələmək üçün bəzi üsullar var heç bir şəxsi məlumatı e-poçt vasitəsilə göndərməyinizdir.

3: Təhlükəsiz olmağı bildiyiniz bir şirkətlə iş etdiyinizə əmin olun. Ümumiyyətlə, Wal-Mart və ya Gap kimi böyük şirkətlərlə işləyərkən problem olmayacaq, ancaq siz hələ də gizlilik və təhlükəsizlik siyasətlərini oxumalıyıq, beləliklə siz topladıqları məlumatları və bununla nə əlaqəsi olduğunu yaxşı bilirsiniz. onların əməliyyatları təmin etmək üçün istifadə etdikləri vasitədir. Bir saytın bu məlumatı asanlıqla mövcud deyilsə, onda onlarla iş aparmağı məsləhət görmürəm. Şəxsi internet əməliyyatlarının çoxu SSL və ya Secure Socket Layer şifrələmə ilə təmin edilir. Bu veb əməliyyatları şifrələmək üçün əsas standartdır və Internet Engineering Task Force tərəfindən təsdiq edilir. Brauzerinizin ünvan sahəsinə baxdığınız və veb ünvanının qarşısında https: // baxdığınız halda bağlantınız təmin olunduğunu biləcəksiniz. Qeyd: Sessiyanın SSL ilə təmin edilmiş olduğunu bildirən https.

4. Güclü parollardan istifadə edin. Tipik olaraq ən az 8 simvol istifadə etmək, məktublar və nömrələr birləşdirmək, tam sözləri istifadə etməyin, ardıcıl nömrələrdən istifadə etməyin, istifadəçi adınızı istifadə etməyin və kimsə tərəfindən tahmin ediləcək hər hansı bir şəxsi məlumatı Doğum gününüz kimi.

SANS saytında güclü şifrələrin yaranmasına dair sənədin bir linkidir: https://www.sans.org/rr/whitepapers/authentication/1636.php

Şifrələri saxlamaq və ya onları yerli sisteminizdə saxlamağı yaxşı bir fikirdir. Sisteminiz bir şəkildə təhlükəyə məruz qaldıqda, hesabınızın parolası belədir.

5. Simsiz şəbəkə istifadə edirsinizsə, onu təhlükəsiz edin. Simsiz şəbəkələrin asanlıqla "müharibə sürücüləri" və ya hətta qonşularınız tərəfindən asanlıqla kokusuz ola bilər. Kolayca tahmin edilebilecek SSID kimi hər hansı bir varsayılan ayarları değiştirin. Ruter və parol administratoru yerli administrasiyanı qorumaq üçün aradan qaldırın. Router'inizə etibarlı əlaqələrinizə icazə vermək üçün MAC ünvanı filtrelemesini istifadə edin. Yönlendiricinizdə mövcud olan ən güclü şifrelemeyi etkinleştirin. Daha əvvəl yayılmış Linksys simsiz G yönlendiricilerindən birini istifadə edərkən simsiz şəbəkə təmin etmək haqqında yazdığım bir məqalə.

6. Kompüterinizi xarici dünyadan gələn trafikdən qorumaq üçün şəxsi bir firewall istifadə edin. IE: Sizə gəlmək üçün bir müraciət etmədiyiniz trafik.

7. Virus proqramını istifadə edin və bu günə qədər saxlayın. Unutmayın, virus tərifləriniz köhnəsə, proqram hər şeyin faydasızdır. E-poçtunuzu real vaxt rejimində tara (yüklədikdən və ya faylları açmadan əvvəl). Sürücünüzü mütəmadi olaraq tarayın. Həm də bilinməyən mənbələrdən heç bir əlavəni açmamaq yaxşı bir fikirdir. Virus proqramı yenilənmiş bir model hazırlanmadan əvvəl bir virusun mövcud olması üçün uyğun nümunələrə əsaslanır, belə ki proqramınız yenilənmiş olsa da virusa yoluxma ehtimalı həmişə var.

8. Spyware aradan qaldırılması proqram istifadə edin və bu günə qədər saxlamaq. Unutmayın ki, casus proqramı təmizləyici təriflər köhnədirsə, proqram hər şeyin faydasızdır. Sürücünüzü mütəmadi olaraq tarayın. Spyware yalnız bəzi hallarda rahatsız edici deyil, həm də təhlükəli ola bilməz.

Yuxarıda göstərilən sadə addımları təqib etsəniz, şəxsiyyət oğurluğu və şəxsi fırıldaqçılıqdan daha yaxşı qorunacaqsınız. Ümid edirəm ki, sənin məqaləni çox sevirdim və yol boyunca bir şey öyrəndim.
SANS saytında güclü şifrələrin yaranmasına dair sənədin bir linkidir: https://www.sans.org/rr/whitepapers/authentication/1636.php