Очень многие сетевые сервисы вроде Gmail, Blog-Spot, Facebook, MySpace и им подобных предоставляют пользователям защищенный портал для безопасного входа - с адресом https:// и шифрованием по протоколу SSL. Но после того, как логин и пароль введены, последующий сеанс связи обычно проходит в открытом виде. Делается это ради экономии компьютерных ресурсов, а для поддержания безопасности применяют метод попроще, называемый "идентификатор сеанса" (session ID). Как правило, это однократно генерируемая строка случайного вида, передаваемая в cookies или URL-адресе сеанса. Именно этот идентификатор и является целью SideJacking’а. Для перехвата используется сниффер беспроводных сетей WiFi или прокси-сервер. Получив идентификатор сеанса, злоумышленник представляется выдавшему его сервису как подлинный пользователь, после чего может делать с аккаунтом жертвы практически все, что заблагорассудится.
Демонстрируя в прошлом году свой метод и реализующие его программы Ferret и Hamster, Грэм отметил, что единственный способ защититься от такой атаки - это перейти на полностью шифрованный сеанс связи. Благо некоторые сервисы, вроде той же почты Gmail, его предоставляют - достаточно лишь поменять в адресной строке http:// на https://. Однако теперь в блоге Грэма появилась заметка, где он существенно скорректировал свою точку зрения на вопросы безопасности протокола SSL в его конкретных реализациях.
Проанализировав сеансы почты Gmail c SSL-шифрованием, Грэм установил, что если работа протокола по тем или иным причинам нарушается, то система автоматически переходит в открытый режим передачи. В частности, когда пользователь пытается подсоединиться к Google Mail через точку доступа WiFi, система автоматически пробует оба варианта подключения - сначала с включенным, затем с выключенным SSL. В итоге через эфир проходит "печенька" с идентификатором сеанса в открытом виде. А значит, ее может перехватить и использовать находящийся поблизости злоумышленник, оснащенный шпионскими средствами. И дабы стало ясно, что это проблема всеобщего характера, остается сказать, что почта Gmail приведена здесь лишь в качестве примера, причем далеко не худшего. Ибо, как свидетельствуют эксперты, автоматический переход в лишенный шифрования режим работы при сбоях практикуют очень многие сайты, использующие SSL, за исключением разве что банков (да и то не всех).
Весной нынешнего года Роберт Грэм собирался принять участие в европейской конференции BlackHat в Амстердаме, где непременно продемонстрировал бы свои новые открытия - случись это год-два назад. Теперь же в Германии, Британии и некоторых других странах ЕС принимаются драконовские законы, объявляющие преступлением изготовление и распространение хакерских аналитических программ. Поэтому и деловая поездка в некогда либеральную Голландию теперь вызывает у хакеров вроде Грэма резонные опасения.
В подобных декорациях весьма своеобразно смотрятся конфиденциальные документы германских властей, недавно слитые в Сеть через сайт компромата WikiLeaks. В просочившихся бумагах Министерство юстиции, прокуратура и полиция федеральной земли Бавария препираются насчет того, кому платить за недешевые шпионские услуги по установке троянцев на ПК подозреваемых - для доступа к зашифрованным SSL-сеансам и телефонным разговорам через Skype. Германская фирма Digitask, на коммерческой основе оказывающая властям эти "интимные" услуги, в условиях запрета на вольное хакерство заломила цену как заправский монополист. Месяц прослушки Skype оценен в 3500 евро, перехвата SSL - в 2500 евро, стоимость инсталляции ПО - еще 2500 евро сверху.
Особо странно эти калькуляции выглядят по той причине, что все криптохозяйство системы Skype хранится по соседству, в Люксембурге. А сама компания никогда не скрывала, что охотно сотрудничает с правоохранительными структурами. Иначе говоря, получается, что баварские власти кряхтят от высокой стоимости "неофициального" шпионажа. Эта ситуация очень напоминает похожие расклады в сетях GSM, где сеансы шифрованной связи в действительности закрыты только на участках между абонентом и базовой станцией соты, а на всех прочих этапах пакеты передаются в открытом виде. Другими словами, с санкционированным подслушиванием через оператора технически нет никаких проблем. Однако органы обычно предпочитают использовать собственную аппаратуру. Да, дорого, зато без лишней волокиты.
Автор: Илья Шпаньков
Прибыльные новости
Адрес www.hubdub.com
Интерфейс английский (русский не поддерживается)
плагины не требуются
Читать новости - занятие увлекательное, а с легкой руки создателей онлайнового сервиса HubDub оно и вовсе становится захватывающим. Здесь вы не только знакомитесь с новостями на самую разную тематику, но и можете принять участие в розыгрыше виртуальных денег. При регистрации на портале вы получаете стартовую тысячу условных долларов, после чего можете делать ставки на то или иное развитие событий, описываемых в новостях. Подбор вопросов авторы сервиса взяли на себя, вам же остается выбрать один из вариантов ответа и сделать ставку. Если угадали - получаете соответствующую ставке прибавку на виртуальный счет, если нет - теряете часть финансов. Сразу хочу предупредить, что обналичить выигрыш нельзя, но это не главное: благодаря сервису можно потренировать свой дар предвидения или просто проверить знание темы, обсуждаемой в новостях.
Дороги, которые мы выбираем
Адрес www.expedia.com
Интерфейс английский
кириллица не поддерживается
Онлайновыми продажами авиабилетов или бронированием номера в отеле уже никого не удивишь, поэтому владельцы подобных ресурсов начинают делать ставку на предоставление клиентам максимального сервиса. Один из хороших тому примеров - портал Expedia, позволяющий заказать билеты на любой авиарейс любой авиакомпании мира, забронировать гостиничный номер в пункте назначения, арендовать машину, прикупить бонусные программы и даже оплатить посещение достопримечательностей в любой точке маршрута - и все это не уходя со страницы заказа. Веб-сайт сконструирован с умом, так что вы не потеряетесь в дебрях коммерческих предложений и легко пройдете процедуру заказа, а если ошибетесь или передумаете - в любой момент сможете внести поправки в предыдущие шаги. Для лучшей ориентировки в незнакомом городе предусмотрены карты, на которых отмечены гостиницы.
Положительный сервис
Адрес www.humyo.com
Интерфей английский
кириллица не поддерживается
Онлайновые хранилища наверняка были бы гораздо популярнее, если б не малый объем предоставляемого дискового пространства, медленная работа и скудость средств управления данными. Похоже, сервис с неблагозвучным для русского уха именем Humyo способен сломать стереотипы и доказать, что онлайновое хранилище данных может быть удобным во всех отношениях. В частности, даже в бесплатном варианте пользователю предлагается 25 Гбайт для хранения мультимедийных данных и 5 Гбайт для обычных файлов, при этом все загружаемые данные автоматически индексируются и распределяются в зависимости от вида; обрабатываются и ID3-теги в музыкальных композициях. При регистрации на портале можно импортировать контакты из популярных онлайновых почтовых служб и тем самым облегчить совместный доступ к данным. Доступ к сервису можно получать и с мобильных устройств.
Народный путеводитель
Адрес www.zoomandgo.com
Интерфейс английский
кириллица не поддерживается
Что мы делаем, прежде чем отправиться в незнакомое место? Правильно: расспрашиваем тех, кто там уже побывал. Ведь лучше сразу быть готовым к особенностям национальной кухни, нравов, обычаев, чем получать по прибытии неприятные сюрпризы. Онлайновый сервис Zoomandgo - незаменимый для подобных случаев ресурс. Здесь заядлые путешественники оставляют комментарии, дополненные видео и фотоальбомами, раскрывающими все туристские секреты, связанные с тем или другим географическим объектом, будь то гостиница в пригороде Парижа или развалины старинного храма в джунглях Индии. Разумеется, зарегистрировавшись на Zoomandgo, и вы сможете делиться своими впечатлениями. При необходимости можно конвертировать видеоролики для просмотра на мобильных устройствах, дабы взять их в дорогу в качестве мультимедийного гида по достопримечательностям.
Автор: Сергей Леонов
"История" с возможностью поискаIBM
Многим наверняка приходилось сталкиваться с изменчивостью рейтинга в поисковых системах: сегодня нужная вам ссылка находится на первой странице поисковой выдачи, а завтра ее не найти и в первом десятке страниц. Хорошо, если вы записали нужную ссылку в "Закладки", но когда вам приходится запоминать страницы сотнями, никаких "закладок" не хватит. Один из путей поиска страницы, которую вы один раз видели, но позже потеряли, - список "Истории"; правда, здесь хорошо бы хоть приблизительно помнить дату посещения и имя сайта, иначе придется просматривать вручную те же сотни адресов. Помочь в этом, по мнению IBM, может локальная поисковая система, индексирующая те страницы, которые вы посетили. При открытии любой из страниц браузер должен не только сохранить ее адрес в "Истории", но и проиндексировать содержимое, добавив его в базу локальной поисковой системы. Список же "Истории" должен быть дополнен строкой запроса к этой поисковой системе, при помощи которого вы найдете виденную ранее страницу гораздо быстрее.
