500 лет на взлом пароля: в AMS Software прошел семинар по киберзащите

1 октября в AMS Software прошел семинар по основам информационной безопасности. Спикер —  Сандуляк Александр, старший разработчик компании. Речь шла об охране корпоративной среды и персональных данных от киберугроз, что при должной бдительности самих сотрудников оставляет хакерам минимум шансов.

На семинаре обсудили, как уберечь доступы от взлома, где хранить пароли и что делать, чтобы данные банковских карт не утекли в сеть. 

Какое ПО использовать

Согласно закону, на предприятиях запрещено устанавливать и использовать нелицензионное программное обеспечение. За нарушение законодательства предусмотрен штраф — до 2000 руб. для сотрудников и до 40 000 руб. для самой компании. В случае крупного ущерба ответственному лицу может грозить даже тюремный срок — до двух лет.

Александр подчеркнул, что кроме незаконности, пиратский софт опасен сам по себе. «Кряки» и «кейгены» могут содержать вредоносный код, с помощью которого злоумышленники могут красть или заменять персональные данные, управлять устройством, отслеживать логины и пароли. Поэтому в офисах компании используется только лицензионное ПО, а скачивание и установка взломанных версий запрещены.

Где хранить пароли

Чтобы выяснить, какие способы хранения паролей популярны в компании, был проведен опрос. Результаты показали, что большинство используют для этого текстовые документы, мессенджеры и CRM — небезопасные с точки зрения киберзащиты. 

По словам Александра Сандуляка, лучше использовать менеджеры паролей типа Keepass, Keeper и другие, то есть хранить данные в зашифрованном виде:

«Если вы сбрасываете коды доступа в Google Docs, Telegram и другие подобные каналы, ваши данные под угрозой. При заражении компьютера вирусами, файл с паролями попадет злоумышленнику в открытом виде . А вот если взломали и украли вашу базу из KeePass или Keeper, ее нужно будет сначала расшифровать, так как она закодирована — такая работа отнимет много времени». 

Какие пароли делать

Для взлома паролей злоумышленники применяют брутфорс — поиск нужных комбинаций с помощью специальных программ. Он бывает двух видов — по словарю или прямым перебором.

Взлом по словарю — это способ на угадывание, когда подбираются не случайные комбинации, а реальные слова из списка популярных ( «Бог», «любовь» и так далее). Шаблон поиска может содержать слова, часто встречающиеся у пользователей, а если известны какие-либо ключевые данные о цели, то в список попадут имена членов семьи, дни рождения, названия компаний.

Метод брутфорса по прямому перебору сложнее и дольше. Это путь грубой силы, когда в поиск включаются не только слова — перебираются вообще все возможные сочетания знаков. 

Александр рассказал, что для основы шаблона хакер использует данные о сайте — ориентируется на то, какие группы символов допустимы в форме ввода пароля и какой максимальной длины может быть комбинация:

«Не все сайты разрешают использовать все — регистры, особые символы — и это делает профили пользователей уязвимыми. Ведь безопасный пароль — это одновременное использование верхнего регистра, нижнего регистра, цифр и спецсимволов. С ними каждая позиция в строке получает 95 вариантов».

Если представить, что в пароле только символы верхнего регистра, а длина строки 7 символов, то результатом может быть 8 миллиардов комбинаций. Успех брутфорс-метода будет при этом зависеть от мощности компьютера. Изначально 1 ядро системы обрабатывает примерно 1000 паролей в секунду, значит на среднем компьютере в 4 ядра пароль будет подберут за 23 дня. А вот мощный стационарный ПК на 10 ядер и 20 потоков справится быстрее и взломает пароль менее чем за сутки. 

Если использовать и верхний, и нижний регистр, а также цифры и хотя бы 1 спецсимвол, то количество комбинаций увеличится настолько, что расшифровать такой пароль удастся только через 500+ лет. Сложные сочетания не обязательно придумывать самостоятельно — для этого существуют специальные интернет-сервисы. 

Также Александр порекомендовал сотрудникам использовать разные пароли для разных сайтов: 

«Если вы используете для соцсетей один какой-то пароль, то при его взломе хакер получит доступ ко всем вашим аккаунтам. Одну комбинацию можно использовать только для входа в менеджер паролей. Если к тому же большой пароль для менеджера хранить в голове, будет еще безопаснее».

Прочие методы взлома

Кроме метода перебора злоумышленники пользуются и другими способами, чтобы получить данные «жертвы».

Социальная инженерия. Не все сервисы привязывают профиль к мобильному телефону или используют двухфакторную аутентификацию. Иногда при регистрации в социальных сетях, почте, аккаунте Windows вместо телефона запрашивается кодовое слово (девичья фамилия матери, например). Эти данные помогают восстановить пароль в случае, если его забыли. Чтобы взломать аккаунт, злоумышленники выясняют необходимую информацию у самого пользователя — знакомятся в интернете, заводят беседу на отвлеченную тему и постепенно получают все ответы.

Фишинговые письма. У Яндекса и Google хорошая спамооборона, то есть защита от исходящего спама, поэтому взламывают обычно менее защищенные компании, чтобы от их имени делать рассылку писем. Если отправление пройдет спам-фильтр, пользователь получит поддельное письмо с призывом перейти на фейковую страницу (Awito, Vkonvtakte и др). Когда «жертва» не замечает обмана и пытается, например, что-то купить по ссылке, данные карты уходят злоумышленникам. 

Александр предупредил, что при беглом просмотре пользователь просто не замечает подвоха:

«Фейковая, или поддельная, страница — это клон сайта, который мало чем отличается от оригинала. Такой сайт делается просто, а разница с настоящим магазином или сервисом чаще всего находится только в имени домена. Например, вместо .ru адрес может оканчиваться на .biz, .net или другие».

Источник: Windowsreport

Публичные сети. Если вы подключаетесь к публичным VPN и пользуетесь при этом банковскими приложениями, трафик могут «читать» и перехватывать пароли. В кафе, аэропорту или отеле с публичным WI-FI при подключении к общедоступной сети происходит тоже самое. Это не значит, что владельцы помещения мошенники. Просто «жертва» по невнимательности могла подключиться к точке доступа, созданной специально для перехвата и с похожим названием.

Инъекции вредоносного кода происходят при взломе сайтов. Например, взламывается центр поддержки клиентов и вводится вредоносный скрипт. При входе администратора в ЦП, логин и пароль отправляются хакеру, который теперь может общаться с клиентами и делать по ним фишинг-рассылку от имени компании.

Вывод

Чтобы не потерять важные для предприятия данные и не допустить взлома личных банковских счетов, используйте только защищенные соединения и не переходите по сомнительным ссылкам. Также не стоит недооценивать угрозу и использовать один пароль для нескольких сайтов. Лучше создать разные сложные комбинации и хранить их в защищенном месте.

Ранее в AMS Software для защиты логинов и паролей использовали программу KeePass. Однако недавно руководство сменило парольную политику для сотрудников, имеющим доступ к ключевым ресурсам, и перевело их на более совершенную платформу. Какое ПО теперь будет обеспечивать хранение конфиденциальных данных, компания не разглашает.