“Предположим, что есть две персоны (X и Y), которые находятся друг у друга в друзьях и общаются. И есть Посредник, заинтересованный в получении информации, передаваемою между X и Y, а в некоторых случаях и в ее изменении. Что нужно сделать для перехвата информации?

1. Создаются страницы-клоны персонажей X и Y с переносом публично доступной информации. В этой ситуации достаточно подобия – полное сходство не требуется.

2. Во время отсутствия в сети X и Y Посредник активизирует на своем компьютере клоны X1 и Y1 и ждет появления кого-нибудь из жертв в сети.

3. Предположим, что первым появился X. Шлем ему запрос на добавление в список друзей от Y1, сопроводив комментарием «Вчера компьютер глюканул, все слетело, восстанови пожалуйста». Скорей всего «дружба» будет восстановлена без дополнительных вопросов. Если же X окажется бдительным, он заглянет на страницу Y1 и увидит там похожую, но неполную страницу Y. Неполная идентичность работает на Посредника в данном случае – страница же слетела.

Итак, с X мы уже подружились, можно общаться на нейтральные темы, но делать нужно осторожно с учетом информированности о контексте общения между X и Y. Лучше всего деактивировать Y1, во избежание засветки.

4. При появлении в сети настоящего Y и повторяем с ним п. 3, от имени X1. В результате Посредник имеет в списке друзей как X, так и Y.

5. Далее можно начинать общение между X и Y, в котором вся информация проходит через Посредника. Для этого нужно активизировать на своем компьютере X1 и Y1.

6. Вариант атаки: в сети оба желанных персонажа. Пишем от Y1 долгожданному X: «Привет X,…». Х отвечает Y1, думая, что это Y: «Привет…». Ответ копируется и отсылается настоящему Y (который полагает, что Посредник – это X). Y получает это сообщение, отвечает на него. Ответ попадает к X1, который на самом деле Посредник. И так далее.

В описанном процессе есть несколько подводных камней, но опыт показывает, что обойти их не составляет труда. Самый большой «камень» это появление у X двух друзей Y и наоборот. Однако на это в большинстве случаев внимания не обратят – был же сбой.”

Избежать кражи вашей личной информации поможет бдительность и внимание. В друзья также часто просятся незнакомые люди, и они вполне могут быть взломщиками, желающими узнать вашу личную информацию и использовать ее против вас.

Читаем Помощь, Общие вопросы. И видим: “Что такое сооkiеs (куки)? Как их удалить?
сооkiеs – это небольшие текстовые файлы с информацией, приходящей Вам от интернет-сайта.”

Действительно, в сооkiеs хранится некоторая информация, присылаемая сайтом, в текстовом виде. Если, находясь на странице сайта, Вы введете в адресную строку браузера Firefox или Opera следующий текст:
javasсript:document.write(document.сооkiе);
то увидите нечто вроде

remixAdminsBar=0; remixGroupType=0; remixpass=******************; remixwall=0; remixInformation=0; remixMembersBar=0; remixdescription=0; remixautobookmark=8; remixemail=*******; remixmid=23363; remixchk=5; remixaudios=0; remixlinksBar=1; remixOfficersBar=0; remixPhotosBar=0; remixTopicsBar=0; remixvideos=0; remixRecentNews=0; remixAlbumsBar=0

(ВНИМАНИЕ! Не делайте этого в присутствии посторонних и не отсылайте никому результат!)

Это и есть куки. По сути – набор параметров со значениями.
Наиболее интересны 3 параметра:
remixmid хранит Ваш id,
remixemail хранит Ваш e-mail (он же логин на сайте),
remixpass – md5-хеш от Вашего пароля.

Когда Вы загружаете любую страницу сайта, браузер отсылает на сайт Ваши куки, если находит их (таким образом сайт проверяет, что это Вы отправили запрос). Если не находит – Вы попадаете на страницу ввода логина и пароля.

Когда Вы нажимаете “выйти” вверху страницы, куки стираются.
Если Вы ставите галочку “Чужой компьютер” при входе на сайт, то куки стираются при закрытии браузера, даже если Вы не нажимали “выйти”.

Что же узнает злоумышленник, получив Ваши куки?
Во-первых, e-mail, что неприятно, но не так страшно, если Ваш ящик защищен надежным паролем и хорошим спам-фильтром.
Во-вторых – хеш пароля. Это некоторая длинная строчка, вычисленная по паролю. По ней практически невозможно восстановить сам пароль. (Впрочем, для банальных паролей вроде qwerty и 123456 хеши широко известны, а для простых вроде даты рождения злоумышленник догадается вычислить хеш и сравнить со значением из cookies.) Но этого взломщику и не надо. Он ведь может перезаписать куки в своем браузере, подставив хеш _Вашего_ пароля – и получит полный доступ к Вашему аккаунту, разве что пароль поменять не сможет.

Вывод: не распространяйте сооkiе нигде (в том числе на сайтах, вставляющих на стену картинку вместо граффити).

Внимательный подход к составлению пароля является важным фактором для безопасности вашего аккаунта не только на сайте vkontakte.ru, но и на любом другом. Чтобы аккаунт не взломан путем подбора пароля, пароль должен быть сложным. В качества пароля не следует указывать дату рождения, номера телефонов, свое имя, кличку вашей собаки, простые известные пароли – qwerty, password и любые другие данные, потенциально известные некоторому кругу лиц.

В пароле следует указывать некий набор символов, который было бы практически невозможно угадать. К этому набору символов применяются так называемые критерии сложности пароля:

1) В пароль входят символы a…z (только маленькие буквы);
2) В пароль входят символы Aa…Zz (строчные и прописные буквы);
3) К паролю добавляются цифры;
4) К паролю добавляются специальные символы, такие как ;%”№)*? и т.д.;
5) К паролю добавляются непечатаемые ASCII-символы.

Длина пароля должна быть более 8 символов!!! Для сложности паролю достаточно соответствовать первым трем критериям. Очень сложный пароль, практически не поддающийся подбору, соответствует первым четырем критериям. Пятый критерий отвечает практически полной безопасности пароля и не поддается взлому с помощью программ подбора пароля.

Если вы не жалуетесь на память, просто откройте Блокнот, Word или любой другой текстовый редактор и с закрытыми глазами наберите комбинацию цифр и букв, периодически нажимая клавишу Shift. Потом откройте глаза, и запомните результат – вот ваш новый пароль.

Методы составления сложного пароля, который можно легко запомнить:
1) Русское слово, написанное на английской раскладке, с заменой некоторых букв на цифры (например, “з” на “3″, “ч” на “4″…);
2) Придумайте фразу (например, “Белоснежка и семь гномов”) и возьмите из каждого слова на 1-2 первых буквы (Получается “Беисегн”). Потом можно добавить пару недостающих символов, чтобы пароль был длинее 8 знаков, записать его на английской раскладке и др.

Чтобы взломать ваш аккаунт, некоему третьему лицу надо приложить усилия, чтобы узнать ваш пароль, то бишь взломать его. Сделать это можно несколькими способами:

1) Взломом посредством перебора пароля по словарю или ручного подбора самых часто используемых простых паролей. Защититься от такого метода поможет сложный пароль. Больше информации в теме _http://vkontakte.ru/topic1015388

2) Путем социальной инженерии. Этот метод позволяет через прямое общение с человеком выяснить, что он может использовать в качестве пароля. Метод очень опасен, если применяется опытным человеком. Поэтому не заводите ни с кем разговоров на тему ваших паролей и, тем более, не сообщайте их, даже если говоривший будет представляться работником техподдержки или администрации.

3) В интернет-кафе (а также у ваших друзей, намеревающихся украсть ваш пароль) могут стоять программы, называемые KeyLogger’ами – это клавиатурные шпионы, перехватывающие нажатия на клавиатуру и записывающие их в файл. Следовательно, у злоумышленника будет ваш пароль в явном виде. Гарантированной защитой от этого метода может послужить только выход в интернет и ввод пароля со своего или надежного, проверенного компьютера.

4) Следующий метод относится к почтовым сайтам – нередко в интернете можно найти способы взлома почты путем отправки специально построенного сообщения, в котором вы указываете ваши логин, пароль и ответ на секретный вопрос. Либо, пользователи получают письма от якобы робота, отвечающего за восстановление пароля, с просьбой указать ваш адрес, пароль или секретное слово. Это полная чушь, ваше письмо улетит к злоумышленнику. В этом случае вы практически безвозвратно теряете свою почту и все свои аккаунты, зарегистрированные на нее. Защита – не отсылать своих данных никому – настоящая техподдержка или любые другие технические службы никогда не будут просить ваш пароль.

5) Программные методы. Этот метод взлома доступен знающим людям и состоит в поиске ошибок в коде сайтов, позволяющих получить доступ к базе данных с паролями. В таком случае данные могут восстановить только администраторы.

6) Метод обмана – очень распространенный метод доступа к вашим личным данным. Сюда входят предложения о загрузке фото вместо граффити, установке новых смайликов, просьбы указать cookies, логин и пароль от неких людей, которые могут представляться сотрудниками техподдержки или администрации. Помните: никто из настоящих сотрудников техподдержки или администрации никогда не будет просить вас об этом.
Чтобы защититься от этого метода взлома, вам нужно просто быть внимательнее. Все разрешённые программы приведены в новостях группы _http://vkontakte.ru/club2007. Все прочее – вирусы, служащие для воровства ваших аккаунтов.

Существуют также и другие методы получения доступа к Вашим конфиденциальным данным, такие как например трояны. Для защиты от них помогут антивирусную программы с акутальными (обновленными) базами данных. Также существуют методы взлома, строящиеся на уязвимостях протоколов передачи данных. Данные проблемы решаются уже администрацией интернет-провайдеров.

P.S. Совет – всегда используйте для каждого форума, сайта, номера ICQ и почтового ящика РАЗНЫЕ пароли!!! Иначе при краже одного пароля шансы на то, что вы сразу лишитесь всех своих аккаунтов, увеличивается. Против этого также помогает ведение отдельного ящика на одну-две регистрации.

Гуляя по Вконтакте.ру, в некоторых темах обсуждений можно натолкнуться на такие сообщения:

“Вконтакте всё больше удивляет: уже по сайту гуляет скрипт, который по данным вашего профайла определяет ваш характер, да и вообще кучу интересной информации. Рекомендую!!
Просто скопируйте в адресную строку браузера это:
<далее следует тот самый скрипт>
Не забываем делиться результатами!!”

И наивные пользователи копируют. Там действительно может оказаться тот самый тест. Но главная функция скрипта – украсть Ваши личные данные, а именно сооkiе. Если даже в скрипте слова сооkiе нет, это еще ни о чем не говорит. Существуют более изощренные способы получить то же значение, которое выдает document.сооkiе.

Будьте бдительны. Не вводите в адресную строку браузера никаких ява-скриптов, если не разбираетесь в этом языке и не можете уверенно объяснить, что именно делает каждый оператор скрипта.