CoD Modern Warfare 2 могут приравнять к экстремистским материалам
Автор
Lacoste
в Технологии и техника
-
Похожий контент
-
Автор sputnikk
Отцу пришло на почту письмо от от Госуслг с поздравлением ДР.
Но он вроде там никогда не регистрировался. Могли прислать поздравление без регистрации?
-
Автор KL FC Bot
В мае отгремел Всемирный день пароля, и на волне нашего и, надеемся, вашего интереса к парольной тематике мы проанализировали на устойчивость не «сферические пароли в вакууме», а реальные пароли из баз даркнета. Оказалось, что 59% изученных паролей могут быть взломаны менее чем за один час, и для этого понадобятся лишь современная видеокарта и немного знаний.
Сегодня мы расскажем о том, как хакеры взламывают пароли и что с этим делать (маленький спойлер: пользоваться надежной защитой и автоматически проверять свои пароли на утечки).
Как обычно взламывают пароли
Начнем с важной ремарки: под фразой «взломать пароль» мы подразумеваем взлом его хеша — уникальной последовательности символов. Дело в том, что почти всегда пользовательские пароли хранятся на серверах компаний одним из трех способов.
В открытом виде. Это самый простой и понятный способ: если у пользователя пароль, например, qwerty12345, то на сервере компании он так и хранится: qwerty12345. В случае утечки данных злоумышленнику для авторизации не потребуется сделать ничего сложнее, чем просто ввести логин и пароль. Это, конечно, если нет двухфакторной аутентификации, хотя и при ее наличии мошенники иногда могут перехватывать одноразовые пароли. В закрытом виде. В этом способе используются алгоритмы хеширования: MD5, SHA-1 и другие. Эти алгоритмы генерируют для каждой парольной фразы уникальное хеш-значение — строку символов фиксированной длины, которая и хранится на сервере. Каждый раз, когда пользователь вводит пароль, введенная последовательность символов преобразуется в хеш, который сравнивается с хранящимся на сервере: если они совпали, значит, пароль введен верно. Приведем пример: если в реальности ваш пароль qwerty12345, то «на языке SHA-1» он будет записываться вот так — 4e17a448e043206801b95de317e07c839770c8b8. Когда злоумышленник получит этот хеш, ему потребуется его дешифровать (это и есть «взлом пароля»), например, с помощью радужных таблиц, и превратить обратно в qwerty12345. Узнав пароль, хакер сможет использовать его для авторизации не только в сервисе, с которого утек хеш, но и в любом другом, где используется этот же пароль. В закрытом виде с солью. В этом способе к каждому паролю перед хешированием добавляется соль — случайная последовательность данных, статическая или формирующаяся динамически. Хешируется уже последовательность «пароль+соль», что меняет результирующий хеш, а значит, существующие радужные таблицы уже не помогут хакерам. Такой способ хранения паролей значительно усложняет взлом. Для нашего исследования мы собрали базу из 193 млн слитых паролей в открытом виде. Откуда мы ее взяли? Места надо знать. Нашли в сети даркнет — там они зачастую находятся в свободном доступе. Мы используем такие базы, чтобы проверять пользовательские пароли на предмет возможной утечки, при этом ваши пароли мы не знаем и не храним: вы можете подробнее узнать, как устроено изнутри хранилище паролей в Kaspersky Password Manager и как, не зная ваших паролей, мы сравниваем их с утекшими.
Посмотреть статью полностью
-
Автор KL FC Bot
Легенды о том, что умная техника подслушивает наши разговоры, ходят многие годы. Наверняка вы читали увлекательные истории о том, как кто-то в беседе обсуждал, например, новую кофемашину на работе — и теперь на всех сайтах видит рекламу кофемашин. Мы ранее проверяли эту гипотезу и пришли к выводу, что подслушивания не происходит, — у рекламодателей есть множество других, менее впечатляющих, но куда более эффективных способов предлагать подходящую рекламу. Но, возможно, ситуация меняется? Недавно по СМИ широко разлетелись две новости (раз, два) с похожей тематикой: маркетинговые фирмы хвастались, что предлагают рекламодателям нацеливать рекламу по мотивам как раз такого фонового прослушивания. Правда, потом обе компании отказались от своих слов и удалили соответствующие заявления с сайтов. Тем не менее мы решили разобраться в ситуации заново.
Что заявляли рекламные фирмы
В звонках клиентам, своих подкастах и блогах компании CMG и Mindshift рассказывали примерно одну и ту же историю — лишенную, правда, любых технических подробностей: якобы смартфоны и умные телевизоры помогают им идентифицировать в разговорах людей заранее определенные ключевые слова, которые затем используются для создания аудиторных списков. Можно загружать эти списки в виде номеров телефонов, адресов e-mail и анонимных рекламных идентификаторов на различные платформы (от Youtube до Google Adwords и Microsoft Advertising) и показывать их пользователям подходящую рекламу.
Если вторая часть — про загрузку аудиторных списков — звучит вполне правдоподобно, то вот первая крайне невнятна. Из заявлений компаний совершенно невозможно понять, какие приложения и по какой технологии собирают информацию. Но из длинного (и ныне удаленного) поста в блоге наибольшее внимание привлек следующий отнюдь не технический пассаж: «Мы знаем, о чем вы думаете. Это вообще легально? Да, телефоны и [другие] устройства могут законно слушать вас. Когда новое или обновленное приложение просит вас принять многостраничное соглашение об использовании, там мелким шрифтом часто указано [разрешение на] активное прослушивание».
После многочисленных запросов журналистов компания CMG удалила пост из своего блога и опубликовала извинение-пояснение: дескать, они вовсе не прослушивают никаких разговоров, а данные таргетинга получают от «соцмедиа и других приложений».
Вторая же компания, Mindshift, просто молча удалила маркетинговые сообщения про этот вид рекламы со своего сайта.
Посмотреть статью полностью
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти