Железо и ПО

ИБ в сфере покера p.4

Опубликовал в Мир Покера 5 0.0

Откройте главную страницу любого уважающего себя хак форума и там, среди десятков «классических» разделов, обязательно найдётся место для «СИ» (нет, этот раздел не для обсуждения кода для популярного языка программирования), – именно там зачастую обсуждаются серьёзные и не очень, опасные или просто нестандартные подходы и «темы» в области Социальной Инженерии. Лично мне термин «СИ» не по душе – сильно попахивает «инженерами человеческих душ» Виссарионыча, однако понятие это уже устоявшееся и в случае, если Вы займётесь более глубоким изучением вопроса, – без труда найдёте в Сети информацию по ключевым словам “social engeneering”.

Если коротко, СИ – это «развод», в котором Вам отводится незавидная роль лоха: от банально туповатого «ЭТА НИ СПАМ!!!Я ПРОЧИТАЛ/ПОНЮХАЛ/ПОУРЧАЛ И ВЫЙГРАЛ ПРИС. ЗАХОДИ СКОРЕЕ http://gde-je-ti-loh.ru/supervasya123» до действий высочайшего класса, типа взломов Митника по телефону или распространения через сервер qip интернет-червяков с имитацией искусственного интеллекта. В онлайн покере же мошенники зачастую действуют по следующей схеме (фишинг «phishing»): Вам приходит сообщение (e-mail/IM), от друга/саппорта/админа/Путина с правдоподобным url’ом на загрузку файла/просмотр страницы. В первом случае, могут посоветовать загрузить обновление для софта покер-рума, с получением клавиатурного шпиона или троянского коня. Во втором мошенники могут нарисовать веб страницу покер-рума/покер форума для ввода учётных данных, практически не отличимую от оригинальной, после ввода инфы в которую, покажут какой-нибудь красненький “Temporary error connection” и перенаправят на оригинальный сайт, а секретная информация уже будет на сервере третьих лиц.

Варианты защиты от атак в первом случае:

  • Не кликать по ссылкам из сообщений (в опциях клиентов настроить отмену «clickable» ссылок)
  • Переходить по адресам, полученным из «достоверных источников» – так говорит Microsoft, я лишь добавлю, что Вам лучше ещё раз убедиться, в оригинальности отправителя – передав ему ответное сообщение с вопросом личного характера, или, на худой конец, с просьбой выслать результат операции «3+2»
  • Для перехода по ссылкам, использовать специальное ПО типа «песочницы»/виртуальной машины/отдельного браузера с настройками повышенной безопасности
    Во втором (всё то же самое, что и для первого) + перед вводом данных обязательно убедитесь, что строка адреса начинается с http*S* (благо современные версии браузеров выделяют защищённый адрес цветом).

Следующий вид деятельности, про который я хочу сегодня написать, на профессиональном жаргоне называется «сниффинг» (to sniff – нюхать). «Краткость – сестра…», поэтому сниффинг – это перехват чужой информации. Но мы будем говорить, во-первых, о перехвате инфы в локальных сетях, а во-вторых, в разрезе интернет гэмблинга.
Сразу хочу закинуть приятную новость в огород пользователей ADSL Интернет подключений: поскольку прослушивание вашей инфы на данный момент – задача довольно трудоёмкая и редко-осуществимая, меры безопасности по этой теме соблюдать не обязательно. А вот всем остальным (здесь я сознательно опускаю пользователей dial-up) полезно узнать о методе перехвата поподробнее.
Все данные по сети проходит в виде пакетов. Каждый пакет должен содержать запись об отправителе и получателе, так Вы, нажимая “Connect” в клиенте покер-рума, запускаете процесс по обмену данными между Вашим ПК и одним из многочисленных серверов покерной сетки, и вот уже толпы пакетов с полем отправителя = ваш_ip бегут по каналам к получателю = сервер_рума и наоборот. В результате подобных действий, сервер «понимает» куда в дальнейшем необходимо направлять Ваши данные. Однако в случае, если подделать нужные параметры пакетов, которые носятся между вами, то можно стать посредником в этой цепи и, предварительно, сохраняя информацию на своём жёстком диске, либо доблестно её передавать истинному получателю, либо же постараться не допустить работу вашей цепочки вообще. Теоретически, пакеты, которые направляет Ваш ПК и сервер покер-рума можно изменять как душе угодно, и Вы будете видеть ложную информацию (неверные имена игроков, баланс, суммы ставок и пр.), однако на данный момент мне я не видел подобного функционала в боевых системах. Несколько радует тот факт, что гораздо проще перехватить учётные данные, нежели заниматься изучением закрытого протокола покерной сети. Вы с полной уверенностью можете заявить, что абсолютно всё покерное ПО использует библиотеки шифрования SSL/TSL, что, дескать, не даёт возможности злоумышленнику перехватить Вашу инфу – да, всё так, однако события уходящего года показывают, что «сниффается» SSL теперь не хуже обычного plain text. Интересующимся советую глянуть последние материалы гламурного журнала «Хахер», там про это видяхи снимают.

Частичной ликвидацией угрозы в локальных сетях может считаться использование ПО, которое работает с защищёнными протоколами и тунеллирует весь Ваш Интернет трафик (VPN, TOR и т.п.). В Сети полно организаций, которые за скромную плату предоставляют услугу клиентского доступа по VPN на абонентской основе. Приобретая подобный сервис, Вы получаете связку учётных данных + ip адрес сервера и, через несколько кликов, настраиваете подключение, которое будет осуществлять «прогон» всего Вашего Интернет трафика через свой сервер. Таким образом, злоумышленнику придётся анализировать кучу данных, чтобы понять, где пароли, а где текст, ведь все пакеты покерному серверу будут направляться с VPN’a, а Вам уже будут приходить в совершенно ином виде.
Стоит отметить, что пользователи скромных городских провайдеров гораздо более уязвимы для атак подобного рода, по сравнению с гигантами типа «Корбины» (в их плюсы можно записать наличие специальных систем по обнаружению и устранению зловредного ПО, а также более высокую квалификацию на низком уровне =))

Оцените материал
Сделайте мир лучше
0.0
5