November 24th, 2007

avmalgin

Что делать, если вас взломали

КАК ЛОМАЮТ ЖУРНАЛЫ

Конечно, можно просто запустить программу подбора паролей и терпеливо ждать, пока пароль подберется. Анализ взломов ЖЖ показывает, что такой метод взломщики не используют. Делается вот что:

1. Выявляются все почты пользователя ЖЖ (если есть возможность определить праймери-почту сразу, т.е. ту, на которой дневник был зарегистрирован первоначально, работа идет только по ней).

2. Тщательно изучаются записи дневника (чем дольше он ведется, тем лучше для взломщика), определяются такие вещи, как девичья фамилия матери, кличка собаки, номер паспорта (почти 90% пользователей бесплатных почтовых серверов в качестве кодового слова выбирают одно из трех).

3. Вскрывается почта, в идеале праймери-почта (которая была первой при регистрации ЖЖ), но необязательно - во вскрытой почте вполне могли содержаться информация, с помощью которой можно получить пароли от других почт. Для вскрытия используется автоматическая система напоминания пароля, а если каких-то данных не хватает, просто пишется жалостливое письмо, что забыто еще и кодовое слово. Девочка из саппорта просит прислать что-нибудь, взломщик обычно посылает ей дату рождения взламываемого и его ай-пи (определяется, когда взламываемого в ЖЖ вытягивают в комменты). В случае с Лабасом находящийся в Германии взломщик написал в немецкий почтовый сервис, подгадав, когда Лабас уедет в командировку (вычитал у него в ЖЖ), немцы запросили скан паспорта, и тот просто фотошопом исполнил ее, и их это удовлетворило, они выслали пароль! Я многократно писал на мейл-ру после взлома, и мне каждый раз присылали пароль без кодового слова! Взломщик пользуется тем, что блоггер сообщает в своем дневнике массу личной информации.

4. После чего - дело техники обратиться в администрацию ЖЖ за паролем - робот высылает его на уже вскрытую почту. Положение усугубляется тем, что даже если вы меняли почту на более надежную, пароль всегда можно получить на первую из них, т.е. праймери-почту. Обычно, когда человек заводит ЖЖ, он свой аккаунт еще не ценит, поэтому заводит его на свою общеизвестную и незащищенную почту. С течением времени он начинает ценить свою жежешечку, пытается усилить безопасность, меняет пароль на более сложный и уходит на более надежную почту, но это ничего не дает - вскрытие происходит через праймери-почту.

ЧТО ЖЕ ДЕЛАТЬ?

Главная цель социального взломщика – уничтожить журнал, поэтому первым делом он начинает кропотливую работу по стиранию контента, запись за записью. Чем раньше Вы обратитесь в абьюз-тим с сообщением о взломе, тем больше шансов, что что-то останется. Писать можно по-русски, но если написано по-английски, журнал по вашей просьбе замораживается быстрее.
После чего надо постараться вернуть себе контроль за текущей почтой и праймери-почтой. Мой опыт показывает, что если мы имеем дело с сервисом мэйл.ру, возврат контроля не имеет никакого смысла. Как только вы вернули контроль, туда обращается взломщик, повторяет все то, что он уже им писал от вашего имени, и вновь получает контроль над журналом. В конце августа мы со взломщиком таким образом передавали друг другу контроль над моей почтой несколько раз за день!

Когда контроль над журналом восстановлен, ваша первая задача – все вернуть в первоначальное положение. Т.е. вернуть на место уничтоженное.

Если регулярно бэкапить журнал (существует несколько программ для архивирования ЖЖ), можно залить свои записи на их законные места, однако будет утеряна существенная часть ЖЖ – комменты. Вы сразу увидите, сколько же теряет журнал, если его лишить комментов.

Однако есть способ восстановить уничтоженный журнал с комментами. Но действовать надо до взлома, т.е. подготовиться к взлому заранее. Для начала заведите себе аккаунт на http://lj.rossia.org/ После чего откройте там гейт из LJ в LJR: http://lj.rossia.org/import-faq.bml. Это очень просто, но зато все, что Вы на тот момент за долгие годы написали в ЖЖ (вместе с комментами, картинками и прочим) скопируется на ваш аккаунт в этом сервисе. Тут уж будьте осторожны при выборе почты: кто мешает взломщику одновременно сломать оба ваших аккаунта, если они зарегистрированы на одну и ту же почту (у некоторых еще и пароль один и тот же). Теперь у вас есть полноценная копия вашей жежешечки. Не расслабляйтесь, включайте гейт как можно чаще, чтобы Ваше хранилище пополнялось. Кстати, LJ.ROSSIA вполне пристойный сервис, там тоже очень интересно. Во всяком случае там не закрывают аккаунты по бредовым поводам, как это принято в ЖЖ, поэтому Вы также подстраховываетесь на случай, если ваш недоброжелатель начинает засыпать абьюз-тим жалобами.

И вот, допустим, у вас сломали журнал. Через какое-то время вы восстановили контроль над ним. Тогда вы включаете гейт в обратную сторону: http://lj.rossia.org/lj-gate/lj-gate-faq.html. Есть тонкость: тут придется копировать записи не скопом, а по одной и есть ограничение на количество записей в день, т.е. это займет некоторое время. Записи за месяц я копировал примерно в течение получаса. Однако в результате вы получите необходимый результат: все уничтоженные записи вместе с комментариями займут свое законное место. Правда, будет сбита система ссылок, но это уже полбеды.

Итак, если вы все это проделаете, взломщик будет очень сильно разочарован: он потерял уйму времени и сил, подбирая ключики к вашему журналу, а вы взяли и все восстановили. Если следить за безопасностью своей почты и создать надежную копию журнала, вы лишаете взлом смысла. И шизофреники, возможно, переключат свою энергию на что-нибудь другое.

Конечно, теоретически взломщик может раздобыть пароли от почты или даже ЖЖ другими способами, чисто хакерскими, их множество: фишинг, использование троянских программ, выуживание паролей через аську и т.д. Однако все это используется главным образом в коммерческих целях. Случаи взлома дневников в ЖЖ такими способами пока неизвестны. Поэтому пока я не включаю в число рекомендаций такие, как отказ от дырявого эксплорера или еще более дырявых почтовых программ, регулярную проверку компьютера на вирусы и т.д. Но если у вас мания преследования, все эти меры также не повредят. Просто переходите на макинтош, для него вирусов еще не придумали.