Часто бывают ситуации, когда друзья или сослуживцы просят “на минутку” воспользоваться вашим компьютером. Подумайте, насколько вы им доверяете.
Самая очевидная опасность доступа посторонних к вашему компьютеру – это использование каких-либо программ от вашего имени. Можно, например, разослать любые письма по адресной книге в вашем почтовом клиенте или зайти в ваш Твиттер и признаться в любви к жене вашего босса.
Это, конечно, неприятно, но не смертельно.
Гораздо опаснее, если вы в своем браузере – например, в Google Chrome – сохраняете пароли от ваших любимых веб-сайтов. Любой человек, получивший доступ к вашему компьютеру хотя бы на минуту, может скопировать все ваши пароли, набрав в адресной строке простую строчку: chrome://settings/passwords.
По этому адресу откроется страница со всеми вашими паролями, причем эта страница автоматически сохраняется на каждом компьютере, на котором вы хотя бы раз заходили в свой аккаунт в Google.
Самое печальное, что открыть эту страницу после вас может любой желающий. В списке сохраненных паролей показывается адрес, логин и пароль для каждого веб-сайта. Все пароли скрыты, но если щелкнуть на любом пароле, появится кнопка “Показать”, которая и покажет сохраненный пароль в виде обычного текста.
Злоумышленник или просто ваш недоброжелатель может отвлечь вас на пару минут от компьютера, прочитать ваши пароли и закрыть страницу, а вы даже не будете знать, что ваши пароли попали в чужие руки.
Вот пример того, что можно увидеть на этой странице (реальные логины и пароли частично затушеваны):
Эта возможность, конечно, не является чем-то новым, но она недавно стала очень популярной темой обсуждения в блогах. В дискуссии по этой теме на “Hacker News” принял участие даже один из ведущих разработчиков браузера Chrome — Джастин Шух (Justin Schuh). Вот его слова:
“Я – руководитель группы разработчиков, отвечающей за техническую безопасность браузера Chrome. Думаю, мне стоит пояснить нашу позицию по этому вопросу. Единственным ограничением на доступ к хранилищу паролей является учетная запись пользователя в операционной системе. Таким образом, Chrome использует встроенные средства защиты, предоставляемые данной системой. Использование каких-либо дополнительных средств защиты обычно не увеличивает безопасность, но усложняет жизнь пользователя.
Представьте, что злоумышленник получил доступ к вашей учетной записи на компьютере. Он может скопировать все сохраненные сессии и весь журнал вашего браузера, установить любые плагины и расширения для перехвата всего вашего интернет-трафика и даже напичкать вашу операционную систему троянами и скрытыми программами мониторинга. Я считаю, что игра проиграна уже в тот момент, когда злоумышленник получил доступ к вашему компьютеру под вашей учетной записью. Дальнейшее сопротивление просто бессмысленно – он получил все козырные карты.
Нас часто спрашивают, почему мы не хотим добавить дополнительную парольную защиту для доступа к списку сохраненных паролей, даже если мы считаем, что это не имеет смысла. Мы обсуждали эту возможность множество раз, но всегда приходили к одному решению. Мы просто не хотим, чтобы у обычного пользователя возникало ложное чувство защищенности. Пользователь должен понимать степень ответственности за свою собственную безопасность. Он должен знать, что любой человек, получивший доступ к его компьютеру (его учетной записи в ОС), может сделать абсолютно все то, что может и он сам.”
Наверное, он во многом прав. Но такой уровень проникновения обычно требует предварительной подготовки со стороны злоумышленника и достаточно серьезных технических знаний. Мы же говорим об очень простой и уже широко известной уязвимости, которой может воспользоваться даже ребенок. Достаточно отойти на пару минут от компьютера – и ваш брат скопирует ваши пароли, после чего ваша жизнь может превратиться в кошмар. А ваш коллега может просто разрушить вашу карьеру.
Такая же проблема есть и в других браузерах. Если вы используете Firefox, то ваши пароли тоже легкодоступны.
Любой человек, получивший доступ к вашему компьютеру, может выбрать в меню Firefox “Инструменты” – “Настройки” – “Защита” – “Сохраненные пароли”. Все ваши пароли будут показаны открытым текстом:
Но в Firefox предусмотрена возможность установки главного пароля, хотя эта возможность и не включена по умолчанию.
И не думайте, что на компьютерах Apple все по-другому…
В браузере Internet Explorer требуется подтверждение для просмотра списка сохраненных паролей. В системах Windows 7 и Windows 8 пароли IE сохраняются в диспетчере учетных данных (Credential Manager), поэтому для вывода списка паролей требуется ввести пароль вашей учетной записи.
Эта проблема является, в общем, иллюстрацией одного из базовых принципов компьютерной безопасности. Если кто-то получил физический доступ к вашему компьютеру даже на короткое время, то этот компьютер уже не ваш.
Правила безопасности очень простые, но о них нельзя забывать никогда:
1. ВСЕГДА блокируйте ваш компьютер, даже если вы отходите на пару минут.
2. Создайте гостевую учетную запись с минимальными правами и разрешайте пользоваться вашим компьютером только под этой учетной записью.
3. Не сохраняйте пароли в браузере. Используйте специальные программы для сохранения паролей.
Будем надеяться, что разработчики Chrome еще раз обсудят эту проблему. Пока мы видим, что браузер настойчиво предлагает сохранять ваши пароли:
По крайней мере, разработчики могли бы добавить предупреждение, что сохранение паролей – угроза для вашей безопасности.
Comments are closed