В последнее время скандалы, связанные с утечкой информации и хакерскими атаками, происходят все чаще. Взять хотя бы недавнее известие о взломе сетей по всему миру, в котором США, а затем и Нидерланды с Великобританией обвинили ГРУ.
В обвинительном акте значатся имена семи человек, которые использовали компьютерные взломы с целью получения непубличной, частной медицинской и другой информации. Жертвами стали допинговые агентства и спортивные федерации по всему миру, взлом баз данных которых раскрыл личную информацию 250 атлетов из 30 стран, а также Организации по запрещению химического оружия и энергетической компании Westinghouse Electric, занимающейся проектированием атомных электростанций.
Но речь идет не о целях этих атак, а об использованных методах. Злоумышленники использовали давно известные и простые методы: техническую разведку IP-адресов, доменов и сетевых портов и регистрацию фальшивых доменов и веб-сайтов, которые копировали официальные сайты, а также рассылку фишинговых писем с целью нелегального заполучения идентифицирующей информации (логинов и паролей) после переправки пользователей на эти сайты. Успешные хищение данных стало результатом не столько умений хакеров, сколько результатом незащищенных компьютерных сетей и использования устаревших методов идентификации пользователей.
Несмотря на то, что атака MiTM (человек посередине) достаточно коварная, ее можно было бы избежать при использовании в качестве дополнительной защиты EmerSSL. Это система беспарольной аутентификации пользователей, которая использует блокчейн Emercoin для хранения хеш-сумм SSL-сертификатов. Сервис Authorizer, созданный на основе EmerSSL, отлично справился бы с задачей. Использование EmerSSL, к тому же, недорогое и за 1 EMC можно получить 2500 SSL-ключей для веб-авторизации на 5 лет.
