Небезопасный интернет: правила поведения в Cети

Разоблачения Эдварда Сноудена, недавние утечка приватных фотографий голливудских звезди «слив» баз с почтовыми адресами пользователей Gmail, Mail.ru и Яндекса заставили Рунет с новой силой заговорить о проблемах безопасности в Cети. Как работают взломщики и как рядовому пользователю обезопасить себя от нежелательного вмешательства посторонних людей в личную цифровую жизнь, «Ридус» узнал у Владимира Ульянова, руководителя аналитического центра Zecurion Analytics. Этот российский разработчик DLP-систем (Data Loss Prevention — технологии предотвращения утечек информации) обеспечивает информационную защиту крупнейших отечественных и зарубежных компаний, среди которых, «Газпром», Allianz, «Аэрофлот», «Туполев», «Ростелеком», а также Минфин, Минобороны и другие ведомства.

Владимир Ульянов. — В конце августа в сеть попали личные фото зарубежных знаменитостей, которые хакеры достали с сервиса iCloud. Насколько серьезная работа была проведена для взлома?

— Для этого не использовалось никакого хитрого софта. Просто кто-то обнаружил, что сервис уязвим для простейшей хакерской атаки, которая называется перебор пароля или brute force. Утилиту, умеющую перебирать пароли, можно «написать на коленке» за пять минут. С помощью такой программы и был осуществлен взлом аккаунтов знаменитостей в iCloud.

Слабая парольная защита — одна из главных проблем. Статистика показывает, что большинство людей используют примитивные пароли: 12345, qwerty, aaaaaa и так далее. Есть даже словари паролей — программы, которые с большой скоростью перебирают такие вот популярные комбинации.

В случае с iCloud сервис оказался уязвимым. Если вы попробуете взломать таким образом, к примеру, Windows, у вас ничего не выйдет. После третьей или пятой попытки Windows делает задержку, скажем, на полминуты. Следовательно, brute force атака будет неэффективной, поскольку, чтобы перебрать тысячу паролей, понадобится несколько суток. Если же система позволяет за секунду подбирать десять, двадцать или даже тысячу паролей, то проблем с подбором у злоумышленника не возникнет.



— Недавно в общем доступе оказались логинов и паролей от почтовых ящиков Gmail, Mail.ru и Яндекса. Часть из них оказались неактивными. Как, по-вашему, кто, как и зачем это сделал?

— Даже сейчас до конца не понятно, что же произошло. Есть несколько рабочих версий. По одной из них, база собиралась несколько месяцев или даже лет (в нее вошли куски, ранее публиковавшихся в других местах баз). Мне она кажется маловероятной. Действительно, среди взломанных аккаунтов были неактивные. Если бы это была устаревшая база, число действующих аккаунтов не превышало бы 20−30%, а их оказалось больше половины. В том, что в нее попали нерабочие адреса, ничего удивительного нет — у большинства пользователей есть «левые» аккаунты, которые они завели и бросили.

Если в ней больше половины рабочих адресов, ее можно использовать. К примеру, спамеры за нее могут отдать неплохие деньги. Обычно они покупают за дешево огромные базы, где процент живых пользователей минимален.

Возможно, это была утечка из компаний…

— Сразу из трех?

— Информация могла быть сворована в разное время, а опубликовали ее всю в один момент. Кроме того, базу могли украсть из третьих сервисов. Если с помощью почты вы регистрировались в том же iCloud или других подобных ресурсах, то информация могла утечь оттуда. А дальше просто адреса разделили на Mail.ru, Gmail и Яндекс. В пользу этой версии говорит то, что, по всей видимости, смогли украсть только адреса, а пароли подбирали по так называемым «радужным таблицам». Обычно сервисы для защиты пользователя не используют пароль в чистом виде, а шифруют его. То есть вместо пароля взломщик получил некую комбинацию символов, которая ему ничего не дала. Но есть «радужные таблицы», они помогают с помощью этой результирующей комбинации установить изначальный пароль. Судя по тому, что в этих базах большое количество повторяющихся паролей, вроде 12345 и qwerty, весьма вероятно их подбирали отдельно.



© Pawel Kopczynski/Reuters — Имеют ли сотрудники компаний доступ к паролям? Могут ли они, при уходе из компании, «слить» кому-нибудь эту базу?

— Это одна из самых больших проблем корпоративной безопасности. Это касается не только ситуации с утечкой паролей, но любой закрытой информации. Самый простой пример, это менеджеры по продажам. У них есть своя база клиентов, и, когда они переходят из компании в компанию, они ее забирают с собой. Ее можно продать, получить от нового начальства какие-то бонусы или самому использовать на новом месте. Недавно Zecurion Analytics провела исследования и выяснила, что большинство сотрудников вообще не считают эту информацию принадлежащей работодателю. Они уверены, что это их личная информация: они получили доступ к базе, дополнили ее и считают ее своей.

Проблема гораздо глубже, чем кажется, поскольку мы опрашивали не только работников, но и студентов — будущих специалистов, кадровый резерв страны на ближайшие 15−20 лет. Подавляющее большинство этих людей считают, что воровать информацию не зазорно. Они не считают это воровством, ведь речь идет об использовании информации, которую они сами частично нарабатывали. В трудовом соглашении наверняка будет указано, какую информацию они не имеют права распространять и почему она является собственностью работодателя, а не работника. Но обычно эти соглашения никто не смотрит, подписывают бумажки скопом при приеме не работу, не вчитываясь в детали. Такое положение вещей не выгодно и работнику, и работодателю. Поэтому, когда мы говорим об информационной безопасности, надо иметь в виду не только технические средства, но и организационные моменты.



— А имеют ли сотрудники компаний доступ к данным, хранящимся в облаке? Грубо говоря, может ли кто-то из них просто ради интереса залезть в аккаунт к той же Дженнифер Лоуренс и посмотреть, что за фотографии она у себя хранит?

— Это зависит от компании. Однако точно мы этого не знаем. Безусловно, компании подстраховываются, подписывают с сотрудниками соглашения о неразглашении информации, но это не дает гарантий.

В первую очередь, надо понимать, что облачный сервис сам по себе представляет большую угрозу безопасности. До сих пор нет реальных механизмов контроля за тем, что туда попало. Когда вы отправляете данные в облако, они для вас потеряны — вы не знаете, где они хранятся и насколько тщательно провайдер, владеющий облачной технологией, будет их защищать. В облаке можно хранить некритичную к утечке информацию, в противном случае надо десять раз подумать, прежде чем пользоваться данной технологией.

Дженифер Лоуренс

© vk.com — На днях стало известно, что американские спецслужбы оказывали давление на Yahoo!, требуя раскрыть личные данные пользователей. Насколько вообще спецслужбы заинтересованы в чтении личной переписки рядовых граждан?

— Они в этом вообще не заинтересованы. Для них это мусор, шум. Простой пользователь интересен коммерческим компаниям, которые будут продавать ему валенки, подгузники или модные гаджеты. Спецслужбы интересуются очень малым количеством пользователей. Но, чтобы выявить такого человека, им приходится «шерстить» огромные потоки информации в интернете.

— Могут ли защитить от этого сервисы для создания анонимности, наподобие TOR?

— Скорее всего, и TOR спецслужбы умеют читать, технические возможности для этого у них должны быть. Но, повторюсь, рядовые пользователи условное ЦРУ не интересуют.

— Но именно рядовые пользователи больше всего кричат о вмешательстве в личную жизнь.

— Действительно, разговоры о Большом брате имеют место быть. Но, если судить на холодную голову, спецслужбам вы не интересны. По крайней мере, сегодня. Если завтра вы вступите в террористическую организацию, то вами, конечно, заинтересуются. Большинство людей волнует не то, что за ними следят, а то, что теоретически это возможно. Это нарушение их конституционных прав.



— Как рядовому пользователю максимально обезопасить свою информацию?

— Главное, при работе в сети понимать, что любая информация, которую вы туда передаете, вам больше не принадлежит. Даже, если это черновик электронного письма. До недавнего времени компании всячески открещивались от слухов о том, что они читают чужую почту. Теперь же они этого не скрывают, но по-другому это позиционируют. Например, были случаи, когда крупные почтовые сервисы сообщали о поимке педофилов. Они находили какие-то фотографии или переписку, уличающие человека в педофилии, и передавали эту информацию в правоохранительные органы. Как это было сделано? Путем сканирования переписки всех пользователей. Поэтому сейчас о приватности говорить не приходится.

Вообще имеет смысл держать три почтовых ящика: для работы, для личных нужд и для регистрации на сторонних сервисах. Простые пароли можно использовать только на «левых» аккаунтах. Даже если такой ящик взломают, и туда посыплется спам, для вас это будет некритично. Важные почтовые аккаунты, которые вы используете для регистрации в платежных системах или интернет-магазинах, надо защищать сложными паролями в десять-двенадцать символов в разном регистре и с цифрами.

Не стоит использовать один и тот же пароль на нескольких сервисах, например, на почте в Яндексе и Gmail, в Facebook и «ВКонтакте». Особенно, если вы не уверены, что конкретный сервис надежно защитит вашу информацию.

В идеале надо менять пароль раз в три месяца, но это сложно, особенно, если много аккаунтов на разных сервисах. В этом случае можно использовать парольные менеджеры — специальные программы, которые собирают ваши пароли и шифруют их в специальном хранилище. Но опять же, если злоумышленник взломает такой менеджер, он получит доступ ко всей вашей цифровой жизни.

Не надо записывать пароль на бумажку и лепить его под клавиатуру или на монитор. Это все равно, что записать пин-код от банковской карты и хранить его в кошельке.

Если для заведения аккаунта не требуется вводить реальные персональные данные, укажите «левые» — можете дату рождения изменить. В случае чего, это поможет вычислить, откуда произошла утечка и принять меры.

С развитием интернет-банкинга появилась опасность потери денег, в случае утечки личных данных. Если есть возможность, заведите отдельный ноутбук для пользования такими системами. Это может быть простейшая машина за две-три тысячи с барахолки. Не требуется даже антивирусов, главное, чтобы была свежая операционная система. С этого компьютера вы будете только заходить в интернет-банк.

Если отдельный девайс приобретать накладно, можно использовать специальную загрузочную флэшку с операционной системой (Live USB). Вставили флэшку, загрузили с нее компьютер, зашли в интернет-банк, провели необходимые операции, вынули флэшку и все. Вы заходили лишь на сайт своего банка, и поэтому шансов, что информацию могут перехватить или подменить хакеры гораздо меньше.

Что касается мобильных телефонов, то лучше использовать простые трубки без операционных систем (сам Владимир пользуется именно таким аппаратом, — прим. ред.). Они надежнее, поскольку защищены от взлома и вирусов. Если же вы фанат модных смартфонов, то заведите отдельный телефон для интернет-банкинга, куда бы вам приходили коды подтверждения операции.

Как всегда, когда речь идет о безопасности, лучше всего использовать все эти решения в комплексе.

Источник: ridus.ru