Сообщение о том, что русской преступной банде удалось похитить более 1,2 миллиарда паролей, заставило многих профессионалов в области компьютерной безопасности почесать затылки по поводу того, имел ли место, на самом деле, этот взлом, а также подумать о том, какое значение он может иметь.
Газета New York Times сообщила во вторник, что, по данным одной американской фирмы, русская преступная банда похитила 1,2 миллиарда имен пользователей и паролей с веб-сайтов в разных странах мира.
Это сообщение явилось результатом продолжавшегося 18 месяцев расследования, проведенного расположенной в пригороде города Милуоки фирмы Hold Security, специализирующейся в области компьютерной безопасности. По словам ее представителей, им удалось обнаружить, вероятно, «самое большое хищение данных из известных на сегодняшний день».
Обычно в такой момент эксперты в области компьютерной безопасности начинают говорить о тех уязвимостях, которые позволили совершить подобного рода взлом, тогда как веб-сайты начинают публиковать статьи о том, что вы должны поменять свои логины, а также о том, почему программа «менеджер пассвордов» сегодня актуальна, как никогда.
Однако на этот раз эксперты в области безопасности реагируют на появившееся сообщение с большой долей скептицизма — а также приводят множество остающихся без ответа вопросов.
Вопросы относительно мотивов компании Hold Security
Почему так? Ну, во многом это связано с тем, каким образом компания Hold Security раскрывает полученную информацию.
Почти в тот же момент, когда появилась статья в газете New York Times, репортеры из журнала Forbes и газеты Wall Street Journal сообщили, что компания Hold Security намерена разрешить пользователям (предположительно, речь идет о веб-сервисах) всего за 120 долларов в год получать информацию о том, стали ли их данные частью произведенного взлома.
Использование угроз в области безопасности для продажи продуктов и услуг является обычной практикой фирм, работающих в области компьютерной безопасности. Однако эта проблема для членов сообщества безопасности имеет двоякий характер.
Начнем с того, что компания Hold Security не очень хорошо известна в сообществе специалистов в области безопасности (по крайней мере, под названием Hold Security). Многие эксперты, даже в районе Милуоки, никогда не слышали ни о самой фирме, ни о ее основателе Алексе Холдене (Alex Holden).
Как говорится в одном из комментов в блоге известного гуру в области компьютерной безопасности Брюса Шнайера (Bruce Schneier), у этой компании не было даже своего действующего сайта вплоть до того дня, когда была опубликована упоминавшаяся статья. Это не обязательно что-то означает, однако следует отметить, что присутствие в интернете компании, работающий в области компьютерной безопасности и сумевшей обнаружить взлом такого уровня, оставалось, практически, незаметным еще несколько дней назад.
Не все эксперты в области безопасности проявляют озабоченность. Уважаемый журналист Брайан Кребс (Brian Krebs), специализирующийся в области компьютерной безопасности и первым сообщивший новость о взломе системы кредитных карт торговой сети Target, поручился за Холдена и за его работу. На самом деле, Кребс говорит, что исследования Холдена составили основу нескольких его больших сенсационных материалов, в том числе о взломе пассвордов фирмы Adobe.
Следует отметить, что Кребс находится в списке доверенных советников компании Hold Security.
Вопросы относительно проверки корректности данных
Хотя поддержка со стороны Кребса существенно уменьшила опасения относительно того, что Hold Security может оказаться не заслуживающей доверия фирмой в области компьютерной безопасности фирмой, которая, на самом деле, пытается просто заработать на очередной панике в этой сфере — или, что еще хуже, пытается похитить пользовательскую информацию, — она, эта поддержка, не успокоила сомнений экспертов по поводу самого взлома.
Она также не меняет того факта, что «услуга» компании Hold Security, направленная на выяснение того, не является ли ваши собственные данные частью взлома, представляется плохо продуманной.
Независимый аналитик в области безопасности Грэм Клули (Graham Cluley) выразил чувства многих людей, работающих в области компьютерной безопасности, когда он написал о том, что «в этом деле что-то «не так».
По мнению Клули, компания Hold Security хочет, чтобы пользователи подписались на то, что его сотрудники называют услугой по защите личных данных клиентов компании Hold (Consumer Hold Identity Protection Service). Это похоже на службу мониторинга за кредитными данными с той лишь разницей, что вместо проверки вероятности кражи личных данных фирма осуществляет контроль за возможностью кражи ваших логинов и адресов электронной почты.
Несмотря на заявления компании Hold Security о том, что она никогда не спрашивает пользователей об их пассвордах, сама форма предоставления подлежащей проверке информации и сверки ее с содержанием базы данных свидетельствуют именно об этом.
В связи с этим, по мнению Клули, возникает немало вопросов разного характера.
Прежде всего, хотелось бы знать, что будет в том случае, если компьютер, на котором работает пользователь, уже заражен вредоносной программой, регистрирующей нажатие клавиш? Не облегчит ли это возможность для злонамеренных хакеров получения доступа к наиболее чувствительным пассвордам, которые будут внесены в онлайновую форму?
А что можно сказать о возможности для плохих парней создать липовые версии подобного веб-сайта, особенно в том случае, когда это делается с намерением украсть логины пользователей?
Но самое главное состоит в том, что вы вообще не должны подталкивать пользователей к тому, чтобы они вводили свои пассворды для сайта X на совершенно другом веб-сайте, даже если намерение состоит не в том, чтобы передавать их в незашифрованном виде какой-то третьей стороне. И не та ли эта фирма, которая как раз недавно предупредила весь мир об огромном количестве похищенной личной информации? А тут вдруг она начинает уговаривать пользователей вести себя таким образом, который явно нельзя назвать безопасным.
Сначала компания заявляет о том, что при предоставлении подобной услуги никогда не будут запрашиваться пассворды пользователя, а сразу после этого требует предоставить список пассвордов (с обещанием относительно того, что эти логины будут обработаны с помощью хеш-функции и затем зашифрованы). Даже если ничего подозрительного в этом нет, способ выражения выбран совершенно неуместный.
Хотя используемый фирмой Hold Security код выглядит достаточно солидно, это не означает, что предоставление пассвордов вообще можно считать хорошей идеей.
Нельзя обвинить членов сообщества специалистов в области безопасности информации в ироничном отношении к идее о том, что лучший способ защиты данных от хищения является сбор зашифрованных пассвордов с помощью определенной веб-формы.
Даже если эти данные реальны, они, возможно, не имеют никакого значения
Однако главный вопрос в этой связанной с безопасностью истории состоит в том, что нет достаточного количества информации относительно важности якобы похищенных данных.
На первый взгляд, 1,2 миллиарда логинов и пассвордов представляются гигантской величиной, но так ли это?
По мнению веб-сайта Verge, весьма вероятно, что даже в том случае, если 1,2 миллиарда пассвордов на самом деле были украдены, это не обязательно означает, что похищенные данные являются столь ценными.
По имеющимся сведениям, эти данные были похищены не с одного сервиса, а с сотен (или тысяч). Более того, компания Hold Security утверждает, что русская кибер-банда ранее приобрела какие-то данные у других хакеров. При этом не уточняется, являются ли 1,2 миллиарда данных результатом новых атак, или они включают в себя также похищенные ранее сведения.
Если последнее предположение верно, то в таком случае мгновенно вся эта история становится менее интересной, потому что похищенные недавно данные ранее уже были украдены. Если данные, полученные в результате предыдущих атак, являются частью похищенного массива пассвордов, то в таком случае, по крайней мере, часть из них являются устаревшими и не представляют никакого интереса.
Веб-сайт Verge подчеркивает, что фокусирование внимания на цифре 1,2 миллиарда пассвордов является попыткой смешать количество с качеством. Однако это нельзя назвать беспристрастной оценкой.
Ценность пассвордов к несуществующим веб-форумам или к сети MySpace примерно 2006 года не обязательно является тем же самым, что и получение нескольких сотен миллионов логинов Facebook.
В конечном итоге похищенные данные, судя по всему, не будут иметь большого значения
Даже если мы предположим, что все данные, полученные в результате проведенной атаки, являются новыми — и что некоторые из них являются ценными, все это, тем не менее, может не представлять особого значения.
Брюс Шнайер наилучшим образом подводит итог и утверждает, что вся эта история является «свидетельством того, насколько безопасным на самом деле является интернет».
Мы не видим масштабных случаев мошенничества или кражи. Какая-то банда российских хакеров похитила 1,2 миллиарда пассвордов — некоторые данные, вероятно, находятся в их распоряжении год или более того, и все продолжает работать нормально.
Возможно, у вас в бумажнике сейчас находится кредитная карта, номер которой был похищен. В данный момент обнаруживаются уязвимости нулевого дня, которые могут быть использованы для взлома вашего компьютера. Уровень безопасности везде ужасен, но все продолжает работать. Это довольно странный парадокс, к которому мы сегодня уже привыкли.
Информация относительно моей кредитной карты похищалась уже четыре раза за последние три года, и происходило это по причине плохой работы систем безопасности со стороны Sony, Target, веб-хостинговой компании, а также расположенного по соседству банкомата. Я вполне готова к тому, чтобы, по крайней мере, еще четыре раза получить новую карту в течение следующих трех лет.
Пассворды для различных форумов и несуществующих уже стартапов эпохи веб-2.0, связанные с моим адресом электронной почты, в большом количестве представлены в интернете. В неделю предпринимается, по меньшей мере, пять попыток взломать мой аккаунт сервиса Dropbox.
Тем не менее, я без проблем продолжаю покупать вещи в режиме онлайн, использую облачные сервисы, а также многонациональные дисконтные сети. Почему? Потому что я исхожу из некомпетентности всего и всех.
Не полагаясь на то, что мою информацию не взломают, я продолжаю работать и ожидаю, что именно это и произойдет. Это не означает, что взлом одного из моих главных адресов электронной почты или моего банка не нанесет ущерба. Но я делают все возможное для того, чтобы ограничить такого рода вероятность и использую для этого безопасные, уникальные пароли на важных сайтах, а также двухфакторную аутентификацию и вообще не имею копий пассвордов с логинами, которые могут быть связаны к таким сервисам как электронная почта, фейсбук или твиттер.
Все еще остается много вопросов относительно банды русских хакеров, и я склонна верить, что имеющиеся данные реальны, однако их опасность преувеличена. Вместе с тем ответ на более важный вопрос — является ли наша информация защищенной — был получен уже давно.
Нет, она не защищена. Однако, как говорит Брюс Шнайер, все окей.
