Чистые руки и грязные тарелки: кто виноват в утечках миллионов паролей и не пора ли что-то менять? Евгений Золотов

Чистые руки и грязные тарелки: кто виноват в утечках миллионов паролей и не пора ли что-то менять?

Евгений Золотов

Опубликовано 11 декабря 2013

Кража учётных записей к веб-сайтам — миллионами и десятками миллионов штук за подход — преступление настолько распространённое, что даже популярная пресса зачастую ленится писать об очередном инциденте. Однако вскрывшееся на днях хищение, жертвами которого стали 2?10^6 сетян, заставило взглянуть на ситуацию под новым углом. Знаете, как страдающий от аллергии на кошачью шерсть хозяин однажды устаёт нагружать пылесос и задумывается завести менее опасного для здоровья домашнего питомца, так и кое-кто из айтишной братии задумался о том, что мир, в котором мы живём, — мир компьютерный, конечно, цифро-электронный — может и, наверное, должен бы быть устроен более совершенно.

Суть новости, которую вы наверняка слышали, проста и до боли знакома. Очередные спецы по безопасности (на сей раз из компании Trustwave) получили доступ к очередной бот-сети, незаметно контролирующей миллионы персоналок в доброй сотне стран (на сей раз это PONY), и наткнулись в её виртуальных закромах на собранную ею же самой коллекцию из примерно двух миллионов паролей-логинов к десяткам тысяч сайтов (в основном, конечно, популярных: Facebook, сервисы Google, Twitter, Yahoo!, даже «Одноклассники» и «В Контакте»). Судя по настройкам, управлял бот-сетью русский, а первоочерёдной задачей на ближайшее будущее для авторов открытия станет осторожная публикация добытых сведений. Facebook и иже с ними уже уведомлены; возможно, будет открыт и сайт, на котором интересующиеся сетяне смогут узнать, нет ли среди скомпрометированных аккаунтов принадлежащих им. В общем, всё как обычно, всё так, как было уже десятки раз за последние годы.

_{Мода на сверхдлинные легкозапоминаемые пароли, составленные из обычных слов, может оказаться недолговечной: атаки со словарём такой пароль, увы, не выдержит.}

И заканчивать рассказы о компьютерных неприятностях тоже принято стандартно — советами по поводу цифровой гигиены, если позволите так выразиться. Ещё десять лет назад свод рецептов для юзера был прост: не запускать программ из «левых» источников, по возможности пользовать альтернативный почтовый клиент, ну и придумывать надёжные пароли — длинные, с перемежающимся регистром, знаками препинания. В Trustwave, кстати, любопытства ради провели анализ попавшей в их руки парольной базы и выяснили, что в смысле стойкости паролей с середины нулевых ничего принципиально не изменилось. Больше трети из них откровенно слабые, половине стоило бы быть сильней. Короче, попытка втолковать обывателю необходимость генерировать хороший пароль провалилась. Но пора уже перестать насиловать мозг пользователя и обратить внимание на технику!

О чём в действительности говорит проявившаяся за последние годы тенденция «оптовой» кражи — не штучно, миллионами? Во-первых, о том, что собственно стойкость пароля более не имеет значения. Точнее, она не имеет того решающего значения, каким обладала раньше. Будь это готовое слово из трёх букв или сложнейшая истинно случайная буквенно-цифровая комбинация, украдут её одинаково легко, посадите только на машину контролирующий клавиатуру вирус.

Но и древний рецепт заботиться о чистоте запускаемого софта, чтобы этот самый вирус не подцепить, так же утратил свою прежнюю значимость. И это вывод второй: пароли нынче активно крадут с персоналок (увы, донести до среднестатистического пользователя важность гигиены не удалось!), но ещё активней — с разницей в один–два порядка — их тащат с серверов. Вспомните, как в октябре неизвестные унесли сто пятьдесят миллионов учёток из недр Adobe Systems. И Adobe не одинока: каждые несколько месяцев ломают очередного интернет-гиганта, вскрывают очередную бот-сеть. Узнать, не утекли ли с одной из этих речушек и ваши пароли, можно, воспользовавшись специальными сервисами (см., к примеру, HaveIBeenPwned.com и ShouldIChangeMyPassword.com). Но защититься от следующего удара они вам не помогут.

_{Внимание на цифры.}

На первый взгляд, происходящее — повод задуматься над уточнением правил цифровой гигиены. Компьютерный мир за последние десять лет изменился исподволь, но радикально. Java и Javascript, бывшие оплотом безопасности, стали чуть не главной дырой в ИТ-укреплениях. Браузеры эксплуатируют для взлома чаще, чем почтовые клиенты — которые, в свою очередь, почти перевелись. Антивирусы остались всё так же непроходимо тупы. Но главное — неизмеримо разрослась, распласталась по некомпьютерному миру Сеть — и мало того, что средний пользователь знает теперь о технике меньше, так ещё и стёрся в головах психологический тормозок, напоминавший, что с информацией следует обходиться осторожно.

Так что же, менять правила гигиены? В некоторой степени, наверное, это действительно поможет. Защититься от краж учётных записей с сайтов мы не в силах, но можем минимизировать ущерб: не использовать один пароль более чем в одном месте, по-прежнему придумывать стойкие пароли, надеясь, что на сервере они будут храниться не чистым текстом, а в виде криптографического хеша, и — новое! — использовать многоуровневые схемы авторизации, одноразовые пины или какие-нибудь суперноваторские средства подтверждения личности (что, впрочем, зависит уже от возможностей и желания владельцев конкретного сайта; пока, увы, тут больше разговоров — см. «Помнить, но не знать», «А можно без пароля?»). В отношении краж с персоналок добавить к старым рецептам нечего: урезать список источников программного обеспечения до минимума (на «Линукс»-машинах это зачастую один–два репозитория), не поддаваться искушению отключить автоматическую установку security-обновок, держаться подальше от доброхотов, впаривающих бесплатный сыр.

Да только и этого нынче недостаточно. Проблема в том, что компьютерный мир меняется качественно, а не только вширь. Десять лет назад бесплатный интернет был голубой мечтой, на которую пускали слюни доткомы. Сегодня он в каждом кафе, парке, аэропорту, в любом общественном месте — вплоть до туалетов! И это пример опасности, существование которой раньше не могли даже вообразить. Понимаете ли вы (не говоря уже о ваших родителях или далёких от ИТ друзьях), что многие веб-сайты не шифруют трафик — и ваш вконтактовский пароль может осесть на винчестере вон того неприметного парня с ноутбуком, приютившегося в углу (прогулка с Wireshark по торговому центру — чрезвычайно увлекательное занятие)? Уверены, что точка доступа, к которой ваш смарт или планшетка так шустро подключились, действительно принадлежит владельцам заведения, а не кому-то из посетителей? Наверное, когда HTTP станет шифрованным по умолчанию, эта угроза ослабнет, но до тех пор в публичных местах стоит быть вдвое внимательней и втрое осторожней.

Таких примеров из разных областей ИТ можно насобирать вагон и тележку — и в каждом случае, конечно, найдётся свой рецепт. Но к чему и ведут дальновидные наблюдатели, упомянутые в самом начале рассказа: наблюдаемая нами слабость — фундаментальная, архитектурная. Корень зла — в неприспособленности, неумении массовой ИТ-инфраструктуры хранить секреты. И задача, в общем, в том, чтобы переложить заботу о защищённости, о безопасности, с пользователя на программы и железо, но и не навредить при этом пользователю. Возможно ли такое? Технически — да: вспомните систему SELinux, суть которой в сведении доступных приложениям привилегий до абсолютного минимума. Практически — не сочтёт ли среднестатистический пользователь такой подход издевательством? Да вытерпим ли даже мы, айтишники?

В статье использована иллюстрация Erin Pettigrew.

К оглавлению