Продолжаем про пароли

Безопасность

Чужой горький опыт


Безопасность, как правило, не та область, которой люди интересуются при выборе очередного приложения или сервиса (если, конечно, это не ваша профессия). Мы руководствуемся удобством, эстетикой, количеством друзей, которые также этим пользуются. Безопасность заботит нас меньше всего, до тех пор пока либо нам не напомнит об этом друг, либо вы узнаете о важности этого невидимого компонента на своем горьком опыте. К счастью, есть и третий вариант — учиться на чужих ошибках.

Мэтт ХонанМэтт Хонан, один из корреспондентов издания Wired подвергся такой атаке этим летом. Его Gmail был взломан, а учетная запись удалена. Так как все сервисы Google имеют единую учетную запись, то получив доступ к Gmail, хакер удалил и всю информацию, связанную с этой учетной записью. Удалил все, документы в Docs, фото в Picasa, etc.

Twitter Мэтта также был взломан и от его имени сообщения отправляли другие люди. А в довершение всех бед, были удалены данные на всей его персональной электронике, на iPhone, iPad и на паре ноутбуков (тоже производства Apple). Хакеры, завладевшие его учетной записью в Apple запустили процесс удаленного форматирования который обычно используется для ликвидации данных на краденных устройствах. За какой-то час была безвозвратно уничтожена деловая переписка, важные контактные данные, семейные архивы и многое другое, на восстановление (притом не всей) информации ушло значительное количество денег и времени. Впоследствии Мэтту удалось выйти на связь с одним из хакеров и соединив вместе данные полученные от него, и собранные в результате собственного расследования выяснить схему действий хакеров. Вот как все произошло

Сеанс магии с разоблачением


Все что интересовало хакеров – это логин Twitter. Он был очень коротким (@mat) и потому приглянулся им. Чтобы до него добраться нужен логин (в случае с Twitter – это адрес электронной почты) и пароль. Но пароль можно сбросить, значит остается получить только логин. Подавляющее большинство людей использует свой основной почтовый адрес в качестве логина ко всем используемым сервисам, и Мэтт, к сожалению, не был исключением.

Урок №1: Заведите отдельные почтовые ящики для переписки и контактов и обособленный ящик — “ключ”, с которым вы будете связывать другие сервисы. Не публикуйте нигде этот адрес, также он не должен быть легко угадываемым (например, именем и фамилией).

Предположив, что логин Google служит логином к Twitter, взломщик ввел на странице восстановления пароля адрес почтового ящика. Так как в ящике Мэтта не была включена двухфакторная система авторизации, то хакер узнал о запасном адресе почты, на который отправлялось сообщение о сбросе пароля. Это был ящик, прикрепленный к учетной записи Apple — m••••n@me.com. Адрес был виден не весь, но по тому что было видно его получилось угадать.

Урок №2: Включите двухфакторную авторизацию там, где она доступна (на сегодняшний день — Google, Dropbox, некоторые другие). Не связывайте критически важные учетные записи — получив доступ к одной, взломщик может быстро овладеть всеми.

Для того, чтобы получить доступ к AppleID без пароля, хакеру мог обратится в техподдержку выдав себя за хозяина аккаунта. Для этого, помимо адресу ему нужен был еще и биллинговый адрес, а также четыре последних цифры номера кредитной карты.

Адрес обычно можно найти на личном веб-сайте или поиском сопутствующей информации в интернете. Номер же кредитки был вычислен через Amazon. Как выяснилось, у гиганта интернет-торговли есть брешь в системе безопасности, которую может использовать любой с минимальным знанием приемов социотехники. Пользуясь этой дырой в защите хакеру удалось завладеть аккаунтом Мэтта в Amazon, а вместе с ним и всеми номерами кредитных карт, которые были к нему привязаны. Таким образом последний бастион защиты AppleID пал, а вслед за ним и все остальные связанные учетные записи.

Урок №3: Люди делятся на две категории — тех, кто не делает резервное копирование, и тех кто уже делает. Излишне говорить кем лучше быть когда гром все-таки грянет. Делайте копии важных данных и храните их в локальном хранилище, а если есть возможность — и в сервисах облачного хранения. Но старайтесь избегать «связывания» их в цепочку, чтобы избежать сценария “каскадного отказа”, когда компрометация одного хранилища может привести к потере данных на всех (например, некоторые должны быть настроены только на запись не позволяя стирать информацию).

Удаленное уничтожение информации на ноутбуке — спорная тема, изначально эта функциональность предназначалась для защиты информации пользователя в случае кражи техники, но очевидно что когда доступ к управлению этой функциональностью может получить кто угодно, польза от такой “защиты” весьма сомнительна.

Впрочем, это явно не конец истории – популярные операционные системы становятся все более облакоориентированными (Skydrive будет интегрирован в Windows 8 на уровне ОС, также как интегрирован iCloud в OS X) и вскоре подобная функциональность появится в других системах, более того — она может стать неотключаемой.

Готовимся к худшему


ХакерИтак, вы последовали всем советам. Теперь-то можно спать спокойно, мы в безопасности? Вынужден разочаровать — нет.

Принятые меры снижают вероятность взлома любителями и помогут вам восстановить данные в случае их потери. Однако, от целеустремленных и хорошо оснащенных хакеров защититься сложно. Из их среды выделяются две категории:

  • профессионалы, зачастую связанные с криминальными структурами, в основном действующие при помощи троянов/malware и в основном выцеливающие средний/мелкий бизнес (весьма прибыльное занятие кстати говоря — только в прошлом году объем краж с кредитных карт составил более $ 5 млрд.)
  • “юные дарования”, занимающиеся хакингом от скуки (недостаток оснащенности компенсируют изобретательностью, самый известный пример — Кевин Митник).

Новые уязвимости и способы взлома обнаруживаются каждый день, и победить в этой гонке можно только одним способом — изменив правила игры. Система авторизации должна измениться, а пароль должен быть заменен.

Чем? Некоторые компании предлагают использовать биометрические средства идентификации, но это также полумера — к тому же если скомпрометированный пароль можно сменить, то что делать если вашими дактилоскопическими данными завладели третьи лица?

Другие считают, что идентификация будет многоступенчатой и происходить по семантическим признакам — истории браузинга, места, из которого происходит доступ и в зависимости от таких факторов будет включать разное число этапов. Если вы заходите на сервис со своего домашнего компьютера, то проверка будет минимальной. А вот если сигнал исходит от клиента где-то в Нигерии, то “допроса с пристрастием” не избежать.

Одним из побочных эффектов этого подхода будет увеличение объема персональной информации, которую придется раскрыть идентифицирующей стороне. И это ставит нас перед выбором: хранить личную информацию и надеяться что вы сможете защитить её или отдать её на попечение интернет гигантов и надеяться что они смогут ей хорошо распорядиться.

Ни один из вариантов не кажется очень привлекательным, но это выбор который, возможно, нам придется сделать весьма скоро.

А пока что — храните пароли на бумаге.

Комментарии (2)

Последнее предложение — это видимо «тонкий» юмор. Осталось добавить — "… в виде стикеров наклеенных на монитор" :)
Кстати говоря нет. Я сам так и делаю — на домашней машине (хотя насчет стикеров не угадали)). А в корпоративных структурах этим занимается ИТ-отдел. Решения типа 1Password страдают от все той же проблемы «слабого звена» — если взломан менеджер паролей, то компрометируется вся система безопасности.

Добавление комментариев доступно только зарегистрированным пользователям. Используйте свою существующую учетную запись для авторизации. Если у Вас еще нет учетной записи на сайте ее можно создать пройдя несложную процедуру регистрации. Кстати, для входа на сайт, наравне с учетной записью на cloudzone.ru, можно использовать аккаунт из следующих популярных сервисов: Яндекс, Facebook, Google и LinkedIn