Хакер Алексей Смирнов — о том, кто взламывает аккаунты простых людей и как этого избежать The Village узнал, кто ставит лайки в «Фейсбуке» вместо вас, как подобрать правильный пароль и что из себя представляет хакерское сообщество
Недостаточно изобретательный пароль может лишить вас денег на банковской карте, любимых аккаунтов в социальных сетях и раскрыть все ваши секреты широкой общественности. От этого не застрахованы ни самые простые пользователи, ни политики, ни звёзды.
О том, как себя обезопасить в интернете, кто и зачем взламывает других, The Village рассказал директор по информационной безопасности Parallels Алексей Смирнов. В середине 90-х он вместе с группой других хакеров поучаствовал во взломе системы безопасности Citibank. Сейчас Смирнов называет это «масштабным проектом по сбору и систематизации информации, в котором не было корыстной цели». В то время киберпреступления не карались российским законодательством, а сейчас прошёл срок давности. Смирнов перешёл на светлую сторону, ему удалось выстроить карьеру в сфере информационной безопасности, не имея даже образования.
О российских хакерах
— Правда ли что российские хакеры — одни из лучших в мире?
— Да, можно сказать и так. Российские хакеры широко известны во всём мире, и эта репутация оправданна, хотя, конечно, хакеров много везде. C чем это связано, я не знаю. Не думаю, что это как-то коррелируется с уровнем IT-образования. Скорее, дело в ментальности. У нас много людей, которые склонны к каким-то самостоятельным исследованиям. Кого-то из наших специалистов переманивают за большие деньги и в Кремниевую долину, и куда угодно. Сам знаю некоторых специалистов, которые давно стали миллионерами.
— Составьте среднестатистический портрет российского хакера.
— В основном это либо студенты, либо вчерашние выпускники вузов. Люди постарше тоже есть на рынке, но, как правило, они подходят к вопросу более профессионально и работают в компаниях, которые занимаются анализом безопасности кода. Девушек в сфере немного, но есть тенденция к увеличению их количества. Я бы сказал, что сейчас их в этой сфере 20 %. Они совершенно конкурентоспособны.
— Как происходит поиск уязвимостей?
— У нас в компании есть два направления. Первое работает с клиентами, с частными лицами, второе — это B2B. Самое интересное происходит во второй части, где создаётся софт для дата-центров облачных провайдеров. Наши штатные исследователи находят там проблемы.
Девушек в сфере немного, но есть тенденция к увеличению их количества. Я бы сказал, что сейчас их в этой сфере 20 %.
Они совершенно конкурентоспособны
Что-то нам присылают фрилансеры. За это мы выплачиваем вознаграждения. Если человек достаточно много копается с нашими продуктами, мы можем пригласить его в штат. Размер вознаграждения зависит от серьёзности найденной уязвимости.
— В одном из интервью вы говорили, что в 90-е все хакеры искали способы разбогатеть с помощью взлома. Изменилось ли сейчас соотношение тех, кто работает на светлой и тёмной сторонах?
— Да, изменилось, светлых хакеров стало сейчас намного больше, чем было. И причём те, кто работает на светлой стороне, как правило, более квалифицированны. Для того чтобы слегка зарабатывать деньги тёмной стороной, большая квалификация не нужна. Как ни странно, это занятие более скучное или рутинное. Но всё-таки я обобщаю, могут быть исключения в разные стороны.
— А помните, пару лет назад была найдена уязвимость в Skype, когда можно было получить доступ к аккаунту, просто зная почту владельца? Это обнаружили ребята из России. Если бы они обратились в саму компанию с такой находкой, а не рассказали бы про неё всему интернету, они могли бы рассчитывать на вознаграждение от Skype?
— Я не знаю, как в Skype организована работа с хакерами. Например, в Microsoft, которой он теперь принадлежит, и в Google вознаграждения точно есть. Суммы могут составлять от сотни долларов до нескольких десятков тысяч. Но десятки тысяч — это если уязвимость находится в совсем публичном сервисе или популярном приложении. Возможно, это как раз тот случай.
Если смотреть на общую ситуацию, то человек, который обращается в компанию с найденной уязвимостью, обычно получает немножко меньше, чем он бы получил на чёрном рынке, но, с другой стороны, ему не нужно искать заказчика, впутываться в криминальные дела. Работая на легальном поле, он может строить свою репутацию и монетизировать свою известность. В Россию ещё только проникает понимание, что приличные деньги и возможность реализовать свою страсть к разбору всего и вся можно получить более цивилизованным способом — имея работодателя.
— Говорят, что российская полиция совершенно беспомощна в борьбе с хакерами.
— С одной стороны, это так. С другой — есть определённое количество коммерческих компаний, которые помогают в расследовании инцидентов. Если они присоединяются к расследованию, то шансы быть пойманным существенно увеличиваются.
Об утечке фотографий звёзд в iCloud
— Тим Кук говорит, что вины Apple во взломе iCloud звёзд нет. Вы согласны?
— Одна из основных версий — это подбор пароля через функцию Find my phone. После этого создавалась резервная копия на другом айфоне. Это правдоподобная версия. Если всё так, это не уязвимость в сервисе, там просто была возможность обойти защиту методом перебора пароля, так что даже в этом случае хороший пароль мог бы спасти аккаунт.
Теперь Apple вводит двойную верификацию в iCloud, пользователям будут приходить уведомления о том, что подозрительные люди пользовались функцией Find my phone. Полезная вещь.
— У вас не складывается ощущения, что атака на iCloud — это происки Dropbox, которым они давно мешают жить?
— Не знаю, но мне эта идея кажется неправдоподобной.
— Зачем тогда всё это было? Хакеры с этих сливов не получили ни славы, ни денег.
— Возможно, это одни из немногих хакеров, которые работают ради развлечения. Обычно взламывают что-то ради денег.
Пароли собирались хакерами для каких-то своих целей, а потом решили выложить в открытый доступ, что не пригодилось. Чтобы не пропадало и наделать много шума. Им удалось
— Помните, недавно был случай, когда хакеры выложили в открытый доступ пароли сотен пользователей Gmail, «Яндекса» и других? Притом большая часть из них уже недействующие. А это было зачем?
— Чтобы посеять страх, неуверенность и сомнения, раз выкладывались самые разные сервиcы и достоверность аккаунтов постепенно убывала. Только у «Яндекса» был действительно большой процент реальных профилей. Вероятно, пароли собирались хакерами для каких-то своих целей, а потом решили выложить в открытый доступ, что не пригодилось. Чтобы не пропадало и наделать много шума. Им удалось.
— А хакерское сообщество обычно знает, кто и за каким инцидентом стоит?
— По-разному бывает, но тех, кто выложил почты, я, например, не знаю. Иногда хакеры друг друга знают, иногда анонимно общаются друг с другом.
О паролях
— Вы говорите, что очень маленькое количество людей придумывает нормальные пароли. Ошибка в его простоте или в том, что люди везде повторяют один и тот же?
— Ошибок несколько. Во-первых, использование одного и того же пароля на разных сервиcах. Довольно распространённая ситуация, когда у человека засвечен важный пароль на сервисе с низким уровнем безопасности. В результате хакер получает доступ к ресурсам, которые трудно взломать. И, конечно, повсеместная неспособность придумать хороший пароль.
— А хороший пароль — это сколько знаков?
— Необязательно речь идёт о количестве знаков. Желательно несколько слов, использование цифр, букв разного регистра тоже в определённой степени помогает.
— Как пользователю понять, насколько защищён ресурс?
— Надо ранжировать по возможным последствиям. Если регистрироваться на каком-то малоизвестном форуме, можно использовать один и тот же пароль для всех из них. Если их все уведут, то в этом не будет ничего страшного. Если для вашей жизни имеют большое значение социальные сервисы типа Google+ и Facebook, то лучше использовать пароль посложнее, хоть у этих сервисов и защищённость выше. Если сервис предоставляет дополнительные возможности по верификации, например, с помощью СМС, определённо стоит этим пользоваться.
— И как обычный человек может придумать и запомнить столько сложных паролей?
— Сервисы для хранения паролей — это, конечно, неизбежное зло, но лучше пользоваться ими, чем одним паролем повсеместно.
— Как вы сами защищаете себя от взлома?
— Самые важные пароли я помню наизусть, остальные храню в программе для хранения паролей.
— А велики ли шансы быть взломанным у простого непубличного человека, который никому не насолил?
— Да, ведь наверняка у него дурацкий пароль. И его хакнут в какой-то массовой акции, где будут подбирать пароли методом перебора. Прежде всего нужно защищать свой мейл. Практически любой сервис даёт возможность сброса пароля через почту. Самый сложный пароль придумывайте для почты, плюс используйте возможность вернуть его с помощью телефона.
Распространённая ситуация, когда у человека засвечен важный пароль на сервисе с низким уровнем безопасности. В результате хакер получает доступ к ресурсам, которые трудно взломать
— От пароля никуда не уйти.
— В будущем компании будут увеличивать защиту и добавлять новые сервисы помимо пароля. Например, СМС. У Google есть очень хороший сервис — Google Authenticator, который позволяет пользоваться одноразовыми паролями. Их используют в дополнение к обычным.
Я не думаю, что в ближайшем будущем мы сможем избавиться от паролей, их смерть предсказывают ещё с 70-х годов. Это до сих пор регулярно прогнозируют, но подвижек меньше, чем можно было ожидать. Не знаю, сколько времени ещё понадобится, чтобы полностью отказаться от паролей. Может быть, 30 лет, а может, и 50.
— А как вам считыватель отпечатков пальцев в iPhone?
— Я жду, когда кто-нибудь из специалистов поковыряет это, расскажет, что там внутри и насколько он легко дурится. Мне в целом это не очень нравится, потому что все известные сканеры отпечатков пальцев легко обмануть. Для идентификации можно использовать отпечаток, который человек оставил рядом с кнопкой — на дисплее. А можно использовать и те отпечатки, которые человек оставил на кружке в баре. Но если рассматривать это как альтернативу четырёхциферному пину, то в целом это перспективно, но это должно использоваться не само по себе, а в дополнение.
— Это может перейти с гаджетов на защиту в вебе?
— Это сложно по одной простой причине. Информация, которая хранится в отпечатке, — это не такое большое количество бит-информации, и её достаточно легко украсть. Плюс любая идентификация по биометрии завязана на безопасности считывателя. Если он находится в руках злоумышленника, то в ней никакого толка нет.
О лайках в «Фейсбуке» и браузерах
— Некоторые пользователи «Фейсбука» замечают, что они подписаны на страницы, на которые они не подписывались. Есть такая версия, что их незаметно взламывают, ставят лайк, где надо, и больше ничего не делают. Такое возможно?
— Такая вероятность есть. Но более вероятно, что проблемы были со скриптингом сайта, когда от лица пользователя делается какое-то действие. Он просто заходит на «Фейсбук», попадает на сообщение, где неотфильтрованы скриптовые языки, и браузер ставит лайк без ведома пользователя. Большая категория веб-уязвимостей связана с тем, что эти скрипты исполняются с правами сайта, который подвергается атаке. Но иногда такой запрос можно сделать и с постороннего сайта.
— И как с этим бороться?
— Это в первую очередь связано с проблемами безопасности сайтов. Это постоянный процесс поиска и устранения уязвимостей. Некоторые категории атак можно предотвратить и на уровне браузера, разработчики стараются сделать всё возможное для этого.
— Какие браузеры самые защищённые? Вот у Internet Explorer плохая слава, это заслуженно?
— Cкорее, его просто больше атакуют. К тому же он сильнее интегрирован с Windows, и там есть большое количество механизмов, которые в других операционных системах отсутствуют. В общем, разница, может быть, и есть, но она незначительная.
— А вы каким браузером пользуетесь?
— Firefox.
— Мне казалось, что все давно на Chrome перешли.
— Знаю, но я его несколько недолюбливаю — он потребляет много ресурсов. Хотя, наверное, с точки зрения безопасности он немножко лучше.
— А где сейчас люди подцепляют вирусы? Наверное, на подозрительные письма уже ведутся только бабушки.
— Совсем не только бабушки, это по-прежнему основной вектор распространения вируса. Конечно, присутствует процент какой-то эксплуатации уязвимости «нулевого дня» в софте, то есть не закрытой последними исправлениями, но он падает. В принципе человек, который аккуратно ведёт себя в интернете и своевременно обновляет программное обеспечение, имеет близкий к нулю шанс подцепить вредоносную программу.
Российские банки не отдают деньги в случае инцидента, с ними приходится ругаться. В Европе или Америке банк сначала возвращает деньги, а потом начинает разбирательство
— Если человек ведёт себя аккуратно, имеет смысл ставить антивирус или они переоценены?
— Переоценены, но простому пользователю стоит поставить. Особенно если он пользуется Windows. Источником вируса может быть любой сайт.
— Всем переходить на Mac?
— Да, но и в этом случае надо не пренебрегать обновлениями, иначе он будет таким же уязвимым. Были массовые случаи заражения «маков», когда они не были обновлены.
— Ну Mac же все критикуют за то, что он разрушает остатки приватности в этом мире и следит за пользователями.
— Можно его настроить под себя. Я, например, не доверяю свои данные iCloud и не пользуюсь им.
— Ещё говорят, что если взломают почту, то это ещё как-то можно пережить и всё вернуть, но если взломали телефон, то это фатально.
— Случаев взлома телефона в дикой природе практически нет, потому что это исключительно социальная инженерия. Человек сначала своими руками, чтобы ставить какие-то странные пиратские программы, отключает все проверки безопасности и разрешает установку программ из сторонних источников. После этого ему предлагают что-нибудь поставить, и он это зачем-то ставит, у него начинаются проблемы. Проблема не в нелицензионных программах, а в головах — человек ставит это по своей воле.
— Что вы скажете об уровне защиты российских банков? Сильно ли он отличается от уровня защиты западных банков?
— Он примерно одинаков. Но чаще защита российских банковских приложений даже чуть выше, это важнее для России. Банки не отдают деньги в случае инцидента, с ними приходится ругаться, иногда даже судиться. В Европе или Америке банк сначала возвращает деньги, а потом начинает разбирательство.
— А что касается российского законодательства, как вы относитесь к закону о персональных данных? Депутат Деньгин заявил, что в России данные будет хранить безопаснее.
— Это полные глупости. Всё делается ради контроля. Чтобы интернет развивался, правительственный контроль не нужен.
Фотографии: Семён Кац
Чтобы прочитать целиком, купите подписку. Она открывает сразу три издания
месяц
год
Подписка предоставлена Redefine.media. Её можно оплатить российской или иностранной картой. Продлевается автоматически. Вы сможете отписаться в любой момент.
На связи The Village, это платный журнал. Чтобы читать нас, нужна подписка. Купите её, чтобы мы продолжали рассказывать вам эксклюзивные истории. Это не дороже, чем сходить в барбершоп.
The Village — это журнал о городах и жизни вопреки: про искусство, уличную политику, преодоление, травмы, протесты, панк и смелость оставаться собой. Получайте регулярные дайджесты The Village по событиям в Москве, Петербурге, Тбилиси, Ереване, Белграде, Стамбуле и других городах. Читайте наши репортажи, расследования и эксклюзивные свидетельства. Мир — есть все, что имеет место. Мы остаемся в нем с вами.