Одной из самых громких новостей этой недели стало сообщение фирмы Hold Securities о том, что группа киберпреступников из России (названная CyberVor) якобы совершила самый крупный за всю известную историю взлом баз с личными данными. В итоге, говорится в сообщении, злоумышленники разжились более чем миллиардом паролей от 4200 сайтов и FTP-серверов.
Почему «якобы»? Да потому что у многих экспертов по компьютерной безопасности данная новость вызвала серьёзное недоумение по поводу значимости произошедшего — а то и правдивости сообщения о нём. Обычно любой подобный инфоповод поднимает волну публикаций об уязвимостях современных компьютерных систем, о важности смены паролей и т.п. Сейчас же профессиональное сообщество отреагировало с изрядной долей скептицизма. И для этого определённо имеются весьма весомые основания.
А судьи кто?
Сообщение о взломе появилось даже в столь авторитетном издании, как New York Times — со ссылкой на ту же Hold Security. Тогда же в публикациях Forbes and The Wall Street Journal ненавязчиво всплыла информация о разработке сервиса, который всего за $120 в год позволит пользователям следить, не подверглись ли их данные краже. Автора разработки, думаю, уточнять не надо.
Сама по себе попытка сделать денег на очередной угрозе — дело вполне привычное; по сути, на этом стоит вся отрасль компьютерной безопасности. Проблема в том, что конкретно данный участник отрасли выглядит несколько сомнительным.
Среди специалистов о Hold Security до недавних пор практически не слышали — по крайней мере, о таком названии. В Милуоки, штат Висконсин, где расположена компания, многие профильные исследователи не знали и об Алексе Холдене (Alex Holden), основателе фирмы. А один из комментаторов в блоге security-гуру Брюса Шнайера (Bruce Schneier) отмечает, что до начала всей истории с российскими хакерами Hold Security даже не имела работоспособного сайта (хотя домен был занят ещё с прошлого года).
Стоит, правда, вспомнить, что за компанию вступился уважаемый журналист и исследователь Брайан Кребс (Brian Krebs) — известный, в частности, по освещению истории со взломом базы данных кредитных карт Target. Кребс утверждает, что именно разработки Hold Security помогли ему в некоторых расследованиях, включая кражу паролей Adobe. Кроме того, он же указан в списке консультантов компании.
Конечно, участие именитого специалиста позволяет надеяться, что Hold Security — не просто фирма-однодневка, намеренная нажиться на панике, и не мошенническая структура. Но тем поразительнее оказывается непродуманность и откровенная корявость сервиса, предлагаемого обеспокоенной общественности «борцами за безопасность».
Скажите «крекс-фекс-пекс!»
Независимый специалист по кибербезопасности Грэхем Клюли (Graham Cluley) очень чётко и лаконично описал абсурдность подхода Hold Security в одном из своих твитов:
«Мы никогда не будем просить Ваш пароль. Введите Ваш пароль», — пишет контора, раскрывшая кражу «миллиарда паролей».
Да-да. Для проверки того, не стал ли пользователь жертвой взлома, Hold Security просит его предоставить список паролей — чтобы уточнить по своей базе, не был ли какой-нибудь из них украден!
Думаю, если бы не гарантии со стороны Кребса, реакция любого здравомыслящего человека на такое была бы однозначной: мошенничество.
Но даже с этими гарантиями сервис вызывает множество вопросов. И речь даже не о порочности самой идеи предоставления паролей третьим лицам, а о том, как реализована сама процедура. А реализована она… через обычную веб-форму. Разумеется, Hold Security обещает хешировать и шифровать введённые пароли; кроме того, редактор издания Virus Bulletin Мартен Гротен (Martijn Grooten) утверждает, что при беглом просмотре не заметил явных «дыр»в исходном коде страницы с формой.
Тем не менее, легче от этого как-то не становится. Вот какие нюансы отмечает тот же Клюли:
Во-первых, что если компьютер, с которого вводятся данные, заражён keylogger’ом? Ведь само собой разумеется, что хакер-злоумышленник будет искать самые важные пароли жертвы именно среди введённых в данной веб-форме!
А как насчёт возможных фальшивок, копирующих интерфейс данной страницы исключительно с целью кражи данных?
Но самое главное: нельзя советовать пользователям вводить пароль от одного сайта на другом, даже если никто не собирается передавать его в незашифрованном виде. Не эта ли фирма предупредила мир о масштабной краже личных данных? И она же требует от пользователя однозначно небезопасных действий.
Процедура уже стала объектом насмешек в профессиональной среде:
— Вышлите мне 1,2 млрд батончиков Mars, и я сравню их с теми, что есть у меня.
— А можно выслать хешированные версии батончиков?
— Хешированные, жареные, пареные — лишь бы работали.
(диалог в Твиттере между Кристофером Бойдом, специалистом по malware из Malwarebytes, и Мартеном Гротеном)
И ещё один немаловажный момент: будь даже сервисы Hold Security технически идеальными — велика вероятность, что они просто не понадобятся. И вот почему.
Нужно ли суетиться?
Ключевая проблема всей истории со «взломом тысячелетия» заключается в неприлично малом количестве информации о том, насколько важны украденные данные.
На первый взгляд 1,2 млрд кажется огромной цифрой, но с такой оценкой согласны не все. Тот же Гротен прямым текстом говорит, что это «не так уж много». А издание The Verge опубликовало материал с разбором ситуации, где, кроме всего прочего, отмечается интересный момент: далеко не все из оказавшихся в распоряжении CyberVor данных были именно украдены. Имеется информация о том, что группировка покупала результаты более ранних взломов, и эти результаты также являются частью пресловутых 1,2 млрд паролей — причём неизвестно, сколько именно данных было куплено, а сколько «честно» украдено.
На практике это означает, что количество навряд ли соответствует качеству. Пароли на чёрном рынке дешевеют с течением времени, и это неспроста: чем старше данные, тем меньше вероятность того, что они всё ещё работоспособны. То же можно сказать и о веб-ресурсах, с которых эти данные взяты — особенно если речь идёт о небольших сайтах или узконаправленных форумах. Так что наличие купленной информации здорово снижает практическую ценность даже столь, казалось бы, объёмной базы.
Все эти рассуждения имеют и практическое подтверждение — вполне весомое, хотя и косвенное: деятельность CyberVor до сих пор ограничивалась мелочами вроде спама через Twitter. Ни о масштабных кражах денег, ни о попытках продать огромную базу пользователей никто толком не слышал. А значит, даже если эта база существует — её опасность здорово преувеличена.
Вот как комментирует ситуацию специалист по безопасности Брюс Шнайер:
Мы не наблюдаем массированных краж или махинаций. Мы не наблюдаем массового увода аккаунтов. Банда российских хакеров владеет 1,2 млрд паролей, причём большая часть этих паролей находится в их распоряжении, скорее всего, уже более года — но всё работает ОК.
Такое происходит почти сплошь и рядом. У вас в кошельке, скорее всего, лежит кредитная карта с украденным номером. Уязвимости нулевого дня, которые позволяют взломать ваш компьютер, выявляются постоянно, в том числе и прямо сейчас. Куда ни глянь, уровень безопасности просто мизерный — и это нормально. Удивительный парадокс, к которому мы уже привыкли.
Итак, наличие у группы хакеров базы в 1,2 миллиарда паролей более чем вероятно, но стоит ли по этому поводу сильно переживать?
Всё говорит о том, что не стоит.
Разумеется, базовые правила кибербезопасности никто не отменял, и если у вас есть возможность усложнить жизнь злоумышленникам — не нужно пренебрегать этой возможностью. Сильные комбинации, двухэтапная аутентификация, свой пароль на каждый сайт — по теме сетевой безопасности не одна статья написана, не буду здесь вдаваться в подробности. Но явных поводов «бегать кругами и дёргать руками» пока нет.
Конкретно же в истории с CyberVor более всего впечатляет не масштаб «кражи» личных данных, а то, как это дело было раздуто. И тут я хотел бы процитировать упоминаемую уже статью с The Verge: никто бы не согласился платить $120 в год лишь для проверки того, не был ли взломан его Твиттер.
По материалам Mashable.