Кевин Митник - Искусство быть невидимым

– Сохранять свою анонимность;

– …и многое другое.

Теперь приготовьтесь освоить искусство быть невидимым.

У актрисы Дженнифер Лоуренс праздничный уикенд Дня труда выдался напряженным. Лауреат премии «Оскар» оказалась среди тех знаменитостей, которые в 2014 году одним прекрасным утром узнали, что их интимные снимки – на многих она была изображена в обнаженном виде – были выложены в Интернет.

Остановитесь и прокрутите в голове все фотографии, которые в данный момент хранятся на вашем компьютере, смартфоне и в электронном ящике. Скорее всего, большинство из них абсолютно безобидные. Вас бы вряд ли сильно огорчило, если бы весь мир увидел закаты, милые семейные снимки и даже, может быть, дурацкие шутливые селфи. Но хотелось бы вам, чтобы люди увидели абсолютно каждую фотографию? Что бы вы почувствовали, если все бы они вдруг попали в Интернет? Да, не все наши личные снимки непристойны, но все же это наша частная жизнь. Мы должны иметь право самостоятельно решать, как, где и когда ими делиться и делиться ли ими вообще. Но облачные сервисы часто лишают нас такой возможности.

Произошедшая с Дженнифер Лоуренс история обсуждалась во всех новостях в тот выходной в честь Дня труда 2014 года. В СМИ это событие окрестили как «Fappening» (от англ. happening (событие) + fap (мастурбировать)): в Интернет попали фотографии Рианы, Кейт Аптон, Кейли Куоко, Эдрианн Карри и почти трехсот других звезд, в основном женщин, к чьим снимкам со смартфонов каким-то образом получили доступ злоумышленники. Хотя некоторые, как и следовало ожидать, с радостью воспользовались ситуацией, для других этот случай стал тревожным напоминанием о том, что такое может произойти и с ними.

Так как же кто-то получил доступ к личным фотографиям Дженнифер Лоуренс и других знаменитостей?

Поскольку у всех звезд был iPhone, тут же начались разговоры о масштабной утечке данных из созданного компанией Apple сервиса iCloud, облачного хранилища данных для владельцев iPhone. Когда на самом устройстве заканчивается память, ваши фотографии, новые файлы, музыка и игры сохраняются на сервере Apple, обычно за небольшую ежемесячную плату. Google предоставляет аналогичный сервис пользователям Android.

Компания Apple, которая практически никогда не комментирует сообщения в СМИ, касающиеся вопросов информационной безопасности, отрицала возможность какой-либо утечки со своей стороны. Компания, вопреки обыкновению, опубликовала официальное обращение, в котором назвала инцидент «очень прицельной атакой на имена пользователей, пароли и контрольные вопросы» и добавила, что «результаты расследования ни в одном из рассмотренных случаев не указывают на какую-либо утечку из систем Apple, включая функции iCloud и “Найти iPhone”» {7} 7 apple.com/pr/library/2014/09/02Apple-Media-Advisory.html .

Как же вышло, что посторонние получили удаленный доступ к частным материалам?

Фотографии сначала появлялись на хакерском форуме, который известен тем, что на нем часто выкладывают краденые фотографии. {8} 8 anon-ib.com . Примите во внимание, что этот сайт также небезопасен, кроме того, на нем могут находиться изображения оскорбительного содержания. На этом форуме активно обсуждаются инструменты криминалистической экспертизы цифровых средств, с помощью которых можно было бы тайно получить подобные фотографии. С помощью таких инструментов технические специалисты, детективы и сотрудники правоохранительных органов извлекают данные с устройства или из «облака» в ходе расследования преступления. И конечно, такими инструментами пользуются также совсем другие люди.

Один из инструментов, открыто обсуждавшихся на форуме, называется Elcomsoft Phone Password Breaker (EPPB). Он разработан для того, чтобы правоохранительные органы и спецслужбы могли получать доступ к учетным записям пользователей iCloud, и его может купить каждый желающий. Это лишь одно из обсуждавшихся на форуме средств, но, по всей видимости, наиболее популярное там. Для работы с EPPB необходимо сначала выяснить логин и пароль от нужной учетной записи в iCloud. Однако для общающихся на этом форуме получить подобные сведения, видимо, не проблема. По стечению обстоятельств в тот же самый праздничный день в 2014 году кто-то выложил на популярный сервис-репозиторий для хранения программного кода (GitHub) механизм для взлома паролей под названием iBrute, созданный специально для сбора авторизационных данных любых учетных записей iCloud.

Применив обе программы (iBrute и EPPB) одновременно, можно получить данные для входа в учетную запись iCloud и скачать на свое устройство все резерные копии информации с iPhone жертвы, которые хранятся в «облаке». Это очень удобная опция, если вы, к примеру, обновляете операционную систему своего смартфона. Также это бесценный источник сведений для хакера, который теперь видит все, что вы когда-либо делали на смартфоне. Он получает гораздо больше сведений, чем если бы просто вошел в чью-то учетную запись iCloud.

Джонатан Здзиарски, консультант по восстановлению паролей и данных в интересах правоохранительных органов и специалист по информационной безопасности, рассказал интернет-изданию Wired, что, изучив вопрос утечки фотографий, он пришел к выводу, что, например, в случае с Кейт Аптон, вполне могли применяться инструменты iBrute и EPPB. Доступ к хранилищу резервных копий со смартфона iPhone открывает хакеру более личную информацию, которую позже можно использовать для шантажа. {9} 9 wired.com/2014/09/eppb-icloud/

Осенью 2014 года агенты ФБР пришли в частный дом в южной части Чикаго, который Apple смогла по IP-адресу связать с несанкционированным доступом более чем к 500 аккаунтам iCloud, причем более чем к 300 из них доступ осуществлялся несколько раз. На момент передачи этой книги в печать никаких обвинений предъявлено не было.

Что здесь интересно, Elcomsoft продает свои программные продукты и правоохранительным органам, и обычной публике. Знать, что полиция может провести на сайт, защищенный паролями, атаку методом грубой силы, это одно. Знать, что это может сделать безвестный житель Чикаго – совсем другое. В этой главе мы поговорим о том, как защитить ваши онлайн-аккаунты и устройства при помощи паролей.

В результате расследования правоохранительные органы вышли на 36-летнего жителя Ланкастера, штат Пенсильвания, Райана Коллинза, которого в октябре 2016 года приговорили к 18 месяцам тюрьмы за «незаконный доступ к защищенному компьютеру с целью получения информации». Его обвинили в незаконном доступе к ста с лишним аккаунтам Apple и почтовым ящикам Google. {10} 10 justice.gov/usao-mdpa/pr/lancaster-county-man-sentenced-18-months-federal-prison-hacking-apple-and-google-e-mail

Чтобы защитить свою учетную запись в iCloud и других сервисах, необходимо придумать надежный пароль. Это очевидно. И все же, как человек, который занимается проверкой систем на уязвимость (т. е. человек, которому платят за взлом компьютерных сетей, чтобы найти слабые места), я знаю, что многим людям – даже топ-менеджерам крупных корпораций – обычно лень придумывать хороший пароль. Задумайтесь над тем, что у генерального директора компании Sony Entertainment Майкла Линтона основным паролем был «sonyml3». Неудивительно, что его почту взломали и выложили письма в Интернет, ведь у хакеров были административные права доступа практически ко всем системам компании.