Кевин Митник - Искусство быть невидимым

Представим себе, что произошла утечка и среди скомпрометированных данных оказываются логины и пароли. Но в паролях, полученных таким образом, творится настоящий хаос.

Как с помощью всего этого кто-либо сможет попасть в вашу учетную запись?

Каждый раз при вводе пароля, будь то для разблокировки ноутбука или для входа в учетную запись в веб-сервисе, к этому паролю применяется однонаправленный алгоритм, известный как хеш-функция. Это не то же, что шифрование. Шифрование представляет собой двусторонний процесс: то, что зашифровано, можно расшифровать, если у вас есть ключ. Хеш-функция – это однозначное преобразование исходных данных в последовательность символов. Теоретически однонаправленная функция необратима – по крайней мере, восстановить исходные данные не так просто.

В базе данных с паролями, хранящейся на обычном компьютере, смартфоне или в «облаке», информация представлена не как «УМэриБылБарашек123$», а в хешированном виде, т. е. как зашифрованная последовательность цифр и букв. Эта последовательность и представляет ваш пароль. {13} 13 «УМэриБылБарашек123$» после обработки сервисом md5hashgenerator.com

Таким образом, именно хеши паролей, а не они сами, хранятся в защищенной области памяти компьютера и именно их получают хакеры в результате взлома целевых систем или утечки данных. Получив хеши паролей, хакер может использовать программы наподобие John the Ripper и oclHashcat для их расшифровки либо методом перебора (проверки каждой возможной комбинации букв и цифр), либо пробуя каждое из слов списка, например словаря. Настройки в программах John the Ripper и oclHashcat позволяют хакерам при подборе паролей преобразовывать слова по различным шаблонам, например по шаблону, который называется leetspeak (или просто leet) и представляет собой систему замены латинских букв цифрами, как в «k3v1n m17n1ck». Благодаря этому шаблону все пароли можно заменить на различные модификации на языке leetspeak. Эти методы позволяют с гораздо большей эффективностью взламывать пароли, чем при простом методе перебора (или брутфорсе, «метод грубой силы», как его еще называют). Самые простые и распространенные пароли без труда взламываются в первую очередь, а на взлом более сложных паролей требуется больше времени. Объем этого времени зависит от ряда факторов. С помощью инструмента для взлома паролей и ваших скомпрометированных данных (логин и хеш пароля) злоумышленники получат доступ к одному или нескольким вашим аккаунтам, применив этот же пароль к другим сервисам, подключенным к вашей электронной почте или иному идентификатору.

В целом, чем больше в пароле символов, тем больше времени потребуется таким программам, как John the Ripper, чтобы испробовать все возможные варианты. Однако чем мощнее становятся процессоры, тем меньше времени требуется на вычисление всех возможных паролей, состоящих из шести и даже из восьми символов. Именно поэтому я рекомендую использовать пароли не короче 25 символов.

После того как вы придумали надежный пароль, даже несколько надежных паролей, никогда никому их не сообщайте. Кажется, что это совершенно очевидно, но несколько опросов общественного мнения в Лондоне и других крупных городах показали, что люди готовы раскрыть свои пароли в обмен на нечто совершено незначительное, например, на ручку или шоколадку. {14} 14 news.bbc.co.uk/2/hi/technology/3639679.stm

Мой друг как-то поделилися паролем к сервису Netflix со своей девушкой. Казалось, что это логичный поступок. Смысл был в том, чтобы она выбрала фильм для совместного просмотра. Но ловушка скрывалась в разделе с рекомендациями Netflix – они составляются на основе ранее просмотренных фильмов, часть из которых мой друг смотрел вместе с предыдущими девушками. Например, очевидно, что комедию «Джинсы-талисман» он не стал бы заказывать для себя самого, и его девушка это понимала.

Конечно, у всех есть бывшие. Если ваш партнер утверждает, что у него (или нее) раньше никого не было, это, скорее, странно. Но ни одна девушка не пожелает столкнуться лицом к лицу с напоминанием о своих предшественницах.

Если доступ к вашим онлайн-аккаунтам защищен паролем, необходимо также устанавливать пароль и на персональные устройства. У большинства из нас есть ноутбуки, а у многих до сих пор есть настольные компьютеры. Возможно, вы целый день проводите дома в одиночестве. Но что, если вы пригласите на ужин гостей? Вдруг кто-нибудь из них откроет ваши файлы, фотографии или игры, просто сев за ваш стол и передвинув мышку? Еще одна поучительная история, связанная с Netflix: когда-то давно, когда этот сервис занимался рассылкой DVD, я был знаком с парой, которая стала жертвой розыгрыша. Они устроили дома вечеринку и не закрыли на компьютере вкладку с личным кабинетом на сайте Netflix в браузере. Впоследствии эта пара оказалась подписана на порнографические фильмы всех сортов (они обнаружили это, только когда получили по почте второй или третий DVD).

Еще важнее защищать себя паролями в офисе. Только подумайте о том, сколько раз вам приходилось покидать свое рабочее место ради спонтанного совещания. Кто угодно мог, проходя мимо вашего стола, увидеть таблицу с бюджетом на следующий квартал. Или все электронные письма в вашем ящике. Хуже того, если вы отойдете от рабочего стола надолго (например, на обед или длительное собрание) и у вас не установлена экранная заставка, включающаяся через пару секунд отсутствия активности, кто-то может сесть, написать электронное письмо и отправить его от вашего имени. Или даже изменить проект бюджета на следующий квартал.

Существуют новые хитроумные способы избежать подобного поворота событий, например программа блокировки экрана, которая определяет, насколько вы далеко от компьютера, с помощью технологии Bluetooth. Иными словами, если вы вышли в туалет и ваш смартфон оказался вне радиуса действия Bluetooth, экран тут же заблокируется. Также существуют программы, ориентирующиеся на Bluetooth-сигналы таких устройств, как умные часы или браслеты.

Создание паролей для защиты учетных записей в Интернете – это одно, но это не поможет вам, если кто-то физически завладеет устройством, особенно если вы не вышли из этих учетных записей. Если бы можно было установить пароль только на какой-то один тип устройств, то остановить выбор необходимо было бы на мобильных устройствах, поскольку они наиболее подвержены утрате или хищению. И все же, согласно данным издания Consumer Reports, 34 процента американцев совсем не защищают мобильные устройства, даже простейшим 4-символьным пин-кодом. {15} 15 consumerreports.org/cro/news/2014/04/smart-phone-thefts-rose-to-3–1-million-last-year/index.htm

В 2014 году в полицийском участке города Мартинес, штат Калифорния, произошел следующий инцидент. Оказалось, что сотрудник полиции украл интимные фотографии со смартфона женщины, задержанной за вождение в нетрезвом виде, что представляет собой явное нарушение четвертой поправки к конституции США, входящей в состав Билля о правах {16} 16 mercurynews.com/2014/10/24/warrant-chp-officer-says-stealing-nude-photos-from-female-arrestees-game-for-cops/ . В частности, четвертая поправка запрещает производить необоснованные обыски и изъятие имущества без выданного судьей ордера и без веского довода – сотрудники правоохранительных органов должны объяснить, зачем им необходимо проверить содержимое телефона.