КолонкаПолитика

Приемы против взлома

Как работают действительно крутые хакеры и почему Сергей Максимов, Хэлл он или нет, не из их числа

Этот материал вышел в номере № 72 от 10 июля 2015
Читать
Как работают действительно крутые хакеры и почему Сергей Максимов, Хэлл он или нет, не из их числа

Марат ВЫШЕГОРОДЦЕВ, специалист по компьютерной безопасности, магистр технических наук Токийского университета, автор научных статей по децентрализации интернета и свободным коммуникациям, рассказал «Новой» о происходящем в мире компьютерной безопасности — на фоне последних скандалов вокруг взломов переписки публичных лиц и суда над предполагаемым «хакером Хэллом» в Германии.

Про хакера Хэлла

Не знаю, действительно ли это Хэлл, — это суд решит. Но человек явно не крутой хакер. Ну вот хотя бы секретный вопрос в почте: «Как меня зовут?» — и ответ: «Максимов». Может, конечно, он нарочно хотел создать себе такой имидж, но крутые ребята так просто не попадаются. Известно, что о нем по крупице собирали информацию с форумов, — настоящие хакеры никогда бы не использовали один ник несколько раз и в форуме никогда бы не указали свое реальное имя. Когда были Анонимус и WikiLeaks, ФБР пришлось внедряться в андеграундные форумы, и с трудом их нашли по какой-то одной зацепке. Если человек, сам неспециалист по киберпреступлениям, залезает на форум и находит Хэлла в Германии, — это значит, он просто энтузиаст.

На хакерских форумах есть разные категории людей: реально что-то умеющие — они, как правило, очень мало светятся и выйти с ними на контакт очень сложно. Вариант, что Навального взломали с помощью сложных хакерских техник, маловероятен. Есть еще энтузиасты — умеют пользоваться парой утилит «для взлома почты» и мнят себя хакерами. И люди, которые совсем ничего не умеют, но хотят стать хакерами. Если бы я был на месте правоохранительных органов, то я бы искал потенциальный «слив» через энтузиастов — их при желании можно прижучить и сыграть на их самолюбии «смотрите, я взломал почту Навального». А может, у Хэлла вообще случайно получилось — в тот момент ФБК и Навальный особо не заморачивались с паролями и защитой.

Про киберпреступления

В любой стране органы не любят киберпреступления: им сложно собирать доказательную базу. В России с этим еще хуже. Но по всему миру сейчас тренд — полиция пытается подружиться с экспертами. Хорошо, если компьютер Максимова попался в руки крутым немецким профессионалам в киберкриминалистике, так что доказательная база против него (или, наоборот, опровергающая обвинение) не вызывала вопросов ни у суда, ни у людей, следящих за процессом.

Более классический случай киберпреступлений: сидит парень и пишет вирусы, ориентированные на банки. Написал и распространяет под видом утилиты, которая очистит твой компьютер, чтобы он не тормозил, или позволит бесплатно без SMS смотреть «Игру престолов». Вирус начинает красть банковские учетки и слать злоумышленнику. Эксперты-форензики находят зараженный компьютер и пытаются через власти получить доступ к серверу, которому вирус шлет информацию. Дальше ждут, когда злоумышленник придет на сервер «собирать улов», а потом приходят к нему домой «маски-шоу» и находят исходный код вируса на компьютере — то есть очевидно, что человек его сам писал.

Киберпреступников и у нас в России ловят очень легко — но только если очень надо. А очень надо тогда, когда банк пришел и жалуется, что у него увели полмиллиарда рублей. Часто уводят деньги со счета юрлиц. Ломают компьютеры: грубо говоря, из-под аккаунта главного бухгалтера переводят деньги каким-то фирмам, которые быстро исчезают. Но и банки ломают, это миф, что они так уж защищены. Правда, к хакерам со скоростью звука выезжают люди в масках — а хакеры, соответственно, со скоростью звука выводят деньги и исчезают.

Громкие случаи, которые создают шум на весь интернет, — взломы селебритис, когда уводят их «интересные» фотографии. В Америке большая тема — internet bullying, когда шантажируют выуженной через взлом информацией, теми же откровенными фотографиями. Но 90% дел, которые доходят до суда, — кража киви-кошелька, пароля от интернет-банка. Если у вас взломали страничку «ВКонтакте» и от вас что-то запостили, никто даже не моргнет глазом. Ущерба нет, ну и до свидания, хотя формально это уголовное преступление.

Я думаю, в Германии суды разбираются в киберкрайме. Если Хэлла не посадят там, то, скорее всего, не посадят нигде. Немцы очень заморочены на прайваси.

Про законы в России

Статьи УК у нас очень общего плана. Если бы дело происходило в честном суде — все решала бы не трактовка одного судьи левой пяткой, а реально была бы битва, — то по этому закону человека не посадишь. С другой стороны, из-за этой туманности формулировок по нему можно кого угодно посадить. Например: «создание, использование и распространение вредоносных компьютерных программ». Заразился у вас компьютер вирусом — вы де-факто храните его на своем компьютере. Вас уже можно посадить.

Злоумышленника можно определить по исходному коду вируса на его компьютере. Но если я, злоумышленник, захочу себя обелить, я могу вместе с вирусом еще и исходный код рассылать — то есть он окажется у всех, кто заражен.

В Японии был интересный кейс: товарищ взломал три компьютера и, кажется, с мейлов хозяев послал письма с угрозами на телевидение. А японская полиция, мягко говоря, не разбирается в этих вопросах. Всех троих арестовали, и двое из них признались! Хотя они вообще никакого отношения к этому не имели. Полиция очень хорошо умеет давить: твои родители тоже сядут, будут расплачиваться за тебя. Для японцев же это особо болезненно: «Только родителей не трогайте». После этого хакер начал рассылать уже материалы с объяснением, как и почему он это сделал, — он как раз стремился доказать, что японские менты — полные идиоты. Тогда его нашли и все-таки посадили.

Про спецслужбы

Несколько дней назад гремела новость: взломали кибергруппу Hacking Team, которая разрабатывала шпион­ские программы и продавала их государствам — ну как раз таким, как Россия или Судан. Да, доступ к нашим данным у государства есть — до определенной глубины. Американская полиция может пойти в Google и попросить прочитать почту конкретного человека. Ну или наша — в российскую компанию. Но хакеры используют методы защиты. Например, чтобы делать гадости в Америке, заходят с китайского айпи-адреса: у Китая США не может запрашивать никакую информацию. Используют анонимизирующие приложения. Как только атакующие придумывают новый способ уходить от этих мер, полиция придумывает новый способ их мерам противостоять: такая непрерывная гонка вооружений.

Про взлом на заказ

Спасение утопающих — дело рук самих утопающих. У хакеров с сайтов вроде «взломаем на заказ», как правило, нет возможности взломать почту на «Яндексе» или «Гугл.мейл». Это очень низкая вероятность, что какой-то человек знает, как взломать тот же «Яндекс», не важно, какие там пароли и методы идентификации установлены. И «Яндекс» в тот же день заметил бы и закрыл эту «дырку».

Я думаю, большинство таких сайтов берут предоплату и исчезают. Либо пробуют взломать — вдруг получится. В основном люди ставят очень простые пароли или у них аккаунт на бесплатной почте, у которой истек срок действия.

В Gmail существует функция двухфакторной идентификации — на телефон приходит одноразовый пароль. Но тогда нужно, чтобы телефон был при себе.

Проблема в том, что можно запомнить один-два сложных пароля, но не двадцать. А сайтов сейчас неимоверное количество. Так что люди придумывают один сложный пароль и используют его на всех сайтах, или один сложный, а остальные простые…

Не все сайты одинаково полезны, не все достаточно хорошо защищают ваши пароли. Возьмем какой-нибудь сайт по продаже цветов: он совсем не зашифрованный и примитивный, и если у вас одинаковый пароль там и на до мозга костей зашифрованном Gmail, то кто угодно хоть через вай-фай в «Старбаксе» «прослушает» ваш пароль и получит доступ к почте.

Как защищать себя от взлома

90% вины за то, что произошло с Навальным, лежит на Навальном. Стало у тебя больше 100 тысяч фолловеров в Twitter — все, надо заниматься безопасностью, нанимать секьюрити-консультантов.

Неплохо поставить утилиту one password — пароли будут генерироваться каждый раз разные. Очень плохая практика — заходить в свою почту с чужого компьютера. Как только вы ввели свой пароль на компьютере, хозяина которого вы не знаете или не знаете, как он с ним обращался — все, этот пароль можно считать утекшим. У китайцев-диссидентов, кстати, возникла такая проблема: они постят всякие антикоммунистические посты из интернет-кафе, чтобы их не вычислили через IP. Но у китайского государства есть ресурсы, чтобы в каждом интернет-кафе стоял софт, следящий за тобой и угоняющий твои пароли. Поэтому для Китая «Гугл» продвинул способ идентификации — хардверный, железный токен, который вставляется в компьютер, как флешка. Ты можешь зайти в свои аккаунты с любого компьютера, и этот компьютер никаких данных не получит, пароль вводить не надо.

shareprint
Добавьте в Конструктор подписки, приготовленные Редакцией, или свои любимые источники: сайты, телеграм- и youtube-каналы. Залогиньтесь, чтобы не терять свои подписки на разных устройствах
arrow