Текст книги "Искусство быть невидимым"

Кевин Митник
Искусство быть невидимым
Как сохранить приватность в эпоху Big Data

Kevin Mitnick with Robert Vamosi

THE ART OF INVISIBILITY

Copyright © 2017 by Kevin Mitnick Foreword copyright © by Mikko Hypponen This edition published by arrangement with Little, Brown and Company,

New York, New York, USA. All rights reserved.

© Райтман М.А., перевод на русский язык, 2018

© Оформление. ООО «Издательство «Эксмо», 2019

* * *

Посвящается моей любимой маме, Шелли Джаффе, и моей бабушке, Ребе Вартанян

Предисловие Микко Хиппонена

Несколько месяцев назад я встретил старого друга, которого не видел со старших классов школы. Мы зашли выпить кофе и поговорить о том, чем каждый из нас занимался последние пару десятилетий. Он рассказал мне, что занимается продажей и техническим обслуживанием различной современной медицинской техники, а я поведал, что последние двадцать пять лет моя работа связана с интернет-безопасностью и защитой персональных данных. Друг даже прищелкнул языком, когда услышал про защиту персональных данных. «Звучит очень интересно и здорово, – сказал он, – но меня эта тема не слишком волнует. Ведь я не преступник и не делаю ничего плохого. Ну и что, если кто-нибудь узнает, чем я занимаюсь в Интернете».

Когда я слушал своего старого друга и его рассуждения о том, почему конфиденциальность для него не важна, мне стало грустно. Грустно оттого, что я слышу подобные слова очень часто. Я слышал их от людей, которые считают, что им нечего скрывать. От людей, которые уверены, что только преступникам нужно беспокоиться о своей защите. От людей, которые думают, что только террористы используют шифрование. От людей, которые убеждены, что нам не нужно отстаивать свои права. Но нам нужно отстаивать свои права. А безопасность персональных данных – это не просто наше законное право, это общечеловеческое право. По сути, право на неприкосновенность личной жизни считается одним из фундаментальных человеческих прав с 1948 года, когда Организация Объединенных Наций приняла Всеобщую декларацию прав человека.

Если наше право на безопасность персональных данных нуждалось в защите уже в 1948 году, в наше время такая необходимость еще сильнее. В конце концов, мы – первое поколение в человеческой истории, за которым можно следить на столь высоком уровне. За нашей жизнью можно наблюдать с помощью цифровых технологий. Тем или иным образом можно выяснить содержание практически каждого нашего разговора. Более того, мы постоянно носим с собой маленькие устройства слежения – просто мы их таковыми не считаем, а называем смартфонами.

Благодаря интернет-слежке за пользователями в Интернете можно узнать, какие книги мы покупаем и какие статьи читаем, – даже какие части прочитанных статей вызвали у нас наибольший интерес. Можно посмотреть, где и с кем путешествуем. Благодаря интернет-слежке можно понять, больны мы или здоровы, грустно нам или весело, аскетичны мы или сексуально озабочены. Почти вся слежка в Интернете направлена на то, чтобы заработать деньги на полученных данных. Компании, которые предлагают людям бесплатные услуги, каким-то образом умудряются заработать на этих бесплатных услугах миллиарды долларов – прекрасная иллюстрация того, насколько выгодно собирать большие объемы данных о пользователях Интернета. Однако существует и более прицельная слежка: со стороны спецслужб, иностранных и внутренних.

Благодаря цифровым технологиям правительство может собирать данные массово. Но и мы тоже можем защищать себя гораздо эффективнее, чем раньше. К нашим услугам такие средства и способы защиты, как шифрование, надежные методы хранения данных и соблюдение основных принципов безопасности операций (OPSEC). Нам просто нужно узнать, как правильно это делать.

Что же, ключ к этим знаниям здесь, в ваших руках. Я безмерно рад, что Кевин нашел время и поделился своим опытом в том, что касается искусства быть невидимым. В конце концов, он кое-что в этом понимает. Это великолепное пособие. Читайте, и пусть полученные знания пойдут вам во благо. Защищайте себя, защищайте свои права.

Возвращаясь к кофейне, когда я выпил кофе с другом, наши пути разошлись. Я пожелал ему всего наилучшего, но иногда до сих пор вспоминаю его слова: «Ну и что, если кто-нибудь узнает, чем я занимаюсь в Интернете». Может быть, тебе и нечего скрывать, мой друг. Но тебе есть что защищать.

Микко Хиппонен – главный специалист по безопасности в компании F-Secure. Он единственный человек на Земле, который выступал сразу на двух конференциях – DEF CON[1]1
  DEF CON – старейший и один из крупнейших слетов хакеров. – Здесь и далее прим. ред.


[Закрыть] и TED[2]2
  TED – американский частный некоммерческий фонд, известный своими ежегодными конференциями, главная цель которых – распространять уникальные идеи. Некоторые выступления доступны в Интернете.


[Закрыть].

Введение
Пришло время исчезнуть

Спустя почти два года после того, как Эдвард Джозеф Сноуден, сотрудник консалтинговой компании Booz Allen Hamilton, обнародовал первую порцию секретных материалов Агентства национальной безопасности США (АНБ), Джон Оливер, комик с телеканала HBO, в одном из выпусков своей передачи, посвященном неприкосновенности частной жизни и тотальному контролю, опрашивал случайных прохожих на Таймс-сквер в Нью-Йорке. Его вопросы были простыми и четкими. Кто такой Эдвард Сноуден? Что он сделал?{1}1
  www.youtube.com/watch?t=33&v=XEVlyP4_11M
  Все исходные URL-адреса, приведенные ниже, проверены на момент написания этой книги в июле 2016 года.


[Закрыть]

В вышедших в эфир фрагментах интервью никто не знал ответы на эти вопросы. Даже если кому-то имя казалось знакомым, человек не мог ответить, что именно (и зачем) Сноуден сделал. Поступив на работу в Агентство национальной безопасности, Эдвард Сноуден скачал миллионы секретных документов, которые он впоследствии передал репортерам, чтобы те сделали их достоянием мировой общественности. Оливер мог бы завершить этот выпуск программы на пессимистичной ноте – несмотря на то что эта история уже несколько лет мелькает в новостях, никому, казалось бы, нет никакого дела до внутреннего шпионажа со стороны государства, – но комик решил поступить иначе. Вместо этого он полетел в Россию, куда перебрался опальный Сноуден, и взял интервью у него лично.{2}2
  Скачав сотни тысяч засекреченных документов АНБ, Сноуден, который тогда жил на Гавайях, сначала отправился в Гонконг, а затем получил вид на жительство в России. Позже он подавал прошение на проживание в Бразилии и других странах, а также не исключает возможности возвращения в США, если ему гарантируют беспристрастный и честный суд.


[Закрыть]

Почему мы с видимым безразличием относимся к тому, что правительственное агентство записывает наши телефонные переговоры, просматривает наши электронные письма и даже текстовые сообщения? Вероятно, причина в том, что АНБ в большинстве случаев не влияет на жизнь практически никого из нас, по крайней мере так, чтобы это было заметно, т. е. не делает ничего, что мы бы ощутили.

Первый вопрос, который Оливер задал в Москве Сноудену, звучал следующим образом: «Чего вы пытались добиться?» Сноуден ответил, что хотел продемонстрировать миру, чего может добиться АНБ, собирая данные практически о каждом. Когда Оливер показал ему интервью, снятые на Таймс-сквер, в которых прохожие один за другим говорили, что не знают, кто такой Сноуден, тот ответил: «Что ж, нельзя донести информацию до каждого».

Почему мы так несведущи во всем, что касается неприкосновенности частной жизни, о которой говорят и Сноуден, и многие другие? Почему мы с видимым безразличием относимся к тому, что правительственное агентство записывает наши телефонные переговоры, просматривает наши электронные письма и даже текстовые сообщения? Вероятно, причина в том, что АНБ в большинстве случаев не влияет на жизнь практически никого из нас, по крайней мере так, чтобы это было заметно, т. е. не делает ничего, что мы бы ощутили.

Но как Оливер также выяснил на Таймс-сквер в тот день, американцам все же важна неприкосновенность частной жизни, когда дело касается их дома. Помимо вопросов о Сноудене, Оливер задавал общие вопросы, касающиеся частной жизни. Например, когда он спросил, как они относятся к секретной (но выдуманной) правительственной программе, которая сохраняет пересылаемые через Интернет изображения обнаженных людей, жители Нью-Йорка также были единодушны в своих ответах – с той лишь разницей, что на этот раз они были категорически против. Один из опрошенных даже признался, что недавно отправил кому-то подобное фото.

Все, кто отвечал на вопросы тогда на Таймс-сквер, сошлись во мнении, что жители Соединенных Штатов должны иметь возможность конфиденциально обмениваться любыми материалами через Интернет – даже фотографиями пениса. Именно в этом и заключалась главная мысль Сноудена.

Оказалось, что выдуманная правительственная программа, сохраняющая фотографии обнаженных людей, гораздо ближе к реальности, чем вы можете себе представить. Как Сноуден объяснил Оливеру во время интервью, поскольку у таких компаний, как Google, серверы физически расположены по всему миру, даже простое сообщение (возможно, с элементами наготы) от мужа жене, находящейся в том же американском городе, может сначала оказаться на сервере за границей. Коль скоро эти данные покидают территорию США, пусть и всего на наносекунду, АНБ может, благодаря принятому в США «Патриотическому акту[3]3
  «Патриотический акт» – федеральный закон, принятый в США в октябре 2001 года, который дает правительству и полиции широкие полномочия по надзору за гражданами. Принят после террористического акта 11 сентября 2001 года.


[Закрыть]», перехватить и занести в архив это сообщение или электронное письмо (включая непристойную фотографию), поскольку технически оно попало на территорию США из заграничного источника. Мнение Сноудена: рядовые американцы попались в сети, раскинутые после событий 11 сентября, которые изначально были средством борьбы с терроризмом, а сейчас превратились в средство слежения практически за каждым гражданином.

Можно предположить, что, регулярно узнавая об утечке данных и тотальной правительственной слежке, мы были бы в невероятной ярости. Можно предположить, что, зная, как быстро это произошло – всего за каких-то пару лет, – мы бы испытали шок и вышли бы на улицы с транспарантами. В действительности же происходит абсолютно противоположное. Многие из нас – даже многие из тех, кто читает эту книгу – в какой-то степени смирились с тем, что все наши действия – телефонные разговоры, текстовые сообщения, электронные письма и страницы в социальных сетях – могут просматриваться и прослушиваться третьими лицами.

И это обескураживает.

Многие из нас – даже многие из тех, кто читает эту книгу – в какой-то степени смирились с тем, что все наши действия – телефонные разговоры, текстовые сообщения, электронные письма и страницы в социальных сетях – могут просматриваться и прослушиваться третьими лицами.

И это обескураживает.

Допустим, вы не нарушаете законов, ведете, по вашему мнению, спокойную и размеренную жизнь и вам кажется, что вы не выделяетесь из толпы других людей в Интернете. Поверьте мне, даже вы не невидимка. По крайней мере, пока.

Я люблю фокусы, а некоторые утверждают, что «ловкость рук» – это необходимое условие для хакерства. Один из известных фокусов заключается в том, чтобы сделать объект невидимым. Однако секрет тут в том, что объект в действительности не исчезает и не становится на самом деле невидимым. Объект всегда остается на месте: на заднем плане, за занавесом, в рукаве, в кармане, там, где мы можем его увидеть… Или не можем.

Это же касается и того множества персональной информации о каждом из нас, которое фиксируется и хранится, часто даже без нашего ведома. Большинство из нас просто не догадывается, насколько легко другой человек может просмотреть эту информацию, и даже не знает, где искать. А раз мы не видим эти данные, то, вероятно, верим, что являемся невидимыми для наших бывших, родителей, учителей, начальников и даже правительства.

Проблема заключается в том, что, если знать, где искать, эта информация доступна абсолютно каждому.

Когда я выступаю перед большим количеством слушателей – размер помещения при этом не имеет значения, – обычно находится кто-то, кто ставит этот факт под сомнение. После одного из таких событий на меня насела очень скептически настроенная журналистка.

Я хорошо помню, как мы сидели за отдельным столиком в баре отеля в одном из американских мегаполисов и журналистка сказала, что она бы никогда не стала жертвой утечки данных. По ее словам, в силу своего юного возраста она была зарегистрирована лишь на очень ограниченном количестве ресурсов и поэтому мало где оставляла свои данные. Она никогда не указывала личную информацию ни в своих статьях, ни в социальных сетях – она старалась не выходить за границы профессионального общения. Она считала себя невидимой. Поэтому я попросил ее разрешения найти в Интернете ее номер социального обеспечения[4]4
  Аналог СНИЛС/ИНН в РФ.


[Закрыть] и другие персональные данные. Она согласилась, хоть и неохотно.

Сидя рядом с ней, я вошел в свою учетную запись на сайте, предназначенном для частных детективов. Я, пускай с некоторой натяжкой, подхожу под последнее определение благодаря своей работе, связанной с расследованием хакерских атак по всему миру. Мне уже было известно ее имя, поэтому я спросил, где она живет. Я также мог бы найти эти сведения в Интернете, на другом сайте, если бы она не сказала мне сама.

Через пару минут я уже знал ее номер социального страхования, город рождения и даже девичью фамилию ее матери. Также я знал все места, где она когда-либо проживала, и все номера телефонов, которые она когда-либо использовала. Уставившись в экран с удивленным выражением лица, она подтвердила, что вся эта информация в той или иной степени верна.

Доступ к этому сайту открыт ограниченному кругу проверенных компаний и специалистов. С пользователей взимают небольшую ежемесячную плату, плюс дополнительно оплачивается каждый информационный запрос, а также время от времени проводят проверки, цель которых – выяснить, по-прежнему ли у меня есть законные основания пользоваться подобным ресурсом.

Но подобного рода информацию об абсолютно любом человеке можно найти за небольшую, однократную плату. И это совершенно законно.

Вы когда-нибудь заполняли форму в Интернете, предоставляли свои данные учебному заведению или организации, которая выкладывает информацию в Интернет, или участвовали в судебном процессе, информация о котором была опубликована в Интернете? Если да, то вы добровольно передали персональную информацию третьему лицу, которое может поступать с ней, как ему заблагорассудится. Существует вероятность, что часть этой информации – если не вся – теперь в Интернете и любая компания, зарабатывающая на сборе персональных данных людей, может ее получить. Некоммерческая организация «Центр обмена информацией о праве на приватность» (Privacy Rights Clearinghouse) опубликовала сведения более чем о 130 компаниях, которые собирают персональные данные (достоверные и недостоверные) о вас.{3}3
  reuters.com/article/2011/02/24/idUSN2427826420110224


[Закрыть]

А также существуют данные, которые вы не выкладывали в Интернет, но они все равно стали достоянием крупных компаний и правительства, – информация о том, кому мы отправляем электронные письма, текстовые сообщения, кому звоним, что мы ищем в Интернете, что мы покупаем в реальных или интернет-магазинах, ходим ли мы пешком или ездим на машине. Объем данных о каждом из нас с каждым днем растет в геометрической прогрессии.

Возможно, вам кажется, что об этом не стоит беспокоиться. Поверьте мне, стоит. Надеюсь, что, прочитав эту книгу до конца, вы будете достаточно обеспокоены, готовы что-то предпринять и вооружены знанием, что именно нужно делать.

Факты таковы: мы живем с иллюзией, что наша частная жизнь конфиденциальна, и, вероятно, эта ситуации длится уже несколько десятилетий.

Факты таковы: мы живем с иллюзией, что наша частная жизнь конфиденциальна, и, вероятно, эта ситуации длится уже несколько десятилетий.

В определенный момент нас может начать беспокоить то, что правительство, работодатели, начальники, учителя и родители имеют слишком большой доступ к нашей личной жизни. Но поскольку границы этого доступа расширялись постепенно, поскольку мы принимали каждую цифровую технологию, которая делала нашу жизнь чуточку удобнее, не задумываясь о том, как это отразится на нашей приватности, теперь повернуть все вспять становится все труднее и труднее. Кроме того, кто из нас готов отказаться от своих игрушек?

Жить в условиях тотального цифрового контроля со стороны государства опасно не столько тем, что кто-то занимается сбором наших данных (с этим ничего не поделаешь), сколько тем, как используются собранные данные.

Представьте себе, что дотошный полицейский или прокурор может сделать с собранным на вас обширным досье непроверенных данных, возможно, за последние несколько лет. Та информация, которая попала в ваше досье сейчас, часто вырванная из контекста, будет храниться вечно. Даже судья Верховного суда Стивен Брайер согласен с тем, что «любому человеку сложно заранее определить, в какой момент имеющиеся документы или факты его биографии могут показаться (обвинителю) важными в том или ином расследовании».{4}4
  law.cornell.edu/supct/html/98–93.ZD.html


[Закрыть] Другими словами, выложенная кем-то в социальной сети Facebook ваша фотография в пьяном виде может оказаться наименьшей из ваших проблем.

Возможно, вам кажется, что вам нечего скрывать, но как вы можете быть в этом уверены? Интернет-издание Wired опубликовало хорошо аргументированную статью уважаемого эксперта по безопасности Мокси Марлинспайка, который говорит о том, что в США федеральным преступлением может оказаться нечто, казалось бы, столь незначительное, как, например, держать дома маленького омара.{5}5
  law.cornell.edu/uscode/text/16/3372


[Закрыть] «Не важно, купили ли вы его в продуктовом магазине или кто-то его вам подарил, жив он или мертв, нашли ли вы его уже после того, как он умер собственной смертью, или же убили его в результате самозащиты. Вас могут посадить в тюрьму только за то, что это омар».{6}6
  wired.com/2013/06/why-i-have-nothing-to-hide-is-the-wrong-way-to-think-about-surveillance/


[Закрыть] Суть в том, что в США существует множество незначительных законов, за соблюдением которых никто никогда не следил, а вы, возможно, нарушаете их и даже не подозреваете об этом. Но теперь при этом существует след из данных, служащих уликой против вас, и всего в нескольких кликах от любого, кому они могут понадобиться.

Неприкосновенность личной жизни – это сложный вопрос. Тут нет универсальных советов. У каждого свои причины свободно делиться с незнакомцами определенной информацией о себе и хранить в секрете остальные стороны своей жизни. Возможно, вы просто не хотите, чтобы ваша вторая половина прочитала что-то сугубо личное о вас. Возможно, вы не хотите, чтобы ваш работодатель был в курсе вашей частной жизни. Или возможно, вы всерьез опасаетесь, что за вами следят спецслужбы.

У всех все по-разному, поэтому ни один из советов в этой книге не будет универсальным. Поскольку у всех из нас очень сложное и поэтому очень индивидуальное отношение к вопросу неприкосновенности личной жизни, я расскажу вам о самом важном – о том, что происходит сегодня в сфере тайного сбора данных, – и вы сможете сами решить, что из этого может относиться лично к вам.

В любом случае эта книга поможет вам понять, как обезопасить свою личную информацию в цифровом мире, и предложит варианты решения этой проблемы, которые вы можете взять на вооружение или проигнорировать. Поскольку конфиденциальность – это личное дело каждого, степень «невидимости» также сугубо индивидуальна.

В этой книге я буду говорить о том, что абсолютно за каждым из нас ведется наблюдение – и дома, и вне его стен, когда вы идете по улице, сидите в кафе или едете по шоссе. Компьютер, телефон, машина, домашняя сигнализация и даже холодильник – все это потенциальные точки доступа к вашей частной жизни.

Хорошая новость заключается в том, что я не только буду пугать вас, но и покажу, что делать в условиях отсутствия конфиденциальности – в ситуации, которая стала нормой жизни.

Из этой книги вы узнаете, как:

– Шифровать и отправлять защищенные электронные письма;

– Надежно защищать свои данные с помощью паролей;

– Скрывать свой реальный IP-адрес от сайтов и сервисов, которые посещаете;

– Оберегать компьютер от слежки;

– Сохранять свою анонимность;

– …и многое другое.

Теперь приготовьтесь освоить искусство быть невидимым.

Глава 1
Ваш пароль можно взломать!

У актрисы Дженнифер Лоуренс праздничный уикенд Дня труда выдался напряженным. Лауреат премии «Оскар» оказалась среди тех знаменитостей, которые в 2014 году одним прекрасным утром узнали, что их интимные снимки – на многих она была изображена в обнаженном виде – были выложены в Интернет.

Остановитесь и прокрутите в голове все фотографии, которые в данный момент хранятся на вашем компьютере, смартфоне и в электронном ящике. Скорее всего, большинство из них абсолютно безобидные. Вас бы вряд ли сильно огорчило, если бы весь мир увидел закаты, милые семейные снимки и даже, может быть, дурацкие шутливые селфи. Но хотелось бы вам, чтобы люди увидели абсолютно каждую фотографию? Что бы вы почувствовали, если все бы они вдруг попали в Интернет? Да, не все наши личные снимки непристойны, но все же это наша частная жизнь. Мы должны иметь право самостоятельно решать, как, где и когда ими делиться и делиться ли ими вообще. Но облачные сервисы часто лишают нас такой возможности.

Произошедшая с Дженнифер Лоуренс история обсуждалась во всех новостях в тот выходной в честь Дня труда 2014 года. В СМИ это событие окрестили как «Fappening» (от англ. happening (событие) + fap (мастурбировать)): в Интернет попали фотографии Рианы, Кейт Аптон, Кейли Куоко, Эдрианн Карри и почти трехсот других звезд, в основном женщин, к чьим снимкам со смартфонов каким-то образом получили доступ злоумышленники. Хотя некоторые, как и следовало ожидать, с радостью воспользовались ситуацией, для других этот случай стал тревожным напоминанием о том, что такое может произойти и с ними.

Так как же кто-то получил доступ к личным фотографиям Дженнифер Лоуренс и других знаменитостей?

Поскольку у всех звезд был iPhone, тут же начались разговоры о масштабной утечке данных из созданного компанией Apple сервиса iCloud, облачного хранилища данных для владельцев iPhone. Когда на самом устройстве заканчивается память, ваши фотографии, новые файлы, музыка и игры сохраняются на сервере Apple, обычно за небольшую ежемесячную плату. Google предоставляет аналогичный сервис пользователям Android.

Компания Apple, которая практически никогда не комментирует сообщения в СМИ, касающиеся вопросов информационной безопасности, отрицала возможность какой-либо утечки со своей стороны. Компания, вопреки обыкновению, опубликовала официальное обращение, в котором назвала инцидент «очень прицельной атакой на имена пользователей, пароли и контрольные вопросы» и добавила, что «результаты расследования ни в одном из рассмотренных случаев не указывают на какую-либо утечку из систем Apple, включая функции iCloud и “Найти iPhone”»{7}7
  apple.com/pr/library/2014/09/02Apple-Media-Advisory.html


[Закрыть].

Как же вышло, что посторонние получили удаленный доступ к частным материалам?

Фотографии сначала появлялись на хакерском форуме, который известен тем, что на нем часто выкладывают краденые фотографии.{8}8
  anon-ib.com. Примите во внимание, что этот сайт также небезопасен, кроме того, на нем могут находиться изображения оскорбительного содержания.


[Закрыть] На этом форуме активно обсуждаются инструменты криминалистической экспертизы цифровых средств, с помощью которых можно было бы тайно получить подобные фотографии. С помощью таких инструментов технические специалисты, детективы и сотрудники правоохранительных органов извлекают данные с устройства или из «облака» в ходе расследования преступления. И конечно, такими инструментами пользуются также совсем другие люди.

Один из инструментов, открыто обсуждавшихся на форуме, называется Elcomsoft Phone Password Breaker (EPPB). Он разработан для того, чтобы правоохранительные органы и спецслужбы могли получать доступ к учетным записям пользователей iCloud, и его может купить каждый желающий. Это лишь одно из обсуждавшихся на форуме средств, но, по всей видимости, наиболее популярное там. Для работы с EPPB необходимо сначала выяснить логин и пароль от нужной учетной записи в iCloud. Однако для общающихся на этом форуме получить подобные сведения, видимо, не проблема. По стечению обстоятельств в тот же самый праздничный день в 2014 году кто-то выложил на популярный сервис-репозиторий для хранения программного кода (GitHub) механизм для взлома паролей под названием iBrute, созданный специально для сбора авторизационных данных любых учетных записей iCloud.

Применив обе программы (iBrute и EPPB) одновременно, можно получить данные для входа в учетную запись iCloud и скачать на свое устройство все резерные копии информации с iPhone жертвы, которые хранятся в «облаке». Это очень удобная опция, если вы, к примеру, обновляете операционную систему своего смартфона. Также это бесценный источник сведений для хакера, который теперь видит все, что вы когда-либо делали на смартфоне. Он получает гораздо больше сведений, чем если бы просто вошел в чью-то учетную запись iCloud.

Джонатан Здзиарски, консультант по восстановлению паролей и данных в интересах правоохранительных органов и специалист по информационной безопасности, рассказал интернет-изданию Wired, что, изучив вопрос утечки фотографий, он пришел к выводу, что, например, в случае с Кейт Аптон, вполне могли применяться инструменты iBrute и EPPB. Доступ к хранилищу резервных копий со смартфона iPhone открывает хакеру более личную информацию, которую позже можно использовать для шантажа.{9}9
  wired.com/2014/09/eppb-icloud/


[Закрыть]

Осенью 2014 года агенты ФБР пришли в частный дом в южной части Чикаго, который Apple смогла по IP-адресу связать с несанкционированным доступом более чем к 500 аккаунтам iCloud, причем более чем к 300 из них доступ осуществлялся несколько раз. На момент передачи этой книги в печать никаких обвинений предъявлено не было.

Что здесь интересно, Elcomsoft продает свои программные продукты и правоохранительным органам, и обычной публике. Знать, что полиция может провести на сайт, защищенный паролями, атаку методом грубой силы, это одно. Знать, что это может сделать безвестный житель Чикаго – совсем другое. В этой главе мы поговорим о том, как защитить ваши онлайн-аккаунты и устройства при помощи паролей.

В результате расследования правоохранительные органы вышли на 36-летнего жителя Ланкастера, штат Пенсильвания, Райана Коллинза, которого в октябре 2016 года приговорили к 18 месяцам тюрьмы за «незаконный доступ к защищенному компьютеру с целью получения информации». Его обвинили в незаконном доступе к ста с лишним аккаунтам Apple и почтовым ящикам Google.{10}10
  justice.gov/usao-mdpa/pr/lancaster-county-man-sentenced-18-months-federal-prison-hacking-apple-and-google-e-mail


[Закрыть]

Чтобы защитить свою учетную запись в iCloud и других сервисах, необходимо придумать надежный пароль. Это очевидно. И все же, как человек, который занимается проверкой систем на уязвимость (т. е. человек, которому платят за взлом компьютерных сетей, чтобы найти слабые места), я знаю, что многим людям – даже топ-менеджерам крупных корпораций – обычно лень придумывать хороший пароль. Задумайтесь над тем, что у генерального директора компании Sony Entertainment Майкла Линтона основным паролем был «sonyml3». Неудивительно, что его почту взломали и выложили письма в Интернет, ведь у хакеров были административные права доступа практически ко всем системам компании.

Помимо рабочих паролей существуют пароли, которые защищают персональные данные. Даже трудный пароль хакерские инструменты, такие как oclHashCat (инструмент подбора пароля, задействующий ресурсы видеокарты), могут взломать, но процесс перебора будет настолько длительным, что злоумышленник скорее решит переключиться на другую, более легкую мишень.

Вполне можно допустить, что некоторые из паролей, обнародованных после взлома сайта Ashley Madison в июле 2015 года, используются и в другом контексте – в том числе для доступа к банковским счетам и даже к рабочим компьютерам. В выложенном в Интернет списке из 3,3 миллиона паролей к сайту Ashley Madison самыми распространенными оказались «123456», «12345», «password», «DEFAULT», «123456789», «qwerty», «12345678», «abc123» и «1234567».{11}11
  arstechnica.com/security/2015/09/new-stats-show-ashley-madison-passwords-are-just-as-weak-as-all-the-rest/


[Закрыть] Если среди перечисленного вы увидели свой пароль, ваши данные вполне могут быть похищены, поскольку эти варианты паролей включены в большинство доступных в Интернете инструментов для подбора паролей. Чтобы проверить, не было ли утечки регистрационных данных какой-либо из ваших учетных записей, зайдите на сайт www.haveibeenpwned.com.

В двадцать первом веке мы способны на большее. На гораздо большее. Мы можем придумывать значительно более длинные и сложные сочетания букв и цифр. Может показаться, что здесь могут возникнуть какие-либо трудности, но я продемонстрирую вам два способа справиться с данной задачей: вручную и автоматически.

Самая простая тактика – вместо того чтобы придумывать пароли самостоятельно, автоматизируйте этот процесс. В Интернете можно найти множество менеджеров паролей. Они хранят пароли в защищенном электронном хранилище и предоставляют вам быстрый доступ к ним, когда необходимо, также, если требуется, они генерируют новые, надежные, уникальные пароли для каждого сайта.

Однако с этой тактикой связаны две проблемы. Во-первых, для доступа к менеджеру паролей нужен главный пароль (называемый мастер-паролем). Если кто-нибудь сумеет установить на ваш компьютер вредоносную программу-кейлоггер (клавиатурный шпион), которая украдет вашу базу данных с паролями и тот самый главный пароль, пиши пропало. Тогда у хакера будет доступ ко всем вашим паролям. Проверяя системы на уязвимость, мы иногда заменяем менеджер паролей на версию с подвохом, которая пересылает пароль нам (конечно, при условии, что установлен менеджер паролей с открытым исходным кодом). Это делается после того, как мы получаем административные права доступа к клиентской сети. Затем мы узнаем пароли. Другими словами, менеджер паролей служит нам черным ходом, войдя через который мы получаем ключи от королевства.

Вторая проблема достаточно очевидна: если вы утратите главный пароль, вы утратите все свои пароли (что не так страшно, на каждом отдельном сайте всегда можно восстановить пароль, о чем мы поговорим через минуту, но если у вас много разных учетных записей, это доставит массу хлопот).

Несмотря ни на что, следующие советы вполне способны помочь вам защитить свой пароль.

Во-первых, надежный пароль – это длинный пароль, не менее 20–25 символов. Лучший вариант – случайные наборы символов, например ek5iogh#skf&skd. К сожалению, человеческий мозг с трудом запоминает случайные последовательности. Поэтому пользуйтесь менеджером паролей. Это гораздо лучше, чем придумывать пароль самостоятельно. Я предпочитаю менеджеры паролей с открытым кодом, такие как Password Safe и KeePass, они хранят данные только на вашем компьютере.

Важное правило – никогда не устанавливайте один и тот же пароль на два разных аккаунта. Сложно следовать этому правилу. В наше время пароль необходимо придумывать практически для всего на свете. Поэтому обзаведитесь менеджером паролей, который будет создавать и хранить надежные, уникальные пароли.

К счастью, большинству из нас противостоит не государство, располагающее практически безграничными ресурсами и временем. Чаще всего нами интересуются супруги, родственники или кто-то, кому мы насолили, т. е. люди, которые, столкнувшись с паролем длиной в 25 символов, не смогут его взломать, поскольку не располагают необходимым временем и ресурсами.

Даже если пароль надежен, его можно обойти с помощью ряда технологий. Существуют программы угадывания паролей, например John the Ripper, бесплатная программа с открытым кодом, которую может скачать кто угодно. Пользователь настраивает фильтры и запускает программу.{12}12
  openwall.com/john/


[Закрыть] В частности, можно указать количество символов, наличие или отсутствие специальных символов, добавить иноязычную раскладку и прочее. Утилита John the Ripper и другие программы для перебора паролей способны переставлять буквы пароля по определенным правилам, повышающим эффективность работы. Это означает всего лишь то, что программа просто проверяет каждую возможную комбинацию чисел, букв и символов, подходящую под заданные параметры, до тех пор, пока не подберет нужный пароль. К счастью, большинству из нас противостоит не государство, располагающее практически безграничными ресурсами и временем. Чаще всего нами интересуются супруги, родственники или кто-то, кому мы насолили, т. е. люди, которые, столкнувшись с паролем длиной в 25 символов, не смогут его взломать, поскольку не располагают необходимым временем и ресурсами.