Глава 2
Пароли и доступ к устройствам и сетям
39 % всех паролей – восьмизначные. Чтобы взломать пароль длиной 8 символов, злоумышленнику в среднем требуется 1 день. Чтобы взломать пароль длиной 10 символов – уже 591 день.
Trustwave Global Security Report
[16], 2015 г. 
Многие из нас привыкли начинать утро с чтения новостей. Если раньше это событие обычно сопровождал шелест свежей газеты или щелчки переключателя телепрограмм, то сейчас роль СМИ играет смартфон, планшет, ноутбук или стационарный компьютер. Для доступа к мобильному устройству большинство пользователей смахивает экран блокировки, набирает короткий ПИН-код, выводит по точкам графический ключ либо сканирует палец, радужную оболочку глаза или лицо. В редких случаях средством защиты служит длинный пароль. Вряд ли вы удивитесь, если узнаете, что все эти способы можно обойти, и, скорее всего, скажете, что ничего страшного нет (вас не взломают, ничего ценного нет и т. п.). А ведь эти средства защиты ограничивают доступ посторонних не только к новостным заметкам, с которых современные люди привыкли начинать утро, но и к их практически полным личностям, только цифровым. Цифровая личность (т. е. весь набор данных о человеке в интернете и других сетях) каждого из нас хранит намного больше информации, чем мы можем представить, – здесь не только фотографии, сообщения и документы, но и цифровые следы – такие как метки геопозиции опубликованных в сети «ВКонтакте» снимков и цифровые тени, – данные, которые о нас собирают устройства, к примеру GPS-трекеры. Получив доступ к вашей цифровой личности из-за слабой защиты, злоумышленник может причинить вам ущерб. Так, подобрав пароль к вашему аккаунту в Microsoft, Google или Apple, преступник сможет не только «слить» ваши данные, но и следить за местоположением. А может быть, в вашем почтовом ящике хранится письмо с информацией о восстановлении доступа к платежным сервисам или резервные пароли приложений. Тогда, вскрыв почтовый аккаунт, злоумышленник сможет похитить и денежные средства с ваших счетов или, сменив пароли, заблокировать доступ к вашим профилям и рассылать от вашего имени спам.
Насколько серьезно должно быть защищено устройство, зависит от важности хранимой на нем информации и, соответственно, модели нарушителя (как мы уже говорили, следует понять: каков уровень его подготовки, какими ресурсами он располагает, будет ли возможная атака против вас случайной или целенаправленной и т. д.). Если это смартфон (планшет) для повседневной болтовни с друзьями, съемки селфи и запуска игр, то потенциальный злоумышленник, скорее всего, окажется простым воришкой и не будет тратить много ресурсов и времени на разблокировку устройства. Он либо присвоит телефон и отформатирует имеющийся в нем накопитель информации, либо, если средства защиты не позволят сменить аккаунт на вашем гаджете, продаст его на запчасти. В обоих случаях ваши персональные данные не будут скомпрометированы. Существует риск кражи средств со счетов, если интернет-банк привязан к имеющейся в устройстве SIM-карте и карта не была вовремя заблокирована (либо не защищена ПИН-кодом). Совсем другое дело, если вы крупный предприниматель, госслужащий или публичная персона, – раскрытие хранимой на вашем аппарате информации может вызвать что-то вроде локальной (а может, даже и глобальной) катастрофы. Спровоцировать ее может нарушитель, целенаправленно охотящийся именно за этим устройством (точнее, за данными на нем), и, если за преступником стоит крупная конкурирующая организация или спецслужбы, в такую операцию могут быть вложены колоссальные средства. В этом случае злоумышленник всеми силами постарается получить доступ к данным, хранящимся на устройстве.
Исходя из модели потенциального нарушителя, следует выбрать наиболее безопасный из доступных способов защиты, не забывая об удобстве и соотнося его с важностью хранимой на устройстве информации. Чуть позже мы поговорим обо всех этих способах защиты, используемых при доступе к самым разным устройствам и цифровым службам (операционным системам компьютеров, аккаунтам в социальных сетях, беспроводным сетям и т. п.), а сейчас рассмотрим реальные случаи, позволяющие представить масштаб проблемы слабых паролей.
Слабые пароли
В июле 2015 г. был взломан сайт знакомств для женатых мужчин и женщин AshleyMadison.com (созданный фактически для поиска любовников и любовниц) и в открытый доступ попали данные 30 млн пользователей этого сайта с адресами электронной почты, паролями и другой конфиденциальной информацией. Самое примечательное то, что в десятке наиболее популярных паролей, которые использовали многие клиенты, были следующие: «123456», «12345», «password», «DEFAULT», «123456789», «qwerty», «12345678», «abc123», «pussy» и «1234567»
[17].
КЕЙС В январе 2021 г. в открытом доступе были опубликованы данные о 2,28 млн пользователях сайта знакомств MeetMindful. Файл размером 1,2 Гб содержит полную базу данных (БД) посетителей сайта, включая такие данные, как реальные Ф.И.О., адреса электронной почты, города проживания, даты рождения, IP-адреса, хешированные пароли от аккаунтов и др. Используя похищенные данные, нетрудно найти их владельцев, которые в итоге могут стать мишенями вымогателей, фишеров, шантажистов и прочих злоумышленников
[18].
Важно обратить внимание: AshleyMadison.com – ресурс, предполагающий платную подписку. Поэтому злоумышленники получили доступ не только к 30 млн интимных переписок и фотографий, но и к соответствующему объему сведений о банковских реквизитах, которые пользователи регистрировали для оплаты услуг сервиса. Несмотря на то что полные номера банковских карт не были раскрыты, преступники потенциально могли вымогать
[19] финансовые средства у владельцев, выяснив реальные имена и адреса владельцев, даже если на сайте знакомств те использовали псевдонимы. Учитывая особенность скомпрометированного сервиса, остается догадываться, какое волнение пережили его пользователи, узнав о взломе. Но суть не в этом, как и не в самом факте взлома (уязвимости системы). Взломы совершаются постоянно, от этого не застрахованы даже самые защищенные системы. Важно то, какие пароли использовали люди, скрывая свои интриги, способные разрушить их семьи.
