Взломать за 60 минут: как защищить элетронную почту?

13.11.2011

Взломом электронной почты или твиттер-аккаунта сегодня никого не удивить. Хакеры находили доступ к электронным почтам политиков, чиновников, журналистов, блогеров, а информация, полученная в результате этих взломов, распространялась по сети. Но что произойдет, если некто завладеет не только всеми вашими аккаунтами в социальных сетях, но и содержимым всех ваших гаджетов -? личной информацией, фотографиями, контактами?

Именно в такой ситуации в прошлые выходные оказался Мэт Хонэн, журналист Wired, один из авторов блога о технологиях Gadget Lab. Хакер за час взломал его аккаунты на Amazon, gmail, iCloud и Twitter, а также удаленно уничтожил всю информацию на его iPad, iPhone и MacBook.

Но самое удивительное, злоумышленнику удалось достичь успеха, имея изначально лишь доступную в интернете информацию о Хонэне - ?его адрес и номер телефона.

Для начала хакер выяснил адрес электронной почты Хонэна. Сделать это было несложно, поскольку она была указана на сайте журналиста. Затем при попытке смены пароля злоумышленник отметил, что в качестве «резервной» почты, на которую придет новый пароль, станет почта от Apple.

Хакер позвонил в службу технической поддержки Amazon, попросил добавить к основной информации учетной записи Хонэна на amazon.com еще один номер кредитной карты. Служба поддержки попросила звонившего назвать полное имя, электронный и реальный адрес хозяина аккаунта. Вся необходимая информация у хакера имелась, поэтому к аккаунту Хонэна на Amazon добавился номер несуществующей карты.

После этого взломщик еще раз позвонил в техподдержку Amazon, но на этот раз попросил восстановить доступ к аккаунту. И опять на все вопросы службы поддержки хакер знал ответы - ?имя, адрес, номер кредитной карты. Таким образом, злоумышленник получил доступ к аккаунту Хонэна на Amazon, а в настройках нашел список кредитных карт, привязанных к данной учетной записи. Из соображений безопасности на сайте указываются лишь последние четыре цифры кредитной карты. Но и этого хакеру было достаточно.

Зная эти цифры карты Хонэна, хакер позвонил в AppleCare и, вновь верно ответив на вопросы службы поддержки Apple об имени, адресе и данных карты, получил доступ к почте журналиста. Именно на эту почту он восстановил пароль от почты gmail и аккаунта в Twitter?.

Теперь, имея доступ к iCloud, с помощью сервисов Find My Phone и Find My Mac хакер удалил всю информацию с Apple-устройств Мэта Хонэна.

Сам Хонэн узнал о том, что случилось, лишь взяв в руки телефон жены и прочитав скандальные заявления, опубликованные кем-то в его твиттер-аккаунте. Журналист также рассказал, что несколько лет не менял свой пароль от почты, к тому же в gmail у него была отключена двухэтапная система аутентификации.

«Конечно, в большой степени я сам виноват. Мои аккаунты были соединены друг с другом в гирлянду. Попав в аккаунт на Amazon, взломщики смогли пролезть в мой аккаунт на Apple, это помогло им добраться до gmail, а оттуда они выудили доступ к Twitter. Но то, что случилось со мной, выявило более чем серьезные бреши в безопасности служб поддержки, в первую очередь Apple и Amazon», - ?написал журналист в своей статье.

Сразу после случившегося с Хонэном Amazon и Apple поменяли политику безопасности. Теперь эти компании не предоставляют возможность менять пароль по телефону.

Сегодня в электронных почтах и гаджетах пользователей хранятся гигабайты личной информации: контакты, фото, паспортные данные, логины и пароли учетных записей. И совершенно понятно, что на месте Хонэна может оказаться любой пользователь. Можно ли надеяться на ответственность крупных IT-компаний в вопросах информационной безопасности или пользователь сам должен найти способы защиты собственных данных? Эксперты Мнений.ру рассказали, как в современном мире защитить личную информацию.?

Мнение высказывает Александр Лямин, руководитель лаборатории Высоких нагрузок (Highload Lab) В данной ситуации взломщик не использовал никаких технических средств, все было сделано на уровне социальной инженерии. Никаких особенных технических новшеств не было применено, просто обычная психология и знание процедур верификации пользователей Amazon и Apple. Это, безусловно, прокол Amazon и Apple.

Подумайте только, у человека стерли все его данные. Теперь мы понимаем, куда движется мир облачных технологий и какие сложности в связи с этим могут возникнуть при условии, что облачное хранилище -? единственное место, где хранится ваша информация.

И это только начало. Даже если вы храните свои данные у такой именитой компании, как Apple, но не представляете все детали процедуры хранения этих данных, как устроена технология, не удивляйтесь таким вот историям.

По всей видимости, история, произошедшая с американским журналистом, -? лишь начало, а когда облачные технологии пойдут в массы, нас всех ожидает множество забавных историй.

Безусловно, имеет место и недоработка Amazon в процедуре верификации.

Очень важный элемент этих процедур - ?почта компании Google, которая достаточно хорошо защищена. Однако сам пользователь не использовал метод верификации с помощью мобильного телефона, что, возможно, остановило бы взломщика.

Повторюсь: чтобы сохранить свою личную информацию, не храните ее только в облачном хранилище.

Что касается иных способов защиты, то здесь спасет только цифровая чистоплотность. Пользователь должен понимать, что запускать исполняемый код, созданный неизвестными лицами, на своих устройствах опасно. Именно отсюда начинается выстраивание цепочки доверия к тому программному обеспечению, которое используется.?

Мнение высказывает Владимир Харитонов, исполнительный директор Ассоциации интернет-издателей

В этой истории есть несколько важных моментов, на которые стоило бы обратить внимание. Первое: Apple и Amazon использовали разные способы защиты информации. Эти способы, как оказалось, дополняют друг друга.

Второе: эти компании довольно быстро отреагировали, Apple буквально на следующий день изменила процедуру восстановления пароля. То же самое можно сказать и про Amazon.

Конечно, нельзя стопроцентно доверять любому сервису, все равно некая угроза безопасности всегда присутствует. Что касается данной истории, то журналисту просто не повезло: хакеры разработали действительно хорошую систему, в которой большую роль сыграла не столько техника, сколько социальная инженерия, то есть способность человека позвонить в службу поддержки и убедить оператора.

Если говорить о конкретных способах защиты, я не скажу ничего нового, эти способы всем хорошо известны. Придумывать сложные пароли, не использовать один и тот же пароль для разных сервисов. Также очень важно использовать для регистрации на разных сервисах разные почтовые аккаунты, потому что в ином случае если какой-то человек получает доступ к вашей почте, он получает доступ и ко всем вашим аккаунтам. ?

Мнение высказывает Александр Венедюхин, главный редактор dxdt.ru

Надеяться на подобные компании нельзя. Дело вот в чём: для крупной коммерческой компании, оказывающей услуги массовому пользователю, высокий уровень пользовательской безопасности может оказаться экономически невыгоден. Сейчас согласно регламентам ИТ-компании обычно не несут какой-то особой ответственности за подобные проблемы. Поэтому убытки от потери данных нескольких клиентов не сравнимы с затратами на запуск сложной системы авторизации (которая к тому же может отпугнуть других клиентов), с затратами на подробный внешний аудит инструкций служб поддержки и обучение персонала. Возможно, ситуация изменится к лучшему в будущем. Хочется надеяться на это.

Способы защиты старше компьютеров и очень банальны: нужно делать резервные копии, держать свои данные под собственным контролем. При этом, возлагая функции по управлению своими данными на сторонние компании, нужно трезво оценивать именно возможности, а не декларируемые этими компаниями намерения. И, соответственно, нельзя возлагать всю полноту контроля за своими данными на внешний сервис, руководствуясь его маркетинговыми заявлениями. К сожалению, в современном мире следование подобным правилам -? скорее миф. Так что мы увидим еще немало подобных историй, в которых доверившийся ИТ-гиганту пользователь оказывается лишь пешкой в игре невидимых мастеров.?

Вера Калантарова