Михаил Райтман - Старший брат следит за тобой. Как защитить себя в цифровом мире

Насколько серьезно должно быть защищено устройство, зависит от важности хранимой на нем информации и, соответственно, модели нарушителя (как мы уже говорили, следует понять: каков уровень его подготовки, какими ресурсами он располагает, будет ли возможная атака против вас случайной или целенаправленной и т. д.). Если это смартфон (планшет) для повседневной болтовни с друзьями, съемки селфи и запуска игр, то потенциальный злоумышленник, скорее всего, окажется простым воришкой и не будет тратить много ресурсов и времени на разблокировку устройства. Он либо присвоит телефон и отформатирует имеющийся в нем накопитель информации, либо, если средства защиты не позволят сменить аккаунт на вашем гаджете, продаст его на запчасти. В обоих случаях ваши персональные данные не будут скомпрометированы. Существует риск кражи средств со счетов, если интернет-банк привязан к имеющейся в устройстве SIM-карте и карта не была вовремя заблокирована (либо не защищена ПИН-кодом). Совсем другое дело, если вы крупный предприниматель, госслужащий или публичная персона, – раскрытие хранимой на вашем аппарате информации может вызвать что-то вроде локальной (а может, даже и глобальной) катастрофы. Спровоцировать ее может нарушитель, целенаправленно охотящийся именно за этим устройством (точнее, за данными на нем), и, если за преступником стоит крупная конкурирующая организация или спецслужбы, в такую операцию могут быть вложены колоссальные средства. В этом случае злоумышленник всеми силами постарается получить доступ к данным, хранящимся на устройстве.

Исходя из модели потенциального нарушителя, следует выбрать наиболее безопасный из доступных способов защиты, не забывая об удобстве и соотнося его с важностью хранимой на устройстве информации. Чуть позже мы поговорим обо всех этих способах защиты, используемых при доступе к самым разным устройствам и цифровым службам (операционным системам компьютеров, аккаунтам в социальных сетях, беспроводным сетям и т. п.), а сейчас рассмотрим реальные случаи, позволяющие представить масштаб проблемы слабых паролей.

В июле 2015 г. был взломан сайт знакомств для женатых мужчин и женщин AshleyMadison.com (созданный фактически для поиска любовников и любовниц) и в открытый доступ попали данные 30 млн пользователей этого сайта с адресами электронной почты, паролями и другой конфиденциальной информацией. Самое примечательное то, что в десятке наиболее популярных паролей, которые использовали многие клиенты, были следующие: «123456», «12345», «password», «DEFAULT», «123456789», «qwerty», «12345678», «abc123», «pussy» и «1234567» [17] https://arstechnica.com/information-technology/2015/09/new-stats-show-ashley-madison-passwords-are-just-as-weak-as-all-the-rest/ . .

КЕЙС В январе 2021 г. в открытом доступе были опубликованы данные о 2,28 млн пользователях сайта знакомств MeetMindful. Файл размером 1,2 Гб содержит полную базу данных (БД) посетителей сайта, включая такие данные, как реальные Ф.И.О., адреса электронной почты, города проживания, даты рождения, IP-адреса, хешированные пароли от аккаунтов и др. Используя похищенные данные, нетрудно найти их владельцев, которые в итоге могут стать мишенями вымогателей, фишеров, шантажистов и прочих злоумышленников [18] https://xakep.ru/2021/01/25/meetmindful/ . .

Важно обратить внимание: AshleyMadison.com – ресурс, предполагающий платную подписку. Поэтому злоумышленники получили доступ не только к 30 млн интимных переписок и фотографий, но и к соответствующему объему сведений о банковских реквизитах, которые пользователи регистрировали для оплаты услуг сервиса. Несмотря на то что полные номера банковских карт не были раскрыты, преступники потенциально могли вымогать [19] К слову, сам ресурс AshleyMadison.com отчасти можно назвать мошенником, так как за удаление профиля с пользователя взималась плата 19 долларов. По словам группы хакеров The impact team, взломавшей ресурс и слившей данные с серверов собственника сайта – компании Avid Life Media, даже после оплаты профиль не удалялся, о чем стало ясно после изучения слитых дампов данных, https://xakep.ru/2015/09/04/ashley-madison-fall . финансовые средства у владельцев, выяснив реальные имена и адреса владельцев, даже если на сайте знакомств те использовали псевдонимы. Учитывая особенность скомпрометированного сервиса, остается догадываться, какое волнение пережили его пользователи, узнав о взломе. Но суть не в этом, как и не в самом факте взлома (уязвимости системы). Взломы совершаются постоянно, от этого не застрахованы даже самые защищенные системы. Важно то, какие пароли использовали люди, скрывая свои интриги, способные разрушить их семьи.