Кто «кошмарит» электронную почту?

Вечером 7 сентября в Интернете был опубликован текстовый файл, содержащий логины и пароли около 1,26 млн учетных записей «Яндекса», актуальных на сентябрь 2014 года. Ссылка на файл была размещена на интернет-форумах — infosliv.ru и forum.btcsec.com. Авторы публикации утверждают, что более 90% паролей в файле действующие.

При этом в «Яндексе» заявили, что в открытом текстовом формате пароли не могли попасть к хакерам, даже если бы они взломали серверы компании, так как пароли хранятся у «Яндекса» в зашифрованном виде. Кроме того, специалисты «Яндекса считают, что речь идет о сборе скомпрометированных аккаунтов в течение длительного периода, иными словами, означенные аккаунты либо давно заброшены, либо созданы роботами.

Вслед за этим 8-го сентября неизвестные выложили в сеть базу из 4,5 миллиона паролей сервиса Mail.ru. А 10 сентября в сети появились данные 5 миллионов аккаунтов Gmail — почтового сервиса компании Google, причем в основном пользователей из России. Специалисты этих компаний также отрицают «взлом» их систем, советуя пользователям использовать двухэтапную аутентификацию, т.е. придумывать сложные пароли и привязывать аккаунты к номерам телефонов.

9 сентября неназванный редактор «РБК» получил от Google предупреждение о попытке взломать его ящик хакерами: «Мы считаем, что ваш аккаунт или компьютер пытаются взломать организаторы атаки, за которыми стоит государство». При этом в Google заявили, что показывают стандартное предупреждение об атаках, за которыми стоит неназванное государство, начиная с июня 2012 года. «Мы не можем углубляться в детали без разглашения информации, которая могла бы помочь злоумышленникам, но наш детальный анализ, а также сообщения жертв, серьезно поддерживают вовлеченность властей или групп, которые работают на государственные деньги», — написал в корпоративном блоге вице-президент Google Эрик Гросс в 2012 году.

Напомним, что в России хакеры не раз взламывали аккаунты Gmail, например, аккаунт депутата Госдумы от «Единой России» Роберта Шлегеля и оппозиционера Алексея Навального. Мы попытались разобраться, что же стоит за всеми этими атаками, и как обезопасить свой почтовый ящик? Ситуацию прокомментировал разработчик средств защиты от компьютерных атак, директор технологического департамента «РНТ» Михаил Кондратьев.

«СП»: — Некоторые эксперты считают, что подобные утечки происходят через «дыры» в Windows. В Microsoft эти гипотезы отвергают, заявляя, что проблема в уязвимости бесплатного ПО, которое используют интернет-компании, например, в браузерах, таких как Mozilla Firefox и Google Chrome. Кто ближе к истине?

— В данной ситуации, однозначно, Microsoft. 90% любых утечек — это заражение троянами и «дыры» в ПО. Microsoft — серьезная фирма, реально заботящаяся о безопасности своих клиентов, ну, по крайней мере, оперативно реагирующая на обнаруженные уязвимости. Наличие же специальных программных закладок, обеспечивающих санкционированную утечку данных пользователей, подтвердить или опровергнуть не могу. С бесплатным ПО, в частности браузерами, ситуация хуже. Во-первых, совершенно непонятно, на какие средства они разрабатываются и сопровождаются, Ну, извините, не верю я в программистов, которые не едят и спят за компьютером, который кстати тоже денег стоит.

Во-вторых, «дыры» в этом ПО так же находятся, но вот в отличие от Microsoft «заделываются» не так оперативно. Ну, а «закладки» в бесплатном ПО могут быть с той же вероятностью, что и в любом платом ПО. Кто финансирует эти разработки — тот и заказывает «особенности».

Кстати, утечки могут происходить и из самих компаний. Во-первых, это может происходить по вине недобросовестных сотрудников. Вот увольняют его, а он думает: дай-ка я «нагажу» напоследок! Во-вторых, все эти бесплатные сервисы, на мой взгляд, специальным образом не защищены от утечек информации наружу, каналы утечки просто не контролируются потому, что инженерный состав занят обеспечение работоспособности системы. А в вопросе информационной безопасности нужны люди немного другой направленности.

В массовых компаниях, типа «Яндекса» должны функционировать настоящие системы обнаружении, которые бы отслеживали странные трафики. В конце концов, нужны люди, которые умеют анализировать «состояние» системы, имеют навыки и знания в противодействии попыткам организовать утечки информации, имеют необходимый инструментарий и совершенно точно не погрязшие в эксплуатационных вопросах.

Из личных наблюдений отмечу, что в тех коммерческих компаниях, с которыми сталкивался, защита информации — не более чем формальность, на неё деньги особо и не выделяются. Это и понятно — прибыли защита не приносит, ну, а убытки от утечек пока, в нашей стране скорее репутационные.

«СП»: — После утечки Google заявил, что готов рассмотреть возможность хранения персональных данных россиян на серверах в РФ. Поможет ли это обезопасить эти данные, ведь Mail.ru и «Яндекс» тоже пострадали?

— Ситуация проста: все компании, предоставляющие сервис электронной почты, опять же на мой взгляд, безопасностью толком не занимаются, вне зависимости от государственной принадлежности.

«СП»: — А есть ли принципиальные различия в защите данных пользователей у нас и на Западе? Где безопасней заводить почтовый ящик?

— Принципиальная разница в механизмах, техника- то одна и та же. Но я бы посоветовал россиянам пользоваться отечественными сервисами. Если русского «ломанут» на Западе — он там ничего не добьется, а здесь можно хотя бы нервы компаниям потрепать. Где живешь — там и держи!

«СП»: - Роскомнадзор заявил, что не видит оснований для проверки массовой утечки паролей пользователей почтовых сервисов «Яндекса», Mail.ru и Gmail, т.к. пароли и логины электронной почты не являются персональными данными. Можно ли сказать, что это проблема исключительно указанных компаний, в которую государство не должно вмешиваться?

— Я так не считаю. В России многие считают, что государство должно обеспечивать определенный уровень комфорта и безопасности. Если государству плевать, что его гражданина будут «кошмарить» — это какая-то Эфиопия получится. Государство должно предписывать компаниям некие правила.

Я считаю, что аттестации систем, используемых компаниями, должны всегда подвергаться сомнению. Роскомнадзор должен настаивать на проверках, которые, кстати, подавляющее большинство компаний просто не пройдет. Государство обязано заставить компании повышать уровень безопасности.

«СП»: — А информацию полученную редактором РБК от Google как вы можете прокомментировать? О каком государстве может идти речь, и какие оно преследует цели?

— Не представляю, о каком государстве может идти речь. Это не более чем теория. И не понимаю, на каком основании они вообще сделали такие выводы. Может, речь о США? Учитывая, что это пришло из американской компании, может, это попытки взбудоражить общественность? Мол, вот ваша «кровавая гэбня» следит за оппозицией на каждом шагу.

А может, тот же Google «ломают» с целью получения денег. Ну, в таком случае это точно не государство…

Фото: ИТАР-ТАСС.