Михаил Демидов (С.-Петербург)
Как сообщается в отчете Privacy Rights Clearinghouse, в США за период с января 2005 года по декабрь 2007 года были украдены персональные сведения о 216 миллионах человек, то есть практически о всем взрослом населении страны.
В 2007 году американская социальная сеть Facebook (самым известным клоном которой является в России ВКонтакте.Ру) оказалась в центре скандала, связанного с утечкой конфиденциальной информации. Оказалось, что сведения о покупках пользователей сервиса в ряде крупных интернет-магазинах (среди которых и Amazon.com) автоматически рассылались "френд-листу" пользователя. Более того, после удаления учетной записи из сети сбор информации об онлайн-покупках продолжался как ни в чем не бывало. За такие нелицеприятные (но легитимные с точки зрения законодательства США) действия Facebook был назван "антисоциальной сетью".
Не перестаю удивляться нашей всеобщей наивности. Несмотря на то, что уровень вирусной опасности (например) стал даже указываться в интерфейсе почтового ящика на mail.ru, большинство из нас почему-то все равно надеются на "авось". А надеяться-то уже бесполезно. В этой статье поговорим о том, чего стоит бояться в Сети Два Ноль сейчас.
Не секрет, что современную эру развития Интернета окрестили "социальным Вебом". Речь шла, как всегда, о благих намеринях создать единое коммуникационное пространство, которое на большую часть будет самоорганизуемым (то есть сами пользователи, а не вебмастера будут его развивать и наполнять контентом), гибким к изменениям и достаточно защищенным - ведь только сам пользователь должен устанавливать рамки защиты своих данных, публикуемых в Сети. Как обычно практика разошлась с теорией. В качестве наиболее адекватного реальности примера возьмем популярный на сегодняшний день (на будущее загадывать не будем) социальный ресурс ВКонтакте.Ру. Идеология сайта проста до неприличия - дать возможность знакомым людям оставаться всегда "в контакте" (или "вконтакте", так как скоро это слово, пишущееся теперь и вместе, станет языковой нормой, благо организатор сайта закончил филфак СПбГУ). Организуется это следующим образом - пользователь должен пройти обязательную регистрацию, указав свой адрес реально существующей почты, на которую поступит письмо с активационной ссылкой. В дальнейшем именно этот адрес будет использоваться в качестве логина для доступа на ресурс, а также как мусорная корзина для разнообразных уведомлений, что Маша Иванова приглашает вас в группу Любителей быстрого поедания супов быстрого приготовления в кофейне Золотая антилопа.
Но не в этом суть. Для того чтобы полноценно существовать на сайте, необходимо заполнить о себе некоторую информацию - например, возраст, место обучения, загрузить фотографию. Конечно же, можно написать откровенно ложные данные, а в качестве фотографии закачать первую попавшуюся картинку с очередного сайта знакомств, реклама которого пришла на почту. Но от этого теряется примерно на 75% сам смысл использования этой сети - вы видите знакомого, хотите его добавить, а он, увидев такие данные, может не согласиться добавлять вас в друзья. Кроме того в последнее время Павел Дуров сотоварищи взяли за моду удалять анкеты людей, чья информация кажется им ложной, практически без объяснения причин. В общем, хоть какие-то правильные данные вводить придется.
Здесь и кроется самая главная опасность. Запомните самое правило номер один "социального Интернета" : если где-то вы ввели свои личные данные, особенно подробные (вдруг указали в качестве регистрационной почту от платежной системы или ICQ), знайте, что "за вами придут", все отнимут и поделят. Взломать ваш почтовый адрес можно очень легко - не стоит обольщаться, что все хакеры идут напролом и начинают перебирать пароли или подсовывать трояны "в лоб". Настоящие взломщики найдут способ заставить добавить вас в друзья, чтобы просмотреть ваш профиль (на случай, если он закрыт), а также установят просто наблюдение за вашей страницей.
Еще раз надо подчеркнуть, что любая введенная вами на странице информация может быть использована в целях взлома. Классический вариант - это отсылка SMS (а сейчас уже и MMS) на указанный вами настоящий номер мобильного телефона с Интернет-сайта сотового оператора с просьбой проверить почтовый ящик. В большинстве своем это срабатывает, когда взломщики вычислили ваших друзей (список их виден на сайте, а если он закрыт, то достаточно прочитать "стену", а уж если и стена закрыта, то прямой путь в комментарии к фотографиям) и написали именно от их имени. Дело еще в том, что подавляющее большинство пользователей совершенно пренебрегают таким правилом, как проверка почты только от известных получателей и только известных сообщений. На практике это значит, что открывать надо только те письма, которые вы точно ждали и от того человека, которого точно знаете. Если же что-то приходит странное и не по запросу, то имеет смысл связаться с этим человеком и перепроверить факт отправки письма. Конечно же, это выглядит со стороны слишком смешно, но зато безопасность будет сохраняться.
Известно, что найти (или написать) скрипт или программу для отправки сообщений с подменой адреса отправителя, не так уж сложно. Понятное дело, что письма будут на первый взгляд абсолютно идентичными легальным сообщениям, однако служебная информация об отправителе будет совершенно другой. Опять же, практически никто никогда ее не проверяет и не сличает с письмами от "нормальных" адресантов: конечно, зачем нажимать на кнопку просмотра заголовка (RFC)? А ведь хакеры именно на это и рассчитывают, то есть на обычный человеческий фактор, на фактор лени или усталости. Но допустим, что письмо вы все-таки рискнули открыть, а текст в нем повествует о неком лекарстве, излечивающем вас от будущих болезней или о выигрыше в лотерею.
Категорически не рекомендуется переходить по ссылкам, указанным в этих письмах, - хакеры обычно указывают не прямую ссылку, а редирект на несколько веб-сайтов, причем один из них является промежуточной страницей, на которой и установлен вредоносный код вируса, "вытягивающий" ваши личные данные (в приведенном случае - пароль и/или cookies браузера). А перейти, конечно, очень хочется - например, когда предлагают "за так" скачать новые игры для игровой приставки, хардкорные видеоролики, получить 500$ за три клика по рекламе и так далее.
Другим, не менее оригинальным и в то же время распространенным, способом заполучения конфиденциальных данных является запрос о восстановлении пароля от учетной записи - большинство пользователей игнорируют или просто не вдаются в технические подробности таких писем, и смело переходят по присланной ссылке. В большинстве своем этого уже достаточно для злоумышленника, чтобы перевести управлением аккаунтом на другой почтовый ящик.
Спам тоже может быть опасен - если его слишком много и он усиливается, то можно предположить, что почтовый ящик могут взломать.
Происходит это по следующей схеме: скачивая файлы или просто посещая различные ресурсы, распространяющие нелегальный конент (музыку, видео, программы), известный как "варез", пользователь загружает к себе на компьютер через браузер некоторое количестве cookies, отслеживающих информацию о его компьютере. Именно по этой причине на всех такого рода сайтах требуется обязательная регистрация. Узнав достаточное количество данных о посетителе, можно уже начинать воровать личную информацию. В этом деле владельцам варез-порталов помогает вирус Pinch, легко модифицируемый и подвергающейся шифрованию для защиты от детектирования антишпионским программным обеспечением. Он создает отчеты о посетителей, включая в них всю информацию о системе. В итоге злоумышленник может воспользоваться некоторыми особенными данными, которые известны одному только пользователю, и украсть все остальное. Разумеется, ряд хакеров умудряются внедрить Pinch или аналогичные вирусы и в социальные сети (примечательны два случая инфицирования Вконтакте. Ру).
Из той же серии и различные неофициальные программы, упрощающие или улучшающие возможности использования такого сайта - например, программа для "выкачивания всей музыки и видеоклипов". Понятно, что раскрутить такие "продукты" можно только используя психологические особенности посетителей, которым нужна "халява" и "много-много всего".
Не менее интересны такие социальные сервисы, как Мой
Мир@Mail.ru. Здесь вообще украсть личные данные пользователя не очень сложно. Типичный вариант - регистрация почтового ящика на сервисе, создание своего "мира", посещение страницы "жертвы", выяснение его возраста, интересов, имени адресанта, а потом остается самое главное - написать письмо от имени владельцев сервиса с просьбой о восстановлении пароля. Практически гарантированный результат достигается, когда письмо максимально похоже на то, что рассылают администраторы сервисов, благо никакие официальные лица в таких компаниях не занимаются "отношениями с общественностью", а их роль исполняют энтузиасты и волонтеры из числа обычных пользователей.
Не менее опасны с точки зрения безопасности и социальные сети, в которых пользователям предлагается загружать фотографии и видеоролики. Понятное дело, что определенный процент использует их только для хранения картинок, но большинство - именно по назначению. Обычно у таких сервисов очень часто страдает система безопасности: например, просмотреть фотографию на странице фотоальбома нельзя, а вот саму по себе картинку открыть по абсолютной ссылке можно. Понятное дело, что, просмотрев фотографии, можно просто использовать это в преступных целях. Во всяком случае, практически на всех "новостных" сайтах развлечений можно найти подборку фотографий "из домашнего архива" или "личное", которые якобы присылают сами пользователи. Однако, внимательно присмотревшись к снимкам, можно серьезно усомниться в том, что сами изображенные на фотографии люди захотели открывать фотоснимки в общий доступ в Сети. Сами же администраторы не брезгуют иногда написать, что это, мол, украденные с сайтов знакомств, почтовых ящиков, социальных сетей, фотографии.
Напоследок стоит сказать, что данные, которые вы когда-то вводили в социальных сетях, просто так, по требованию пользователя, покидающего сеть, не удаляются. Администраторы объясняют это лавиной запросов от злоумышленников, взломавших аккаунт, а работники, обслуживающие базы данных, невозможностью отслеживать каждое обращение. Поэтому-то, удаляясь из какого-нибудь интернет-сообщества, будьте внимательны - ваши данные могут "всплыть" на любом другом сайте. Ведь, как сказал небезызвестный господин Носик, "пользователи социальных сетей преимущественно глупы, а владельцы сетей преимущественно умны".