Страница 4 из 20
Применив обе программы (iBrute и EPPB) одновременно, можно получить данные для входа в учетную запись iCloud и скачать на свое устройство все резерные копии информации с iPhone жертвы, которые хранятся в «облаке». Это очень удобная опция, если вы, к примеру, обновляете операционную систему своего смартфона. Также это бесценный источник сведений для хакера, который теперь видит все, что вы когда-либо делали на смартфоне. Он получает гораздо больше сведений, чем если бы просто вошел в чью-то учетную запись iCloud.
Джонатан Здзиарски, консультант по восстановлению паролей и данных в интересах правоохранительных органов и специалист по информационной безопасности, рассказал интернет-изданию Wired, что, изучив вопрос утечки фотографий, он пришел к выводу, что, например, в случае с Кейт Аптон, вполне могли применяться инструменты iBrute и EPPB. Доступ к хранилищу резервных копий со смартфона iPhone открывает хакеру более личную информацию, которую позже можно использовать для шантажа.{9}
Осенью 2014 года агенты ФБР пришли в частный дом в южной части Чикаго, который Apple смогла по IP-адресу связать с несанкционированным доступом более чем к 500 аккаунтам iCloud, причем более чем к 300 из них доступ осуществлялся несколько раз. На момент передачи этой книги в печать никаких обвинений предъявлено не было.
Что здесь интересно, Elcomsoft продает свои программные продукты и правоохранительным органам, и обычной публике. Знать, что полиция может провести на сайт, защищенный паролями, атаку методом грубой силы, это одно. Знать, что это может сделать безвестный житель Чикаго – совсем другое. В этой главе мы поговорим о том, как защитить ваши онлайн-аккаунты и устройства при помощи паролей.
В результате расследования правоохранительные органы вышли на 36-летнего жителя Ланкастера, штат Пенсильвания, Райана Коллинза, которого в октябре 2016 года приговорили к 18 месяцам тюрьмы за «незаконный доступ к защищенному компьютеру с целью получения информации». Его обвинили в незаконном доступе к ста с лишним аккаунтам Apple и почтовым ящикам Google.{10}
Чтобы защитить свою учетную запись в iCloud и других сервисах, необходимо придумать надежный пароль. Это очевидно. И все же, как человек, который занимается проверкой систем на уязвимость (т. е. человек, которому платят за взлом компьютерных сетей, чтобы найти слабые места), я знаю, что многим людям – даже топ-менеджерам крупных корпораций – обычно лень придумывать хороший пароль. Задумайтесь над тем, что у генерального директора компании Sony Entertainment Майкла Линтона основным паролем был «sonyml3». Неудивительно, что его почту взломали и выложили письма в Интернет, ведь у хакеров были административные права доступа практически ко всем системам компании.
Помимо рабочих паролей существуют пароли, которые защищают персональные данные. Даже трудный пароль хакерские инструменты, такие как oclHashCat (инструмент подбора пароля, задействующий ресурсы видеокарты), могут взломать, но процесс перебора будет настолько длительным, что злоумышленник скорее решит переключиться на другую, более легкую мишень.
Вполне можно допустить, что некоторые из паролей, обнародованных после взлома сайта Ashley Madison в июле 2015 года, используются и в другом контексте – в том числе для доступа к банковским счетам и даже к рабочим компьютерам. В выложенном в Интернет списке из 3,3 миллиона паролей к сайту Ashley Madison самыми распространенными оказались «123456», «12345», «password», «DEFAULT», «123456789», «qwerty», «12345678», «abc123» и «1234567».{11} Если среди перечисленного вы увидели свой пароль, ваши данные вполне могут быть похищены, поскольку эти варианты паролей включены в большинство доступных в Интернете инструментов для подбора паролей. Чтобы проверить, не было ли утечки регистрационных данных какой-либо из ваших учетных записей, зайдите на сайт www.haveibeenpwned.com.
В двадцать первом веке мы способны на большее. На гораздо большее. Мы можем придумывать значительно более длинные и сложные сочетания букв и цифр. Может показаться, что здесь могут возникнуть какие-либо трудности, но я продемонстрирую вам два способа справиться с данной задачей: вручную и автоматически.
Самая простая тактика – вместо того чтобы придумывать пароли самостоятельно, автоматизируйте этот процесс. В Интернете можно найти множество менеджеров паролей. Они хранят пароли в защищенном электронном хранилище и предоставляют вам быстрый доступ к ним, когда необходимо, также, если требуется, они генерируют новые, надежные, уникальные пароли для каждого сайта.
Однако с этой тактикой связаны две проблемы. Во-первых, для доступа к менеджеру паролей нужен главный пароль (называемый мастер-паролем). Если кто-нибудь сумеет установить на ваш компьютер вредоносную программу-кейлоггер (клавиатурный шпион), которая украдет вашу базу данных с паролями и тот самый главный пароль, пиши пропало. Тогда у хакера будет доступ ко всем вашим паролям. Проверяя системы на уязвимость, мы иногда заменяем менеджер паролей на версию с подвохом, которая пересылает пароль нам (конечно, при условии, что установлен менеджер паролей с открытым исходным кодом). Это делается после того, как мы получаем административные права доступа к клиентской сети. Затем мы узнаем пароли. Другими словами, менеджер паролей служит нам черным ходом, войдя через который мы получаем ключи от королевства.
Вторая проблема достаточно очевидна: если вы утратите главный пароль, вы утратите все свои пароли (что не так страшно, на каждом отдельном сайте всегда можно восстановить пароль, о чем мы поговорим через минуту, но если у вас много разных учетных записей, это доставит массу хлопот).
Несмотря ни на что, следующие советы вполне способны помочь вам защитить свой пароль.
Во-первых, надежный пароль – это длинный пароль, не менее 20–25 символов. Лучший вариант – случайные наборы символов, например ek5iogh#skf&skd. К сожалению, человеческий мозг с трудом запоминает случайные последовательности. Поэтому пользуйтесь менеджером паролей. Это гораздо лучше, чем придумывать пароль самостоятельно. Я предпочитаю менеджеры паролей с открытым кодом, такие как Password Safe и KeePass, они хранят данные только на вашем компьютере.
Важное правило – никогда не устанавливайте один и тот же пароль на два разных аккаунта. Сложно следовать этому правилу. В наше время пароль необходимо придумывать практически для всего на свете. Поэтому обзаведитесь менеджером паролей, который будет создавать и хранить надежные, уникальные пароли.
К счастью, большинству из нас противостоит не государство, располагающее практически безграничными ресурсами и временем. Чаще всего нами интересуются супруги, родственники или кто-то, кому мы насолили, т. е. люди, которые, столкнувшись с паролем длиной в 25 символов, не смогут его взломать, поскольку не располагают необходимым временем и ресурсами.
Даже если пароль надежен, его можно обойти с помощью ряда технологий. Существуют программы угадывания паролей, например John the Ripper, бесплатная программа с открытым кодом, которую может скачать кто угодно. Пользователь настраивает фильтры и запускает программу.{12} В частности, можно указать количество символов, наличие или отсутствие специальных символов, добавить иноязычную раскладку и прочее. Утилита John the Ripper и другие программы для перебора паролей способны переставлять буквы пароля по определенным правилам, повышающим эффективность работы. Это означает всего лишь то, что программа просто проверяет каждую возможную комбинацию чисел, букв и символов, подходящую под заданные параметры, до тех пор, пока не подберет нужный пароль. К счастью, большинству из нас противостоит не государство, располагающее практически безграничными ресурсами и временем. Чаще всего нами интересуются супруги, родственники или кто-то, кому мы насолили, т. е. люди, которые, столкнувшись с паролем длиной в 25 символов, не смогут его взломать, поскольку не располагают необходимым временем и ресурсами.
9
wired.com/2014/09/eppb-icloud/
10
justice.gov/usao-mdpa/pr/lancaster-county-man-sentenced-18-months-federal-prison-hacking-apple-and-google-e-mail
11
arstechnica.com/security/2015/09/new-stats-show-ashley-madison-passwords-are-just-as-weak-as-all-the-rest/
12
openwall.com/john/