У меня день рождения сегодня :-)
В прошлый четверг все русскоязычные интернеты облетела ужасная новость:
украдены логины и пароли ста сорока тысяч пользователей "ВКонтакте". Не
потрудившись проверить факты, об этом сообщила целая куча онлайновых
изданий, не говоря уже о сотнях никому не известных блоггеров.
К сожалению, в таком виде сообщение очень и очень далеко от истины.
Начать хотя бы с того, что фишеры годами воруют логины-пароли от
"ВКонтакта", и не только от него, и в самом этом факте нет ничего
удивительного или неожиданного. Ничего необычного нет и в том, что
злоумышленники при помощи троянской программы переадресовывали
пользователей на подложный сайт и пытались выманить у них деньги,
предлагая отправить SMS с текстом "Ya ne loh" на короткий номер 6008.
Ужас, но не ужас-ужас
На самом же деле главная новость состояла в другом: на сей раз
хакеры записали все украденные логины-пароли в простой текстовый файл,
доступный по прямой ссылке любому желающему, а сама эта ссылка по
какой-то причине пошла в народ. То есть речь идёт о серьёзной утечке
пользовательских данных.
Впрочем, не настолько серьёзной, как об этом везде кричат.
145 тысяч — таково было общее число пар логин-пароль по состоянию на
вечер 30 июля. За вычетом пустых и откровенно некорректных выражений
остается всего 125 тысяч. Общее же число пользователей с уникальными
логинами, чьи данные были заботливо сохранены и расшарены, составило
чуть более 40 тысяч (то есть порядка 0,1% от числа пользователей
сервиса).
При этом администрация "ВКонтакте" достаточно оперативно сбросила
засвеченные пароли и выслала каждому пострадавшему временный пароль,
так что нашумевшая утечка вряд ли кому-то сильно навредила.
Святая простота
Нам же эта утечка, напротив, очень даже помогла. Мы давно хотели
собственными глазами посмотреть, как выглядят типичные пароли типичных
пользователей типичной социальной сети. Что ж, наше любопытство было
вполне удовлетворено. Скажем сразу, мы и не подозревали, что умственные
способности столь существенного числа людей переживают мрачный период
угасания.
Первым признаком этого самого угасания можно считать дикое число
попыток залогиниться на подложном сайте. Казалось бы, на каждом углу
предупреждают: если "ВКонтакте" просит у тебя денег за вход — это не
"ВКонтакте", это "Жадноклассники". Однако целые толпы людей, увидев предложение об отправке SMS, возвращались и пытались ввести логин и пароль заново.
В среднем каждый пострадавший вконтактёр пытался залогиниться на
сайте 3 раза. Однако не обольщайтесь: беспросветно наивных граждан на
самом деле куда больше, чем вы думаете. Так, более 10 раз пытались
вломиться на поддельный сайт почти 1300 человек. А один особо одарённый
товарищ настолько сильно страдал без своих однокурсниц, одноклассниц и
порноспама, что ввёл логин и пароль аж 55 раз кряду — и, вы не
поверите, абсолютно безрезультатно!
Вторым и главным признаком угасания вышеозначенных способностей
можно считать количество ненадёжных паролей. 1344 человека (или 3,36
процента от 40 тысяч уникальных пользователей) защищают свои
персональные данные не только простыми, но и распространёнными паролями
(к распространённым мы отнесли те, что встречаются более 10 раз).
Вот двадцатка наиболее популярных из них:
Пароль |
Кол-во |
Процент |
123456 |
134 |
0,34% |
123456789 |
85 |
0,21% |
qwerty |
85 |
0,21% |
111111 |
51 |
0,13% |
1234567890 |
41 |
0,10% |
7777777 |
39 |
0,10% |
123321 |
34 |
0,09% |
666666 |
33 |
0,08% |
1234567 |
31 |
0,08% |
123123 |
29 |
0,07% |
12345678 |
26 |
0,07% |
qwertyuiop |
26 |
0,07% |
qazwsxedc |
25 |
0,06% |
000000 |
23 |
0,06% |
любовь |
23 |
0,06% |
555555 |
22 |
0,06% |
zxcvbnm |
22 |
0,06% |
654321 |
19 |
0,05% |
gfhjkm |
19 |
0,05% |
1q2w3e4r |
18 |
0,05% |
Примечание 1: Если вдруг кто не догадался, "gfhjkm" — это слово
"пароль", набранное в латинской раскладке клавиатуры. Многие считают
такой приём очень хитрым.
Примечание 2: Бдительная администрация ресурса с некоторых пор
запретила изменять пароли на чисто цифровые, однако создавать новые
аккаунты с такими паролями по-прежнему допускается.
Несколько слов о главной болезни интернетозависимых - копипейстинге.
Напомним, что в рассматриваемой нами социальной сети в качестве логинов
используются электронные адреса. Так вот, у 343 пользователей (0,86%)
пароль идентичен логину на почтовом сервисе (т.е. части почтового
адреса до "собаки"), а ещё у 67 человек (0,17%) пароль полностью соответствует логину (т.е. всему адресу, включая "собаку" и то, что за ней следует).
Кто был тот умный мужик, который сказал, что святая простота хуже воровства?
Где у него кнопка?
Об одном из популярных паролей, не вошедших в ТОП-20, хотелось бы сказать особо.
На странице настроек, в разделе смены пользовательского пароля, администрация разместила следующую нехитрую инструкцию:
Убедитесь, что не включена кнопка CAPS-Lock
Пароль должен быть не менее 6 символов в длину
Ещё лучше — использовать и буквы, и цифры
'kNOpKA' и 'knopka' — разные пароли
Как и следовало ожидать, 16 человек из 40 тысяч (0,04%) выбрали в
качестве пароля слово, приведённое в последней строчке. Из них 12
использовали вариант "knopka", 2 — "кнопка" и 1 — "KNOPKA". Ещё одна
продвинутая девушка завела себе пароль "ryjgrf", то есть "кнопка" в
латинской раскладке.
Казалось бы, 0,04% — ничтожная цифра. Однако в масштабах всего
сервиса это уже не 16, а 15600 аккаунтов. И этот ключ заботливо вложила
в руки злоумышленникам сама администрация!
Позвони мне, позвони!
Семь с лишним тысяч паролей в рассматриваемой базе — это полностью
цифровые последовательности (считающиеся несекьюрными), из которых
никак не меньше тысячи (то есть более 2,5%) в той или иной степени
напоминают номера телефонов. Стоит отметить, что мы обращали внимание
только на семизначные и десятизначные номера, так что эта цифра может
быть сильно занижена. Добавьте к ним 237 11-значных паролей,
начинающихся на "80" (здоровенькі були, шановнi українські друзі!) и
еще десяток телефонопаролей, начинающихся с "+". Если учесть, что
вконтактёры с большой охотой публикуют на личных страницах номера
телефонов, да и телефонные базы купить не так уж и сложно, считать
такие пароли надёжными никак нельзя.
Неплохо? А ведь это мы пока ещё не сказали ни слова о любви.
Любовь откроет все засовы
"Любовь" в том или ином виде присутствует в 332 паролях (0,83%).
Сюда вошли также слова "люблю", "любимый", "любимая" и их сочетания с
именем собственным. Если цифра в 0,83% вас не впечатляет, приплюсуйте
сюда не поддающееся учёту количество паролей с именами (в частности,
никнеймами, фамилиями и инициалами) любимой девушки, любимого юноши, а
также любимого себя.
Среди паролей с именами встречаются такие криптостойкие как
"люблюсережу", "ФамилияИмя" и даже "пусенька" (при электронном адресе,
начинающемся с "pusya"). Напомним, что имя любимой или любимого, не
говоря уже об имени самого человека, можно без труда взять из анкетных
данных непосредственно на сайте.
К сожаленью, день рожденья...
Ещё один тип массово используемых небезопасных паролей — это даты.
Действительно, намного труднее забыть пароль, если он совпадает с
чьей-нибудь датой рождения. В исследуемой базе мы насчитали по крайней
мере 1200 паролей (3 процента от общего числа) в форматах типа ЧЧММГГГГ
и ГГГГММЧЧ.
Информация же о дате рождения пользователя или его ближайшего
окружения зачастую открыта для ознакомления. Более того, сервис за
несколько дней предупреждает друзей пользователя о грядущем взломе приближении праздника. Если дата рождения будет всё-таки скрыта, её можно попытаться найти в тех же телефонных базах.
Справедливости ради заметим, что с датой или годом рождения вполне
можно создавать и довольно сильные пароли. Достаточно добавить
несколько букв до, после или между цифрами. По нашим оценкам, порядка
0,5 процента пользователей так и поступает, хотя некоторые из них
портят всё дело, дописывая вместо случайных букв своё имя.
Подсчитали — прослезились
Итого имеем:
Распространённые пароли |
1344 |
3,36% |
Предполагаемые номера телефонов |
~1300 |
~3,25% |
"Любовь" (за вычетом вошедшего в п.1) |
309 |
0,77% |
Совпадение с электронным адресом
(до "собаки" или полностью) |
410 |
1,02% |
Даты рождения (только XX век) |
~1200 |
~3% |
Таким образом, в общей сложности мы имеем до 11,4 процента паролей,
взломать которые сможет любой желающий, при условии что он знает
электронный адрес пользователя, имеет доступ к его анкетным данным и
готов потратить пять минут своего драгоценного времени.
Добавьте к этому пароли, совпадающие с именами собственными
(подсчитывать которые нам было лень, но речь идёт процентах о десяти,
не меньше) и цифровые пароли, оперативно взламываемые элементарным
брутфорсом (их доля, за вычетом номеров телефонов и дат, составляет
где-то 11 процентов) — и вы получите удручающую картину.
Ситуация усугубляется тем, что правила сервиса требуют от пользователя
выкладывать о себе всю подноготную. Наличие такой массы личных сведений
в открытом доступе — просто праздник для потенциального взломщика.
Дисклеймер
Безусловно, в процессе подсчёта нами был сделан целый ряд допущений.
Да и исследуемую базу никак нельзя назвать абсолютно достоверной.
Например, часть пользователей явно не могла вспомнить своих паролей и
просто пыталась их подобрать. А немногочисленные сообразительные юзеры,
надо отдать им должное, и вовсе воспользовались формой логина-пароля,
чтобы послать фишеров в пешее эротическое путешествие.
Саму выборку, несмотря на её весьма приличный объём, тоже нельзя
считать полностью репрезентативной, поскольку речь идёт лишь о
пользователях, которые, во-первых, умудрились подцепить заразу, а
во-вторых, догадались отдать свои пароли в чужие руки — то есть о
людях, заведомо наивных в вопросах безопасности.
Тем не менее, просмотрев другие аналогичные исследования,
проведённые в самых разных частях света (если угодно — Google вам в
помощь), рискнём предположить, что в своих выводах мы скорее
преуменьшили масштабы трагедии, нежели преувеличили.
Что делать и кто виноват?
Сначала "Вебпланета" хотела приложить к этой статье пару мануалов в
духе "спасение утопающих — дело рук самих утопающих". А потом мы
заглянули "ВКонтакт" и обнаружили, что инструкций по безопасности там
пруд пруди. Правда, без поллитры их не сразу и найдёшь: сначала надо
тыркнуть на "Техподдержку" в самом низу страницы, потом кликнуть по
ссылке на группу "ВКонтакте | Безопасность", которую нужно отыскать в
сайдбаре, а затем в сообщениях группы надо попытаться выцепить нужную
информацию. Например, о том, как создать секьюрный пароль или как не стать жертвой фишеров.
В общем, администрация, с одной стороны, подготовила все инструкции. А с другой стороны, даже обязала пользователей
(кроме шуток, именно обязала и именно пользователей) "принимать
надлежащие меры для обеспечения сохранности... имени пользователя
(адреса электронной почты) и пароля". Однако лучше бы она обязала их
пользоваться надёжными паролями при помощи нехитрых технических
средств, скажем, проверяя создаваемые пароли на криптостойкость, на
(не)соответствие их логину, фамилии, имени жены и другим
пользовательским данным...
Можно сколько угодно называть пользователей малограмотными или
ограниченными, но ведь и создатели сервиса должны понимать, что они в
ответе за тех, кого приручили.
Почему же тогда при создании и смене пароля нет прямой (и написанной вот таким вот кеглем)
ссылки на подробную инструкцию по безопасности? И почему эта инструкция
вообще видна только залогиненным пользователям? Получается: сначала
придумай пароль и зарегистрируйся, а уж потом тебе расскажут, какой
пароль надо было придумать. Да и то, если догадаешься залезть в дебри
"Техподдержки".
Безусловно, "ВКонтакте" — далеко не единственный ресурс Рунета, не
позаботившийся о таких элементарных мерах. Но это один из самых
посещаемых ресурсов, и для кибермошенников эти 39 миллионов
пользователей — как сортир для мух. При этом подавляющее большинство из
этих миллионов — люди, которые не знают, с какой стороны у системного
блока разъём питания. Они и системный блок-то отыщут не с первой
попытки, а вы их выпустили с голой задницей в кишащий вирусами и
червями Интернет!
Но ведь и это ещё не всё. Хотя после пяти неудачных попыток входа на
сайт пользователю и показывается какая-никакая капча, ограничений на
число попыток ввода пароля, похоже, попросту не установлено: мы сбились
со счёта после 35-й или 40-й попытки. А этого вполне достаточно, чтобы
перебрать все распространённые варианты, плюс имена, телефоны и даты.
Да и от капчи-то, как выяснилось, мало толку: она попросту не
активизируется, если подбор пароля чередовать с двух машин с разными
IP-адресами.
Ей-богу, детский сад, трусы на лямках! С такой политикой
безопасности сервиса беспокоиться по поводу фишинга и всяких мелких
утечек уже и не надо.
Список популярных паролей, спамерская база электронных адресов и
небольшой ботнет, взятый в аренду на чёрном рынке — вот и всё, что
нужно, чтобы тихо и не привлекая особого внимания в сравнительно
короткие сроки простым перебором взломать аккаунты 3,36% пользователей
этого сервиса. Алгоритм можно слегка усложнить, добавив проверку на
пароль, полностью или частично совпадающий с логином — и вот вам ещё
процент с копейками. Даже если в спам-базе будет только половина
адресов, которые используются в качестве логинов "ВКонтакте", в
конечном итоге окажутся взломанными более 800 тысяч аккаунтов.
Мы не сильно удивимся, если окажется, что нечто подобное кто-то уже делал.
Вместо постскриптума или "Короче, Склихосовский!"
При подсчёте статистики мы не рассматривали пароли короче шести
символов, поскольку в настоящее время на сервисе, слава Дурову, имеется
такое ограничение. Однако же один способ завести "ВКонтакте" короткий
пароль мы всё-таки обнаружили.
Да, при создании аккаунта этот номер не пройдёт, и в поле пароля
придётся вбить не менее шести символов. Но зато потом можно зайти в
раздел настроек и задать в качестве нового пароля любую
последовательность из двух и более символов, которая включает как
минимум один знак !, $ или &. Причина состоит в том, что
перечисленные знаки "ВКонтакте" превращает в пятисимвольные
последовательности "!", "$" и "&".
Соответственно, нельзя задать пароль, который состоял бы более чем
из шести знаков !, $ или &, поскольку в результате его длина как бы
будет более 32 символов, что не допускается.
С этим связан ещё один забавный глюк "ВКонтакте". При создании
нового аккаунта упомянутые чудо-символы никуда не перекодируются и
сохраняются как есть. Поэтому можно задать и более длинный пароль,
например, "!!!!!!!!". А вот поменять такой пароль через соответствующую
форму уже не получится, поскольку старый пароль при вводе будет
перекодирован, обрезан и признан неправильным.
Игорь Крейн, Владислав Михеев с сайта вебпланета