Прошлым летом, завершив анализ
обнародованных злоумышленниками паролей сорока тысяч пользователей
"ВКонтакте", мы были неприятно удивлены (то есть мы были больше, чем
просто удивлены, но слово "при#уели" нам мешает употребить врождённая
интеллигентность): мало того, что все эти люди добровольно передали
свои данные фишерам, так ведь и пароли-то оказались просто никакущие.
Скажем, больше 11 процентов из них можно было подобрать, обладая
минимальной информацией о пользователе, доступной из его же анкеты.
Будучи интернетчиками с более чем десятилетним стажем, мы слишком
хорошо помним те времена, когда для выхода в Сеть нужен был
определённый уровень знаний и технической подготовки. Поэтому нам было
непросто поверить в то, что все эти непроходимо наивные люди существуют
в реальности.
Но факты налицо: эти люди не просто существуют, они находятся рядом
с нами, в самой непосредственной близости. Их даже больше, чем кажется
на первый взгляд — достаточно лишь присмотреться.
Наглядным подтверждением тезиса о том, что "надо что-то делать",
может стать недавняя история с тысячами пользователей Facebook, которые
пытались залогиниться
на любимый сайт через статью, размещённую на совсем другом ресурсе. В
наших сетевых просторах дела обстоят не лучше: вспомните, как часто на
форумах встречаются вопли о помощи. И это лишь верхушка айсберга.
У нас тоже накопилось несколько историй из жизни, демонстрирующих
разные степени безграмотности интернет-пользователей в том, что
касается безопасности и защиты данных. Большинство из них мы приводим
здесь чуть ли не один в один, кое-что творчески обработали в силу своих
способностей.
Эпизод первый: Открытая угроза
— Алло, Галя? Скажи свой почтовый пароль.
— С какой стати я должна тебе свой пароль говорить?
— Ты что, совсем не соображаешь? Как же я без твоего пароля тебе отправлю письмо?!
* * *
Выше приведён фрагмент диалога двух немолодых женщин, каждая из
которых не менее двух лет мало-помалу осваивает компьютер и Интернет.
За всё это время одной из них никто так и не удосужился объяснить, чем
отличается логин от пароля. Немаловажно, что вторая, не будучи сильно
продвинутым пользователем, в какой-то момент поддалась влиянию первой и
засомневалась — а вдруг она неправа, и паролем всё-таки надо было
поделиться. К счастью, её вовремя остановили.
Загляните ещё раз в наш анализ базы паролей "ВКонтакте" — и вы удивитесь тому, сколько народу не видит разницы между паролем и именем пользователя.
Но можно ли назвать всех этих людей тупыми? Вряд ли. Незнание вами
терминологии ядерной физики и правил техники безопасности при работе на
атомной электростанции не делает вас дураком. Однако вас вряд ли
допустят к управлению реактором без соответствующих знаний. Так почему
же в Интернет выпускают кого попало без справки из психоневрологического без малейшей предварительной подготовки?
Эпизод второй: Атака клоуна
— То есть, я смогу общаться с женой бесплатно?
— Ну да.
— Тогда регистрируюсь. Меня устроит имя пользователя dan...
— Не трать время, там десятки миллионов пользователей, и имя dan уже много лет занято...
— А я проверю... Гм, и правда занято...
— Постой-постой... Ты сейчас чего творишь?
— Хочу задать свой обычный пароль — "123".
— Там минимальный пароль — шесть символов.
— Ну а я всё же попробую... Не принимает, зараза... А если "321"?
— Всё равно в нём нет шести символов...
— Блин, ну как же так! У меня везде стоит пароль "123" — чтобы не забыть... Ну, в крайнем случае, "123456"...
— Ну и ты понимаешь, что это небезопасно?
— Ёлки-палки, ну нахрена мне эта безопасность?
— Ну да, так всегда и бывает. Сначала — "нахрена", а потом — "почему от
моего имени кто-то у моих друзей по аське денег просит"...
— Да брось, не нужен я этим вашим хакерам...
— Вот видел бы ты логи моего сервера, который тоже "не нужен хакерам".
Понимаешь, просто ползают боты и пытаются подобрать пароль. А если бы я
был такой же умный и задал пароль "123", то на моих сайтах давно бы
угнездились вирусы...
— А я всё же попробую задать пароль покороче... Вдруг пропустит...
* * *
Этот пользователь, буквально атакующий вражеский сервис "Скайп", не
выдуман. Это реально существующий студент театрального вуза, между
репетициями заглянувший с ноутбуком к одному из авторов этой статьи.
Наиболее показательно в этой ситуации то, что даже узнав, почему
нельзя использовать короткий пароль, пользователь всё равно пытается
это сделать — а вдруг получится! Выходит, что наиболее надёжным
способом борьбы с подобной безалаберностью является даже не
просвещение, а жёсткий программный контроль криптостойкости создаваемых
паролей.
Попросту говоря, веб-сервис не должен принимать "слабые" пароли, как
бы этого ни хотелось пользователю. И уже в дополнение к этому совать
под нос инструкцию по безопасности.
К сожалению, на практике далеко не все интернет-сервисы грамотно
контролируют качество пользовательских паролей. В результате мы имеем
угнанные аськи, скайпы, аккаунты "Жадноклассников" и "ВКонтактов". А
потом наблюдаем толпы раздражённых пользователей, яростно строчащих жалобы в "Спортлото".
Эпизод третий: Месть ситхадмина
— В общем, с Нового года ты у нас не работаешь. Сисадмин нам больше не нужен.
— Ну, я даже не огорчусь, вы знаете. Не зарплата и была — я получаю больше, даже не выходя из дома.
— Вот и ладушки.
...
— Алло.
— С Новым годом, Владислав! Как дела?
— Соответствующе. 10 утра, третье января...
— Понятно. А у нас проблема с компьютером.
— И каким боком меня касаются проблемы вашего компьютера?
— Ну, мы подумали, что это ты сделал что-то не то. У нас ничего не
работает. В смысле, твой компьютер странно себя ведёт и в Интернет не
пускает.
— Знаете, такое могло произойти, только если вы сделали что-то не то. Прямой вопрос: что именно вы сделали?
— Ну... Нам вот пришло что-то по почте... После этого на "Рабочем
столе" появился новый ярлык "Гость"... И мы на него нажали. Надо же
было посмотреть, что там такое...
— Что ж, поздравляю: вы заразили машину вирусом, причём своими
собственными руками. В связи с этим хотелось бы напомнить, что я у вас
больше не работаю и ничем помочь не могу. Могу порекомендовать хорошего
сисадмина... Но он за визит берёт почти столько же, сколько вы мне
платили в месяц...
* * *
Данный пример наглядно показывает, что как волка ни корми
как юзера ни воспитывай, оставшись без присмотра, он в первый же день
своими руками установит заботливо присланный спамерами вирус или найдёт
ещё какое-нибудь приключение на свою машину.
На предприятиях, где не организовано просвещение сотрудников и при
этом всячески экономят на сисадминах, подобные вещи происходят сплошь и
рядом. Тут, ребята, либо вы берёте на работу только компьютерно
грамотных людей, либо хорошо платите сисадмину, чтобы он ходил за ламерами и подтирал обеспечивал безопасность инфраструктуры. А лучше — и то, и другое.
Эпизод четвёртый: Полная безнадёжность
— Достало уже!
— Что тебя достало?
— Вот эти вот дурацкие предупреждения меня достали: "Посещение этого
сайта может нанести вред вашему компьютеру..." Бла-бла-бла...
— Вполне нормальное предупреждение. Значит, что на сайте, скорее всего, вирусняк какой-нибудь.
— Блин, если мне нужен этот сайт, я всё равно на него зайду!
— Прости, что такого на этом вот конкретном сайте, чего нельзя найти на другом, не завирусованном?
— Э-э-э... М-м-м-м... Ы-ы-ы-ы... Я всё равно зайду, меня Машка просила
посмотреть там кое-что... Вообще этот ваш фишинг-контроль в браузере
надо отключить.
* * *
Столь сильное стремление ряда пользователей непременно сходить по
всем ссылкам, присланным Машкой, Сашкой, Пашкой и Ксюшкой, заслуживает
всяческого внимания. Британским учёным ещё предстоит выявить причины
такой настойчивости.
А вот одну из причин игнорирования предупреждающих надписей мы,
похоже, нашли. Упомянутый выше сайт "ВКонтакте", на наш взгляд, сыграл
очень серьёзную роль в дискредитации подобных сообщений — ведь он
выдаёт их при переходе по любой внешней ссылке, а не только по заражённой.
Следующим шагом любителей ссылок может быть отключение визжащей тещи Касперского надоедливого антивируса. Если, конечно, он вообще установлен...
Эпизод пятый: Империя добра наносит ответный удар
— Слушаю.
— Приветы... Млин, тут такое дело... К тебе можно вписаться на пару дней?
— Г-хм... А что случилось-то?
— Да это... Ксюха закатила скандал. Звоню сейчас из кафе. Сижу с чемоданом...
— Опять по порносайтам лазил?
— Да нет. Тут ваще песец. Прочитала переписку с Ленкой.
— Ты что, её письма в коробочке хранишь? С розовой ленточкой?..
— Да нет, в "Гмыле".
— Ах, в "Гмыле"! Ну и как же Ксюха туда залезла? Забыл разлогиниться?
— Да фиг поймешь. Гугл же запустил недавно шнягу. То ли "Зебб", то ли "Базз", не помню...
— А, "Живая лента", да. И что?
— Ну и я там с Ленкой перекинулся парой слов...
— Постой, ты что, в комментариях к какой-нибудь записи с ней трепался?
— Да кто его знает. Наверное. Я ж думал, этого никто больше не видит, только мы с Ленкой.
— Ну вы, блин, даёте. Ты бы в настройки влез сперва, прежде чем языком
болтать. Там же всё настраивается. Сейчас все твои бабы наверняка
подписаны на твои сообщения — с твоего разрешения, между прочим.
— Никому я ничего не разрешал!
— Это тебе кажется. Как только начал пользоваться "Баззом", так сразу и
разрешил. Там все твои девки из "списка контактов" автоматически
подцепились.
— Ох ты ж, ёма-народ... И чего теперь делать?
— Зависит от того, о чём вы там ворковали, голубки. Погодь, ща гляну...
— Э-э... Ты чего сейчас делаешь?
— А ты догадайся с трёх раз... Я ж тоже в твоих контактах.
— Ты тоже это видишь, что ли?
— Ещё как вижу!.. Ого! Да я смотрю, ты парой дней не отделаешься... Переезжал бы сразу к родителям, что ли... Бугагашенька!
* * *
Тут всё довольно прозрачно. Веб-сервисами надо пользоваться с умом.
И крайне желательно — только после того как разберётесь в их настройках.
При этом трудно поспорить с тем, что в данной ситуации облажался
и "Гугль". Ежу понятно, что подавляющее большинство пользователей
подпишется на новую услугу, не читая правил и не заглядывая в
настройки, — хотя бы для того, чтобы поскорее избавиться от дурацкого
сообщения о появлении нового сервиса и перейти к чтению почты.
Эпизод шестой: Заражение джедая
— Слышь, чего это от тебя в аську какие-то левые ссылки прут?
— Не может такого быть.
— Да может, может. Вирусняк подхватил или что?
— С чего бы это? Вирусы только у ламеров заводятся.
— Вирусы могут завестись у кого угодно, хоть у Касперского. Антивирус у тебя какой, кстати?
— Нет у меня антивируса, нафик надо.
— А-а-а, всё понятно...
— Что тебе понятно? Я же "не первый год замужем". На левые сайты не
хожу, на ссылки из почты и аськи не нажимаю, "Винды" обновляю
регулярно, "Файрфокс" тоже, "Интернет-эксплорер" в последний раз
запускал ещё при Брежневе... С чего бы мне подхватить вирус?
— Да я тебе десяток причин придумаю.
— Например?
— Ну, например, твой любимый "нелевый" сайт заразили, а как ты туда
зашёл "Файрфоксом", к тебе через незалатанную дырку пролез троянчик.
Кстати, браузер у тебя в последнее время не падал без причины?
— Да нет вроде.
— Неважно. И без браузера можно залететь. Черви, скажем, пролезают
сами, через дыры в системе. Помню, лет пять назад экспериментировал:
поставил начисто XPюшу, накатил сервис-пак, все дела, вышел в Интернет
при включённом файрволе и начал следить за тем, кто ко мне снаружи
стучится...
— Ну и?
— Ну и... Без файрвола и антивируса мой комп был бы заражён уже через несколько часов максимум. И это когда было. Сейчас, говорят, можно заразиться за сорок минут. Или за сорок секунд — тут уж как повезет...
— Типа с файрволом и антивирусом пронесло бы?
— У меня вот сейчас работает аппаратный файрвол в маршрутизаторе и
"Каспер" на компьютере. Года два полёт нормальный. Но стопроцентную
гарантию не даст ни один "Дюрекс", ты ж понимаешь...
* * *
Даже продвинутые пользователи нередко страдают — но чаще не столько
от неведения, сколько от ложной самоуверенности. Давно прошли времена,
когда, чтобы подцепить заразу в систему, от пользователя непременно
требовались какие-то более явные действия, чем просто включение
компьютера. Безусловно, на ссылки тыкать нужно с включённой головой, но
и принять разумные меры автоматической защиты тоже необходимо.
Заключение
Не хотелось бы в очередной раз повторять очевидные истины, но
придётся. Постараемся покороче, с минимумом аргументации, ибо эта тема
чересчур благодатная.
Итак, корень зла — в массовой компьютерной безграмотности. Понятно,
что лучше бы в мире вообще не было вирусописателей и прочей швали. Но
это утопия, а потому такой вариант мы даже гипотетически рассматривать
не будем. Следовательно — надо, чтобы утопающие если и не спасались
сами, то хотя бы не отбивались всеми конечностями от спасателей.
Позиция "каждый сам за себя" нам представляется неразумной. От
заражённых компьютеров страдают все, а не только их владельцы. Ведь
именно благодаря слабой компьютерной грамотности мегатоннами
рассылается почтовый мусор, в мессенджер сыплются вредные ссылки и
просьбы от фальшивых друзей о вспомоществовании, блоги пестрят сеошными
комментариями, а сайты валяются под DDoS-атаками.
Вывод: юзеров надо защищать и просвещать. Глупо надеяться на то, что
пользователь, чьи интересы ограничиваются общением в "Жадноклассниках"
и выкачиванием порнухи с торрентов, когда-либо займётся
самообразованием. Возможно, какую-то роль в ликвидации компьютерной
безграмотности могли бы сыграть уроки информатики в школах, но роль эта
вряд ли станет сколько-нибудь значимой в обозримом будущем.
На наш взгляд, здесь должны активно включиться поставщики
интернет-услуг. Интернет-провайдеры, а также крупные "ламерские"
сервисы — то есть те, кто так или иначе зарабатывает на пользователях и
напрямую в них заинтересован. Пока что у них хватает фантазии лишь на запугивания абонентов-зомби отключениями или на публикацию куцых заметок о кибербезопасности где-то в недрах своих справочных систем.
Пока провайдеры не начнут всерьёз заниматься данными вопросами,
количество интернет-мошенников и вредоносных программ будет только
расти.
|