<b>Хакер Алексей Смирнов — о том, кто взламывает аккаунты простых людей и как этого избежать</b> The Village узнал, кто ставит лайки в «Фейсбуке» вместо вас, как подобрать правильный пароль и что из себя представляет хакерское сообщество

Хакер Алексей Смирнов — о том, кто взламывает аккаунты простых людей и как этого избежать The Village узнал, кто ставит лайки в «Фейсбуке» вместо вас, как подобрать правильный пароль и что из себя представляет хакерское сообщество

Недостаточно изобретательный пароль может лишить вас денег на банковской карте, любимых аккаунтов в социальных сетях и раскрыть все ваши секреты широкой общественности. От этого не застрахованы ни самые простые пользователи, ни политики, ни звёзды.

О том, как себя обезопасить в интернете, кто и зачем взламывает других, The Village рассказал директор по информационной безопасности Parallels Алексей Смирнов. В середине 90-х он вместе с группой других хакеров поучаствовал во взломе системы безопасности Citibank. Сейчас Смирнов называет это «масштабным проектом по сбору и систематизации информации, в котором не было корыстной цели». В то время киберпреступления не карались российским законодательством, а сейчас прошёл срок давности. Смирнов перешёл на светлую сторону, ему удалось выстроить карьеру в сфере информационной безопасности, не имея даже образования.

О российских хакерах

— Правда ли что российские хакеры — одни из лучших в мире?

— Да, можно сказать и так. Российские хакеры широко известны во всём мире, и эта репутация оправданна, хотя, конечно, хакеров много везде. C чем это связано, я не знаю. Не думаю, что это как-то коррелируется с уровнем IT-образования. Скорее, дело в ментальности. У нас много людей, которые склонны к каким-то самостоятельным исследованиям. Кого-то из наших специалистов переманивают за большие деньги и в Кремниевую долину, и куда угодно. Сам знаю некоторых специалистов, которые давно стали миллионерами.

— Составьте среднестатистический портрет российского хакера.

— В основном это либо студенты, либо вчерашние выпускники вузов. Люди постарше тоже есть на рынке, но, как правило, они подходят к вопросу более профессионально и работают в компаниях, которые занимаются анализом безопасности кода. Девушек в сфере немного, но есть тенденция к увеличению их количества. Я бы сказал, что сейчас их в этой сфере 20 %. Они совершенно конкурентоспособны.

— Как происходит поиск уязвимостей?

— У нас в компании есть два направления. Первое работает с клиентами, с частными лицами, второе — это B2B. Самое интересное происходит во второй части, где создаётся софт для дата-центров облачных провайдеров. Наши штатные исследователи находят там проблемы.

Девушек в сфере немного, но есть тенденция к увеличению их количества. Я бы сказал, что сейчас их в этой сфере 20 %. Они совершенно конкурентоспособны

Что-то нам присылают фрилансеры. За это мы выплачиваем вознаграждения. Если человек достаточно много копается с нашими продуктами, мы можем пригласить его в штат. Размер вознаграждения зависит от серьёзности найденной уязвимости.

— В одном из интервью вы говорили, что в 90-е все хакеры искали способы разбогатеть с помощью взлома. Изменилось ли сейчас соотношение тех, кто работает на светлой и тёмной сторонах?

— Да, изменилось, светлых хакеров стало сейчас намного больше, чем было. И причём те, кто работает на светлой стороне, как правило, более квалифицированны. Для того чтобы слегка зарабатывать деньги тёмной стороной, большая квалификация не нужна. Как ни странно, это занятие более скучное или рутинное. Но всё-таки я обобщаю, могут быть исключения в разные стороны.

— А помните, пару лет назад была найдена уязвимость в Skype, когда можно было получить доступ к аккаунту, просто зная почту владельца? Это обнаружили ребята из России. Если бы они обратились в саму компанию с такой находкой, а не рассказали бы про неё всему интернету, они могли бы рассчитывать на вознаграждение от Skype?

— Я не знаю, как в Skype организована работа с хакерами. Например, в Microsoft, которой он теперь принадлежит, и в Google вознаграждения точно есть. Суммы могут составлять от сотни долларов до нескольких десятков тысяч. Но десятки тысяч — это если уязвимость находится в совсем публичном сервисе или популярном приложении. Возможно, это как раз тот случай.

Если смотреть на общую ситуацию, то человек, который обращается в компанию с найденной уязвимостью, обычно получает немножко меньше, чем он бы получил на чёрном рынке, но, с другой стороны, ему не нужно искать заказчика, впутываться в криминальные дела. Работая на легальном поле, он может строить свою репутацию и монетизировать свою известность. В Россию ещё только проникает понимание, что приличные деньги и возможность реализовать свою страсть к разбору всего и вся можно получить более цивилизованным способом — имея работодателя.

— Говорят, что российская полиция совершенно беспомощна в борьбе с хакерами.

— С одной стороны, это так. С другой — есть определённое количество коммерческих компаний, которые помогают в расследовании инцидентов. Если они присоединяются к расследованию, то шансы быть пойманным существенно увеличиваются.

Об утечке фотографий звёзд в iCloud

— Тим Кук говорит, что вины Apple во взломе iCloud звёзд нет. Вы согласны?

— Одна из основных версий — это подбор пароля через функцию Find my phone. После этого создавалась резервная копия на другом айфоне. Это правдоподобная версия. Если всё так, это не уязвимость в сервисе, там просто была возможность обойти защиту методом перебора пароля, так что даже в этом случае хороший пароль мог бы спасти аккаунт.

Теперь Apple вводит двойную верификацию в iCloud, пользователям будут приходить уведомления о том, что подозрительные люди пользовались функцией Find my phone. Полезная вещь.

— У вас не складывается ощущения, что атака на iCloud — это происки Dropbox, которым они давно мешают жить?

— Не знаю, но мне эта идея кажется неправдоподобной.

— Зачем тогда всё это было? Хакеры с этих сливов не получили ни славы, ни денег.

— Возможно, это одни из немногих хакеров, которые работают ради развлечения. Обычно взламывают что-то ради денег.

Пароли собирались хакерами для каких-то своих целей, а потом решили выложить в открытый доступ, что не пригодилось. Чтобы не пропадало и наделать много шума. Им удалось

— Помните, недавно был случай, когда хакеры выложили в открытый доступ пароли сотен пользователей Gmail, «Яндекса» и других? Притом большая часть из них уже недействующие. А это было зачем?

— Чтобы посеять страх, неуверенность и сомнения, раз выкладывались самые разные сервиcы и достоверность аккаунтов постепенно убывала. Только у «Яндекса» был действительно большой процент реальных профилей. Вероятно, пароли собирались хакерами для каких-то своих целей, а потом решили выложить в открытый доступ, что не пригодилось. Чтобы не пропадало и наделать много шума. Им удалось.

— А хакерское сообщество обычно знает, кто и за каким инцидентом стоит?

— По-разному бывает, но тех, кто выложил почты, я, например, не знаю. Иногда хакеры друг друга знают, иногда анонимно общаются друг с другом.

О паролях

— Вы говорите, что очень маленькое количество людей придумывает нормальные пароли. Ошибка в его простоте или в том, что люди везде повторяют один и тот же?

— Ошибок несколько. Во-первых, использование одного и того же пароля на разных сервиcах. Довольно распространённая ситуация, когда у человека засвечен важный пароль на сервисе с низким уровнем безопасности. В результате хакер получает доступ к ресурсам, которые трудно взломать. И, конечно, повсеместная неспособность придумать хороший пароль.

— А хороший пароль — это сколько знаков?

— Необязательно речь идёт о количестве знаков. Желательно несколько слов, использование цифр, букв разного регистра тоже в определённой степени помогает.

— Как пользователю понять, насколько защищён ресурс?

— Надо ранжировать по возможным последствиям. Если регистрироваться на каком-то малоизвестном форуме, можно использовать один и тот же пароль для всех из них. Если их все уведут, то в этом не будет ничего страшного. Если для вашей жизни имеют большое значение социальные сервисы типа Google+ и Facebook, то лучше использовать пароль посложнее, хоть у этих сервисов и защищённость выше. Если сервис предоставляет дополнительные возможности по верификации, например, с помощью СМС, определённо стоит этим пользоваться.

— И как обычный человек может придумать и запомнить столько сложных паролей?

— Сервисы для хранения паролей — это, конечно, неизбежное зло, но лучше пользоваться ими, чем одним паролем повсеместно.

📎📎📎📎📎📎📎📎📎📎