[21], взломавший сеть производителя «кибероружия» компании HackingTeam и опубликовавший документ деликатного свойства, проделал все это также с помощью украденных учетных данных. Аналогичный способ был использован и в 2016 г. во время хакерских атак на Национальный комитет Демократической партии. В ходе одного исследования выяснилось, что 80 % всех взломов – результат неправомерного или несанкционированного использования учетных данных. В Google наблюдали за пользователями почтового сервиса Gmail с середины 2016-го по середину 2017 г. и еженедельно выявляли 12 млн успешных фишинговых атак.
Кража конфиденциальных данных считается наиболее эффективным способом взлома именно потому, что аутентификация – широко распространенное явление. В той или иной форме она и только она защищает приватность, из-за чего существует множество способов взлома. Придумать форму аутентификации, которая была бы удобной в использовании и одновременно безопасной, трудно и в большинстве случаев невозможно. При этом подавляющая часть систем сконструирована таким образом, что однократная аутентификация допускает любые последующие действия.
Самый распространенный механизм аутентификации – использование имени пользователя (логина) и пароля. Вы отлично знаете, что это такое, и из-за необходимости запоминать слишком много паролей, скорее всего, совершали все ослабляющие защиту системы ошибки: выбирали слабые пароли, неоднократно использовали важные пароли, записывали пароли и забывали свои записи в общественных местах.
Злоумышленники с радостью пользуются нашими промахами. Подбирают пароли. Крадут их из компьютеров и с удаленных серверов. Пытаются применить пароли в другой системе. Разгадывают кодовые слова для резервной аутентификации. Обманывают пользователей, вынуждая тех рассекречивать данные.
Девятнадцатого марта 2016 г. Джон Подеста, руководитель предвыборной кампании Хиллари Клинтон, получил по электронной почте сообщение от подразделения иностранной разведки, известного под кодовым названием Fancy Bear. Сообщение было замаскировано под предупреждение от службы безопасности Google. Получив неправильный совет от ИТ-отдела, Подеста перешел по ссылке и ввел на фейковой странице пароль для входа в Google. Вот так иностранная разведка и получила доступ к десяти его аккаунтам.
Подеста стал жертвой фишинговой атаки. Можно было бы над ним посмеяться, но я бы выразил сочувствие. Жертве, особенно если это человек, не искушенный в технических вопросах, очень сложно распознать умело подготовленное фишинговое сообщение. Если бы Подеста отказался принимать сообщение от 19 марта, хакеры из Fancy Bear предприняли бы другую попытку. И еще одну. И так до тех пор, пока им не улыбнулась бы удача.
Фишинг может быть таргетированным или массированным. В одной из массированных фишинговых атак, выявленных в 2017 г., мошенники использовали взломанные аккаунты пользователей электронной почты, чтобы отправить их владельцам сообщения с червем, выдававшим себя за файл из приложения Google Docs. Червь собирал учетные данные, когда жертвы входили в Google, после чего рассылал сам себя по всем обнаруженным адресам. Если бы червя вовремя не обезвредили, то его жертвами, по некоторым оценкам, мог стать миллион пользователей электронной почты Gmail.
Из всех описанных случаев следует сделать вот какой вывод – пароли очень плохо обеспечивают безопасность. Они хороши для приложений, но для более серьезных вещей непригодны.
Существуют три основных пути идентификации: попросить указать нечто, что известно только вам, предъявить или представить нечто, имеющееся только у вас. Пример того, что известно только вам, – это пароль. Он подтверждает, что вы – это вы, потому что предположительно вы – один-единственный, кому он известен. Пример того, что имеется только у вас, – биометрические данные: отпечатки пальцев, сканы лица и радужной оболочки глаз, узор ладони и т. д. Например, смартфоны iPhone и Google Pixel позволяют пользователям входить в систему, используя для идентификации отпечаток пальца или скан лица. Пример того, что есть только у вас, – предметы, которые вы носите с собой и которые могут использоваться для идентификации. Раньше это были физические объекты с экраном, на котором отображался постоянно меняющийся номер, карточка или программный ключ, который вы вставляли в порт компьютера, или физический ключ для разблокировки системы. Сегодня это все чаще приложения или текстовые сообщения, присланные на смартфон.
Существует множество способов взлома всех перечисленных систем. Проверку биометрических данных можно обойти, применив фальшивые фотографии, отпечатки пальцев и т. д. Похитив телефон, злоумышленники получат доступ к приложениям и сохраненным текстовым сообщениям. В общем и целом отказ от паролей в пользу вышеуказанных способов аутентификации не сильно улучшает ситуацию.
Использование двух способов защиты (двухфакторной аутентификации) существенно повышает безопасность. И Google, и Facebook[22] предлагают применять двухфакторную аутентификацию на смартфоне (конечно, и эта система далека от совершенства – некоторые версии можно взломать). Крупнейшие американские провайдеры мобильной связи Sprint, T-Mobile, Verizon и AT&T совместно разрабатывают похожую систему. В 2017 г. компания Google предложила пользователям с высоким уровнем риска усовершенствованную программу защиты (Advanced Protection Program). Среди прочего она требует наличия устройства аутентификации, которое нужно постоянно иметь при себе. Моя сеть в Гарварде использует одну из таких систем и задействует комбинацию из пароля (нечто, что известно только мне) и смартфона (нечто, что имеется у меня).
Другой набирающий популярность вариант – раздельная (дифференцированная) аутентификация. Facebook[23] позволяет использовать простой пароль при условии, что вы заходите со своего компьютера, но требует проведения расширенной аутентификации при входе с чужого компьютера или с компьютера, вызывающего подозрения. Банк допускает обычную процедуру аутентификации при рутинных трансакциях, однако вынуждает к дополнительной аутентификации при переводе крупной суммы или средств на счет в другой стране. Ведутся исследования в области углубленной аутентификации, основанной на ваших биометрических характеристиках. Смысл в том, что система, знакомая, например, с вашей манерой печатать, выдает ошибку, если при входе в аккаунт вы начинаете вести себя не так, как обычно.
Аутентификация – это всегда компромисс между безопасностью и удобством использования. Недовольные обойдут навязчивую систему независимо от степени ее безопасности, например, будут записывать пароли на стикерах и приклеивать те к монитору. (Часто записанные таким образом пароли можно разглядеть на заднем плане фото или видео, сделанных журналистами.) Одно из важнейших преимуществ использования биометрических данных – простота. Одна моя знакомая игнорировала блокировку смартфона, потому что ее раздражала необходимость постоянно вводить пароль, но приобрела Google Pixel с устройством для считывания отпечатка пальца и начала блокировать аппарат, потому что тот стало легко «оживлять». Можно до бесконечности утверждать, что сложный пароль был бы надежнее, но очевидно другое – теперь смартфон моей знакомой защищен лучше, чем прежде.
Обеспечить функционирование системы аутентификации очень непросто. Google и Facebook[24] доверяют этот вид деятельности третьей стороне. Многие ритейлеры, блоги и игровые приложения разрешают пользователям заходить в систему через аккаунты Google или Facebook[25], по существу, отдавая идентификацию и аутентификацию на откуп этим компаниям. Аналогично поступают некоторые страны. Национальная идентификационная система Эстонии, имеющая уязвимости в обеспечении безопасности (я упоминал об этом в главе 1), позволяет гражданам и иностранным резидентам получать доступ к различным государственным услугам, включая голосование, посредством единой системы аутентификации. Индия создала национальную биометрическую идентификационную систему, которую будут использовать как государственные структуры, так и частные компании. Даже в США есть централизованный провайдер идентификации и аутентификации login.gov – его услугами пользуются посетители сайтов различных госструктур.
С одной стороны, это удобно, потому что работу разных служб можно построить на базе единой надежной системы аутентификации и идентификации, с другой, очень рискованно, потому что замыкание разных функций на одной-единственной системе создает общую точку отказа.
Смартфон превратился в единый центр безопасности всех и вся. Через него вы получаете доступ ко всем аккаунтам – электронной почте, чат-клиентам, социальным сетям, банковским счетам и сайтам, к которым привязаны кредитные карты. При этом смартфон – центральный контроллер-концентратор для интернета вещей. Если у вас есть нечто, относящееся к интернету вещей (от электромобиля Tesla до термостата и подключенных к сети игрушек), скорее всего, вы управляете этим через смартфон. И системы аутентификации приборов привязаны к телефону. Не нужно по отдельности подключаться к электронной почте, аккаунту в Facebook[26], Tesla или к термостату. Компании предполагают, что если есть доступ к телефону, то вы – это вы.
Именно здесь и находится единая точка отказа. Хакер может убедить провайдера мобильной связи, например Verizon или AT&T, и передать контроль над телефонным номером подконтрольному устройству. Если получится – а сделать это совсем не трудно, – злоумышленник станет обладателем всех учетных записей жертвы, где задействован телефонный номер: Google, Twitter, Facebook[27]