Эксперт рассказал НТВ о шпионских методах взлома ¹⁶⁺

Последние две недели Рунет сотрясают скандалы, связанные с утечкой данных: сначала в открытый доступ попали СМС пользователей «Мегафон», потом личные данные покупателей секс-шопов, паспорта пассажиров РЖД, а накануне сетевое сообщество весь день развлекалось чтением правительственных документов с грифом «Для служебного пользования». Редакция НТВ.ру пытается разобраться в том, кто виноват в случившемся. Для этого мы связались со специалистом по защите данных.

Андрей Масалович — эксперт по информационной безопасности и конкурентной разведке. Изучал способы защиты и взлома данных еще в КГБ, потом в ФАПСИ. В 1997 был уволен в запас в звании подполковника, после этого руководил рядом компаний, предоставляющих услуги сетевого аудита. В 2001 году стал президентом консорциума «Инфорус», объединяющего более 30 российских ИТ-компаний.

Два года назад, ради эксперимента для редакции Slon.ru, поисковые роботы Масаловича в Интернете всего за десять минут нашли в открытом доступе 266-страничный секретный документ с данными об объекте Y-12 — хранилище обогащенного урана в США, а потом и карту самого хранилища. Андрей Масалович убежден, что по-настоящему безопасных систем не бывает, но утечки информации можно остановить. Вот только стоит это миллионы.

— Накануне статья об очередном скандале с разглашением данным пассажиров, купивших ж/д билеты онлайн, на нашем сайте вышла под заголовком «Рунет трещит по швам». Как вы считаете, что сейчас происходит в Сети и почему вдруг появились такие масштабные утечки данных?

Андрей Масалович: Сейчас в Интернете существуют два принципиально разных направления информационной охоты — это google hack («гугл хак»), когда через поисковую систему люди ищут уязвимости на сайтах, чтобы потом эти сайты взломать, и google dork («гугл док»), от английского «dork» — «болван». Последнее не считается хакерством в чистом виде, это скорее набор приемчиков, которые позволяют найти чей-нибудь уже существующий ляп или факт взлома и поглумиться над ним. Для сравнения — это все равно что выйти на улицу какого-нибудь курортного города и начать фотографировать слив канализации — сложится впечатление, что в городе произошла экологическая катастрофа, но мы-то знаем, что такая ситуация существует и во всех соседних городах. Что касается Сети, я могу показать, как одной командой найти от 5 до 15 тысячи открытых папок на сайте Пентагона.

— А как это соотносится со скандалами вокруг той информации, что появилась в поиске «Яндекса»?

Андрей Масалович: Так получилось, что «Яндекс» дорос до Google — сейчас больше половины запросов идет именно через них, и вдобавок ко всему эти инструменты (из разряда google dork — прим. НТВ) попали в руки малолеток, так что то, что происходит сейчас и с СМС, и с железнодорожными билетами — не утечка, это констатация изобилия незначительных утечек у всех без исключения. И добраться до них может любой человек.

— Представители поисковых систем заявляют, что вся проблема в том, что на сайтах, откуда утекли данные, не было специального файла Robot.txt, в котором должны содержатся инструкции для поискового робота — какие файлы индексировать, а какие — нет.

Андрей Масалович: Что касается файла Robot.txt — это этическая норма, не более. Наличие такого файла не является обязательным ни для сайтов, ни для поисковых систем. Однако поисковики постоянно нарушают этические правила, например файл robot.txt на сайте «Мегафона» был и 19-го, и 20 июля, то есть уже после того, как разразился скандал, но данные все равно индексировались и «Яндексом», и «Рамблером». Поисковики продолжали мониторить страницы сотового оператора, хотя теперь их, конечно, довольно трудно в этом уличить. Теперь они (представители поисковых систем — прим. НТВ) говорят: «Докажите!». Но понятно, что их программисты уже давно все следы подчистили.

— Так что же на самом деле тогда произошло, и как случилась утечка СМС, данных покупателей секс-шопов, пассажиров РЖД?

Андрей Масалович: Во всех трех примерах технически происходило одно и то же: если есть крупная база данных, то очень выгодно с точки зрения эффективности работы сайта заводить некое буферное пространство — кэш, с тем, чтобы потом делать синхронизацию базы данных. Если правильно не защищать это пространство, оно становится доступным. Причем доступным не простым пользователям, а роботам в силу того, что робот может заходить на сайт хоть 10 раз в минуту и ловить короткоживущие страницы. Так сделал робот «Яндекса» в случае с утечкой данных пассажиров РЖД, когда сами страницы пользователям доступны не были, но в кэше «Яндекса» за тот короткий момент, пока эти данные существовали, они сохранились.

— Получается, защититься от таких утечек никак нельзя?

Андрей Масалович: Мое мировоззрение построено на двух утверждениях: первое — утечек избежать нельзя, второе — нельзя выстроить 100-процентную систему защиты информации. Знаете, по-моему есть такое правило, записанное в ГОСТе охраны труда — запрещается использовать слово «безопасный» как прилагательное, просто потому, что нет ничего абсолютно безопасного. Мы можем только свести к минимуму, к допустимому уровню риски — но в то же время мы должны правильно оценивать эти риски и угрозы. Вообще есть четыре вещи, которые я советую реализовать компаниям, которые заботятся о конфиденциальности информации:

1. Разработать политику безопасности, и в рамках этой политики просчитывать риски, а также ответственность за неисполнение каких-либо правил. Честно говоря, я практически ни разу грамотной политики безопасности не видел.

2. Провести аудит — начальную инвентаризацию уровня утечек. Могу открыть маленький секрет — у любого оператора сотовой связи из «большой тройки» (МТС, Билайн, Мегафон — прим. НТВ) — утечки случаются постоянно. Случай с СМС «Мегафона» — это то, что обнаружили молодые пацаны, которые баловались инструментарием google dork. Я же по работе постоянно сталкиваюсь с утечкой паролей из этих организаций, а это уже серьезно.

3. Постоянно повышать грамотность персонала. За последние 200 недель я провел 200 семинаров, сейчас лечу в Ташкент обучать прокуратуру Узбекистана. Бывает, что народ начитался каких-то книжек про хакеров, а о настоящих угрозах эти специалисты ничего не знают. Например, знаете ли вы, что есть уже аппаратные кейлоггеры — перехватчики клавиатурного трафика, замаскированные под обычную «мышку», своего рода троян. Злоумышленнику достаточно подарить жертве такую «мышку», через неделю хакер унесет из системы все, включая пароли и конфиденциальную информацию, причем не задействуя Интернет вообще. Чудо-мышку, кстати, выпускают серийно.

4. И последнее — это автоматизация мониторинга, вручную отследить все утечки не получится, а вот автоматически можно. Утечки паролей, персональных данных — эти задачи легко формализуются. Конечно, речь идет о системе высокого уровня, стоимость ее может достигать 10–20 миллионов рублей, но у компаний типа «Яндекса», такие деньги есть и если бы их прижали, они бы их поставили.

— А вы считаете, что именно поисковики должны их у себя устанавливать?

Андрей Масалович: Разглашение данных — если речь идет не о гостайне, когда виноваты все, допускает тот, кто делает данные общедоступными. Крайними тут являются поисковые системы, хотя честно говоря, у всех рыльце в пушку. Вот кстати, чем еще google hack отличается от google dork — документов c грифом для служебного пользования в выдаче поисковых систем — десятки, но реальных секретов там мало. Чтобы найти по-настоящему секретные документы — нужно применять серьезные методы взлома. Есть люди, которые этим успешно занимаются.

Это называется конкурентной разведкой. Появилась она лет 25 назад, еще до Google. Тогда сбор информации осуществлялся тоже по открытым источникам, например газетным статьям. Поймите — уже давно существует набор методов, которые позволяют добираться до закрытой информации. В моем арсенале таких инструментов — наверное штук 700. Лет 10 назад выяснилось, что очень хорошо в этой работе помогают поисковые системы, которые иногда по неэтичности, иногда по недосмотру разработчиков, иногда просто по ошибке засасывают документы, которые вообще-то в открытый доступ попадать не должны.

— Как Вы считаете, какие-то скандалы связанные с попаданием персональных данных возможны в ближайшее время?

Андрей Масалович: Последние четыре года я занимаюсь защитой информации и тем, что называется «аудит утечек информационной безопасности». Понятно, что заказчики — люди не бедные, и им есть что прятать. Но вот за 4 года проверок я ни разу не подписал заключение «утечек не обнаружено». Что-нибудь, да обязательно всплывет.