Читаем Цифровой журнал «Компьютерра» № 203 полностью

Суть новости, которую вы наверняка слышали, проста и до боли знакома. Очередные спецы по безопасности (на сей раз из компании Trustwave) получили доступ к очередной бот-сети, незаметно контролирующей миллионы персоналок в доброй сотне стран (на сей раз это PONY), и наткнулись в её виртуальных закромах на собранную ею же самой коллекцию из примерно двух миллионов паролей-логинов к десяткам тысяч сайтов (в основном, конечно, популярных: Facebook, сервисы Google, Twitter, Yahoo!, даже «Одноклассники» и «В Контакте»). Судя по настройкам, управлял бот-сетью русский, а первоочерёдной задачей на ближайшее будущее для авторов открытия станет осторожная публикация добытых сведений. Facebook и иже с ними уже уведомлены; возможно, будет открыт и сайт, на котором интересующиеся сетяне смогут узнать, нет ли среди скомпрометированных аккаунтов принадлежащих им. В общем, всё как обычно, всё так, как было уже десятки раз за последние годы.

И заканчивать рассказы о компьютерных неприятностях тоже принято стандартно — советами по поводу цифровой гигиены, если позволите так выразиться. Ещё десять лет назад свод рецептов для юзера был прост: не запускать программ из «левых» источников, по возможности пользовать альтернативный почтовый клиент, ну и придумывать надёжные пароли — длинные, с перемежающимся регистром, знаками препинания. В Trustwave, кстати, любопытства ради провели анализ попавшей в их руки парольной базы и выяснили, что в смысле стойкости паролей с середины нулевых ничего принципиально не изменилось. Больше трети из них откровенно слабые, половине стоило бы быть сильней. Короче, попытка втолковать обывателю необходимость генерировать хороший пароль провалилась. Но пора уже перестать насиловать мозг пользователя и обратить внимание на технику!

О чём в действительности говорит проявившаяся за последние годы тенденция «оптовой» кражи — не штучно, миллионами? Во-первых, о том, что собственно стойкость пароля более не имеет значения. Точнее, она не имеет того решающего значения, каким обладала раньше. Будь это готовое слово из трёх букв или сложнейшая истинно случайная буквенно-цифровая комбинация, украдут её одинаково легко, посадите только на машину контролирующий клавиатуру вирус.

Но и древний рецепт заботиться о чистоте запускаемого софта, чтобы этот самый вирус не подцепить, так же утратил свою прежнюю значимость. И это вывод второй: пароли нынче активно крадут с персоналок (увы, донести до среднестатистического пользователя важность гигиены не удалось!), но ещё активней — с разницей в один–два порядка — их тащат с серверов. Вспомните, как в октябре неизвестные унесли сто пятьдесят миллионов учёток из недр Adobe Systems. И Adobe не одинока: каждые несколько месяцев ломают очередного интернет-гиганта, вскрывают очередную бот-сеть. Узнать, не утекли ли с одной из этих речушек и ваши пароли, можно, воспользовавшись специальными сервисами (см., к примеру, HaveIBeenPwned.com и ShouldIChangeMyPassword.com). Но защититься от следующего удара они вам не помогут.

На первый взгляд, происходящее — повод задуматься над уточнением правил цифровой гигиены. Компьютерный мир за последние десять лет изменился исподволь, но радикально. Java и Javascript, бывшие оплотом безопасности, стали чуть не главной дырой в ИТ-укреплениях. Браузеры эксплуатируют для взлома чаще, чем почтовые клиенты — которые, в свою очередь, почти перевелись. Антивирусы остались всё так же непроходимо тупы. Но главное — неизмеримо разрослась, распласталась по некомпьютерному миру Сеть — и мало того, что средний пользователь знает теперь о технике меньше, так ещё и стёрся в головах психологический тормозок, напоминавший, что с информацией следует обходиться осторожно.