Люди, которые заботятся о сохранности своих компьютеров и личной информации, часто спрашивают нас, что они могут сделать, чтобы защитить себя от хакерских атак. Конечно, ничто не даст вам абсолютную защиту и безопасность. Но есть ряд мер, которые может предпринять любой пользователь, чтобы уменьшить вероятность стать жертвой хакера.
Почему вы должны выбирать более сильные пароли
Поскольку ваш пароль обеспечивает защиту всех ресурсов в вашей системе, включая электронную почту и другие важные учетные записи и аккаунты (онлайн-банкинг, доступ к брокерскому счету и т.д.), то важно выбрать надежный пароль, который затруднит работу хакеров. Поймите, что нет такого пароля, который нельзя взломать, при условии, что у хакера будет достаточное количество времени и достаточная мощность процессора, но, как и все остальные, он сначала собирает низко висящие фрукты.
Начнем с того, что хакеры не просто пытаются угадать ваш пароль при входе в систему. Это было бы непрактично. Большинство экранов входа блокируют злоумышленника после трех неправильных попыток. Им же нужно вводить миллионы и миллиарды разных паролей для проверки.
Первая вещь, которую обычно делает хакер, это кража хранилища со всеми паролями скомпрометированной системы. Эти пароли хранятся в зашифрованном в виде хешей состоянии. Хакер может вытянуть хеши из вашей системы с помощью таких инструментов, как Pwdump, Airodump-Ng и Meterpreter. Как только он это сделает, у него будет столько времени на их взлом, сколько ему потребуется.
Лучший способ сделать ваш пароль менее привлекательным
В идеале вы должны использовать случайный набор символов с максимальной длиной, которую допускает ваша учетная запись или система. Основное правило — чем длиннее пароль, тем больше времени требуется на его взлом. Примерно каждые тридцать дней пароль меняйте.
К сожалению, этот идеальный сценарий не вписывается в реальность жизни большинства людей. Учитывая этот момент, давайте посмотрим, как вы можете лучше защитить вашу систему и учетные записи от хакеров. Вот несколько советов о том, как максимально затруднить работу хакера без потери практичности и удобства использования.
Совет 1. Не используйте словарные слова
Даже начинающий хакер легко взломает пароль, который он может найти в словаре. Вы думаете, что ваше слово или слова достаточно уникальны, но на самом деле на проверку словарных слов и словосочетаний не требуется слишком много времени. Поэтому НИКОГДА не используйте словарные слова!
Читать также: Что следует сделать сразу после установки Kali Linux
Вы можете добавить числа и специальные символы. Но хакерские инструменты, такие как Crunch, позволят создать кастомные вордлисты, а такие инструменты, как Hashcat, Brutus, Cain и Abel, THC Hydra, John the Ripper, Ophcrack и L0phtCrack, а также Aircrack-Ng и Cowpatty для Wi-Fi помогут взломать пароль, используя созданный таким образом кастомный вордлист.
Совет 2. Используйте все допустимые типы символов
Взлом пароля, который основан на переборе всех возможных вариантов, называется брутфорсом. Метод взлома брутфорсом заключается в простом переборе всех возможных комбинаций символов до тех пор, пока не будет найден ваш конкретный пароль.
Такой подход может потребовать довольно много времени и вычислительных ресурсов. Но с недавними разработками в области параллельной обработки данных, специализированными ASIC-системами для взлома паролей, а также с использованием ботнетов и графических процессоров (GPU) процесс брутфорса паролей сделал гигантский скачок в сторону более быстрого взлома длинных и сложных паролей.
Как вы могли догадаться, методом брутфорса в конце концов можно сломать абсолютно любой пароль, но ключевое слово в этой фразе — «в конце концов». Чтобы защититься, вы должны вынудить хакера потратить на взлом достаточно много времени. Настолько много, чтобы он отказался от взлома вашего пароля и переключился на решение других, более важных и срочных задач.
Чтобы замедлить получение хакером результата, убедитесь, что при создании пароля вы использовали по крайней мере один символ из каждого типа. Это означает использование одной буквы в верхнем и нижнем регистре, одного номера и одного специального символа. Это заставит хакера включить эти символы в тот набор, который он использует для брутфорса, тем самым заставляя его тратить на взлом гораздо больше времени.
Для примера, количество возможных комбинаций, которое получается из буквенного пароля в нижнем регистре длиной в 8 символов, составляет 26 в 8-й степени или 208 миллиардов вариантов. Это конечно большое число, но, скорее всего, хакер сможет выполнить перебор большинства из этих вариантов за вполне короткие сроки.
Если вы используете символы в верхнем и нижнем регистре, а также цифры (0-9) и специальные символы, то количество возможных вариантов, которые должен проверить хакер, составляет 75 в восьмой степени или 1 001 129 150 390 625 вариантов. Это 1 квадриллион! Это в 5000 раз больше возможных вариантов, чем при буквенном пароле в нижнем регистре.
Например, если взлом первого пароля (8 символов и все в нижнем регистре) занимает 1 час, то взлом второго займет в 5000 раз больше времени, что составляет 5000 часов или 208 суток. Этого вполне может быть достаточно, чтобы хакер сдался и бросил это дело.
Читать также: Как скрыть порт от сканирования?
Совет 3. Никогда не используйте только цифры
НИКОГДА не используйте только числовые пароли без каких-либо букв или специальных символов. Вы очень сильно упрощаете пароль и работу хакерам!
Так как в нашей десятичной системе исчисления имеется всего 10 цифр (0-9), то даже пароль длиной в 10 символов, но состоящий целиком из цифр, имеет 10 миллиардов вариантов комбинаций. Сравните это количество с 8-символьным паролем из букв в нижнем регистре, дающим 208 миллиардов комбинаций — такой 10-значный пароль будет в 20 раз легче взломать, чем 8-значный буквенный.
Но это все цветочки, ягодки будут впереди.
Совет 4. Часто меняйте ваш пароль
Важно часто менять пароль. «Часто» — понятие относительное и его смысл будет зависеть от того, какая информация защищена паролем. Если это электронная почта или доступ к онлайн-банкингу, то вы можете менять пароль каждые три месяца. Другие пароли от учетных записей на нефинансовых веб-сайтах достаточно менять один раз в полгода или год.
Причина, по которой вам нужно периодически менять пароли, заключается в том, что хакеры всегда собирают пароли от всех аккаунтов по всему миру. Они могут не использовать их сразу. А могут просто продать их кому-то, кто может и хочет что-то с ними сделать. Ваш пароль может быть скомпрометирован, но вы пока этого не знаете.
Периодически меняя его, вы значительно уменьшаете вероятность того, что кто-то воспользуется вашим аккаунтом, даже если этот сайт был взломан.
Совет 5. Используйте разные пароли для разных учетных записей
Ваши пароли хранятся по всему миру, в самых разных учетных записях, веб-сайтах, доменах и т.д. Если вы используете один и тот же пароль для всех учетных записей, то ваша информация находится в безопасности только в той мере, в которой защищена самая слабая из всех систем, хранящих ваш пароль.
Представьте себе ситуацию, что вы нашли веб-сайт или онлайн-игру, которые, по вашему мнению, представляют собой интерес. Они просят вас создать учетную запись и придумать пароль. Это может быть какая-нибудь новая или уже известная крупная компания, но если они не обеспечат адекватную защиту своих систем, то кто-то может взломать их и украсть ваши и чужие пароли от других учетных записей.
У хакера может и не быть интереса к вашей учетной записи именно на этом веб-сайте. Но хакер может попробовать применить его к вашему банковскому аккаунту, к электронной почте, к брокерскому счету и т.п. Если все пароли у вас одинаковые, то это просто подарок небес!
Читать также: Как узнать, что вас взломали
Отсюда основное правило — использовать разные пароли для разных типов учетных записей. Вы можете придумать один пароль для всех ваших конфиденциальных и важных учетных записей и другой пароль — для всех других аккаунтов. Таким образом, если сайт онлайн-игры будет взломан, то хакер не получит пароль от банковского счета.
Совет 6. Создание парольной фразы
Метод, больше всего расстраивающий хакеров, заключается в придумывании кодовой фразы, которая достаточно длинна и не содержит словарных слов и всех типов символов.
В сети есть много статей, в которых людям дают советы о том, как создавать кодовые фразы. Честно говоря, это все очень смешно, потому что на самом деле такие советы приведут к созданию кодовых фраз, которые по-прежнему очень легко взломать. Такие вещи, как добавление даты и месяца после слов, изменение порядка словарных слов не усложняют взлом пароля.
А теперь то, что действительно усложняет взлом.
Во-первых, придумайте фразу или предложение, которое имеет для вас смысл. Таким образом, вы легко ее запомните. Например, «Я люблю кататься на горных велосипедах и путешествовать пешком» (I love mountain biking and hiking). Теперь возьмите эту фразу и преобразуйте ее в одну строку, состоящую из символов в нижнем, верхнем регистре, цифр и специальных символов, например:«I <3mtnb1K1ng & H1k1ng»
Обратите внимание, мы превратили «love» в <3, «mountain» в mtn, «biking» в b1K1ng, «and» в & и, наконец, «hiking» в H1k1ng. Крайне важно подмешать специальные символы и цифры в вашу кодовую фразу, а также использовать буквы в верхнем и нижнем регистре.
Это создает 18-символьную кодовую фразу, в которой будут присутствовать все типы символов. Она конечно не будет абсолютно железобетонной, но во всяком случае заставит хакеров потратить значительное время и вычислительные ресурсы на ее взлом.
Самое главное здесь то, что вы запомните эту фразу, поскольку она имеет для вас особое значение. Очевидно, что это главное, поскольку нет смысла в сложном пароле или фразе, которую вы не можете запомнить.
Именно поэтому люди часто записывают пароли на листке или в файлах, а хакеры слишком часто находят их на стикерах рядом с вашим компьютером. Обычно в верхнем ящике стола или приклеены к монитору… ну в общем вы поняли идею.
Что теперь вы скажете о ваших паролях?
Надеемся, вы используете эти советы по назначению. И это сильно затруднит хакерам работу по взлому ваших паролей. Между тем, есть много других способов взломать ваш пароль. Чтобы получить о них представление, ознакомьтесь с нашей серией по взлому паролей Wi-Fi.
Отказ от ответственности: Эта статья написана только для образовательных целей. Автор или издатель не публиковали эту статью для вредоносных целей. Если читатели хотели бы воспользоваться информацией для личной выгоды, то автор и издатель не несут ответственность за любой причиненный вред или ущерб.
Что такое взлом паролей?
В области кибербезопасности и криптографии взлом паролей играет очень важную роль. Это процесс восстановления пароля с целью нарушения или восстановления безопасности компьютера или системы. Итак, почему вам нужно узнать программы перебора паролей? В мирных целях можно использовать взлом паролей для восстановления забытых паролей от онлайн аккаунтов, также это используется системными администраторами для профилактики на регулярной основе.
Для взлома паролей в большинстве случаев используется перебор. Программное обеспечение генерирует различные варианты паролей и сообщает если был найден правильный. В некоторых случаях персональный компьютер способен выдавать миллионы вариантов в секунду. Программа для взлома пароля на пк проверяет все варианты и находит реальный пароль.
Время, необходимое для взлома пароля пропорционально длине и сложности этого пароля. Поэтому рекомендуется использовать сложные пароли, которые трудно угадать или подобрать. Также скорость перебора зависит от криптографической функции, которая применяется для генерации хэшей пароля. Поэтому для шифрования пароля лучше использовать Bcrypt, а не MD5 или SHA.
Вот основные способы перебора пароля, которые используются злоумышленниками:
- Атака по словарю — для атаки используется файл, который содержит список слов. Программа проверяет каждое из слов, чтобы найти результат;
- Атака Bruteforce — можно не использовать словарь, а перебирать все комбинации заданных символов;
- Атака с помощью радужных таблиц — в атаке используются предварительно вычисленные хэши, поэтому она быстрее.
Есть и другие методы взлома паролей, основанные на социальной инженерии, но сегодня мы остановимся только на атаках без участия пользователя. Чтобы защититься от таких атак нужно использовать только сложные пароли. А теперь рассмотрим лучшие инструменты для взлома паролей 2017. Этот список опубликован только для ознакомительных целей и мы ни в коем случае не призываем взламывать чужие личные данные.
Лучшие программы для перебора паролей
1. John the Ripper
John the Ripper — это один из самых популярный инструментов для перебора паролей, доступных абсолютно всем. Он распространяется с открытым исходным кодом и написан на языке программирования Си. Здесь собраны различные методы перебора паролей.
Программа способна перебирать пароли по сохраненному хэшу, и поддерживает различные алгоритмы хэширования, в том числе есть автоматическое определение алгоритма. John the Ripper относиться к набору инструментов для тестирования безопасности от Rapid7. Кроме Linux поддерживается Windows и MacOS.
2. Aircrack-ng
Aircrack-ng — это набор программ для взлома и перехвата паролей от wifi сетей. Программа — одна из лучших, которые используются хакерами. Здесь есть все необходимое для взлома WEP и WPA шифрования, начиная от перехвата хэша, и до получения готового пароля.
Особенно легко поддается взлому шифрование WEP, для преодоления защиты существуют атаки PMS и PTW, с помощью которых можно взломать этот протокол в считаные минуты при достаточном потоке трафика через сеть. Поэтому всегда используйте WPA2 чтобы быть в безопасности. Тоже поддерживаются все три платформы: Linux, Windows, MacOS.
3. RainbowCrack
Как следует из названия, RainbowCrack использует радужные таблицы для взлома хэшей паролей. С помощью уже готовых таблиц утилита очень сильно уменьшает время взлома. Кроме того, есть как графический интерфейс, так и утилиты командной строки.
После завершения этапа предварительных вычислений этот инструмент работает в сотни раз быстрее чем при обычном переборе. Вам не нужно самим создавать таблицы, разработчики уже создали их для LM, NTLM, MD5 и SHA1. Все доступно бесплатно.
Еще один важный момент — это ускорение с помощью GPU. С помощью использования видеокарты вы можете снизить время вычисление пароля еще на несколько порядков. Поддерживаются платформы Windows и Linux.
4. THC Hydra
В отличие от выше перечисленных программ, Hydra работает по-другому. Она не вычисляет хэши. Вместо этого, программа выполняет атаки перебора на различные сетевые протоколы. Здесь поддерживаются Astrisk, FTP, HTTP, MySQL, XMPP, Telnet, SHH и многие другие. Основная цель утилиты — атаки перебора на форму ввода пароля.
Этот инструмент помогает исследователям безопасности узнать насколько легко можно получить доступ к удаленной системе. Для расширения функций можно добавлять модули, поддерживается Linux, Windows, Solaris, FreeBSD и MacOS.
5. HashCat
По заявлениям разработчиков — это самый быстрый инструмент для перебора паролей. Он распространяется в качестве свободного программного обеспечения и поддерживает такие алгоритмы: md4, md5, LM, SHA, MySQL, Cisco PIX и Unix Crypt.
Есть версии инструмента для перебора на CPU, а также взлома на основе GPU — oclHashcat и cudaHashcat. Кроме стандартной атаки Bruteforce, поддерживаются атаки по словарю, гибридные атаки по самые, по таблицам, Prince и так далее. Из платформ поддерживаются Windows, Linux и MacOS.
6. Crowbar
Crowbar — это популярный инструмент для тестирования безопасности паролей. Другие программы перебора паролей используют логины и пароли пользователей, но crowbar позволяет перебирать ключи SSH.
Этот инструмент с открытым исходным кодом создан для работы с протоколами, которые редко поддерживаются другими программами. Сейчас поддерживается VNC, OpenVPN, SSP, NLA. Программа может работать на Linux, Windows и MacOS.
7. coWPAtty
Это реализация утилиты для перебора пароля от WPA/WPA2 PSK на основе словаря или радужных таблиц. Использование радужных таблиц очень сильно ускоряет работу утилиты. Стандарт PSK используется сейчас очень часто. Радует только то, что перебрать пароль очень сложно, если он был изначально выбран правильным.
В этой статье мы рассмотрели лучше программы для взлома паролей 2017, которые могут использоваться как злоумышленниками, так и системными администраторами для проверки надежности паролей пользователей. Обязательно устанавливайте сложные пароли для своих устройств и аккаунтов, а также если вы системный администратор, следите за безопасностью паролей пользователей вашей компании.
Похожие записи:
-
Лучшие менеджеры паролей для Linux
-
Лучшие дистрибутивы Linux для взлома
-
Программы для взлома и пентестинга
-
Типы уязвимостей сайтов
Оцените статью:
(15 оценок, среднее: 4,80 из 5)
Загрузка…
Бреши в системе безопасности
Многие атаки можно предотвратить
Потрясает тот факт, что многие атаки, если не большинство из них, можно было предотвратить за счет современных систем безопасности и обучения сотрудников безопасной работе с данными и противодействию социальному инжинирингу. В одном из недавних исследований известных утечек утверждается, что 93% из них можно было избежать.
Известные уязвимости
По данным Verizon, 70% атак извне используют известные уязвимости, некоторые из которых существуют еще с 1999 года. Verizon ежегодно публикует отчет о расследованиях утечек данных (Data Breach Investigations Report). В отчете за 2015 год имеется раздел об использовании известных уязвимостей, который мы здесь и цитируем (см. с. 15-17). Для анализа известных уязвимостей Verizon использует базу данных Common Vulnerabilities and Exposures (CVE), определяемую как «список уязвимостей и пробелов в информационной безопасности, предназначенный для присвоения общих имен известным проблемам кибербезопасности. Целью CVE является облегчение совместного использования данных в разных средствах борьбы с уязвимостями (инструменты, репозитории, сервисы) благодаря общему именованию». CVE спонсируется USCERT в составе министерства внутренней безопасности США и управляется MITRE. В отчете Verizon перечислено десять известных уязвимостей, на чью долю пришлось почти 97% атак в 2014 году и 85% в 2015-м. Эти уязвимости абсолютно необходимо закрыть патчами, но даже после этого остается длинный список известных «дырок».
Та же проблема, только под другим углом, освещается еще в одном отчете. Symantec сообщает, что 78% просканированных веб-сайтов содержали известные уязвимости. Более того, 15% из них были критическими, т.е. открывали дорогу вредоносному коду, который мог привести к утечкам данных и компрометации посетителей сайтов.
Ярким примером проблем с безопасностью является то, что многие интернет-атаки проводятся через плагины сторонних разработчиков. Это в том числе и браузерные плагины, такие как Adobe Flash Player, на долю которого за прошедшие годы пришлось множество атак, включая значительную часть уязвимостей нулевого дня.
Проблемы с плагинами относятся не только к браузерам, но и к сайтам. 25% всех веб-сайтов в мире основаны на WordPress, где свой плагин может написать каждый. Плагины расширяют функционал веб-сайтов, например, облегчают ввод контактных данных, но в то же время могут быть уязвимы для атак, таких как SQL-инъекции.
Одни и те же функции придают плагинам и ценность, и уязвимость. Плагины позволяют независимым разработчикам добавлять новый функционал к используемой программной платформе. Готовые решения, такие как Adobe Flash, облегчают предоставление контента пользователю, упрощая работу контент-провайдеров. Это способствует повышению доступности контента. Но в то же время увеличивается и количество мишеней для атак, поскольку пользовательская аудитория существенно больше, а плагины можно разрабатывать и устанавливать независимо от платформы, что сужает возможности проверки ПО и предотвращения атак.
Хотя и не все атаки на веб-сайты проводятся через плагины, этот пример хорошо иллюстрирует комплекс проблем, возникающих при открытии платформы для ПО сторонних разработчиков, безопасность которого не гарантирована.
Социальный инжиниринг
Социальный инжиниринг – это распространенный метод, с помощью которого хакеры получают доступ к закрытой системе. Он заключается в том, что сотрудника обманным путем вынуждают сообщить свой пароль или даже своими руками привнести инфекцию в систему. Одна из популярных практик называется «фишингом» (phishing). Пользователям рассылается официального вида письмо, которое либо содержит вредоносное вложение, либо предписывает залогиниться на подставном сайте. Более узконаправленной (и прибыльной) разновидностью фишинга является направленный фишинг (spearphishing). По имеющимся данным, фишинговые кампании очень эффективны, даже против организаций, работающих в сфере информационной безопасности. Именно этот метод был использован для атаки на Target, с заходом через поставщика холодильного оборудования. Согласно Verizon, в одном из тестов с рассылкой 150 тысяч электронных писем 50% пользователей уже в первый час после рассылки открыли письма и щелкнули по фишинговым ссылкам. Первый «щелчок» произошел всего через 82 секунды.
Но арсенал социального инжиниринга отнюдь не ограничивается фишингом. Проводились эксперименты с разбрасыванием «флэшек» (USB-накопителей) на корпоративных парковках и в других подобных местах. Почти половину из них нашли и вставили в устройства, причем первую – всего через 6 минут. В экспериментах «флэшка» просто сообщала, что система прочла ее, но таким способом можно было легко занести на компьютер вредоносный код.
Опасность социального инжиниринга усугубляется современными тенденциями организации работы. Все больше людей берут работу на дом, и все больше компаний разрешают сотрудникам использовать для работы личное оборудование (РС или мобильные устройства), которое может быть плохо защищено. Таким образом, IT-системы компаний становятся уязвимыми для атак, направленных на сотрудников. Не облегчает задачу и склонность людей иметь как можно меньше разных паролей. Если кто-либо использует один и тот же пароль в своей личной и профессиональной жизни, то фишинговые атаки ставят под угрозу безопасность систем его работодателя, в потенциале приводя к утечке данных.
Не все атаки можно предотвратить
Защититься от всех киберинцидентов невозможно. Некоторые из них используют ранее не известные либо неустранимые проблемы безопасности. Другие возникают в результате случайной потери или публикации данных. Но абсолютно во всех случаях можно смягчить последствия инцидента. Как отмечалось в отчете OTA 2016, «…мы обнаружили, что неуязвимых организаций не бывает. По мере того, как набираются большие объемы разнородных данных и все больше приходится полагаться на внешних поставщиков услуг, каждой компании следует быть готовой к неизбежной потере данных. Факты подчеркивают, что и стартапам, и глобальным корпорациям следует радикально изменить отношение и сделать безопасность и конфиденциальность данных обязанностью каждого сотрудника».
Неизвестные уязвимости
Хотя от известных проблем безопасности можно защититься, ни одна из них не стала известной сразу же. Это так называемые уязвимости нулевого дня. По данным Symantec, количество уязвимостей нулевого дня в последние годы выросло: в 2013 году их было 14, в 2014 – уже 24, а в 2015 – целых 54. Разумеется, они по определению известны еще не все: вполне возможно, что некоторые из них терпеливо ждут своего часа… или покупателя. Существует целый черный рынок уязвимостей нулевого дня, где покупателями являются хакеры, спецслужбы и компании-разработчики программного обеспечения. Как только уязвимость использована, она не теряет опасности полностью, а по-прежнему может применяться против тех, кто еще не закрыл эту брешь. Рыночные цены на уязвимости нулевого дня зависят от мишени для атаки, но могут дойти до весьма крупных цифр – например, 250 тысяч долларов за недавнюю уязвимость в Apple iOS. Есть и «белый рынок»: разработчики ПО могут предлагать деньги за обнаружение брешей в собственной продукции, но, как правило, тут цены не поднимаются выше 10 тысяч долларов.
И, наконец, некоторые из уязвимостей нулевого дня намеренно добавляются в ПО авторами. Например, подобные лазейки в своей продукции создает компания Hacking Team, разрабатывающая шпионское ПО для спецслужб разных стран. Многие из этих лазеек были преданы гласности в результате атаки на саму Hacking Team и быстро вошли в состав эксплоит-китов, таких как Angler, став доступными широкому кругу хакеров.
Инсайдерские действия
Атаки извне, согласно большинству исследований, составляют основную массу атак, но сотрудники тоже вносят свою «лепту» в утечки данных: кто по злому умыслу, кто по невнимательности. Ниже приведена сводка инцидентов за 2015 год по данным Symantec.
Ошибки делают все: кто-то пишет программу с багами, кто-то теряет USB-ключ, кто-то принимает на работу не того, кого следовало, – и некоторые из таких ошибок приводят к утечкам данных. Как мы подробно рассмотрим в разделе рекомендаций, гораздо безопаснее проектировать технологию с учетом человеческого фактора, чем пытаться переделать людей. Cм. рис. 1.
Организации могут снизить ущерб от атаки
Профилактика очень важна для защиты от «широкополосных», таких как фишинг, и даже от более узконаправленных атак, таких как направленный фишинг. Однако она не должна быть единственным рубежом защиты, потому что при достаточном желании хакер рано или поздно добьется своего. Принимая во внимание, что даже в лучшем случае утечка данных возможна, а в худшем случае – вполне вероятна, следует по крайней мере свести к минимуму потенциальный вред от нее. Полный список таких мер длинен и требует разработки крупномасштабной стратегии с применением различных технических средств, таких как средства раннего обнаружения, обучение персонала, правовая защита и коммуникационный план. Обзор спектра затронутых проблем приведен в отчете OTA 2016.
Приведем два простых способа снизить воздействие утечки.
• во-первых, хранить как можно меньше данных: нет данных – нет и утечки;
• во-вторых, использовать шифрование: похищенные данные не имеют ценности, если их невозможно прочесть.
Более подробно эти принципы описаны в разделе рекомендаций.
Все возрастающее число устройств и датчиков, собирающих данные, наша деятельность онлайн, генерирующая данные, и венчурные компании в поисках «следующего мегахита» дополняются падением цен на устройства хранения данных, создавая идеальный информационный шторм для Big Data.
Однако, как отметил эксперт по кибербезопасности Брюс Шнейер, такие данные могут стать «ядовитым активом». Ущерб от утечки данных может во много раз перевесить преимущества, которые эти данные принесли бы при использовании по назначению.
Разумеется, можно минимизировать число собираемых данных, но совсем обойтись без этого не всегда получится. Поэтому компаниям следует снизить потенциальный ущерб от потери любых сохраненных данных путем адекватного шифрования – данные, которые нельзя прочесть, нельзя и использовать.
Многие организации не имеют стандартных практик по снижению объема собираемых данных и шифрованию имеющихся. А ведь эти меры защиты настолько очевидны, что трудно понять, почему же их не принимают. Ответ на этот вопрос дает экономика.
Экономика утечек данных
Почему организации не делают все возможное для профилактики утечек и снижения ущерба?
Экономика утечек данных и их воздействия на доверие – эта тема является центральной в этой статье. Мы рассмотрим некоторые разновидности ущерба от утечек, который может быть весьма высоким, и некоторые из их причин.
Предотвратить можно не все утечки, но многие. Например, Target взломали через соединение с поставщиком холодильного оборудования. Один из сотрудников поставщика из-за неадекватной антивирусной защиты стал жертвой фишинга. Далее вредоносный код заразил кассовые терминалы Target и начал собирать данные с них – скорее всего, из-за слабых или стандартных паролей в одной или нескольких системах. Обучали ли сотрудника рискам и опасностям фишинговых атак? Почему администратор счел достаточной домашнюю версию антивируса? Проверял ли вообще Target информационную безопасность подрядчика перед заключением контракта? Почему стандартные пароли никто не поменял?
Аналогичный вопрос: можно ли снизить ущерб от утечки постфактум? После взлома TalkTalk гендиректор компании сначала заявила, что не знает, были ли украденные данные клиентов зашифрованы. Потом признала, что зашифрованы они не были, но все равно утверждала, что компания выполнила все требования регулирующих органов. Как случилось, что генеральный директор крупного провайдера не знал, зашифрованы данные клиентов или нет, на момент третьего подряд инцидента IT-безопасности?
В истории с Ashley Madison некоторые из лиц, чья личная информация попала в открытый доступ, заплатили компании по 19 долларов за удаление своих данных: значит, это либо не было сделано вообще, либо было сделано неправильно. Брать деньги за удаление данных о клиентах – не самая распространенная практика, но это теоретически можно списать на специфический характер бизнеса Ashley Madison. Другой вопрос: как можно предлагать клиентам платную услугу по удалению данных и не удалять их как следует?
Вернемся к Target. Покрыл ли поставщик холодильного оборудования, через которого была проведена первая атака, хоть какие-то затраты? Впрочем, Target и сама покрыла далеко не все убытки от взлома. Банки потратили не менее 240 миллионов долларов на перевыпуск скомпрометированных кредитных карт, хотя часть этих денег они смогли отсудить.
Последствия утечек также вскрывают некоторые интересные обстоятельства. Клиенты Ashley Madison никак не могли знать, защищены ли их данные: возникает вопрос, могла бы другая служба знакомств получить конкурентное преимущество, просто заявив, что у них защита данных лучше? Почему же компании не делают большего для того, чтобы предотвратить или снизить риск утечки данных? С точки зрения экономики, мы можем объяснить это при помощи двух концепций, сводящихся просто-напросто к затратам и преимуществам. Вкратце говоря, убытки от утечки не целиком ложатся на плечи пострадавшей организации, а преимущества от лучшей защиты данных оказываются недостаточно высоки.
Экстерналии
Крайне редко бывает, чтобы убытки понес только сборщик данных, которого взломали: убытки, понесенные другими сторонами, в экономике называются экстерналиями.
-
Когда гендиректор Ashley Madison принимал решение о том, сколько денег потратить на защиту информации (в том числе о собственных внебрачных связях, ставших достоянием общественности в результате взлома), он вряд ли думал о полном масштабе последствий возможной утечки для других.
-
Хотя компания Target и понесла значительные убытки в результате утечки, не ей пришлось оплачивать перевыпуск карт всех покупателей: это бремя легло на банки.
-
Взлом AOL-аккаунта директора ЦРУ, в результате чего тот был вынужден бросить все дела и разбираться с последствиями публикации своих личных писем в Интернете, был осуществлен на основе информации, выуженной у сотрудника Verizon.
В тех странах, где сообщать об утечке необязательно, экстерналии еще драматичнее, а сама компания может вообще не понести репутационных потерь, что еще более снижает мотивацию вкладываться в кибербезопасность.
Кроме того, утечки данных ослабляют уровень доверия в будущем – как для тех, кто был затронут инцидентом, так и для тех, кто о нем только слышал. В результате люди начинают неохотнее выходить в Интернет, а выйдя, избегают услуг, требующих ввода личной информации, что в свою очередь ограничивает рост интернет-экономики. Удар по доверию – тоже одна из экстерналий, а с экономической точки зрения у организации нет ни причин, ни стимулов отвечать за ущерб, нанесенный всему Интернету в результате ее решений по профилактике утечек и ликвидации их последствий. Но общество пренебречь этим не может.
Асимметричная информация
Неравный уровень информированности о возможных рисках у разных сторон одной сделки (т.н. асимметричная информация) затрудняет принятие рациональных решений. В частности, организациям становится труднее получать выгоду от правильных действий по борьбе с утечками данных. Target ведь не может проверить антивирусы у всех подрядчиков; так и директор ЦРУ не может знать, насколько хорошо Verizon обучает сотрудников бороться с социальным инжинирингом. Но и это еще не предел. Ashley Madison никак не может доказательно продемонстрировать, что сделала все возможное для защиты данных нынешних клиентов, и что данные о тех, кто заплатил за удаление, действительно были удалены.
Асимметричная информация ведет к проблемам неблагоприятного отбора и морального риска, давно описанным в экономической науке.
К примеру, пусть некий интернет-магазин, боясь взлома, хочет принять меры к защите компании от утечки данных.
Предположим, что этот магазин решил вложить значительную сумму в защиту информации о пользователях от хакеров, чтобы получить конкурентное преимущество перед другими, хуже защищенными торговыми площадками. Как он убедит пользователей в своей надежности? Можно, конечно, заявить, что их еще ни разу не взломали, но разве это гарантия? Если продемонстрировать надежность никак нельзя, то нельзя и привлечь ею клиентов, а потому вступает в силу неблагоприятный отбор: преимущество на рынке получают те, кто на безопасность не тратился.
Если руководство магазина все-таки боится утечки данных, то вместо адекватных инвестиций в безопасность оно может купить страховку от киберугроз (тут опять вступает в силу неблагоприятный отбор: страхуются чаще те, кто подвержен наибольшему риску). Теперь уже активизируется моральный риск: страховка есть, значит можно еще меньше вкладывать в кибербезопасность, потому что цена утечки становится еще ниже (а сама утечка – еще более вероятной).
Разумеется, это утрированный пример, и наверняка существует множество компаний, которые полностью осознают цену утечки данных и мудро инвестируют в их защиту. Тем не менее, из этого примера уже виден ряд значительных проблем, не решив которых, ситуацию с безопасностью не переломить. В частности, нет способа убедительно показать наличие мер безопасности и их действенность.
Экономический ликбез
Экстерналии и асимметрия информации – признаки несостоятельности рынка.
Позитивные или негативные экстерналии возникают тогда, когда решение, принятое одной из сторон, приносит выгоды или убытки другим сторонам, не имевшим в этом решении права голоса. Пусть, например, домовладелец перекрашивает свой дом ради собственного удовольствия. В результате во всем квартале становится приятнее жить, вплоть до того, что недвижимость в нем может даже вырасти в цене. С другой стороны, если дом покрасят в аляповатые цвета, эффект может оказаться противоположным. Так или иначе, домовладельцу нет никакого резона принимать эти эффекты во внимание – если только в районе не действуют правила или соглашения домовладельцев, которые способствовали бы возникновению позитивных экстерналий и избегали негативных.
Асимметрия информации возникает, когда одна из сторон знает о предмете сделки больше другой. Классический пример – рынок подержанных автомобилей. Продавец машины знает о ее качестве и истории больше покупателя. Однако владельцам хороших машин, объективно стоящих дороже, трудно убедить покупателей в их качестве, поэтому машины, одинаковые на бумаге (модель, год выпуска, пробег), продаются за одну и ту же среднюю цену. В результате чем лучше машина, тем труднее ее продать, и рынок насыщен плохими автомобилями – «лимонами». Дилер на вторичном рынке еще может создать себе репутацию, продавая отличные машины или давая покупателям гарантию для защиты их денег, но продавец с одной машиной репутации, скорее всего, не имеет, и средств на гарантию у него нет.
Асимметрия информации выливается в целый ряд последствий, из которых нам сейчас интересны два.
-
Неблагоприятный отбор.
Положение
на рынке диктуют те, кто обладает большей информацией, потому что они могут
выбирать свое участие. На рынке подержанных машин, поскольку способа продемонстрировать качество товара нет, продаваться будут только плохие машины, и рынок выродится в «рынок лимонов». На страховом рынке клиент знает свои риски лучше страховой компании, что тоже может привести к неблагоприятному отбору, поскольку клиенты с вы
сокими рисками чаще страхуются (вследствие чего повышается риск для всего пула застрахованных, а следовательно, и стоимость страховки).
-
Моральный риск.
Страхование может привести к тому, что застрахованные начнут идти на больший риск, так как отвечают за свои действия уже не в полном объеме. Например, если бы автострахованиепокрывало любое повреждение автомобиля без учета франшизы и ответственности водителя, то у людей было бы меньше оснований аккуратно парковаться и даже аккуратно водить. Это и есть моральный риск.
Франшиза в автостраховании предусмотрена как раз для борьбы с асимметричной информацией. Во-первых, владелец автомобиля несет часть финансовой ответственности за свои действия, поэтому моральный риск ниже. Во-вторых, многие страховые компании борются с неблагоприятным отбором, предлагая разные типы сочетаний «страховая премия – франшиза». Автовладельцы, знающие, что для них риск низок, выбирают низкую страховую премию и высокую франшизу, зная, что, скорее всего, им ее платить не придется. Автомобилисты с высоким риском выбирают более высокую премию и низкую франшизу, которую уже рассчитывают заплатить.
В ряде случаев проблему неблагоприятного отбора индустрия может решить сама, как в автостраховании, но в других ситуациях может потребоваться государственное регулирование. Например, в медицинском страховании человек знает о себе больше, чем страховая компания – и о своей медицинской истории, и о наследственности, и об образе жизни (хотя сейчас, с появлением фитнес-трекеров, дешевых тестов ДНК и оцифровкой историй болезни, это может и измениться). В результате неблагоприятного отбора медстраховку чаще приобретают те из нас, кто больше рискует, повышая тем самым ее стоимость. Одна из множества причин, по которым государства регулируют здравоохранение (как в Великобритании) или требуют от каждого приобрести частную медстраховку (как в Швейцарии), в том и заключается, чтобы охватить страхованием более широкий и здоровый спектр населения и тем самым снизить стоимость страховки.
Аналогичные проблемы возникают и с кибербезопасностью: частный рынок может помочь в поиске решений для борьбы с асимметрией информации, но в ряде случаев может потребоваться вмешательство государства.
Аспекты асимметричной информации
Проблемы с оценкой качества подержанной машины очевидны, но даже для нового автомобиля имеется огромная масса асимметричной информации, задействованной в принятии решения о покупке. Проблему оценки качества подержанной машины легко понять, но даже для новой имеется множество неопределенностей. Здесь есть много атрибутов, связанных с разной степенью информационной асимметрии, и несколько способов проверить Три типа атрибутов в экономике у продукта или услуги касательно асимметричной информации истинность таких атрибутов. Во-первых, покупка начинается с принятия решения о том, какой тип машины купить. Даже для новой машины встает вопрос качества, в дополнение к расходу топлива и безопасности. Некоторые из этих атрибутов ясны сразу, а другие могут не проясниться никогда.
Как же мы принимаем решение?
Первое, что выбирают многие из нас, – это тип автомобиля: кому-то нужно спортивное купе, а кому-то микроавтобус на семь пассажиров с большим грузовым отсеком, и эти атрибуты у любого автомобиля четко видны. Другие детали выяснить труднее – например, насколько машина легка в управлении и сколько она пробегает, пока не развалится. Первое легко выяснить с помощью тест-драйва, а мнение о качестве мы можем составить по репутации фирмы-изготовителя. И, наконец, мы никак не можем заранее проверить подушки безопасности, расход топлива, уровень выбросов или прочность кузова при аварии. Здесь людям может потребоваться положиться на третью сторону, например, на государство, которое проводит испытания и допускает машины к продаже при соблюдении минимальных стандартов.В экономике у продукта или услуги касательно асимметричной информации есть три типа атрибутов:
-
ПОИСКОВЫЕ
— атрибуты, которые можно оценить заранее, такие как тип машины.
-
— атрибуты, проявляющиеся лишь с течением времени, такие как качество машины.
-
ДОВЕРИТЕЛЬНЫЕ
— атрибуты, которые могут никогда не стать известными, такие как качество подушки безопасности.
Было разработано несколько моделей для помощи в оценке этих атрибутов, и, как правило, они включают привлечение третьей стороны для тестирования, сертификации или государственного регулирования одного или нескольких атрибутов.
Рейтинги
Доверенные независимые агенты могут испытывать продукты и услуги на наличие тех или иных атрибутов, предоставляя потребителям рейтинги в качестве информации перед покупкой. Например, журнал Consumer Reports оценивает большое количество продуктов по широкому спектру атрибутов. Для автомобилей проверяется безопасность, надежность и общая удовлетворенность потребителя.
Сертификация
Для некоторых атрибутов рейтинг не нужен, а требуется лишь подтверждение того, что продукт соответствует некоему стандарту приемлемости. Например, UL (бывш. Underwriters Laboratories) – это частная компания, которая может сертифицировать соответствие качества продукции, например, электротоваров, своим собственным стандартам. В автопромышленности производители автомобилей в некоторых странах могут самосертифицировать некоторые атрибуты, такие как экономия топлива или экологичность выбросов, что недавно выявило потребность в независимых экспертах.
Государственное регулирование
Оценить доверительные атрибуты, такие как безопасность, ни потребитель, ни частная независимая сторона не могут. Поэтому может потребоваться, чтобы стандарты безопасности проверяло государство. Например, государство может проводить краш-тесты автомобилей и проверять их на соответствие стандартам безопасности.
Вернемся к безопасности данных: асимметрия информации затрудняет потребителям оценку безопасности данных по различным атрибутам. Поэтому организациям нужно как-то подавать надежные сигналы своего уровня безопасности. Способы сделать это с привлечением третьих сторон обсуждаются в разделе рекомендаций.
Экономика утечек данных позволяет вычленить ряд важных аспектов борьбы с ними.
Во-первых, организации должны нести ответственность за негативные экстерналии – убытки, понесенные в результате их действий другими организациями, пользователями и обществом в целом. Во многих случаях такая ответственность может быть финансовой – подобно налогообложению тех или иных типов загрязнения. Повышение ответственности или штрафы за допущение утечек, несомненно, снизят вероятность их возникновения. И точно так же, как некоторые виды загрязнения (например, свинец в краске или бензине) настолько опасны, что их приходится явно запрещать, может потребоваться законодательно закрепить те или иные меры безопасности.
Во-вторых, для борьбы с асимметрией информации следует сделать ее более симметричной. Если организации могут убедительно продемонстрировать свой уровень кибербезопасности потребителям, они будут охотнее инвестировать в нее, так как инвестиции окупятся. Это оживит рынок страхования кибербезопасности, а также снизит уровень морального риска, так как компании с лучшими практиками окажутся в более выгодном положении. В конечном счете, выиграет потребитель, так как организации, с которыми он взаимодействует в Интернете, будут заинтересованы в укреплении безопасности данных.
Эти рекомендации мы подробнее рассмотрим в статье «Утечки данных. Рекомендации» в разделе Безопасность.
Источник: Global Internet Report 2016
Что делать сразу как взломали?
Первое, что нужно делать если украли Инстаграм аккаунт, попробовать поменять пароль.
Если злоумышленники взломали, но не успели или не додумались поменять доступы, сделайте это сами с помощью:
- Электронного адреса.
- Номера телефона.
- Профиля Фейсбук.
Если вы вовремя среагируете — то есть шанс отбить страницу.
Как восстановить доступ по почте:
- Откройте приложение Инстаграм.
- Под полями для авторизации нажмите на
«Помощь…»
.
- Выберите вариант восстановления по почте.
- Введите электронный адрес, который привязан к странице.
- Нажмите на кнопку .
- Выберите
«Отправить письмо»
.
- Откройте полученное на адрес сообщение.
- Нажмите на кнопку входа.
После того, как вы попадете в профиль — смените доступы. Теперь узнаем, что нужно делать, чтобы восстановить профиль по номеру телефона, если взломали.
Как вернуть аккаунт Инстаграм, если его украли и сменили почту:
- Повторить пункты 1, 2.
- Выбрать отправку СМС.
- Поменять код страны на нужный.
- Вписать номер.
- В сообщении, которое придет на указанный номер, коснуться ссылки.
- Поменять пароль.
- Сохранить, нажав галочку.
Если к вашему аккаунту привязан профиль Фейсбук, то вы легко попадете в учетную запись. Отвязать ее просто так не выйдет — придется взломать и Фейсбук.
Что делать если украли аккаунт Инстаграм и поменяли почту — как восстановить через Фейсбук:
- Откройте Инстаграм.
- Если вы авторизованы в соц. сети, то под формой авторизации появится кнопка
«Продолжить как (ваш ник)»
. Нажмите ее.
- Если не авторизованы, коснитесь надписи
«Войти через…»
.
- Впишите данные авторизации учетной записи.
- Нажмите
«Продолжить»
.
- Попав в аккаунт, поменяйте все данные.
А что значит заблокировать в Instagram, смотрите в другой статье.
Что делать, если доступы сменили и как восстановить профиль после взлома — читайте далее.
