Антон Носик: Зачем нужны страшилки о «взломе Яндекса»?

История про выложенные в Сети за один день миллион паролей к Яндекс.Почте и 4,6 млн паролей к ящикам Mail.Ru — довольно примечательная. В чистом виде пример виртуального несобытия, которое на практике не имеет никаких серьёзных последствий ни для кого (ни для сервисов, ни для пользователей, ни для бизнес-процессов), но способно сгенерировать бесконечный поток леденящих душу заголовков, новостных сюжетов и тревожных «комментариев эксперта».

Превыше сомнения известно про обе выложенные в Интернете базы, что они не являются ни продуктом взлома серверов, ни результатом внутренней утечки (например, через уволившегося обиженного сисадмина или окопавшегося в техподдержке бунтаря-анонимуса). Базы эти собирались несколько лет, методом фишинговых атак и троянских рассылок в адрес конечных пользователей, чьи пароли утекали к похитителю в случае неосторожного обращения с такими файлами и ссылками. Основная масса присутствующих там логинов/паролей выкладывалась в Интернете ранее, и техподдержкой обоих почтовых сервисов эти базы уже отмониторены в прошлом. Новые скомпрометированные аккаунты составили в обоих списках 5-10% от общего числа…

В том, что такие базы вообще собираются и пополняются, никакой неожиданности или новости нет. Ежедневно в Интернете рассылаются сотни миллионов троянских вирусов и фишинговых ссылок, и если хоть 0,1% этого спама достигает цели, это означает хищение миллионов паролей в месяц, каждый месяц. Зачем их воруют? Затем же, зачем воруют любые другие ключи на свете. Чтобы получить доступ к чужому имуществу — в данном случае, цифровому. Как можно воспользоваться чужими аккаунтами, подобрав к ним ключи? Не хочу вдаваться в подробности, но почтовые ящики могут открывать доступ к электронным кошелькам, отчётам и паролям систем электронного банкинга. Кроме того, зараженные аккаунты используются для отправки спама и дальнейшей рассылки троянов и фишинговых ссылок по их же контакт-листам.

Это малоприятная и презренная уголовщина, но в мотивации тех, кто ею занимается, нет никакой загадки. В практике российского правоприменения «увод» чужих аккаунтов и электронных денег не считается преступлением и не подлежит расследованию. Такая практика противоречит сразу двум статьям действующего УК (272 и 273), но нашим силовикам на законы плевать. Попробуйте подать заявление, что Ваш аккаунт взломали — и очень увлекательно проведёте месяц жизни. Сначала выяснится, что у уполномоченного подразделения МВД вообще нет практики приёма заявлений от граждан. Потом, после долгих скандалов, заявление примет участковый по месту жительства и пообещает переслать по назначению. Если Вы на этом успокоитесь, то заявление Ваше сгинет. Если же будете писать кляузы, заявление снова отыщется через месяц, и Вы получите отписку от Управления «К»: извините, с момента взлома прошёл месяц, следы искать поздно.

О том, что процедура борьбы с киберпреступностью в России именно такова, знают не только потерпевшие, но и уголовники. Поэтому поток троянов и фишинговых ссылок в РУНЕТе с каждым годом растёт, а параллельно ширится и крепнет экспорт подобного криминала в страны, где он преследуем и наказуем. Зарубежные ведомства по борьбе с киберкриминалом, пытаясь пресекать деятельность российских преступных синдикатов, сталкиваются с довольно откровенным крышеванием этих синдикатов по линии ФСБ.

Вернёмся, однако же, к выложенным в Интернете базам паролей пользователей Яндекса и Mail.Ru. Зачем эти базы собирались — понятно. Как и зачем их изначально планировали использовать — тоже понятно. Но вот кому понадобилось их вываливать в открытый публичный доступ в один и тот же день — загадка. Потому что сам по себе акт вываливания означает, что для нужд потрошения кошельков и прочего data mining все адреса в этих базах единовременно спалились. Эти аккаунты чохом, прямо по списку, заморозили не только Яндекс, Mail.Ru и их платёжные системы, но даже и соцсеть вКонтакте от греха ограничила доступ ко всем своим учётным записям, зарегистрированным на эти адреса электронной почты.

Можно, конечно, предположить, что кто-то из корифеев российского фишинга сошёл с ума, возжаждал анонимной славы, или решил спасти миллионы соотечественников от самого себя. Но это всё в логике бреда. Можно также допустить, что эти вбросы призваны были повлиять на курс бумаг MLRYY на Лондонской бирже и YNDX на NASDAQ, но над обесцениванием этих бумаг так успешно трудится политическое руководство страны, что хакерам смешно вступать в соревнование.

Остаётся ровно одно рациональное объяснение — в точности такое же, как у московского футбольного погрома летом 2002 года. Тогда готовилось принятие Думой ФЗ о противодействии экстремистской деятельности, и кому-то из пиарщиков пришло в голову, что картинки с горящими киосками и перевёрнутыми троллейбусами в центре Москвы хорошо помогут настроить общественное мнение в пользу подобных мер. Это были романтические времена, когда общественное мнение кого-то в России ещё заботило (ну или, по крайней мере, можно было освоить бюджеты на манипуляции). Сегодня времена изменились, о реальных настроениях улицы больше не задумываются, зато власть и обслуживающая её рать политтехнологов намертво присела на иглу телевизионного мифотворчества. История про миллионы паролей, якобы украденных при «взломе» сервисов Яндекса и Mail.Ru, вписывается в этот тренд не хуже байки про распятого в Донецке мальчика. Если кто-то решил покормить дорогих российских телезрителей страшилками про уязвимость негосударственных веб-почт — значит, мы скоро услышим о планах государства по решению этой проблемы.

Осталось только угадать, к внесению какого нового законопроекта или постановления правительства приурочен вброс. Основных вариантов два. Возможно, нас ждёт какая-нибудь новая несусветная инициатива в сфере так называемой охраны персональных данных россиян. Охранять их будут, конечно же, не от крышуемых спецслужбами фишеров и рассылателей вирусов. И не от коррумпированных чиновников, сквозь пальцы которых утекли в публичный доступ все мыслимые базы МГТС, ГИБДД, БТИ, ЦБ РФ и ЕГРЮЛ со всеми мыслимыми персональными данными. Доступ всех этих жуликов к нашим персональным данным будет только расширен. А защищать нас будут от мировой закулисы, АНБ, всемирного жидобандеровского заговора и происков инопланетян. Для этого можно, например, попробовать запретить россиянам сообщать свои персональные данные сайтам и серверам, не имеющим соответствующей лицензии ФСБ. Или использовать анонимайзеры. Или без паспорта в Интернет ходить. Впрочем, предугадывать полёт казённой фантазии — дело неблагодарное.

Другой вариант, более «вегетарианский», состоит в том, что где-то во власти согласован проект очередного распила бюджетных денег на разработку цифрового аналога «Почты России». С поддержкой кириллических адресов и строгим соблюдением всех требований СОРМ. Для обоснования эпической сметы, куда заложена прибыль длинной цепочки посредников между государством и его айтишными подрядчиками, нужны страшилки — вот их и вбрасывают.

Какая из этих версий правильная, мы довольно скоро узнаем. Будь то новый ворох запретов, или новый айтишный распил — в ближайшие недели нам о нём объявят.

Что же до пользователей, пароли которых утекли в открытый доступ, им можно лишь посоветовать впредь относиться к своим данным аккуратнее. Не ходить по незнакомым ссылкам со стрёмным адресом, не открывать аттачменты из «писем счастья», придумать себе сложный пароль и менять его регулярно, не дожидаясь взломов и утечек. Ну и, разумеется, использовать все те возможности для дополнительной защиты аккаунтов, которые сегодня предоставляются любой сколько-нибудь серьёзной многопользовательской площадкой.

Источник: ЖУРDОМ