Информбезопасность: инцидент года

Уже сейчас можно с уверенностью сказать, что массовая утечка данных аккаунтов популярных сервисов бесплатной электронной почты, произошедшая в первой половине сентября, стала самым значимым инцидентом 2014 года в сфере информационной безопасности. Впрочем, реальный ущерб наверняка окажется менее значительным, чем казалось вначале. Но в любом случае, доверие к безопасности веб-сервисов подорвано основательно и надолго.

Удар по «Яндексу»

События, надо сказать, разворачивались пугающим образом. Все началось с того, что вечером 7 сентября в открытый доступ попал текстовый файл с учетными данными миллиона пользователей «Яндекс.Почты». Файл 1000000cl.txt изначально разместили на «Яндекс.Диске», но потом список очень быстро разошелся повсеместно по Сети. Вскоре многочисленные пользователи подтвердили аутентичность базы, нашли свои пароли и успешно зашли в чужие почтовые ящики.

Первоначально эксперты по информбезопасности предположили, что утечка стала результатом взлома какого-то веб-сервиса, фишинга или брутфорса. В свою очередь, пресс-служба «Яндекса» заявила, что сама компания – белая и пушистая. «Пароли пользователей "Яндекса" надежно защищены и не хранятся в открытом виде. Поэтому опубликованный список – это не "взлом" и не "утечка" "Яндекса", – говорилось в пресс-релизе. – Наши специалисты проверяют этот список, и пока нет оснований считать, что среди опубликованных аккаунтов есть те, что принадлежат "живым" пользователям (тем, кто бы заходил на наши сервисы, в "Почту", и совершал какие-либо действия), или тех, о взломе которых бы мы не знали (такие аккаунты уже давно отправлены на восстановление пароля)».

В «Яндексе» добавили, что каждый отдельный пароль мог утечь вследствие заражения компьютера пользователя вирусом, который передает персональные данные мошенникам. Также рассматривался вариант фишинга. По заявлению компании, около 85% из пар логин-пароль были скомпрометированы ранее, а владельцам остальных аккаунтов сервис в принудительном порядке предложил заменить данные для доступа к аккаунту.

В любом случае, быстро появившийся в Сети список «Топ-100 паролей в базе "Яндекса"» стал настоящим подарком для начинающих хакеров и просто недобросовестных пользователей и чрезмерно любопытных сисадминов.

Первым последствием инцидента стало то, что соцсеть «ВКонтакте» заморозила аккаунты, которые были привязаны к украденным адресам «Яндекс.Почты», пока их владельцы не поменяют пароли. Об этом пресс-секретарь соцсети Георгий Лобушкин сообщил через Twitter. Как пояснил Лобушкин, исключение составят аккаунты, для которых указан сотовый телефон, доступ к ним не прекратится. Для них невозможно сменить пароль, имея доступ к привязанному почтовому ящику, смена кода доступа происходит через SMS.

На следующий день владельцев 150 тысяч аккаунтов «Яндекс» все же отправил на принудительную смену пароля. В компании отметили, что смена пароля всеми пользователями «Яндекс.Почты» не требуется, сервис адресно направил предложение о смене пароля для тех, кого мог затронуть опубликованный список. Как уточнили в «Яндексе», о прочих скомпрометированных аккаунтах почтового сервиса было известно уже несколько лет. Владельцы этих аккаунтов были предупреждены компанией и им предложили сменить пароль, но этого сделано не было. Специалисты «Яндекса» считают, что аккаунты либо заброшены, либо создавались роботами, в том числе с целью дальнейшей продажи базы паролей.

«Речь не идет о взломе инфраструктуры Яндекса, данные стали известны злоумышленникам в результате вирусной активности на зараженных компьютерах некоторых пользователей или фишинга. Это не целенаправленная атака, а результат сбора скомпрометированных аккаунтов в течение длительного периода времени», – говорилось в сообщении компании.

Компания также опровергла мнение, высказанное в соцсетях, о том, что данные пользователей «Яндекса» хранятся в открытом виде – в таком виде их представили злоумышленники. Также ее представитель отметил, что не все базы паролей, появляющиеся в сети – настоящие: данные могут быть вымышленными или аккаунты создают программы-роботы с целью продажи базы.

Удар по Mail.ru

Однако считанные часы спустя рухнул уже другой бастион Рунета – Mail.ru. В Сети появилась база с 4,5 миллионами паролей к почтовому сервису Mail.ru. При проверке этой базы в ней действительно обнаруживались логины и пароли реально существующих и использующихся почтовых ящиков. Однако при попытке применить скомпрометированные пароли почтовый сервис часто выдавал предупреждение, что с данного ящика была попытка рассылки спама, и предлагал сменить пароль.

Комментируя произошедшее, представители Mail.ru вели себя аналогично представителям «Яндекса» – заявляли, что в подавляющем большинстве случаев причиной утечки паролей становится неопытность или легкомыслие пользователя. А также – что «довольно большой процент» опубликованных паролей – неактуальные, на момент публикации их уже заменили владельцы.

Затем специалисты сервиса и вовсе объявили, что база старая и собрана из кусочков, то есть из нескольких баз паролей, которые были украдены в разное время и, скорее всего, разными способами, с помощью фишинга и вирусов.

«Довольно большой процент паролей из списка уже неактуален, то есть владельцы аккаунтов уже успели их сменить. Примерно 95% актуальных аккаунтов уже проходят у нас в системе как подозрительные – это означает, что они ограничены в отправке почты, а их владельцам мы уже давно рекомендуем сменить пароль. Что касается оставшихся 5%, которые оказались неизвестны нашей системе, то они были добавлены в базу подозрительных сегодня и либо уже получили такое уведомление, либо получат его до конца сегодняшнего дня», – пояснили в пресс-службе Mail.ru.

В своем корпоративном блоге Mail.ru пояснила, что превентивно заблокировать 95% актуальных аккаунтов удалось благодаря сложной системе анализа действий аккаунта по целому ряду критериев. Согласно им, для каждого аккаунта ведется динамический рейтинг – «карма». При падении «кармы» ниже определенного параметра к пользователю начинают применяться различные санкции, в том числе рекомендация сменить пароль.

Технология взлома

Когда скандал вокруг утечки паролей к почтовым ящикам «Яндекса» и Mail.ru достиг апогея, газета «Известия» опубликовала специальный отчет компании Cloudseller – официального партнера Google в России по распространению корпоративных продуктов Google Apps, в частности, почты Gmail. Специалисты Cloudseller пояснили, что утечки стали результатами взлома через уязвимости в бесплатном ПО, которое используют крупнейшие российские интернет-компании. Далее, захешированные пароли нетрудно расшифровать – именно этим, по их мнению, может объясняться обилие простых паролей в опубликованных базах.

«Как Yandex, так и Mail.ru в ядре своих сервисов используют операционную систему Linux и ряд open-source продуктов. Часто эти продукты дорабатываются компаниями под свои нужды, но основа остается неизменной. Мы предполагаем, что взлом произошел через неопубликованную (0-day) уязвимость либо в веб-сервисе, либо в системе управления базами данных (MySQL и др.), которые позволили сделать дамп базы – других вариантов взлома нет, разве что изнутри компании. Итогом взлома стала таблица с именами пользователей (логинами) и значениями хеш-функций их паролей, – сказано в отчете. – Через какую именно уязвимость мог произойти взлом, сказать точно сейчас нельзя – эти данные интернет-компании точно не раскроют ни при каких сценариях».

В компании напомнили, что основополагающий принцип хранения паролей – хеширование в соответствии с российскими (ГОСТ Р 34.11-2012) или иностранными (SHA/SHA2) алгоритмами. «Эти алгоритмы являются математическими функциями, которые производят односторонние преобразования, создавая для каждого пароля уникальный хеш, то есть код, – объяснил «Известиям» технический директор Cloudseller Владимир Рузайкин. – Восстановить исходный пароль по хешу невозможно. Однако для коротких паролей (до 8 знаков) существуют таблицы данных ("радужные таблицы", rainbow tables), которые значительно ускоряют процесс восстановления пароля по значению его хеша путем последовательного перебора, этакий ускоритель брутфорса. Для составления "радужных таблиц" требуются значительные вычислительные мощности, но для значительного типа хешей такие таблицы уже сформированы и доступны в интернете любому пользователю».

Рузайкин указал, что для демонстрации факта утечки были опубликованы в основном восстановленные по таблицам короткие и простые пароли. «Не исключаем того факта, что произошла утечка всей пользовательской базы, и со временем злоумышленники путем перебора получат доступ к учетным записям с более защищенными паролями длиной до 10-12 символов», – добавили в Cloudseller.

Свою версию произошедшего представил и Сергей Марченко, сертифицированный инженер Google Apps с четырехлетним опытом внедрения сервисов Google. По его мнению, прежде всего нужно вести речь о подделке с помощью троянов и вирусов сертификатов подлинности серверов, через которые по защищенному каналу HTTPS пользователи заходили на почту. Тогда можно говорить о полной непричастности самих интернет-компаний к утечкам. Масштабная подделка сертификатов могла стать возможной через «дыры» в браузерах или самой ОС Windows.

«Пользователь общается с почтовым сервером по протоколу HTTPS, протокол зашифрован, но на этапе установления шифрованного канала используются так называемые цифровые сертификаты (PKI), которые выдаются организациям, включая "Яндекс", Google и Mail.ru, специализированными центрами сертификации. Эти центры сертификации блюдут безопасность как зеницу ока, – пишет Марченко. – Но известны случаи, когда от имени Microsoft и Google выпускались действительные, но фактически не принадлежащие этим компаниям сертификаты. Последний раз – этим летом – отличилась Индия: корпорация Google обнаружила, что Национальный центр сертификации (NIC) Индии выдал несколько сертификатов на домены. То есть кто-то при выпуске такого сертификата мог выступать от имени Google, "Яндекса", Mail.ru, Microsoft и прочих и прогонять через себя нешифрованные данные пользователей, которые включают и пароли. Такая атака называется MiTM. Поддельный сертификат ведет пользователя без его ведома на фишинговый сервер-посредник, который и собирает пароли».

«Тот факт, что за двое суток в сеть попали миллионы пар "логин-пароль" самых популярных в России почтовых сервисов, может говорить о том, что взлом произошел через неизвестную уязвимость в одном из ассоциированных с Linux пакетов, – рассуждает Марченко. – Хотя пароли опубликованы 8-10 сентября, уязвимость вполне может быть уже найдена и закрыта, а утечка паролей могла произойти значительно раньше. Поскольку атака коснулась компаний, серверы которых физически расположены в разных точках планеты, версия об утечке информации по вине инсайдеров несостоятельна, так как координация подобной атаки чрезвычайно сложна».

Удар по Google

Следующей под удар уже попала крупнейшая интернет-корпорация планеты. Почти 5 миллионов паролей пользователей почтового сервиса Gmail стали доступны всем желающим в среду, 10 сентября. Среди них оказались также русскоязычные. Этот удар оказался особенно болезненным по той причине, что имена ящиков и пароли к ним могут открыть доступ не только к почте, но и ко всем сервисам Google, которые использует конкретный пользователь.

Первая информация о том, что в интернет «утекла» база из 4,9 млн почтовых адресов Gmail с паролями к ним, появилась во вторник вечером на криптофоруме Bitcoin Security. По данным одного из пользователей, больше 60% из этих адресов – рабочие.

Впрочем, уже на следующий день проверка, проведенная специалистами интернет-гиганта, показала, что на самом деле менее 2% пар логинов и паролей Gmail, выложенных в открытый доступ, можно было использовать для входа в почту. В большинстве же случаев при попытке входа в почтовые аккаунты с использованием выложенных паролей автоматическая система безопасности заблокировала все попытки.

Затем в Google, полностью в традициях российских сервисов, заявили, что утечка логинов и паролей не является результатом взлома инфраструктуры Google. Дескать, учетные данные злоумышленники получили из комбинации других источников. По словам сотрудников корпорации, в случае если используется один и тот же логин и пароль на различных сайтах и один из этих сайтов был взломан, учетные данные могут быть использованы для входа на другие страницы.

В любом случае, если заявление Google о 2% валидных пар в базе данных истинно, то от утечки пострадало 98,6 тыс. учетных записей.