Самая главная новость вчерашнего дня (да и всей этой недели, пожалуй), судя по просмотрам и реакции людей в социальных сетях, — конечно, история со взломами аккаунтов знаменитых голливудских актрис, моделей и других медийных женщин, у которых неизвестный хакер украл сотни интимных фотографий и выложил в открытый доступ.

Мы решили узнать о том, как чаще всего происходят подобные взломы и как от них можно попытаться себя обезопасить, у преподавателя Moscow Coding School, курсы в которой ведут даже наши коллеги по Look At Media. Хакер Захар День рассказал FURFUR о самых распространённых способах взломов клауд-хранилищ голливудских красавиц.

   

Нужно сразу сказать, что сегодня безопасность большинства самых популярных сервисов вроде iCloud, Dropbox, Google Drive и Instagram находится на достаточно высоком уровне. Основная проблема заключается в пользователях. Простые пароли, излишняя информация о себе в сети — все эти вещи могут дать взломщику фору. Как раз об этом и поговорим.

 

Насколько сложен для взлома ваш пароль?

Многие сервисы не разрешают создавать пароли меньше восьми символов — якобы пароль из восьми символов безопасен. Но пароль из восьми символов можно взломать обычным методом перебора, и даже если вы окончательно сорвались с цепи и сделали себе вот такой пароль «%&2x#@A?», понадобится всего восемь дней, чтобы подобрать его. На обычную ерунду вроде «supersex» уйдёт не больше дня.

 

Что такое перебор?

В нашей голове существует масса различных психологических паттернов для наиболее лёгкого запоминания своего собственного пароля, которыми люди пользуются, даже не задумываясь об этом. Например, повторение комбинаций вроде «123123», добавление в слова цифр и символов — «ih8you» или «he!!o», замена букв на неправильные, например «frash».

Часто мы используем удобство клавиатуры и создаем варианты паролей, вроде qwerty, 12345678, qweasdzxc и тому подобные. Всё это ломается с полпинка. В сети можно скачать огромные словари, по которым происходит перебор, а программы взлома могут очень просто работать с пользовательскими паттернами.

   

КАК ЗАЩИТИТЬСЯ?

Во-первых, пароль не должен быть меньше 16 символов, а чтобы легко запомнить свой пароль, используйте не пароли-слова (password), а пароли-фразы (passphrase). Их практически невозможно взломать методом перебора.

Например, для взлома пароля «my uncrackable password» нужно будет перебрать 116 квинтиллионов комбинаций в течение 280 лет. Неплохо, да? И запоминается очень просто. Проверить крутость своего пароля и время для его взлома можно на специальном сервисе Pass Fault.

 

Ловля лоха, или Фишинг

Теперь вы в курсе, какие нужно делать пароли, но совсем не обязательно, что вы теперь защищены от взлома. Распространённый способ получить пароль любой сложности — это сделать так, чтобы пользователь дал нам его сам.

Находим пользователя в Facebook, выбираем его классного друга. Подделываем страничку необходимого нам сервиса, например iCloud, и подделываем письмо от Apple, якобы тот самый классный друг расшарил вам свой Photo Stream с сумасшедшими фотками со вчерашней тусовки.

В письме отсылаем на страничку с фейковым логином в iCloud, пользователь вводит нам свой логин и пароль — готово. Так горы фотографий сисек и жоп попадают к нам в почту сами. Логинимся, меняем пароль и развлекаемся.

   

КАК ЗАЩИТИТЬСЯ?

Посмотрите адрес, откуда пришло письмо. Проверьте адрес, на котором располагается страничка. У многих классных сервисов есть поддержка разных языков, переключите язык на русский, вы сразу увидите, что это фейк. И вообще, если сомневаетесь, спросите своего друга, высылал ли он вам что-то.

Как взламывают личные аккаунты и как попробовать от этого защититься. Изображение № 1.

 

Социальный инжениринг

Во многих сервисах есть «вопрос для восстановления пароля». Какая девичья фамилия матери, как звали первую собаку или ещё какой-нибудь похожий бред, среди которого обычно сложно что-то выбрать для себя. В общем, можно познакомиться с потенциальной жертвой и узнать необходимую информацию в чатике. Или, например, найти её на стене или ещё где-то — по тупости оставленную в сети.

   

КАК ЗАЩИТИТЬСЯ?

Если есть возможность создать свой вопрос для восстановления пароля, сделайте это. Если есть возможность двухэтапной аутентификации (это когда вы заходите с нового айфончика на сервис, а он вам говорит вбить код из свежей смс), подключите её — особенно если считаете, что ваш пароль не слишком надежен, и уровень паранойи зашкаливает.

 

Доступ к ноутбуку в кафе

Многие не ставят пароль на ноутбук. Значит, пока вы идёте в туалет в Starbucks, кто-нибудь может поставить вам программу удалённого доступа и пользоваться потом вашим компьютером в любое время, когда вы онлайн.

   

Как защититься?

Поставьте пароль и тоже сложный, лучше пароль-фразу, о котором мы писали в первой части этого материала. Разлогиньтесь или отправьте ноутбук в «слип» перед уходом. Обязательно должна стоять настройка запроса пароля при выходе из спящего режима.

 

Доступ к компьютеру у вас дома

К вам подходит ваш вроде как лучший друг, с которым вы только познакомились, и просит посёрфить пять минут в инете. Опять же, можно поставить удалённое управление и пойти туда же.


   

КАК ЗАЩИТИТЬСЯ?

Разлогиньтесь и дайте «другу» доступ для гостя.

 

Доступ к компьютеру в сервисе

Бывает, ломается компьютер. Что делать? Да, нести в сервис. Но на вашем жёстком диске как раз огромное количество всего интересного.


   

КАК ЗАЩИТИТЬСЯ?

Если вы счастливый обладатель Mac, то включите в настройках шифрование данных. При физическом доступе к вашему жёсткому диску нельзя будет ничего сделать, не зная ваш пароль от системы.

 

Доступ к гаджету

Очень просто расшарить ваши фотографии с устройств Apple в Photo Stream. Достаточно недолго подержать в руках ваш гаджет.


   

КАК ЗАЩИТИТЬСЯ?

Не давайте свой гаджет ненадёжным людям, а лучше вообще никому. Обязательно установите пароль.

 

Заключение

Серьёзные сервисы много работают над защитой данных, но они не могут контролировать ещё и глупость пользователей. Но осведомлён — значит вооружён. Не ошибайтесь в простых вещах, следите за цифровой гигиеной, соблюдайте простые разумные правила, и всё будет хорошо.

Ближайший курс Захара «Основы HTML и CSS» стартует 4 октября