Почему взламывают электронную почту

Как и почему взламывают почту политиков и бизнесменов

Дмитрий Бевза 28.07.2014, 14:35
iStockphoto

В последние годы мир узнал много неожиданной информации, которая стала известна благодаря взлому электронной почты. «Газета.Ru» решила выяснить, почему же электронная почта стала так небезопасна и как обезопасить себя от атак хакеров.

WikiLeaks, Джулиан Ассанж, Anonymous, Эдвард Сноуден, «Анонимный интернационал» — все эти люди и группы стали известны благодаря публикации в интернете конфиденциальной информации. Причем значительная часть ее была получена путем взлома электронной почты. Последние скандальные «сливы» были опубликованы совсем недавно в блоге Shaltay Boltay так называемого пресс-секретаря группы «Анонимный интернационал», который, правда, теперь закрыт Роскомнадзором. Это переписка командующего военными формированиями ДНР Стрелкова-Гиркина, письма чиновников Министерства обороны РФ, первого заместителя премьер-министра РФ Аркадия Дворковича и других чиновников.

Опубликованная информация не относится к классу «совершенно секретно», но уж точно была не предназначена для публикации в интернете.

Утечки в сеть переписки государственных чиновников самого высокого ранга породили настоящую паранойю, причем не только в России. Например, Патрик Зенсбург, председатель комитета немецкого парламента по расследованию деятельности АНБ, предложил для обеспечения секретности использовать печатные машинки вместо компьютеров, а ФСБ посоветовала российским чиновникам не пользоваться зарубежной электронной почтой, в частности Gmail.

«Газета.Ru» решила выяснить, что же случилось с некогда всеми любимой электронной почтой и почему она вдруг стала так небезопасна. Для этого мы поговорили с представителями крупнейших почтовых сервисов — Google, Rambler, Mail.Ru и «Яндекс».

По итогам беседы мы сделали противоречивые выводы.

Во-первых, почта стала значительно безопаснее и защищеннее, чем, скажем, 5–10 лет назад.

Во-вторых, публичные почтовые сервисы, несмотря на утверждения ФСБ и некоторых госчиновников, не менее безопасны, чем корпоративные или государственные.

В-третьих, на 100% защищенной почты не существует, потому что… она никому не нужна!

Директор по разработке «Рамблера» Олег Оболенский считает, что при соответствующей квалификации взломать почтовый аккаунт не составляет большого труда.

«Можно создать суперзащищенную корпоративную почту со сложной системой аутентификации, но пользоваться таким сервисом будет практически невозможно.

Как правило, безопасность и удобство использования почтового сервиса вещи прямо противоположные, и организации (коммерческие и государственные) ищут баланс между этими двумя полюсами», — сказал он в разговоре с корреспондентом «Газеты.Ru».

Вторит Оболенскому и вице-президент Mail.Ru Group, руководитель бизнес-подразделения «Почта и портал» Анна Артамонова: «На самом деле уровень безопасности почты можно повышать практически до бесконечности, но надо понимать, что это неизбежно повлечет за собой определенное неудобство для пользователей, большинство которых, как показывает наш опыт, жертвовать просто не готовы. Они найдут лазейку, чтобы отключить или обойти неудобные для них средства защиты или просто будут пользоваться другими, менее безопасными, но более удобными сервисами. Например, разрешить доступ к корпоративной почте только с рабочего места пользователя — это очень хорошая мера с точки зрения защиты данных, но, если она не устраивает пользователя, он будет дополнительно пользоваться публичным почтовым сервисом».

Впрочем, немалое количество экспертов считают, что число утечек из корпоративной и чиновничьей переписки будет только расти. И проблема тут вовсе не в почте.

В пресс-службе «Яндекса» «Газете.Ru» подтвердили довольно очевидное мнение, что главным источником опасности для конфиденциальной информации являются не почтовые сервисы, а люди. «Подавляющее большинство историй про взлом переписки объединяет одно: как правило, они связаны не с ошибками почтовых сервисов, а с действием человеческого фактора — небрежным отношением к своему паролю (он ненадежный, его легко угадать или восстановить, он применяется не только для почты, но и для других ресурсов в интернете, хранится записанным в открытом виде на компьютере, который был подвержен вирусной атаке) или передачей пароля доверенному лицу, который вдруг решил сделать переписку достоянием общественности».

Анна Артамонова согласилась с коллегами из «Яндекса»: «Сколько бы опций для повышения уровня безопасности ни придумал сервис, все они будут бесполезны, если юзер поставил себе пароль qwerty.

А статистика, увы, показывает, что очень многие пароли можно подобрать за несколько секунд. При этом многие пользователи до сих пор используют один и тот же пароль для разных аккаунтов, поэтому взлом одного сервиса немедленно влечет за собой проблемы с защищенностью данных в другом».

Что интересно, почти все опрошенные нами эксперты считают, что лучшая защищенность корпоративных или государственных почтовых серверов по сравнению с публичными — это миф.

В «Яндексе» уверены, что массовые почтовые сервисы имеют огромный опыт и технологии для борьбы со взломами и поэтому использовать их несравнимо безопаснее, чем собственный почтовый сервер: «Современные почтовые сервисы — это сложнейшие информационные системы, которые имеют несколько уровней безопасности и защиту на многих этапах работы с личной перепиской. Во-первых, это технологии защиты пользовательских данных, которые хранятся в дата-центрах почтовых служб. Во-вторых, защита от прослушивания в сетях передачи данных как для собственных протоколов почты, так и для протоколов, которые используются для работы с веб-интерфейсами почтовых систем. В-третьих, технологии аутентификации пользователя на этапе авторизации и во время его работы с почтой».

Анна Артамонова тоже считает, что проблема безопасности переписки заключается не в публичных почтовых службах.

«Современные крупные публичные почтовые сервисы обладают очень высоким уровнем безопасности, который ничуть не уступает корпоративному.

Конечно, в передаче документов, составляющих, например, государственную тайну, могут применяться какие-то дополнительные меры безопасности, схожие с передачей данных в банковских сетях, но очень важно понимать, что, когда речь идет о высокопоставленных чиновниках или любых других лицах, обладающих ценной информацией, дело может быть вообще не в уязвимости почтового сервиса. Часто взламывают не его, а весь компьютер пользователя, например, с помощью адресной засылки с трояном, что, кстати, доказывают многие скриншоты, иллюстрирующие взломы переписки известных и высокопоставленных персон. Это скриншоты не веб-интерфейса, а почтовой программы. То есть, возможно, доступ был получен не к аккаунту на сервере, а к локальной копии данных, хранящейся на компьютере жертвы. В конце концов, теоретически пароль от почты можно получить через подкуп приближенных лиц», — заявила она.

Впрочем, несмотря на все возрастающее количество взломанных почтовых аккаунтов, сами почтовые сервисы немало сделали для улучшения безопасности своих служб.

Шифрование почтового трафика стало практически обязательным для большинства уважающих себя интернет-сервисов, особенно учитывая, какую популярность сегодня приобрели мобильные сети, в которых перехватить трафик особенно легко.

Кроме того, при желании любой пользователь может повысить безопасность своего почтового аккаунта.

Например, Gmail предлагает двухэтапную аутентификацию, позволяющую защитить аккаунт от несанкционированного доступа. При активации этой опции после ввода пароля от почты появляется дополнительная страница. На ней нужно ввести специальный код, который вам сообщит Google по телефону или SMS.

Впрочем, использование мобильного телефона для аутентификации применяется не только Google, но и другими крупными почтовыми сервисами.

Mail.Ru в апреле запустила My.Com — почтовый сервис, ориентированный исключительно на мобильные устройства. Его особенность в том, что аккаунт привязывается к номеру мобильного телефона, а не к паролю, соответственно, раз пароля нет, его невозможно потерять или украсть. Правда, можно украсть телефон.