Также проверьте, вдруг кто-то связал свой аккаунт с вашим. Хакер, получивший доступ к вашему ящику, также может настроить переадресацию ваших писем на свою почту. Вы, как и прежде, будете пользоваться почтовым ящиком в обычном режиме, но другой человек тоже будет читать ваши письма. Если кто-то связал свой аккаунт с вашим, немедленно удалите ящик для переадресации.
Пароли и коды безопасности частично решают проблему безопасности, но мы только что видели, что их можно подобрать. Гораздо эффективнее сложных паролей вас защитит двухфакторная аутентификация.
Пароли и коды безопасности частично решают проблему безопасности, но мы только что видели, что их можно подобрать. Гораздо эффективнее сложных паролей вас защитит двухфакторная аутентификация. После скандала с утечкой фотографий обнаженной Дженнифер Лоуренс и других знаменитостей компания Apple разработала новый метод контроля доступа к сервисам iCloud двухфакторную аутентификацию.
Что такое двухфакторная аутентификация?
При аутентификации пользователя на сайтах и сервисах необходимо подтверждение как минимум двух пунктов из трех. Обычно это: что-то, что у вас есть, что-то, что вы знаете, и что-то, чем вы являетесь. Этим чем-то может быть банковская карта с магнитной полосой или чипом. Чем-то, что вы знаете, чаще всего бывает PIN-код или ответ на секретный вопрос. А что-то, чем вы являетесь, включает в себя биометрические данные сканер отпечатков пальцев, распознавание лиц, распознавание голоса и пр. Чем больше данных совпадает, тем выше вероятность того, что пользователь является именно тем, за кого себя выдает.
Ничего нового в этом нет. Уже более сорока лет большинство из нас пользуются двухфакторной аутентификацией, сами того не осознавая.
Каждый раз, снимая деньги в банкомате, вы проходите через двухфакторную аутентификацию. Как это? У вас есть выпущенная банком карта, вы знаете PIN-код. Сочетание этих двух факторов говорит уличному банкомату, что вы хотите получить доступ к счету, к которому привязана карта. В некоторых странах в банкоматах присутствуют дополнительные средства проверки, например, распознавание лиц и сканер отпечатка ладони. Это уже многофакторная аутентификация.
Нечто подобное возможно и в Интернете. Различные финансовые и медицинские организации, а также коммерческие сервисы электронной почты и социальные сети позволяют настраивать двухфакторную аутентификацию. В этом случае тем, что вы знаете, будет пароль, а тем, что у вас есть, сотовый телефон. При получении доступа к этим сайтам телефон это «внешний фактор», поскольку он никак не связан с используемым компьютером. Однако при настроенной двухфакторной аутентификации хакер не сможет получить доступ к вашей учетной записи, если у него не будет вашего телефона.
Допустим, у вас есть учетная запись на сервисе Google Gmail. Чтобы подключить двухфакторую аутентификацию, вам нужно будет ввести номер сотового телефона. Для проверки вашей личности Google отправит вам SMS-сообщение с шестизначным кодом. Вы будете должны ввести этот код на сайте Gmail, подтвердив тем самым, что данный компьютер связан с данным сотовым телефоном.
После этого, если кто-то с другого компьютера или устройства попытается сменить пароль к вашей учетной записи, вам на телефон придет текстовое сообщение. Любое изменение в настройках учетной записи будет сохранено только после ввода правильного кода подтверждения.
Но и тут есть слабая сторона. Сотрудники компании Symantec выяснили, что при отправке SMS-сообщения для подтверждения личности человек, которому известен ваш номер мобильного телефона, прибегнув к социальной инженерии, может перехватить проверочный код и сбросить пароль, стоит вам лишь утратить бдительность.
Представим, что я хочу взломать вашу почту и не знаю пароль, но знаю номер сотового телефона, поскольку эту информацию легко найти через Google. Я могу перейти на страницу восстановления пароля и запросить сброс пароля. Поскольку у вас настроена двухфакторная аутентификация, вы получите SMS-сообщение с кодом. Пока все в порядке, правда? Не спешите.
Недавно произошел инцидент с политическим активистом Диреем Маккиссоном, телефон которого был взломан. Эта атака стала ярким примером того, как злоумышленники могут обманом получить у оператора сотовой связи сменную SIM-карту. Другими словами, мошенник может завладеть вашим номером телефона и получать приходящие вам SMS-сообщения например, SMS-код от сервиса Google для сброса пароля от принадлежащего Маккиссону аккаунта Gmail, на котором была настроена двухфакторная аутентификация. Это почти то же самое, что обманом заставить кого-то прочитать вам вслух SMS-сообщение с новым паролем. Хотя и такую возможность (социальную инженерию) никто не отменял.
Поскольку я не вижу код подтверждения, который сервис электронной почты отправил вам по телефону, мне придется притвориться кем-то другим, чтобы вы сами мне его предоставили. Всего за несколько секунд до того, как вы получите настоящее сообщение, например от сервиса Google, я, будучи хакером, могу с одноразового виртуального номера отправить ложное SMS-сообщение со следующим текстом:
«Google обнаружил подозрительную активность в вашем аккаунте. Для прекращения нежелательных действий в аккаунте, пожалуйста, в ответ на это сообщение отправьте проверочный код, высланный на ваше мобильное устройство».
Вы увидите, что да, действительно, вам только что пришло SMS-сообщение от Google с проверочным кодом, и, если вы не очень осторожны, вы можете просто отправить его мне в ответ на фальшивое сообщение. После этого у меня будет не более шестидесяти секунд на то, чтобы ввести код подтверждения на странице сброса пароля. Далее я смогу сменить пароль и захватить вашу почту. Или любую другую почту.
Поскольку SMS-сообщения с кодами не шифруются и код можно узнать тем способом, который я только что описал, для большей надежности рекомендуется скачать приложение для двухфакторной аутентификации Google Authenticator из Google Play или App Store для использования с iPhone. Это приложение генерирует уникальный код доступа, который нужно вводить в самом приложении каждый раз, когда вы хотите посетить сайт с двухфакторной аутентификацией никаких SMS-сообщений. Шестизначный код, сгенерированный приложением, синхронизируется с механизмом авторизации на сайте, и вы получаете доступ на сайт. Однако приложение Google Authenticator хранит алгоритм генерации одноразовых паролей в системе под названием «Связка ключей iCloud», где задана настройка «Только на этом устройстве». Это означает, что, если вы сделаете резервную копию всех файлов со своего смартфона iPhone, а затем восстановите их на другом устройстве (например, купив новый смартфон после потери старого), коды из приложения Google Authenticator на новое устройство перенесены не будут и, чтобы восстановить их, придется изрядно потрудиться. На такой случай лучше заранее распечатать несколько кодов восстановления. Восстановить все свои пароли из резервной копии можно в некоторых других приложениях, например 1Password.
Зарегистрировав устройство в этом приложении, вы будете получать новый код при каждой авторизации в приложении с данного устройства (если не установите флажок доверять этому устройству в течение 30 дней), даже если вы переместите свой ноутбук или телефон в другое место. Однако если вы попытаетесь войти в этот аккаунт с другого устройства например, с компьютера жены, тогда потребуется дополнительная аутентификация. Стоит ли говорить, что, если у вас настроена двухфакторная аутентификация, держите сотовый телефон под рукой.
Учитывая все перечисленные выше меры предосторожности, возможно, вы захотите узнать, что я советую людям, осуществляющим любые финансовые операции через Интернет.
Примерно за 2500 рублей в год можно приобрести антивирус и брандмауэр на три компьютера. Проблема заключается в том, что во время путешествия по Всемирной паутине вы можете случайно загрузить в своем браузере рекламный баннер с вредоносным программным обеспечением. Или вы можете открыть электронную почту, и одно из писем окажется с вирусом. Так или иначе, ваш компьютер будет заражен, если вы регулярно выходите с него в Интернет, и даже антивирус не может уберечь вас от всех опасностей.
Смысл в том, чтобы у вас появилось устройство, которым вы будете пользоваться исключительно для проведения финансовых операций и, может быть, решения медицинских вопросов.
Поэтому я советую вам потратить пару сотен долларов и купить хромбук ноутбук на базе операционной системы Chrome OS. Мне нравятся планшеты iPad, но они дорогие. Хромбук так же удобен в работе, как и iPad, но гораздо дешевле.
Смысл в том, чтобы у вас появилось устройство, которым вы будете пользоваться исключительно для проведения финансовых операций и, может быть, решения медицинских вопросов. Даже если устройство принадлежит вам, не входите с использованием учетной записи администратора это даст злоумышленнику возможность устанавливать свое программное обеспечение. Вместо этого используйте учетную запись гостя (Guest), под которой обычно запрещено устанавливать что-либо без разрешения администратора системы. После этого на хромбуке вы сможете устанавливать приложения только из магазина Google Play. Войдя туда, скачайте приложение вашего банка или медицинского учреждения.
Далее настройте двухфакторную аутентификацию в приложениях, установленных на хромбуке, чтобы приложения запомнили это устройство. Завершив свои банковские и медицинские дела, отложите хромбук до тех пор, пока вам снова не понадобится проверить баланс счета или записаться на прием к врачу.
Может показаться, что все это дополнительные сложности. Так и есть. Вместо постоянного доступа к своей банковской информации вы получаете почти постоянный доступ. Но зато вы в разы уменьшите вероятность того, что кто-то воспользуется вашими банковскими данными. Если на хромбуке установлены только два или три приложения или в закладках у вас сохранена только страница банка или медицинского учреждения и вы не посещаете никакие другие сайты, опять же очень маловероятно, что кто-то украдет ваши данные с помощью трояна или другого вредоносного программного обеспечения.
Итак, мы поговорили о том, как создать надежный пароль и сохранить его в тайне. Везде, где только возможно, включайте двухфакторную аутентификацию. Несколько следующих глав посвящены тому, какие следы вы оставляете, занимаясь повседневными рутинными делами, и как сохранить конфиденциальность.
Глава 2Кто еще читает вашу электронную почту?
Если мы с вами похожи, то едва ли не первое, что вы делаете утром, это проверяете электронную почту. И, если мы с вами похожи, вам тоже интересно, кто еще мог прочитать ее. Паранойя тут ни при чем. Если вы пользуетесь такими службами, как Gmail или Outlook 365, ответ довольно очевидный и пугающий.
Даже если вы удалили электронное письмо сразу же, как прочитали его на компьютере или смартфоне, это вовсе не значит, что вы уничтожили его бесследно. Где-то все равно существует копия. Веб-почта основана на использовании облачных технологий, поэтому, чтобы вы могли войти в нее с любого устройства, из любой точки мира и в любое время, обязательно должны существовать резервные копии всех писем. Например, если вы пользуетесь сервисом Gmail, копия каждого письма, которое вы отправляете или получаете через свою учетную запись, сохраняется на различных серверах Google по всему миру. То же самое относится и к почтовым сервисам, предоставляемым компаниями Yahoo! Apple, AT&T, Comcast, Microsoft или даже фирмой, где вы работаете. Кроме того, в любой момент любое отправленное вами электронное письмо может подвергнуться проверке со стороны компании, предоставляющей хостинг. Утверждается, будто бы это способ избавить вас от спама, но в действительности третьи лица могут (и пользуются этой возможностью) читать наши письма по совершенно иным, гораздо более корыстным и низменным причинам.
В любой момент любое отправленное вами электронное письмо может подвергнуться проверке со стороны компании, предоставляющей хостинг. Утверждается, будто бы это способ избавить вас от спама, но в действительности третьи лица могут (и пользуются этой возможностью) читать наши письма по совершенно иным, гораздо более корыстным и низменным причинам.
В принципе, большинство из нас никогда не станет оправдывать того, кто читает чужие электронные письма. Существуют законы, защищающие бумажные письма, которые были отправлены через почтовую службу США, и подобные законы для электронной корреспонденции. И все же на практике мы, как правило, понимаем и, вероятно, соглашаемся с тем, что за простоту общения по электронной почте приходится чем-то расплачиваться. Мы знаем, что Yahoo! (как и другие компании) предоставляет бесплатный сервис электронной почты, и мы знаем, что основную часть своей прибыли Yahoo! получает от рекламы. Вероятно, мы не осознаем, насколько тесно эти вещи могут быть связаны между собой и как все это может повлиять на неприкосновенность нашей частной жизни.
Но однажды это вдруг понял житель Северной Каролины Стюарт Даймонд. Он осознал, что реклама, отображавшаяся в верхнем правом углу страницы его учетной записи почтового сервиса Yahoo! не была случайной. Рекламные объявления соответствовали тексту электронных писем, которые он отправлял или получал. Например, если в письме упоминалась планируемая деловая поездка в Дубай, в рекламе, отображающейся в учетной записи, выводилась информация об авиакомпаниях, отелях и развлечениях в ОАЭ.
Обычно все подобные вещи подробно прописаны в тексте пользовательского соглашения, условия которого большинство из нас принимает, не читая. Никто не хочет видеть рекламу, не имеющую никакого отношения к его личным интересам, верно же? И когда дело касается переписки между пользователями почтовой службы Yahoo! кажется вполне логичным, что компания сможет просканировать текст этих писем и настроить рекламу в соответствии с нашими потребностями, а также, может быть, отфильтровать спам.
Однако Даймонд, а также некий Дэвид Саттон, тоже житель Северной Каролины, стали замечать, что на подборку рекламы влияло содержимое не только писем, отправленных и полученных с других аккаунтов в почтовом сервисе Yahoo! но и писем, отправителями или получателями которых были владельцы учетных записей и на других сервисах. Из этого следовал вывод, что компания перехватывала и читала всю
Сноски
1
DEF CON старейший и один из крупнейших слетов хакеров. Здесь и далее прим. ред.
2
TED американский частный некоммерческий фонд, известный своими ежегодными конференциями, главная цель которых распространять уникальные идеи. Некоторые выступления доступны в Интернете.
3
«Патриотический акт» федеральный закон, принятый в США в октябре 2001 года, который дает правительству и полиции широкие полномочия по надзору за гражданами. Принят после террористического акта 11 сентября 2001 года.
4
Аналог СНИЛС/ИНН в РФ.
5
«Тутти-фрутти» это темно-розовый цвет.
6
В России не получили распространения. Как правило, стоят дороже iPad.
Ссылки
1
www.youtube.com/watch?t=33&v=XEVlyP4_11M
Все исходные URL-адреса, приведенные ниже, проверены на момент написания этой книги в июле 2016 года.
2
Скачав сотни тысяч засекреченных документов АНБ, Сноуден, который тогда жил на Гавайях, сначала отправился в Гонконг, а затем получил вид на жительство в России. Позже он подавал прошение на проживание в Бразилии и других странах, а также не исключает возможности возвращения в США, если ему гарантируют беспристрастный и честный суд.
3
reuters.com/article/2011/02/24/idUSN2427826420110224
4
law.cornell.edu/supct/html/9893.ZD.html
5
law.cornell.edu/uscode/text/16/3372
6
wired.com/2013/06/why-i-have-nothing-to-hide-is-the-wrong-way-to-think-about-surveillance/