Вне всякого сомнения, массовая утечка данных аккаунтов популярных сервисов бесплатной электронной почты, произошедшая в первой половине сентября, стала самым значимым инцидентом 2014 года в сфере информационной безопасности. Сперва «Яндекс.Почта», потом почтовый сервис Mail.ru, а потом и вовсе сам всемогущий Gmail стали жертвой какой-то странной скоординированной атаки. Результат – логины и пароли миллионов почтовых аккаунтов выложены в свободный доступ.

То ли взлом, то ли фейк

Конечно, достаточно быстро выяснилось, что очень большая, порой даже подавляющая часть пар «логин-пароль» или вообще фейковая, или же устаревшая, либо подходит к ящикам, которые были зарегистрированы роботами. С другой стороны, пострадало и достаточно большое количество актуальных и активно используемых адресов. Доверие к безопасности веб-сервисов оказалось подорвано основательно и надолго. К тому же быстро появившиеся в интернете списки типа «Топ-1000 паролей в базе» «Яндекса», Mail.ru и Gmail стали настоящим подарком судьбы для начинающих хакеров и просто недобросовестных.

Негатива во всю эту историю добавило и поведение самих интернет-корпораций, прежде всего российских. Так, например, пресс-служба «Яндекса» еще до всяких разбирательств поспешила заявить, что сама компания – белая и пушистая. «Пароли пользователей “Яндекса” надежно защищены и не хранятся в открытом виде. Поэтому опубликованный список – это не “взлом” и не “утечка” “Яндекса”, – говорилось в пресс-релизе. – Наши специалисты проверяют этот список, и пока нет оснований считать, что среди опубликованных аккаунтов есть те, что принадлежат “живым” пользователям (тем, кто бы заходил на наши сервисы, в “Почту”, и совершал какие-либо действия), или тех, о взломе которых бы мы не знали (такие аккаунты уже давно отправлены на восстановление пароля)».

В «Яндексе» добавили, что каждый отдельный пароль мог утечь из-за заражения компьютера пользователя вирусом, который передает персональные данные мошенникам. По заявлению компании, около 85% из пар логин-пароль были скомпрометированы ранее, а владельцам остальных аккаунтов сервис в принудительном порядке предложил заменить данные для доступа к аккаунту.

«Речь не идет о взломе инфраструктуры Яндекса, данные стали известны злоумышленникам в результате вирусной активности на зараженных компьютерах некоторых пользователей или фишинга. Это не целенаправленная атака, а результат сбора скомпрометированных аккаунтов в течение длительного периода времени», – говорилось в сообщении компании.

Представители Mail.ru вели себя аналогично. Они заявляли, что в большинстве случаев причина утечки паролей – это неопытность или легкомыслие пользователя. Затем специалисты сервиса и вовсе заявили, что база старая и собрана из кусочков, то есть из нескольких баз паролей, которые были украдены в разное время и, скорее всего, разными способами с помощью фишинга и вирусов.

«Довольно большой процент паролей из списка уже неактуален, то есть владельцы аккаунтов уже успели их сменить. Примерно 95% актуальных аккаунтов уже проходят у нас в системе как подозрительные – это означает, что они ограничены в отправке почты, а их владельцам мы уже давно рекомендуем сменить пароль», – пояснили в пресс-службе Mail.ru.

Все-таки взлом

Когда скандал вокруг утечки паролей к почте «Яндекса» и Mail.ru достиг апогея, газета «Известия» обнародовала отчет компании Cloudseller – официального партнера Google в России по распространению корпоративных продуктов Google Apps, включая почту Gmail. Специалисты Cloudseller пояснили, что утечки стали результатом взлома через уязвимости в бесплатном ПО, которое используют крупнейшие российские интернет-компании. А зашифрованные пароли нетрудно расшифровать – именно этим может объясняться обилие простых паролей в опубликованных базах.

«Как Yandex, так и Mail.ru в ядре своих сервисов используют Linux и ряд open-source продуктов. Часто эти продукты дорабатываются компаниями под свои нужды, но основа остается неизменной. Мы предполагаем, что взлом произошел через неопубликованную (0-day) уязвимость либо в веб-сервисе, либо в системе управления базами данных (MySQL и др.), которые позволили сделать дамп базы – других вариантов взлома нет, разве что изнутри компании. Итогом взлома стала таблица с именами пользователей (логинами) и значениями хеш-функций их паролей, – сказано в отчете. – Через какую именно уязвимость мог произойти взлом, сказать точно сейчас нельзя – эти данные интернет-компании точно не раскроют ни при каких сценариях».

Технический директор Cloudseller Владимир Рузайкин в интервью «Известиям» напомнил, что главный принцип хранения паролей – хеширование в соответствии с российскими (ГОСТ Р 34.11-2012) или иностранными (SHA/SHA2) алгоритмами. «Эти алгоритмы – математические функции, которые производят односторонние преобразования, создавая для каждого пароля уникальный хеш, то есть код. Восстановить исходный пароль по хешу невозможно. Однако для коротких паролей (до 8 знаков) существуют таблицы данных (“радужные таблицы”, rainbow tables), которые значительно ускоряют процесс восстановления пароля по значению его хеша путем последовательного перебора, этакий ускоритель брутфорса. Для составления "радужных таблиц" требуются значительные вычислительные мощности, но для значительного типа хешей такие таблицы уже сформированы и доступны в интернете любому пользователю».

Владимир Рузайкин обратил внимание на то, что были опубликованы в основном восстановленные по таблицам короткие и простые пароли. «Не исключаем того факта, что произошла утечка всей пользовательской базы, и со временем злоумышленники путем перебора получат доступ к учетным записям с более защищенными паролями длиной до 10-12 символов», – добавил он.

Свою версию произошедшего представил и сертифицированный инженер Google Apps Сергей Марченко. По его мнению, можно говорить о подделке (при помощи троянов и вирусов) сертификатов подлинности серверов, через которые по защищенному каналу HTTPS пользователи заходили на почту. Масштабная подделка сертификатов могла стать возможной через дыры в браузерах или самой Windows.

«Пользователь общается с почтовым сервером по протоколу HTTPS, протокол зашифрован, но в ходе установления шифрованного канала используются так называемые цифровые сертификаты (PKI), которые выдаются организациям, включая "Яндекс", Google и Mail.ru, специализированными центрами сертификации, – пишет Марченко. – Но известны случаи, когда от имени Microsoft и Google выпускались действительные, но фактически не принадлежащие этим компаниям сертификаты. Последний раз – этим летом – отличилась Индия: корпорация Google обнаружила, что Национальный центр сертификации (NIC) Индии выдал несколько сертификатов на домены. То есть кто-то при выпуске такого сертификата мог выступать от имени Google, "Яндекса", Mail.ru, Microsoft и прочих и прогонять через себя нешифрованные данные пользователей, которые включают и пароли. Такая атака называется MiTM. Поддельный сертификат ведет пользователя без его ведома на фишинговый сервер-посредник, который и собирает пароли. … Тот факт, что за двое суток в сеть попали миллионы пар "логин-пароль" самых популярных в России почтовых сервисов, может говорить о том, что взлом произошел через неизвестную уязвимость в одном из ассоциированных с Linux пакетов. Эта уязвимость вполне может быть уже найдена и закрыта, а утечка паролей могла произойти значительно раньше».

Что дальше?

Понятно, что такой масштабный взлом не может остаться без значительных последствий. И усиление мер безопасности в пострадавших интернет-компаниях – это лишь самые мелкие из последствий. Другие могут быть более долгосрочными и значимыми.

Не секрет, что многие интернет-провайдеры до сих пор с тоской вспоминают времена 90-х, когда значительную долю доходов они получали не от HTTP-доступа, а за счет содержания на своих серверах почтовых ящиков и обслуживания почтового трафика – преимущественно корпоративного. Сейчас-то уже выросло поколение пользователей, которые воспринимают почтовые домены @mail.ru и @gmail.com как нечто естественное и существовавшее всегда. Но ровесники автора этих строк наверняка помнят время, когда большинство белорусских адресов электронной почты имели домен типа [имя.пользователя]@box.belpak.minsk.by, а почта работала по протоколу UUCP.

И вот теперь, после грандиозного «эпик фейл» бесплатных сервисов веб-почты, уже пошли разговоры о том, что крупные интернет-провайдеры (по крайней мере, в России) могут пролоббировать на национальном уровне требование, чтобы почтовые ящики определенных категорий пользователей (например, госструктур, банков, общественных или коммерческих организаций) в обязательном порядке размещались не на бесплатных веб-сервисах, а на серверах провайдеров. И это вполне реальный сценарий, если учесть, что сейчас в России через Государственную думу практически «на ура» проходят самые разные предложения, так или иначе регулирующие интернета.

Схожего мнения придерживается и «живая легенда» российского интернета Антон Носик. В своем посте на livejournal он предполагает, что история о миллионе паролей, якобы украденных при взломе сервисов «Яндекса» и Mail.Ru, может быть страшилкой на тему уязвимости негосударственной веб-почты. А значит, скоро появятся планы государства по решению этой проблемы. Например, очередная инициатива по «защите персональных данных россиян».

Виктор Демидов