Как защитить свои приватные фото
Скандал, связанный со сливом интимных фотографий звезд Голливуда в сеть, лишний раз напомнил о том, что даже самые защищенные облачные сервисы от самых уважаемых компаний могут иметь уязвимости и что нет идеального с точки зрения безопасности сервиса.
Взлом личных хранилищ звезд производился самым примитивным методом — подбором паролей. Выяснилось, что сервис Find My iPhone от Apple не имеет защиты от брутфорса — автоматического подбора пароля. После запуска специальная программа раз за разом пыталась ввести новый пароль, перебирая все доступные символы, и в итоге находила искомую комбинацию. Для защиты от подобного способа взлома на других сервисах после нескольких неудачных попыток ввода пароля предлагается подтвердить, что пользователь не является роботом, методом ввода текста с картинки или иным способом.
В итоге, подобрав пароли к сервису Find My iPhone, злоумышленники получали, по сути, данные об Apple ID — едином ключе входа во все сервисы Apple. В том числе и iCloud, на который автоматически загружаются все данные с iPhone, iPad и других i-девайсов.
За несколько часов до взлома код для использования этой уязвимости был загружен на сервис GitHub, популярный среди программистов.
Разумеется, после такого широкого общественного резонанса Apple не могла оставить такую дыру в безопасности, и сейчас этот метод уже не действует. Ранее аккаунт iCloud был взломан и у премьер-министра России Дмитрия Медведева, однако там, возможно, использовался другой метод.
Как взламывают
Как заявил «Газете.Ru» Олег Шабуров, руководитель направления интернет-безопасности Symantec в России и странах СНГ, основных методов взлома всего два — это либо подбор пароля, либо сброс пароля через вопросы, специально предназначенные для ситуаций, когда пользователи его забывают. «Второй способ зачастую бывает для взлома аккаунтов знаменитостей даже проще, так как найти информацию о публичных лицах значительно проще. Этим и пользуются злоумышленники», — указал эксперт.
Для того чтобы защититься от такого взлома, Шабуров рекомендует использовать надежные пароли, а для вопросов, позволяющих сбрасывать пароль, не выбирать в качестве ответа общеизвестные факты.
Одной из главных уязвимостей iCloud, считают эксперты, является отсутствие сложной двухэтапной авторизации. При использовании сложных инструментов облачный сервис от Apple легко поддается взлому, сообщил на конференции безопасников в октябре 2013 года российский хакер Владимир Каталов. Единственным методом защиты данных в случае с этой уязвимостью Шабуров называет отказ от использования iCloud.
В свою очередь антивирусный эксперт «Лаборатории Касперского» Сергей Ложкин заявил, что самый распространенный метод взлома iCloud — это фишинговое письмо, содержащее вредоносную ссылку. Оно может быть отправлено как от имени администрации почтового сервиса, так и от имени других связанных сервисов. Письмо может содержать просьбу срочно поменять пароль, произвести обновление сервисов или систем и прочие обманные сообщения.
«Когда пользователь нажимает на ссылку, он попадает на зараженный сайт, который выглядит абсолютно так же, как веб-сайт указанного сервиса. Дизайн, логотипы, доменное имя — все очень похожее, злоумышленники тут довольно точны. Как только пользователь вводит логин с паролем на поддельном сайте, эти данные направляются прямиком в руки злоумышленников», — указал Ложкин.
Еще один способ получения пользовательской информации, по словам эксперта, банальное заражение компьютеров. Вредоносный код отслеживает все действия пользователя, в том числе и введенные пароли, после чего высылает их злоумышленнику.
Говоря о защитных мерах, Ложкин заявил, что главное — это внимательность пользователя. Следует внимательно проверять адрес отправителя.
«Также не следует переходить по ссылкам в сообщениях от неизвестных адресатов, нужно не забывать проверять подлинность адреса в строке браузера при вводе персональных данных, а лучше всего пользуйтесь безопасным соединением https», — добавил он.
Кроме того, указал Ложкин, следует использовать сложные пароли, отличающиеся для разных учетных записей и сервисов. Эксперт также рекомендует завести два электронных адреса — один для частной переписки, другой для различных сервисов. Все эти меры предосторожности, соответственно, работают и для облачных хранилищ.
Персональное облако
Однако для тех, кто всерьез обеспокоен безопасностью своих данных, есть еще одна альтернатива — собственное облако. Сейчас можно без особых проблем создать свое облачное хранилище, купив жесткий диск, подключаемый к интернету, и установив соответствующее ПО на свои устройства. Таким образом, все ваши данные будут храниться лично у вас, но при этом вы сможете иметь доступ к ним отовсюду. Подобные сервисы сейчас предлагают многие компании.
Генеральный директор Acer в России Денис Кутников говорит, что не считает, что какой-либо конкретный сервис может быть на 100% надежнее другого в плане безопасности, так как очень часто утечки информации и взломы происходят из-за человеческих ошибок, от которых никто не застрахован.
«Если же говорить об отличиях публичных и персональных облаков, то тут отличие скорее в концепциях построения и принципах работы. Частное облако по типу BYOC (Build your own cloud) подразумевает, что вы сами создаете себе хранилище на своем ПК, а не используете чужие ресурсы (дата-центры). То есть с помощью софта (в нашем случае это ab Apps) вы получаете доступ к своему ПК из любой точки мира», — говорит Кутников.
Плюсами персональных облачных сервисов эксперты обычно называют:
— полный контроль над данными: файлы физически находятся у вас на выбранном устройстве;
— безлимитный размер облака: вы сами решаете, сколько места вам нужно;
— кроссплатформенность: для работы со своими файлами вам не надо использовать только какой-то конкретный тип устройств или ОС. Кроме того, для соединения устройства пользователя с его собственным облаком используется достаточно сложное шифрование, что является дополнительной гарантией безопасности.