Взломы хакеров: как им это удаётся?

Члены хакерской группировки OurMine смогли взломать учётную запись гендиректора Google Inc. Сундара Пичаи в сервисе вопросов и ответов Quora. Об этом взломщики сообщили в твиттере Сундара Пичаи.

Члены хакерской группировки OurMine смогли взломать учётную запись гендиректора Google Inc. Сундара Пичаи в сервисе вопросов и ответов Quora. Об этом взломщики сообщили в твиттере Сундара Пичаи.

Киберпреступники написали от имени Пичаи несколько сообщений, в которых рассказали о взломе. Сообщения автоматически опубликовались в твиттере, но были быстро удалены. Издание The Next Web успело сделать скриншот сообщений.

Хакеры объяснили свои действия тем, что хотели проверить уровень защищённости сервиса. «Мы просто проверяем уровень защищённости, мы никогда не меняем пароли. Мы делаем это потому, что другие хакеры могут взломать эти аккаунты и изменить всё», — заявили они.

Это далеко не первая проделка хакеров из OurMine. В начале июня они взломали аккаунты основателя Facebook Марка Цукерберга в социальных сетях Instagram, Twitter, LinkedIn и Pinterest. По мнению некоторых экспертов, взлом страниц Цукерберга в социальных сетях произошёл из-за кражи его персональных данных из LinkedIn. LinkedIn был взломан в 2012 году, благодаря чему хакеры получили доступ к данным 117 миллионам пользователей.

Киберпреступники из OurMine заявляют, что они хотят просто проверить уязвимость сайтов. Они отметили, что никогда не меняют пароли, и объясняют свои действия тем, что другие хакеры могут получить доступ к личным страницам и «поменять всё».

Известные случаи взломов

Взломы под предлогом проверки безопасности осуществляли и другие хакеры. В 2002 году 20-летний Бенджамин Старк и 18-летний Роберт Литтл взломали ряд государственных сайтов, в том числе НАСА, ВМС США и сайт департамента обороны. Хакеры оставляли свои сообщения на взломанных сайтах и постили адреса электронной почты чиновников на известных ресурсах, чтобы привлечь внимание правительства.

Хотя Старк и Литтл и утверждали, что совершали взломы с целью проверки уязвимости систем безопасности, им не удалось избежать ответственности. Старк получил два года условно, Литтл — четыре месяца условно с испытательным сроком три года. При этом оба должны были возместить нанесённый ущерб, равный десяткам тысяч долларов.

«Помочь» сайтам с проверкой безопасности пытался и молодой англичанин Рафаэль Грэй. В 2000 году киберпреступник взломал базы данных сайтов, специализирующихся на электронной коммерции, и выложил в сеть 26 тысяч номеров кредитных карт и данные их владельцев. Среди пострадавших от компьютерного хулигана оказался даже Билл Гейтс. Бывшему главе Microsoft за его же собственные деньги хакер заказал несколько упаковок таблеток Виагра.

Грей заявил, что таким образом пытался указать компаниям на уязвимость их систем безопасности. Однако ни полиция, ни владельцы карт не оценили такой заботы. Действия хулигана показались правоохранителям такими странными, что была проведена психиатрическая экспертиза, установившая неадекватность поведения хакера. В 2001 году Грей был приговорён к трём годам принудительного психиатрического лечения.

15-летний хакер Джонатан Джеймс не избежал тюремного заключения, хотя был несовершеннолетний. Джеймс взламывал сайты серьёзных организаций, включая Агентство по сокращению военной угрозы, которое является частью Минобороны США. В 1999 году он атаковал сайт НАСА и украл несколько важных документов, в том числе код международной орбитальной станции.

После взлома НАСА космическое агентство сделало всё, чтобы поймать хакера. Его быстро вычислили, но посадить в тюрьму смогли только на полгода, поскольку в день оглашения приговора ему было всего 16 лет. По оценкам адвокатов, если бы преступник был совершеннолетним, ему бы грозило не менее 10 лет заключения.

В 2008 году хакер скончался при неизвестных обстоятельствах. Детали его смерти неизвестны, но предполагается, что он совершил самоубийство. Однако ходят слухи, что несговорчивый киберпреступник ликвидирован государственными спецслужбами.

С каждым годом киберпреступники всё более развиваются, повышая свою специализацию. Это заставляет организации постоянно искать новые способы защиты, усложняя и совершенствуя их. Тогда почему же хакерам так легко удаётся вскрывать пароли?

Как им это удаётся?

В марте 2013 года известный американский интернет-журнал Ars Technica провёл интересный эксперимент. Редактор журнала Нэйт Андерсон вооружился свободно доступным в Интернете софтом и крупнейшей за последние годы базой хэшей паролей сайта RockYou. С помощью этих инструментов никогда раньше не взламывающий пароли Андерсон за несколько часов взломал чуть меньше половины из списка 16 449 MD5-хэшей.

Воодушевившись успехами, журнал Ars Technica решил провести эксперимент ещё раз, но при участии трёх профессиональных взломщиков. За 12 часов взломщикам удалось получить 14 734 пароля, то есть 90% списка. Почему же пользовательские пароли так легко расшифровать?

Прежде всего, взламываются «простые» пароли, так как на это уходит меньше всего времени, отмечают эксперты. Потом, как в компьютерной игре, хакеры выходят на более высокие уровни. Вначале они используют принцип «грубой силы», позволяющий расшифровать более половины паролей длиной от одного до шести символов, в число которых входят 26 латинских букв, 10 цифр и 33 прочих символа. Получилось небольшое количество комбинаций, которое обычный десктоп способен быстро рассчитать.

Увеличение количества символов на один или два существенно увеличивает число вариантов, перебор которых уже займёт несколько дней. Метод подбора для более длинных паролей может затянуться на годы. Поэтому для взлома длинных и сложных паролей используют словарные списки, подготовленные на основе реальных пользовательских паролей, «засветившихся» при различных утечках.

Среди таких списков большую ценность для хакеров представляет база RockYou, которая постоянно пополняется в результате новых утечек. Утечки показали, что пользователи общедоступных сайтов и социальных сетей редко придумывают себе сложные пароли. Они считают, что информация, размещённая там, не представляет интереса для хакеров. Например, более 290 тысяч паролей на RockYou представляют собой всем известную комбинацию «123456». Кроме того, многие пользователи используют на разных сервисах одинаковые пароли, что значительно облегчает работу хакеров.

Хотя гарантировано защитить себя от взлома паролей нельзя, но можно значительно усложнить работу компьютерных преступников, отмечают эксперты. Для этого специалисты предлагают использовать пароли длиной не менее 11–12 символов. Также пароль должен включать буквенные символы в разных регистрах, цифры и прочие символы. Кроме того, пароль не должен читаться как явный шаблон. Эксперты также советуют не использовать на разных сайтах одинаковые пароли, и как можно чаще менять их.