Nedaug laiko praėjo nuo to momento, kai kompanija „LinkedIn“ patvirtino, jog pavogti jos socialinio tinklo vartotojų slaptažodžiai (bent jau dalis jų). Vagystės detalės šiuo metu dar tikslinamos, tačiau jau dabar aišku, jog kalbama apie didžiausių kriminalinių operacijų per visą interneto istoriją. Kibernetinio nusikaltėlio (ar jų grupės) prasiskverbimas į tokį populiarų socialinį tinklą įdomus jau vien kaip pats faktas, tačiau suteikia „maisto smegenims“ apie galimas pasekmes kitiems dideliems interneto resursams.
Beje, priešistorė gana trumpa. Birželio 5 d. anonimas specializuotame interneto forume, skirtame šifravimui (ir kažkaip nenustebino, jog rusiškame), patalpino failą, kuriame buvo 6,5 mln. užšifruotų slaptažodžių, ir paprašė pagalbos juos iššifruoti. Toks didžiulis turinys aiškiai buvo „pasiskolintas“ iš tikrai populiaraus ir lankomo interneto puslapio, tačiau nebuvo nei el. pašto adresų, nei kokių nors kitokių „kabliukų“, kad būtų galima atpažinti auką. Tik po 12 valandų vienas iš savanorių, padėjusių iššifruoti pateiktą medžiagą, surado dėsningumą: daugelis slaptažodžių turėjo eilutę „linkedin“. Taip atsirado versija, jog failas buvo pavogtas iš to paties pavadinimo socialinio tinklo. Ir jau po kelių valandų pats „LinkedIn“ tai patvirtino.
Reikia pastebėti, kompanija sureagavo tikrai sparčiai, o elgesys tikrai teisingas. Ji iš karto organizavo tyrimą, kad patikrintų, ar iš tikrųjų įvyko vagystė, ir jei įvyko, tai kokio masto. Kai tik viskas pasitvirtino, buvo imtasi priemonių: anuliuoti pavogti slaptažodžiai, nukentėjusiems vartotojams išsiųsti el. laiškai su prašymu sugalvoti naujus, kartu į tyrimą įtraukti ir vyrukai juodais drabužiais – FTB.
Visą tą laiką kompanijos „LinkedIn“ vadovas Vicente Silveira nuolat informavo publiką per savo kompanijos tinklaraštį. Sureaguodamas operatyviai ir adekvačiai (prisiminkite, kaip „Sony“ elgėsi po „PlayStation Network“ nulaužimo, ir tikrai pajusite skirtumą), „LinkedIn“ tarsi neleido įvykiams klostytis pagal blogiausią scenarijų, kuris numatė, jog programišiai galėjo pasinaudoti slaptažodžiais ir užvaldyti vartotojų paskyras. Tačiau savo kritikos porciją „LinkedIn“ vadovybė vis tik gavo – ir gana pelnytai.
Kad geriau galėtume suprasti, kas įvyko ir kaip „LinkedIn“ prasikalto, reikėtų įsigilinti į techninę dalį. Jau senokai baigėsi tie laikai, kai vartotojų slaptažodžiai buvo saugomi interneto serveriuose atviru pavidalu (pavyzdžiui, kur aiškiai užrašytas – „Slaptažodis“). Jau turbūt įsivaizduojate, kas būtų, jei toks failas patektų į „priešo“ rankas – jis iš karto gautų raktą nuo visų durų.
Vietoj to kompanija, kuri rūpinasi savo klientais, saugo slaptažodžius užšifruotu pavidalu. Viskas paprasta: slaptas žodis apdorojamas panaudojant kriptografinę funkciją (pavyzdžiui, SHA-1), kuri paverčia viską į unikalią, ilgą simbolių eilutę. Mūsų atveju „Slaptažodis“ pavirstų į „f8b0e1b941a91a57087dc263d246cc134f02cdb0“. Būtent šią košę, vadinamą „Hash“, ir saugo serveris. Beje, būtent tokiu pavidalu ir saugomi „LinkedIn“ slaptažodžiai.
Tokio metodo privalumas yra tas, jog atpažinti vartotoją galima greitai (įvestas slaptažodis „perleidžiamas“ per SHA-1 funkciją, o rezultatas sulyginamas su saugomu serveryje), tuo tarpu atstatyti slaptažodį, naudojant „Hash‘ą“ ne taip jau paprasta (kriptografinė funkcija „į kitą pusę“ veikia lėčiau). Todėl programišiai, kurių rankose atsirado užšifruotas failas, paprastai priversti slaptažodį spėti: perrinkti galimus variantus tikintis, jog pasiseks.
Tačiau štai dar viena bėda bėdelė: užšifruoto failo atsparumas priklauso ne tik nuo kriptografinio algoritmo stiprumo, tačiau ir kelių faktorių. Pirma, nuo to, ar sudėtingas („stiprus“) pasirinktas pats slaptažodis. Mūsų atveju pasirinktas „Slaptažodis“ blogas jau dėl to, jog mes paėmėme paprastą žodį: taip, jį lengva prisiminti, tačiau jį daug lengviau ir atspėti tiems, kuriems nereikia jo žinoti.
Žinodami, jog vartotojai yra tingūs ir retai kada sugalvoja nesąmoningą skaičių ir raidžių kombinaciją, progrmišius, vietoj visokiausių variantų (pavyzdžiui, „111“, „222“ ar „bbb“ ir pan.), gali pasirinkti tik žodžius iš žodyno su nedidelėmis variacijomis. Štai kodėl po kelių parų, kai „LinkedIn“ „hash“ failas buvo publikuotas internete, programišiui (ar galbūt jų grupei) ir jam padėjusiam savanoriui pavyko atspėti virš 60 % slaptažodžių.
O galbūt yra koks nors būdas kompensuoti vartotojų tingėjimą? Toks būdas yra ir jo esmė – pridėti prie kiekvieno vartotojo slaptažodžio kokia nors slaptą informaciją, aišku, prieš tai, kol viskas bus paversta „hash‘u“. Pavyzdžiui, mūsų „Slaptažodis“ galėtų būti papildytas tam tikra skaičių kombinacija (gautųsi variantas „Slaptažodis-7389631“), ir tik po to praleistas per kriptografinę funkciją. Tokį priedėlį profesionaliai vadina „druska“ (angl. „salt“). Savaime suprantama, jog kiekvienam slaptažodžiui priedas turi būti unikalus (o jo generavimo algoritmas žinomas tik interneto resurso savininkui), tokiu būdu gausime užšifruotą eilutę, kurią atspėti žymiai sunkiau. Tik štai pasirodo, jog „LinkedIn“ savo vartotojų slaptažodžių „druskyte nebarstė“. Rezultatą jau žinote: daugelis iš jų atspėti greičiau nei per keletą parų.
Šio istorijos finalinės eilutės dar neparašytos, o pati pabaiga priklausys nuo to, kiek daug informacijos nusikaltėliams pavyko ištraukti iš „LinkedIn“. Jei kartu su slaptažodžiais programišiai nusinešė ir vartotojų el. pašto adresus, dabar reikėtų laukti masinės „Facebook“, „Google+“, „Twitter“, „GMail“ ir kitų populiarių resursų atakos. Galite, aišku, paklausti, kuo susiję šie resursai su „LinkedIn“? Atsakymas paprastas: tiesiogiai – niekuo. Tačiau prisiminkime apie ne kartą minėtą vartotojo tingumą: daugelis internautų vieną ir tą patį slaptažodį naudoja keliuose resursuose. Kibernetiniai nusikaltėliai, aišku, tai puikiai žino ir tuo naudojasi. Taigi jei turėjote kažką „LinkedIn“, arba sąvokoje „tingus“ vartotojas“ atpažinote save – pats laikas pasikeisti slaptažodžius.
Tačiau net ir istorijai nesibaigus, galima padaryti labai naudingas išvadas. Pirma išvada yra kartu ir pasiūlymas interneto resursų savininkams: pasikliauti vien tik vartotojų sąmoningumu negalima, nereikia ir neįmanoma. Iš praeities klaidų eiliniai internautai, pasirodo, visiškai NE-SI-MO-KO! Тą puikiai pademonstruoja kompanijos „Sophos“ (vienas iš gerai žinomų antivirusinių gamintojų) specialistų atliktas puikus eksperimentas, kurio rezultatai išoriškai sukėlė baisiai didelę šypseną, o viduje – isterišką juoką. Taigi eksperimentas: buvo paimta slaptažodžių kolekcija iš viruso „Conficker“ (to paties, kuris sukėlė vieną iš didžiausių epidemijų, o visa tai buvo padaryta tokių kvailų žodelių rinkinio, kaip „work“, „qweqwe“, „home“ ir kt., kurie dažniai naudojami „Windows“ vartotojų paskyroms apsaugoti) ir patikrinta, ar tie slaptažodžiai sutinkami pavogtuose iš „LinkedIn“. Tiko visi, išskyrus du. O juk „LinkedIn“ – socialinis tinklas profesionalams, čia ne kokia nors „Veidaknygė“! Čia vartotojai, rodės, turėtų būti rimtais ir atsakingais žmonėmis, o pasirodo…
Dabar antra išvada, kuri skirta eiliniams vartotojams. Čia taip pat viskas paprasta ir negailestinga: nesitikėkite, jog už didelio, autoritetingo interneto puslapio ugniasienės jūsų asmeniniai duomenys bus visiškai saugūs. Šiandien nukentėjo „LinkedIn“, prieš metus dar išradingesnės programišiaus atakos metu vos nesugriuvo „Facebook“, o rytoj, žiūrėk, ateis eilė „Twitter“, „Google+“ ar vis dar lietuvių naudojamam One.lt.
Minėtų pasaulinių resursų IT infrastruktūra yra tokia sudėtinga, jog kartais net patys šeimininkai gali praleisti savaites, bandydami išsiaiškinti, kaip į sistemą prasibrovė prašalaitis (beje, „LinkedIn“ to padaryti dar nepavyko, tad yra tikimybė, jog per tą pačią „skylę“ bandys įlįsti ir kiti kibernetiniai nusikaltėliai). Akivaizdu, jog visų silpnų vietų resursų savininkai panaikinti negali, o jei gali, tai trunka tikrai ilgai. Taigi geriausia apsauga tampa savikontrolė: nereikia interneto resursams patikėti per daug savo asmeninių duomenų. Telefono, kreditinės kortelės numeris, tikslus gyvenamosios vietos, pašto adresas – nieko tokio, kas akivaizdžiai galėtų būti panaudota prieš jus pačius.