Узнать за 48 часов

Андрей Масалович, подполковник ФАПСИ в отставке и автор многочисленных курсов по конкурентной разведке в Интернете

Персонаж фильма «Берегись автомобиля», утверждавший, что жениться надо на сироте, словно в воду глядел. В наше время, когда из-за каждого угла за всеми следит Большой Брат, родственники сдадут тебя, сами того не подозревая. А еще есть поликлиника, банк, детский сад… Практически каждое место, где человек оставляет персональные данные в электронном виде, представляет для него потенциальную опасность. И хакеры тут ни при чем. К такому мнению приходишь, общаясь с Андреем Масаловичем, подполковником ФАПСИ в отставке и автором многочисленных курсов по конкурентной разведке в Интернете.

«Пробить можно любую организацию, вне зависимости от степени ее секретности, и любого человека, вне зависимости от уровня его закрытости», –  утверждает Андрей Масалович и в качестве примера рассказывает о своем общении с одним из потенциальных заказчиков. Имена всех участников этой истории… Да, нет, мы не будем ничего выдумывать. Они нам попросту не нужны. Важна суть – в наше время доступными методами о человеке с помощью Интернета можно узнать все или практически все.

На промышленном предприятии за ИБ отвечал человек, в прошлом занимавший серьезный пост в ФСБ. Он столь скептически относился к возможности поиска информации о нем в Интернете, что смело попросил на приемке работ его «пробить».

Масалович был готов к такому вызову – из уст представителей силовых ведомств, нынешних и бывших, он звучал не впервые. До следующей встречи с руководителем службы ИБ оставалось 48 часов, которые и были потрачены на сбор информации. Непубличный человек с распространенной фамилией – крепкий орешек для поиска сведений о нем в Интернете, но тем более интересной представлялась задача.

Информационная «лужа»

По данным Аналитического центра InfoWatch, за прошлый год число утечек информации в мире выросло на 7,8% и зафиксирована 21 мега-утечка (свыше 10 млн записей), обусловившая 84,3% объема скомпрометированных данных. При этом именно утечки являются источниками наибольшего количества информации, получаемой при Интернет-разведке.

Практически всегда обеспечивается защита лишь «точек» утечки информации –  электронной почты, браузера, сервера и т.п. «О том, что информация обладает свойством «текучести», не говорится ни в одном документе по ИБ, кроме закона о гостайне», – заявляет Масалович. – В документах упоминается о защите поддерживающей инфраструктуры, но не о защите информации. Между тем информация «растекается» и образует информационные «лужи». Их размеры могут быть самыми разными – «лужа» величиной с компьютер, кабинет, город… В незащищенный ареал «растекания» могут попасть ваши коллеги, друзья или родственники, и тогда добыть информацию о вас будет гораздо легче».

Зачем? Что? Где? Когда? Как?

Поиск информации в Интернете обычно начинается с вопроса «зачем»? Если ясно, ради чего затеян поиск, то понятно, где именно надо искать и в каком виде может храниться нужная информация – договоры, базы и др. Дальше остается понять, с какой частотой нужно просматривать данные в информационном «ареале» и как это делать с помощью Google hacking без нарушения законов – используя утечки, уязвимости, ошибки администрирования и т.д.

Интернет содержит более 900 млрд страниц. Казалось бы, найти информацию о конкретном человеке в этом обилии данных – все равно, что иголку в стоге сена. Однако специалист, имеющий опыт Интернет-разведки, знает не только возможные бреши, используемые для поиска информации, но и то, где «прячутся» источники утечек.

Сайты муниципальных структур, по утверждению Андрея Масаловича, абсолютно не защищены. На них можно найти списки очередников на улучшение жилищных условий, получение земельных участков, льготных лекарств, направлений в детский сад и пр. В этих документах содержатся актуальные персональные данные: адрес, телефон, место работы. Конечно, информация не хранится в открытом виде, но  специальным образом ее не прячут – закона о служебной тайне пока нет. И для ее получения достаточно знать несколько незамысловатых команд Google и Яндекс.

С пиратскими контактными базами бороться начали лет 7–8 назад, а «полностью побороли» их к 2013 г. Однако часть содержащейся в них информации остается актуальной по сей день – как минимум, дату рождения интересующего человека получить можно (в Интернете эти списки доступны бесплатно).

Списки участников ипотечных программ ранее составляли исключительную собственность банков и надежно охранялись. Потом появились коллекторы и бюро кредитных историй, и информация стала распространяться бесконтрольно.

Базы резюме. В 2006 г., когда российская экономика была на пике подъема, начался кадровый голод. Дабы облегчить поиск нужных специалистов, рекрутеры начали объединять и сегментировать базы, как прежде делали продавцы недвижимости. Например, система ARGO содержит базу более 0,5 млн резюме. По таким базам можно «пробить» если не самого человека, то его предполагаемое окружение.

Магазины и турагентства ведут таблицы выдачи потребительских кредитов. Договор заключается между клиентом и банком, но магазин является посредником. С учетом текучки и уровня квалификации персонала в таких компаниях их сайты – кладезь ничем не защищенных Excel-таблиц с данными клиентов.

Уязвимости при переездах, например при слияниях/поглощениях компаний. Пока создается новая версия сайта, информация на нем, как правило, не защищена – открыты структура адресного пространства, технические характеристики, оборудование, маршрутизатор, элементы ПО виртуального хостинга. Идеальная площадка для моделирования атак, которые потом можно будет повторить на работающем сайте! На старых версиях сайтов часто остаются архивы служебной документации. Наконец, сам период «переезда», когда для удобства системного администратора открыты все файлы, представляет угрозу для безопасности информации. «Зная, что база переезжает, злоумышленник может этим воспользоваться», – утверждает Масалович и демонстрирует данные, полученные с сайтов госструктур Грузии в период их переезда на американские хостинги во время конфликта 2008 г.

 Социальные сети. «Мой младший брат живет в Новосибирске и занимается строительством. К компьютеру он практически не подходит, но я могу выяснить, чем он занимался в прошлые выходные, на страничках в соцсетях, принадлежащих  его жене и сыну», – рассказывает Андрей Масалович. C помощью соцсетей можно определить образование, место работы, состав семьи, имена друзей и коллег, круг интересов, черты психопортрета интересующего человека.

ВУЗовские сайты. Информация о студентах позволяет выйти на их родителей. «К «объекту» поиска я подобрался именно через его сына-студента, – говорит Масалович. – Нашел в базах учащихся человека, подходящего по возрасту и фамилии, сверил информацию в соцсетях, вошел на страницу его матери и по фотографиям совместного отдыха определил, что я на верном пути».

В Интернете этого быть не может!

Итак, если в обычных условиях поиск информации начинается с объекта и осуществляется по схеме «зачем, что, где, когда, как?», то данном случае пришлось пойти от противного и сначала собрать данные из всех возможных источников, а потом найти связывающие их закономерности. Другими словами, реализовать на практике концепцию Big Data. Кстати, отмечает Масалович, прежде он считал теорию Больших Данных лишь маркетинговым ходом, но затем на практике убедился, что некоторые закономерности действительно работают при наличии множества разнородных данных.

Имея необходимые исходные данные (ФИО, место работы, примерный возраст и внешний вид «объекта»), он сумел без использования специальных технических средств и приемов, нарушающих законы, собрать массу информации о начальнике службы ИБ – домашний адрес, телефон, дата рождения, состав семьи, круг друзей, место знакомства с супругой и др. При необходимости можно было найти и другие данные, например экономические или медицинские. И когда «объект» попросил предоставить собранное на него в Интернете досье, ему была вручена  заранее подготовленная папка. Удивлению заказчика не было предела: «Ни в каком Интернете такого быть не может!».

Эта история рассказывает о профессионале, знающем множество приемов поиска информации через уязвимости в конфигурациях и кодах веб-сайтов. Однако эти методы поиска общедоступны, и при желании ими может овладеть любой человек. Вывод: в  условиях, когда законодательно не прописаны требования к защите служебной информации, необходимо соблюдать правила поведения в Интернете, чтобы не стать жертвой мошенников.

К группам риска Андрей Масалович относит молодежь, для которой Интернет является естественной средой обитания и которая пренебрегает элементарными правилами защиты, и людей с высоким уровнем компьютерной грамотности – их губит излишняя самоуверенность. «Все наши современники совершают действия, требующие идентификации. Ситуацию хранения на каких-то сайтах файлов с личными данными, к сожалению, изменить нельзя, но, следуя простым рекомендациям, можно существенно обезопасить себя от излишнего любопытства посторонних», – отмечает Масалович.

Не назначайте один и тот же пароль для всех используемых вами сервисов и не применяйте нестойкие пароли. Небезопасно долгое использование одного и того же пароля, функций «запомнить меня» и «сохранить настройки». По возможности не указывайте свои действительные персональные данные. Не храните таблицы с учетными данными в электронном виде.

Очень действенный метод – разделить свой виртуальный мир на «рабочий» и «домашний»: на работе – одни почта, телефон и мессенджеры, а дома – другие. И главное – их не пересекать. Рекомендация для параноиков и очень серьезных людей  – «легендировать» свою личность.

«Большая часть правил, обеспечивающих личную безопасность в Интернете, не сложнее правил гигиены», – подводит итог Андрей Масалович. – Однако и это полностью не спасает. Если кто-то из вашего окружения забыл «помыть руки», все его контакты подвергаются опасности. Мужчина, занимающий серьезную должность, может при женитьбе рассказать жене о правилах безопасного поведения в Интернете, но прежде она там уже могла «наследить». Надежнее всего – вообще не пользоваться Интернетом. Мьянма – самая безопасная с этой точки зрения страна: там Интернета практически нет, а Goggle заблокирован».

Тэги: 
Оцените материал:
Total votes: 37

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.