2 ноября 1988 года в Массачусетском технологическом институте (США) была впервые запущена программа, получившая в истории компьютерной индустрии название «червь Морриса». В течение следующих нескольких дней эта саморазмножающаяся программа (по сути — компьютерный вирус) поразила десятую часть узлов сети ARPANET и парализовала ее работу. Для проникновения в другие компьютеры червь Морриса сначала пробовал использовать пароль, совпадающий с именем пользователя, а если это не подходило, перебирал пароли из словаря, содержащего всего около 400 слов. И в половине случаев в систему другого компьютера удавалось зайти.
С тех пор прошло почти тридцать лет. Сети ARPANET давно уже не существует. На ее основе выросла сеть интернет. Технологии этой современной сети поражают воображение: кооперативный обмен данными по протоколу BitTorrent, распределенные базы данных транзакций BitCoin, система анонимной маршрутизации Tor, облачные хранилища и системы виртуализации, шифрованная видеосвязь, сильные алгоритмы кодирования. Миллиардам пользователей Сети в руки даны мощнейшие инструменты для сохранения прайваси. И против всех этих мощнейших инструментов до сих выступает тот самый условный словарь из 400 слов. Да что там из 400 — из четырех.
На днях СМИ сообщили, что некий таинственный хакер Peace продает базу данных из 100 млн учетных записей социальной сети «ВКонтакте». Сама социальная сеть утверждает, что эта база старая, журналисты же утверждают, что из 100 проверенных ими случайных аккаунтов действующими оказались 92. Да и, честно говоря, совершенно не важно, старая эта база или актуальная. Буквально месяц назад уже появлялась база логинов в популярных почтовых системах. 273 с лишним миллиона аккаунтов. Давайте отринем естественные оправдания пресс-служб потерпевших интернет-сервисов и задумаемся: а как можно получить базу данных, состоящую из десятков, а то и сотен миллионов аккаунтов?
Способов ровно два, и не больше. Первый — коррумпировать сотрудника компании, который и вынесет вам эту базу. Все «базы сотовых операторов», использовавшиеся криминалом и милицией в конце лихих и в начале тучных годов, были получены именно так. Однако теперь, с введением суровых корпоративных систем, контролирующих все перемещения данных внутри компаний, сделать это коррумпированному сотруднику трудно.
Но всегда остается второй способ — подобрать пароли с помощью специальных программ. Современные программы подбора паролей умные, используют десятки различных алгоритмов в комбинациях, но первый и основной из этих алгоритмов всё тот же — словарь. Потому что если бы не было словаря из наиболее употребительных паролей, подбор десятков миллионов паролей путем перебора превратился бы в неразрешимую чисто технологически задачу. Просто вычислительной мощности не хватило бы.
И вот ресурс LeakedSource проанализировал эти самые 100 млн украденных аккаунтов «ВКонтакте». Полтора миллиона из ста используют пароли, полученные путем нажимания цифровых клавиш в верхнем ряду компьютерной клавиатуры слева направо. Одних паролей 123456 больше 700 тыс. Еще тысяч 300 нажимают слева направо клавиши второго ряда клавиатуры: от qwerty и дальше. Потом следуют пароли, составленные из повторений одной и той же цифры, причем популярнее всего семерки и единицы. У Морриса, конечно, был еще самый популярный из паролей администраторов сети ARPANET: слово admin. Но пользователи сети «ВКонтакте» этим словом не пользуются. Зато они знают слово password — это четвертое и последнее необходимое слово в современном словаре для подбора паролей. Остальное — это их комбинации.
Ну вот вам и все технологии. Вот вам и тяжелая поступь прогресса. Вот вам торренты, сильное шифрование и Большой брат. Всё, что программисты создавали на протяжении тридцати лет для людей (на самом деле программисты делают всё для себя), оказалось этим людям ненужным.
Конечно, ситуация постепенно меняется. Сейчас процент сложных паролей стал значительно выше, чем раньше. Но эта ситуация меняется не за счет роста сознательности пользователей, а за счет жестких мер, предпринимаемых сервисами. Они заставляют менять пароли, заставляют придумывать пароли, не проверяемые по словарю, вводят двухфакторную авторизацию с использованием телефона и SMS. Просто потому, что это им, сервисам, потом оправдываться вот за такие утечки. А они, сервисы, ни в одном из своих пользовательских соглашений не обещают нести ответственность за информацию, которую пользователи с помощью этих сервисов распространяют. Они обязуются не передавать никому персональные данные — но не защищать их от неизбежного.
Тут можно было бы сделать вывод, что раз так, то людям, значит, плевать на свое прайваси. И что они, конечно, поужасаются откровениям Эдварда Сноудена о том, как все за всеми следят, но пароль после этого не поменяют. Раз за 30 лет не научились менять — значит, не надо.
Но ведь все люди на планете знают, что вредно курить. Все они знают, что опасно ездить по дорогам так, как они ездят. И уж точно знают, что незащищенный беспорядочный секс до добра не доводит. Государство все время пытается уберечь людей от этих глупостей, ограничивает продажу табака, вводит наказания за опасное вождение, пропагандирует семейные ценности.
Однако же люди всё равно это делают. И заражаются ВИЧ, умирают от рака легких, разбиваются в ДТП. Вряд ли им плевать на такие последствия. И когда эти же люди заводят аккаунты с паролем 123456, куда немедленно выкладывают свои голые фоточки, наверняка им тоже не плевать на последствия. Просто такова их природа. Да что там социальные сети: профессор Университета Колумбии Стивен Белловин три года назад рассказал, что на протяжении 20 лет президентский код запуска ракет «Минитмен» с ядерными боеголовками был неизменным и представлял собой, внимание, последовательность из... восьми нулей!
Впрочем, в отличие от иных людских пороков конкретно этот, во-первых, наименее страшен, а во-вторых, вполне преодолим технологически. Уже сейчас значительная часть смартфонов использует авторизацию по отпечатку пальца, распространение этой технологии на все устройства — дело недалекого будущего. И вполне быть может, что скоро журналистам уже не придется писать статьи на эту тему и в тысячный раз повторять легендарную историю знаменитого червя Морриса.
