Известный блоггер Антон Носик рассказал, как взломать почту правительства России, воспользовавшись небрежностью государственных служащих.
Контекст: Хакеры взломали твиттер-эккаунт премьера России Медведева
Повествование идет от лица Антона Носика. Оригинал опубликован в его блоге:
Почитал фрагмент переписки одного из наших недавно взломанных госдеятелей.
Пытался проверить своё изначальное предположение, что причиной взлома послужило банальное разгильдяйство и техническое невежество обслуживающего персонала.
Выяснилось ровно то, что я и предполагал. Пароли от блогов госдеятеля не защищены никакими самыми общедоступными способами дополнительной авторизации (вроде подтверждения входа по СМС). Пароли известны очень широкому кругу сотрудников пресс-службы.
Эти сотрудники не отличаются повышенной технической грамотностью, и не имеют никакой должностной инструкции, которая бы обязывала их, например, использовать шифрование при отправке служебной корреспонденции, не пересылать пароли от аккаунтов в открытом виде, и не пользоваться публичными файлопомойками для обмена конфиденциальной информацией.
Им даже никто не предписал использовать один на всех, общий почтовый сервис, которым мог бы быть тот же, например, Gmail или Яндекс.Почта, но в собственном домене, одном для всех, с единой политикой безопасности.
Вот как выглядит шапка письма, внутри которого пересылается пост госдеятеля ему на утверждение — и, на всякий случай, пароль от блога пересылается в том же письме.
То есть алгоритм работы над постом был такой.
Сперва некий сотрудник (условно: райтер) пишет текст и подбирает к нему иллюстрации. Или наоборот, он монтирует видео, и придумывает к нему подпись.
Дальше он должен отправить своё творчество вышестоящему работнику (условно: редактору).
Для этого он сохраняет текст и видео в разные файлы, закрывает их в архив RAR размером 211МБ, и выкладывает этот RAR в открытый доступ на файловый хостинг RedPost компании МТС (где райтер залогинен под своим адресом Gmail).
Сопроводительную записку с паролем от блога и своим билайновским номером мобильника он оставляет на том же хостинге. В качестве адресата указывает почтовый ящик редактора на Mail.Ru.
В скриншоте — шапка уведомления уже от робота RedPost, о том, что адресату (редактору) стал доступен некий RAR, выложенный на сервере до востребования.
Получив уведомление, редактор не прикасается ни к файлу, ни к письму, а жмёт на Forward, и пересылает публичную ссылку от робота (с запиской от райтера внутри) своему руководителю (условно: главе пресс-службы) на ящик Gmail.
После этого глава пресс-службы, тоже ни к чему не прикасаясь, жмёт на Forward и пересылает всю цепочку (письмо райтера, письмо от робота, форвард от редактора) уже своему начальству — тому самому госдеятелю на Яндекс.почту.
При этом явно подразумевается, что госдеятель сам скачает RAR с хостинга RedPost, разархивирует его на своём Макбуке, посмотрит видео, одобрит текстовую подпись, а дальше — на выбор. Либо сам зайдёт в свой блог по прилагающемуся паролю и опубликует, либо даст отмашку главе пресс-службы, и команда на публикацию отправится обратным ходом — с Яндекса на Gmail, оттуда на Mail.Ru, оттуда снова на Gmail.
Кому-то эта технологическая цепочка может показаться сложной для понимания. Но её и не нужно понимать. Принцип функционирования институтов, которые в 2014 году так работают с файлами, описан в Законе Паркинсона за 40 лет до появления первой веб-почты. Вопрос в другом.
Как я и предполагал, пароль от блога имелся у неограниченного круга лиц, каждое из которых обращалось с этой информацией вполне небрежно. То есть очень велика (порядка 100%) вероятность, что пароль от аккаунта увели совершенно случайно, в ходе банальной фишинговой атаки, среди целей которой не было никаких госдеятелей, а были обычные лохи, кликающие на ссылки и аттачменты без разбора.
После чего организатор атаки получил доступ к куче аккаунтов в почтовых сервисах, платёжных системах, онлайн-банкинге и т.п. А тут вдруг приплыл бесплатный бонус в виде пароля от самого популярного русскоязычного микроблога — грех не порезвиться. И порезвились, целых 55 минут.
Из чего делаем вывод, что даже такая минимальная защита, как уведомление о новых логинах с незнакомых адресов и клиентов, не сработала. То есть она либо не была активирована вовсе, либо она была привязана к телефонному номеру, владелец которого в тот момент спал, принимал душ, жил личной жизнью.
Остаётся последний вопрос: почему я не верю, что в Твиттере госдеятеля порезвился сам b0ltai, он же «Анонимный Интернационал». А вот ровно потому и не верю, что слежу за их деятельностью. Тот доступ к почте, который они используют для публикации чиновничьей переписки, уже сто раз можно было использовать для дефейса публичных аккаунтов в соцсетях.
Но они никогда этого не делали. И если б им вдруг показалось, что в честь данного конкретного госдеятеля они хотят изменить традиции, то они бы, уверяю вас, нашли способ порезвиться от души в его Твиттере. Опубликовать там не пять, а пять тысяч сообщений. Пропиарить свои разоблачения прямыми ссылками. Сделать так, чтобы пресс-служба потратила не 55 минут, а 55 часов на разгребание «левых» твитов.
b0ltai использовал инфоповод со взломом Твиттера на полную катушку, за что честь ему и хвала. Никогда ещё педерасты из ФСО не были так близко к признанию, что в их штат берут только пассивных.
Но по факту самого взлома я уверен, что всемогущества b0ltai тут банально не требовалось. Просто пароль от аккаунта полоскался на ветру. Его нельзя было не проебать — и его банально проебали.
Терпеливым пользователям, дочитавшим до этого места, в утешение могу предложить несколько красивых фоток, всплывших во взломанной переписке. Вот, например, вид на Киевский вокзал и Москву-Сити с вертолёта:
Или вот ещё Поклонная гора:
В какой-нибудь Венеции или Америке, чтобы такую фотографию сделать, нужно целых 160 долларов вертолётчику за проезд заплатить (в Катманду ещё самолёт для этой цели используют, но те же $160).
А в России ФСО не даст никакому вертолётчику возить туристов над ближней дачей Сталина. Зато у нас любой желающий может взломать аккаунт госдеятеля, и тут уж никакая ФСО не помешает. Потому что вся тема защиты персональных данных отдана в России на откуп жуликам и ворам. Которые жульничать и воровать умеют отлично, а вот защищать персональные данные — увы.