Сергей Гребенников: Никто из нас никогда не читает пользовательское соглашение, и это действительно очень плохо

Виталий Млечин: За прошлый год злоумышленники похитили пароли у каждого пятого пользователя социальных сетей, это данные "Лаборатории Касперского". В большинстве случаев такой успех хакерам сопутствовал именно из-за беспечности самых юзеров. По данным опроса, 85% респондентов считает, что именно их личные данные уж точно никого не интересуют. Здравствуйте, я Виталий Млечин, и сегодня мы поговорим об интернет-безопасности. В студии программы "Де-факто" - Сергей Гребенников, заместитель директора Российской Ассоциации электронных коммуникаций. Сергей Владимирович, здравствуйте, спасибо, что зашли. Давайте начнем с вопроса, который меня, как пользователя социальных сетей и как человека, у которого электронная почта тоже, разумеется, есть, очень волнует. Как похищают пароли злоумышленники?

Сергей Гребенников: Давайте развеем ту ситуацию, когда любой пользователь Интернета считает, как правило, что именно его пароль в какой-то конкретный момент попытаются украсть. На самом деле все происходит абсолютно иначе. Никто конкретный пароль конкретного пользователя Интернета, естественно, не пытается своровать, и никто его не пытается подобрать. Как правило, это сторонние программы, которые устанавливаются на компьютер, на ноутбук, а теперь уже и на смартфон. 

Наши с вами почтовые ящики могут находиться в безопасности до тех пор, пока мы к себе на компьютер не скачали какой-то "зловред" 

Если мы с вами, как банальные пользователи, нажали на определенный файл в Интернете, он нам установился на компьютер и, собственно говоря, вот этот файл уже начинает определенные процессы на компьютере, и из-за этого файла как раз пароли начинают утекать. Потому что мы набираем на клавиатуре определенный пароль - как правило, это происходит один или несколько раз в день - система это запоминает и передает на тот компьютер, где как раз злоумышленники и находятся. Все довольно банально и просто. Эту технологию не один раз отрабатывали и продолжают такими технологиями пользоваться.

В.М.: То есть такого, как в кино, не происходит, что сидит там какой-то злобный хакер и подбирает вручную пароли?

С.Г.: Конечно, если нужно подобрать пароль к конкретной почте, к конкретному человеку - естественно, сидят хакеры, которые запускают определенные скрипты, и этот скрипт пытается подобрать пароль, такое тоже может быть. Но могу точно сказать, с вероятностью и уверенностью в 100%, что наши с вами почтовые ящики могут находиться в безопасности до тех пор, пока мы к себе на компьютер не скачали какой-то зловред, который так или иначе понимает, какие пароли мы вводим.

В.М.: Как злоумышленники выбирают своих жертв? Все подряд могут стать или за кем-то персонально охотятся?

С.Г.: Вот это как раз мой следующий ответ будет вытекать ровно из того,  что мы с вами обсудили буквально там минуту назад. Никто не охотится за определенной группой людей. Как правило, через торренты, через какие-то сайты, которые по факту являются не то чтобы чистыми, нелегальными, но через них пытаются запускать некие вирусы, которые устанавливает пользователь на компьютер. И, собственно говоря, эти данные попадают к злоумышленникам. То есть никто за конкретной аудиторией не охотится. Просто это случайная история, если мы попали на какой-то сайт, где есть такая программа. Ровно оттуда мы и получили то, что получили.

В.М.: А вот еще говорят, что самая частая причина, по крайней мере, одна из самых частых причин взлома почтовых ящиков – это простой пароль. Оказывается, очень многие люди придумывают простые комбинации. Это действительно так?

С.Г.: На самом деле ситуация ровно до наоборот. После того как в сети совсем недавно начали публиковать пароли от ящиков - собственно говоря, тогда и проанализировали все это, да и в предыдущие большие взломы мы все анализировали, в том числе и аналитики "Лаборатории Касперского". Те, кто занимается действительно серьезной работой по кибербезопасности в Интернете, анализируют, какие пароли, которые чаще всего являются нестандартными. То есть, сначала хакеры и злоумышленники показали, какие пароли, а потом уже проанализировали и сказали, какие пароли у пользователей Интернета. Как мы с вами все обсуждаем, что хакеры не подбирают пароли – мы их сами подбираем на своем  компьютере, ноутбуке или смартфоне, и эти данные просто передаются. Поэтому в принципе слишком сильный или слишком слабый пароль в этой ситуации значения не имеет. 

Неважно, какой пароль -  сложный или простой. Если будет нужно, злоумышленники его найдут 

Конечно, если мы говорим о ситуации, когда за конкретным адресом, конкретным человеком пытаются установить контроль, пытаются проникнуть в его почту, социальный аккаунт, то, естественно, здесь нужно подбирать сложный пароль. Но, естественно, нельзя рекомендовать использовать простой пароль. Потому что, в любом случае – неважно, какой он будет, сложный или простой - злоумышленники его найдут. Все-таки для своей личной безопасности, естественно, нужно стараться придумывать сложный пароль, и нужно его с периодичностью хотя бы раз в год, раз в полгода менять. Потому что есть там банальные ситуации, когда вдруг записали где-то на листочке свой пароль, оставили, а те, кто хочет узнать о вас какую-то личную, дополнительную, персональную информацию, может проникнуть в ваш почтовый ящик, где, к сожалению, пользователи Рунета и Интернета хранят очень многое. Свои паспорта, свою информацию о кредитных картах, личную переписку и очень многие вещи, которые не должны утекать в Сеть, а должны оставаться только у конкретного человека.

В.М.: А в чем опасность, например, паспорта? Вот, условно говоря, похитили мой номер паспорта, и что с ним могут сделать? Если это просто будет номер, и будет хотя бы отсканированная страничка? Это действительно мне может вред нанести?

С.Г.: Это не то чтобы может нанести сиюминутный вред какой-то. Все-таки бывают сильно страшные ситуации тогда, когда нашли паспорт. Есть у меня знакомый, подруга или еще кто-нибудь в банке, - и вдруг подделали кредит. Такая ситуация возможна. Но вероятность происхождения такой ситуации минимальная, но все же лучше всегда себя обезопасить и говорить о том, что можно или нельзя хранить, каждый вправе выбирать сам. Но все-таки есть рекомендации экспертов в кибербезопасности на тему того, что в почте нужно хранить минимум информации, которая вам может в будущем навредить.

В.М.: Давайте чуть-чуть разовьем эту тему. Что категорически нельзя хранить в своей электронной почте?

С.Г.: К сожалению, мы, конечно же, храним с вами практически все в нашей электронной почте. Ну, конечно же, не нужно хранить PIN-коды, не нужно хранить никакие пароли от банковских ячеек, сейфов и т.д. Не нужно хранить пароли от доступа в интернет-банк и все, что связано с финансовой информацией. Потому что, так или иначе, финансовые сбережения, которыми мы обладаем, - это, наверное, одно из самых главных сегодня для человека. Потому что потерять деньги… Зачастую для многих бывают моменты, когда это может привести к некоей безвыходной ситуации, и это действительно печально. 

Злоумышленники выкладывают пароли в Интернет только для того, чтобы показать большим корпорациям, что они это умеют 

Самое главное, наверное, - не нужно хранить в своей электронной почте все данные, которые так или иначе могут позволить злоумышленникам либо каким-то врагам иметь доступ к вашей финансовой информации. Что касается паспорта, переписки, каких-то сканов диплома - да чего угодно, личных фотографий - все это не представляет никакой внешней опасности. Единственное, есть такой термин кибер-буллинг – это когда через Интернет пытаются унижать, оскорблять. Это может быть из-за того, что нашли какие-то фотографии, с дня рождения - кто-то немножко перепил или там плохо получился. Такие ситуации могут быть, но это не вредит напрямую жизни человека. Поэтому не стоит говорить о том, что какие-то фотографии или что-нибудь еще могут нам серьезно навредить. А все-таки доступ к финансовой информации – это серьезные вещи.

В.М.: Вы только что сказали, что люди не сидят и вручную и не подбирают пароли, то есть, это, как машина, автоматизировано делается? Но если вдруг злоумышленнику попал пароль от моей электронной почты, он сам влезет в нее и будет смотреть, что есть, или доверит это какой-то системе? Я о том, что это происходит в достаточно крупных масштабах, и неужели злоумышленник в состоянии все эти почтовые ящики взломанные просмотреть?

С.Г.: На самом деле, давайте еще дальше уйдем. Зачем злоумышленники выкладывают большое количество паролей или почтовых ящиков в Интернет? На самом деле не для того, чтобы с ними что-то делать, а ровно для того, чтобы показать большим корпорациям, как Google, Microsoft, Яндекс, Mail.ru Group, что они это умеют. Вот ровно для этого они и выкладывают в сеть большое количество электронных адресов, паролей, информации о том, что находится и какое содержимое почтовых ящиков, но не более. То есть по факту эту информацию в коммерческих целях практически использовать невозможно. Но очень легко поменять почту: каждый это может сделать, очень легко поменять пароль к своей электронной записи – это не представляет никакого коммерческого интереса. А раньше это использовали в целях спама и большой рассылки, собирали пользователей в Интернете и затем их мучили этими рассылками. Почти все сервисы обладают хорошим антиспамом, и, собственно говоря, мы все время получаем все меньше и меньше почты, которую не хотели бы видеть.

В.М.: Не знаю, но я все больше и больше получаю такой почты. Я не очень доволен, как работает мой поставщик услуг. А вы знаете, еще забавная штука, мне вчера жена рассказала, где-то вычитала: рекомендуют защититься от воров, в кошелек вместе с кредитными карточками положить бумажку, где написать PIN-коды и три произвольные комбинации. Злоумышленник крадет твой кошелек, ставит эту карточку, вводит неправильно PIN-коды, банкомат съест эту карточку, и ты защищен. Может, что-то подобное имеет смысл делать в интернете с почтой?

С.Г.: То есть где это нужно написать? На странице в социальной сети написать - вот мой почтовый адрес, и вот, собственно, мои пароли, попытайтесь из 15 предложенных мною найти правильный? Что касается финансовых инструментов, все-таки банки и платежные системы-агрегаторы научились защищать банковскую карту и защищать счет. Вот как раз то, что вы говорите: три раза ввел неправильный PIN - и карта блокируется. Что касается почтовых ящиков, восстановления паролей к социальным сетям, то там тоже подобная ситуация существует. То есть, если почтовый сервис - очень большое количество обращений к моему аккаунту и подбор паролей – то, собственно говоря, аккаунт блокируется, и, как правило, человеку-пользователю Интернета сваливается на его существующий адрес информация о том, что к вам очень часто стучатся. 

Не дать свой пароль в обиду довольно просто. Не нужно нажимать на дико мигающие баннеры с темой того, что вы что-то выиграли 

То же самое происходит и с социальными сетями. Думаю, что у многих телезрителей не раз блокировали какие-то социальные сети, где было уведомление на тему того, что слишком часто к вашему аккаунту обращаются из разных стран или с разных ip-адресов, поэтому рекомендуем вам поменять пароль. Такое бывает, и все технологии развиваются - и, собственно говоря, и почтовые, и социальные сети стараются максимально обезопасить своего пользователя, а на самом деле клиента, потому что ровно на пользователях все социальные сети в конечном итоге зарабатывают.

В.М.: Давайте теперь поговорим о том, как защититься от злоумышленника? Как не дать свой пароль в обиду?

С.Г.: Как не дать свой пароль в обиду – это довольно просто. Не нужно нажимать на дико мигающие баннеры с темой того, что вы что-то выиграли, у вас здесь бесплатно 15 миллионов рублей либо бесплатный автомобиль, только нажмите и подтвердите свой электронный адрес. Этого, естественно, делать не нужно. Потому что как только вы нажимаете на такой адрес, незаметно на ваш компьютер скачивается программа, которая является неким зловредом. И после того, как вы через день, два, три или через неделю зайдете в свой почтовый аккаунт и наберете пароль ручками в строке, вот эта программа, которую вы скачали три дня назад незаметно, передаст ваш пароль туда, куда нужно.

В.М.: Антивирус в этом может помочь?

С.Г.: Естественно. Что касается всех антивирусных программ - это как устанавливаемых на сам компьютер, так и, собственно говоря, онлайн антивирусов. Они помогают сделать так, чтобы эти программы не скачивались на ваш компьютер без вашего ведома. Как правило, системы предупреждают, что в данный момент начинает скачиваться такая-то программа, хотите ли вы, чтобы мы ее просканировали и поняли, нет ли там вирусов? Конечно, нужно нажимать "да" и все максимально сканировать, если антивирус это предлагает сделать. 

В больших городах России LTE и связь 4-го поколения работают лучше, чем в Америке или Европе 

Плюс у тех, у кого не очень новые модели компьютеров, не обновлены операционные системы, то, естественно, нужно стараться хотя бы раз в месяц чистить и проверять свой компьютер на тему того, если ли там вирусы либо нет. Плюс сегодня все операционные системы готовят множество обновлений, чуть ли не ежедневных, для того чтобы уберечь своего пользователя от программ, которые злоумышленники пытаются распространять по Интернету.

В.М.: Давайте попробуем универсальный совет дать какой-то? Значит, придумывать сложные пароли, устанавливать антивирус, устанавливать обновления и, самое главное, не нажимать не пойми на что в Интернете.

С.Г.: Конечно. Если вы не знаете, что кроется за тем или иным баннером, если вы не знаете, что от вас требует Интернет или интернет-ресурсы в данный момент, то лучше не делайте этого. Потому что ежеминутно не произойдет так, что ваши пароли утекут, но через какое-то время, когда это будет нужно, вы останетесь в той ситуации, когда ваш пароль станет доступен всем.

В.М.: Вы сказали чуть ранее об этом, но я еще раз хотел у вас спросить - все-таки, зачем хакеры публикуют то, что им удалось украсть? Чтобы похвастаться?

С.Г.: Как я уже говорил, показать силу, показать свое умение и показать аудитории, показать большим корпорациям, что мы готовы в случае необходимости встать на тропу войны с вами. Ведь по факту есть некие любители, есть сообщества определенные в Интернете, которые считают, что большие корпорации делают зло в Интернете, что они создают определенные программы, которые следят за одним, за вторым, за третьим, и это довольно плохо. Думаю, что это некая акция протеста, показывающая, что мы в принципе вашу систему безопасности в любой момент можем сломать.

В.М.: А задача заработать стоит?

С.Г.: Задача заработать стоит ровно в обратном – это либо спам-рассылки, либо показать другую сторону медали этой истории. Что к злоумышленникам - правда, их очень сложно найти в Интернете - обратятся определенные группы людей, которым нужны пароли от вашего аккаунта, от моего аккаунта. Ровно на этом злоумышленники могут зарабатывать, когда нужно найти пароль от конкретного адреса электронной почты либо от какого-то аккаунта в социальной сети.

В.М.: Недавно была история, когда хакеры выложили огромное количество паролей и фотографий знаменитостей, которые были похищены из их почтовых ящиков. На мой непросвещенный взгляд, им гораздо проще было бы договориться с этими самыми звездами, которые обладают немалым количеством денег, и они бы охотно, мне кажется, с какой-то частью этих денег расстались бы, только бы эти фото в Сеть не попали. Почему этого не сделали?

С.Г.: Здесь совершенно другая ситуация, здесь речь шла не про то, что мы можем узнать пароль от конкретного ящика конкретной знаменитости, а все-таки про трафик уже. Когда выложили фотографии этих знаменитостей, то на определенные ресурсы пошел определенный трафик. 

Сегодня wi-fi не представляет такой угрозы, как несколько лет назад 

Когда все пользователи Интернета начали заходить на один какой-то конкретный сайт и просматривать фотографии - там реклама, так контекстная реклама, там информация, купить, продать, сделать, получить, и т.д., и т.п. Вот на этом уже можно зарабатывать. Зарабатывать на трафике - это одно из любимых дел тех же самых злоумышленников, которые взламывают конкретные ящики и выкладывают какой-то компромат. Мы все понимаем, что желтая пресса пользуется какой-то популярностью. Так же и в Интернете: желтые вещи привлекают большое количество аудитории.

В.М.: Я правильно понимаю, что времена изменились, что украл фотографию - и не надо ее возвращать, а просто опубликовать, и тогда эта известность тебе деньги принесет, так?

С.Г.: Принесет не известность деньги в данной ситуации, а все-таки деньги принесет трафик, который генерят пользователи Интернета благодаря тому, что они заходят одновременно на один и тот же ресурс. Вот это такая банальная математика, которая вроде бы из копеек складывает уже миллионы.

В.М.: Давайте немножко сменим тему. Я слышал, что wi-fi бесплатный, который везде теперь есть и в Москве, и в других городах, которым очень активно все пользуются, таит в себе некоторые опасности. Это действительно так?

С.Г.: Думаю, что это история прошлого десятилетия на самом деле, когда все говорили о том, что сигнал wi-fi можно перехватить, и перехватить пароли, которые вводит пользователь. Как правило, пароли на своих ноутбуках и телефонах мы практически не вводим, потому что пароль там давным-давно запомнился либо он у нас один раз в сутки или раз в неделю спрашивает подтверждение. Все-таки сегодня wi-fi не представляет такой угрозы, как он представлял несколько лет назад. Во-первых, им стали меньше пользоваться в связи с тем, что в России сети четвертого поколения действительно стали очень хорошими, по-другому это невозможно назвать. Все-таки в Москве, Санкт Петербурге, Екатеринбурге и других больших городах LTE и связь четвертого поколения работает лучше, чем в Америке или Европе, и это действительно факт. Мы по своей статистике видим, что большое количество пользователей Интернета - это сегодня пользователи мобильного Интернета. Это уже порядка 5 миллионов абонентов, которые выходят в сеть только с мобильного телефона и не используют никакой другой сети. Поэтому wi-fi сегодня не представляет какой-то серьезной угрозы. К тому же, сегодня wi-fi у нас начинают регулировать органы государственной власти. Недавно было принято постановление по поводу того, что необходимо навести порядок в работе wi-fi, и, собственно говоря, это уже стартовало, и все операторы над этим работают.

В.М.: А какую информацию можно похитить, если я подключился в какой-то общедоступный wi-fi? Что может злоумышленник теоретически выудить из моего смартфона или ноутбука?

С.Г.: Если злоумышленнику надо, то он может выудить ваши логи, то есть то, что вы делаете в каждый конкретный момент времени. Что такое логи? Это то, что вы делаете, какие клавиши вы нажимаете в каждый конкретный период времени – это можно, собственно говоря, и выудить. Можно получить доступ к любой информации, которая находится на вашем ноутбуке, но, как правило, это уже из разряда фантастики, и мы понимаем, что банальному посетителю какого-то кафе не стоит ничего опасаться, никто не будет подсасываться к его ноутбуку и смотреть, какие фотографии он планирует разместить сегодня в социальной сети.

В.М.: Вы сказали такую вещь интересную, что у нас сети четвертого поколения работают лучше, чем в США. А это как так получилось? Мы, по-моему, позже начали это развивать.

С.Г.: Мы это начали развивать не то, чтобы позже. Все-таки 3G в Россию очень долго приходило. В Москве, например, были проблемы, что частоты принадлежат не операторам, и их Минкомсвязи не может распределить. А как раз сети четвертого поколения были построены в один и тот же момент с Европой и Америкой, были запущены очень четко и вовремя. Действительно, в Москве мы можем говорить о том, что LTE и связь четвертого поколения работает очень хорошо и очень быстро. Думаю, что все телезрители - да и вы со мной согласитесь, что, когда мы приезжаем в Европу и Америку и пытаемся пользоваться местными SIM-картами, то нам чего-то не хватает. Когда мы включаем роуминг - понимаем, что в Москве-то у меня Интернет быстрее. Поэтому у нас здесь с точки зрения распространения мобильных технологий, наверно, пять с минусом можно точно поставить.

В.М.: Государство как-то пытается защитить пользователя Интернета от злоумышленника, в пользу мобильного Интернета в том числе, или это все остается на откуп самого пользователя?

С.Г.: Это тоже такой вопрос, который, с одной стороны, на него ответ понятен, а с другой стороны - непонятен. Почему? Когда у человека что-то случается, он пытается винить государство. Когда у человека все хорошо - он говорит: да мне государство здесь не нужно, потому что все отлично регулируется и все само собой происходит. Но, опять же, как только в Интернете у человека произошло что-то плохое – виновато государство. Как только государство пытается вмешиваться и предотвратить какие-то вещи, которые могут произойти потенциально в Интернете… Посмотрите сейчас на все социальные сети: как только государство начинает принимать какие-то законы, у нас все негативно воспринимают любую инициативу, несмотря на то, что вроде бы эта инициатива положительно сказывается на бизнесе и на пользователях. Поэтому здесь подход очень сложный. Естественно, государство сегодня смотрит на то, чтобы в будущем сказать пользователю, что мы в любом случае защитим, что бы ни случилось. Я думаю, что это положительный факт, что сегодня в России и депутаты, и профильные министерства, и правительство задумываются о том, что Интернетом нужно не то, чтобы управлять, а нужно следить и делать так, чтобы Интернет развивался.

В.М.: У нас буквально минута осталась, но я не могу не зачитать по поводу человеческой беспечности. Вот в Лондоне такой эксперимент провели, замечательный, на мой взгляд. Установили бесплатный wi-fi на улице, и пользовательское соглашение должен был каждый человек, который к нему подключается, принять. Один из пунктов совершенно чудесный: в обмен на пользование сетью человек должен был разрешить передать тем людям, которые wi-fi поставили, своего перворожденного ребенка навеки. Шесть человек на это согласились. Это как?

С.Г.: Это говорит о том, что никто из нас с вами не читает никогда пользовательское соглашение, и это действительно очень плохо. Мы никогда не читаем кредитный договор, мы не читаем договор об аренде, не читаем пользовательское соглашение, не читаем многие вещи, которые нужно было знать. Для того чтобы не было никаких проблем, наверное, надо читать как инструкции, так и пользовательские соглашения.

В.М.: Спасибо вам большое. Читайте инструкции и пользовательские соглашения, а мы продолжим обсуждать самые важные актуальные темы в студии Общественного телевидения России. 

Заместитель директора Российской Ассоциации электронных коммуникаций Сергей Гребенников – о том, как защитить свои персональные данные в Интернете.