Радиоблог. Как обеспечить безопасность в блогах и уберечься от взлома

Алексей Кузнецов: Сегодня у нас в гостях известный программист и блогер Максим Мошков. Он на линии прямого эфира с нами по телефону. Тема нашей передачи – как обеспечить безопасность в блогах и уберечься от взлома. Поскольку Максим и программист, и известный человек в мире интернета и блогов, в частности, по знаменитому проекту lib.ru «Библиотека Мошкова», и по части взломов, думаю, что вы тоже большой специалист, а вернее, по части того, как от них уберечься.



Максим Мошков: Можно и так считать. Считать меня блогером, конечно, было бы смешно, поскольку я все-таки в первую очередь программист, а блогер я лишь постольку, поскольку у меня у самого есть в LiveJournal страничка и есть свой собственный сайт, который можно сравнить с LiveJournal , называется «Самиздат». Там 30 тысяч человек ведут свои…



Екатерина Пархоменко: Но это куда круче, чем «Живой журнал», получается.



Максим Мошков: В «Живом журнале» одних русскоязычных около миллиона, а у меня в 30 раз меньше.



Алексей Кузнецов: Зато у вас там литература, насколько я знаю, в «Самиздате».



Максим Мошков: Согласен.



Екатерина Пархоменко: В общем, это все интересно. На самом деле сегодня мне интересно было бы задать вопрос не про библиотеку, а про то, как уберечься от взлома, какие нужно соблюдать правила безопасности или гигиены в этом смысле, чтобы не стать жертвой взломщика.



Максим Мошков: Отвечать нужно развернуто или так?



Алексей Кузнецов: Развернуто.



Максим Мошков: Давайте ограничим рамки. Если вы блогер, то у вас есть, видимо, место, где вы ведете журнал в интернете. Это сайт, в который вы коннектитесь из дома или с работы, заходите, логинитесь и заносите какую-то информацию. Это, видимо, наиболее частая ситуация, с которой имеет дело большинство из тех, кто имеет дело с блогами.



Екатерина Пархоменко: Ну, пожалуй, да, именно так.



Максим Мошков: Я понимаю, что бывают на самом деле и другие замечательные ситуации. Ну, например, вы делаете интернет-газету, где у вас целая редакция заносит материалы на сайт газеты. Я думаю, что Катя знакома с этим, а я уж тем более знаком, потому что «Ленту.ру» делал своими собственными руками.



Алексей Кузнецов: И я знаком, у нас на сайте Радио Свобода во главе с Катей работает интернет-бригада.



Екатерина Пархоменко: Максим, я тоже помню, кто программировал «Ленту.ру». Но я, например, не могу вспомнить: а «Ленту» пытались взломать?



Максим Мошков: Ну, не то что пытались, ее дважды взламывали на моей памяти. Бывали и другие веселые ситуации, связанные с этим. Но, понимаете, главная проблема сайтов типа «Лента Ру» или «Свобода.орг» это все-таки не проблема взлома, если там могут быть проблемы, то они, скорее всего, будут внутренними – головотяпство, технические недосмотры…



Екатерина Пархоменко: Тьфу-тьфу-тьфу, пока ничего такого не было.



Максим Мошков: Недоделки сотрудников. Это может принести гораздо больший ущерб. А мы можем вернуться к пользователю обыкновенному, который делает блог, который размещен черт знает где. Смотрите, блогер обыкновенный этот блог делал не сам, имею в виду сервер. Сервер, на котором он размещается, это какой-нибудь LiveJournal , LiveInternet , и что там еще бывает… Готовое место, у которого есть хозяин, человек, с которым у него нет никаких ни отношений, ни обязанностей, ни всего остального. Есть какое-то общее признанное место, куда ты ходишь из дома и размещаешь. У тебя есть логин, у тебя есть пароль, и у тебя есть возможность работать со своим собственным разделом. В этой ситуации потерять свой блог довольно просто. Техник есть очень много. Я могу описать самый простой и технологичный способ, как это делается. Самый простой способ остаться без блога давайте я вычту такой: вселенская катастрофа под названием «начальник/владелец/хозяин этого самого сервера с блогами берет и все закрывает или ломает, или меняет правила игры». Надо, кстати говоря, всегда иметь в виду, что от этого вас никто не защищал, никто не гарантировал. То, что вы 10 лет подряд размещаетесь на LiveJournal , то, что там у вас есть материалы, которые вы копите, по букве выписываете, они в любой момент могут исчезнуть навсегда. И от этого вас обычная безопасность не спасет. Вот придут, выключат свет в Америке - и ничего не станет.



Екатерина Пархоменко: От этого есть простая, по-моему, защита. Надо просто сохранять где-то свои записи в другом месте.



Максим Мошков: Согласен, конечно. Первое, поймите, вы информацию размещаете черт знает где, никаких отношений - ни договорных, ни ответных, вы потом ни в какой суд не обратитесь с требованием: верните мне мой журнал, верните мне блог. Все пропадет. И это пропадет независимо от того, злостный хакер, не злостный хакер, тупая машина или вы сами. Если так решит хозяин блога, вас не станет. И такое происходит сплошь и рядом. В LiveJournal довольно методично и последовательно уничтожают десятки, сотни тысяч двойников. Так что к этому готовьтесь всегда. А методов защиты, конечно же, два. Метод нулевой, который обсуждать довольно сложно: не пишите туда, и вас никто не будет ломать, вам нечего будет терять. Метод номер два: делайте бэкап, точнее, всю информацию, которую вы сохраняете в интернете, сохраняйте хотя бы в двух местах – у себя дома, это раз, обязательно, и там, где-нибудь еще в этом сайте, два, делайте бэкап всего этого дела, три. Это хоть немножко вас обезопасит.



Алексей Кузнецов: Лариса Дмитриевна из Москвы.



Слушатель: Я только недавно начала пользоваться интернетом. Я имя Максима Мошкова знаю только, как мне объяснили… библиотека. Я ищу один роман в вашей библиотеке, писательница Марковчук «Живая душа». У вас нет его там случайно?



Максим Мошков: Его там нет. В библиотеке есть форум, в форуме есть страничка, которая называется «Ищу книгу», попробуйте обратиться туда, вам могут подсказать читатели, которые довольно регулярно вам помогают.



Алексей Кузнецов: Константин, Московская область.



Слушатель: Меня, как начинающего блогера, интересует вопрос безопасности не технической, а безопасности имиджа блогера. Например, идет дискуссия какая-то, ну, блог или форум, пишет человек какой-то пост по теме, ему отвечают. Но дело в том, что там есть возможность править свои посты. Человеку ответили, а он потом так исправил свой пост, что выставить в том ответе просто идиотом, такое можно сделать.



Максим Мошков: Запросто.



Слушатель: А таким образом можно серьезно испортить имидж человека. Как с этим быть? Вы поняли, о чем я хотел спросить?



Максим Мошков: Я понял, и ответ уже звучал. До той поры, пока вы находитесь на чужой площадке, правила игры определяете не вы, вот и все. Вы хотите участвовать в войне, в блогерских флеймах и во всем остальном? Имейте в виду, что площадка не ваша, правила не ваши.



Алексей Кузнецов: Вы воюете на чужой территории.



Максим Мошков: И там противник может применять те методы, которые он может применять. Ну, советы такие, например, как я понимаю, изменить содержимое постинга можно не всегда и не везде. Воюйте, например, в своем блоге, в своем блоге вы хозяин, комментарии, которые пишут у вас, вы можете удалять, а не враг, вы можете изменять свои постинги задним числом, выставляя идиотом своего противника. То есть воюйте на своей территории. Вот это, видимо, единственное место, которое вас хоть немножко обезопасит от подобных действий. Ну, и второе, знайте, что вы на чужой территории, что все может быть. А вообще, за многие годы существования интернета, те, кто в нем активно общаются, все эти правила уже на своей шкуре выработали, и правил довольно много. Ну, и правила такие: всегда вас могут обидеть.



Екатерина Пархоменко: Это интернет, детка, как любят повторять.



Максим Мошков: Вы пришли туда, там все возможно. Вас могут оскорбить, вас могут выставить идиотом, вас могут заставить отвечать на вопросы, которые потом окажутся изменены, и вы опять же окажетесь идиотом. А потом у вас отнимут журнал, отнимут логин-пароль, напишут от вашего имени всякой гадости. Вы будете доказывать, что это писали не вы.



Алексей Кузнецов: Ослепительные перспективы Максима Мошкова.



Екатерина Пархоменко: Может, мы вообще не будем выходить в интернет? Давайте останемся в эфире.



Максим Мошков: Помните мой совет номер ноль? Не пишите.



Екатерина Пархоменко: Да, не выходите на улицу и никогда не станете жертвой автокатастрофы.



Максим Мошков: Ну, конечно, к вам в дом въедет «КамАЗ».



Екатерина Пархоменко: Я на седьмом этаже живу.



Алексей Кузнецов: Или влетит самолет. Еще один звонок – Вадим из Москвы.



Слушатель: Сейчас «Гугл» обращается к международному сообществу, чтобы выработать стандарты защиты прайвеси. Я поэтому призываю наших интернетчиков, наше интернет-сообщество активнее включиться и поддержать этот призыв, потому что наша власть в первых рядах душителей свободы, в том числе в интернете, где еще свободы чуть-чуть больше, чем в другом пространстве.



Максим Мошков: Ну, хоть я на Радио Свобода, можно я немножко похвалю власть? Наша власть душит свободу гораздо меньше, чем могла бы. Интернет-технологии власти, примененные с чувством и с толком, могут позволять душить интернетовскую информацию и свободу в ней гораздо более качественно. А то, что здесь мы наблюдаем, это либо дилетантство, либо детский сад. Если честно, пока в русском интернете настоящего душения и даже никакого душения нет вообще. Радуйтесь, это золотой век!



Алексей Кузнецов: Это прямо по Высоцкому: еще спасибо, что живой.



Максим Мошков: Вы не просто живой, а это настоящая жизнь сейчас и творится. Так вот, давайте, я расскажу, как взламываются пароли самым простейшим способом, как потерять блог проще всего. Блог обыкновенный на обычном публичном сервере, зарегистрирован под логин-пароль. Как только ваш логин-пароль попадает к врагу, вы остаетесь без этого самого блога, потому что враг залогинится вместо вас, тут же поменяет логин-пароль и все - привет, ку-ку! А вам предстоит замечательная процедура доказательства, что вы – это вы, что это ваш логин, а не того врага, который сейчас говорит: нет, это я. Потому что для владельца сервера вы и враг, который украл ваш пароль, неразличимы – и там, и там предъявляется логин и пароль. Это раз. Как крадется логин и пароль? Способов довольно много. Можно заразить вирусом ваш компьютер домашний, и тогда он сдаст все логины, все пароли, какие только у вас есть от всех служб, которые у вас есть. Обычно блоги регистрируются на почтовый ящик, и там есть система восстановления пароля. По этой почте пароль отправляется вам на дом. Если украдут пароль от этой почты, то не надо будет красть пароль от всех ваших блогов, достаточно будет пойти на эти блоги, попросить эти пароли установить, и они придут в тот почтовый ящик, и враг украдет ваш пароль. Пожалуй, именно через почтовый ящик, через подбор пароля вашего почтового ящика, на котором все остальные блоги регистрируются, и делается большинство взломов. Шумные взломы всяких публичных персонажей русского ЖЖ, произошедшие… они почти все взломаны по одной и той же схеме: у ребят был выкраден почтовый пароль регистрации тем или иным способом, а дальше все остальное вытаскивается уже через него.



Екатерина Пархоменко: Максим, боюсь ошибиться, но насколько я помню, все эти взломы - это самая популярная почта русская «Мэйл.ру».



Максим Мошков: Так.



Екатерина Пархоменко: И здесь у меня такой маленький вопрос. Как ты думаешь, это почта уязвима или просто пользователи так беспечны, что ставят себе пароль «1234»?



Максим Мошков: Ну, во-первых, пароль «1234», по моему опыту, это 3% всех паролей на свете. Ну, может быть, не «1234», а люди думают о своей безопасности, поэтому у них «4321». Тем не менее. Понимаете, самая уязвимая почта «Мэйл.ру» ровно потому же, что ее больше всех, вот и все.



Екатерина Пархоменко: То есть она уязвима из-за своей массовости?



Максим Мошков: Конечно. Уязвимость – это доля взломов. Доля взломов везде одинакова. Просто больше всех адресов почтовых «Мэйл.ру», вот ее и ломают чаще. Точно также считается, что на автомобили ездить опаснее, чем на мотоцикле, потому что автомобилисты больше разбиваются.



Екатерина Пархоменко: Просто больше автомобилей, понятно, да. Максим, про статистику понятное пояснение. Но многие жалуются на «Мэйл.ру», что ненадежная почта. С вашей точки зрения, насколько эти жалобы обоснованы?



Максим Мошков: На мой взгляд, ее беда в том, что у нее очень много пользователей. Это большая система, система массового обслуживания, и там эта проблема именно от массового обслуживания. Много серверов, нужно нетривиальное техническое решение. Ненадежность «Мэйл.ру» не в том, что там можно украсть пароль пользователя, а в том, что она сбоит, глючит, не доходит почта. Но это же проблема именно того, что много. С другой стороны, «Гугл» справился ведь с этой проблемой. Его «Гугл.мэйл» работает в этом смысле надежно. Но у него больше денег и больше технических возможностей. Мы имеем то, что имеем. А насчет украсть почту, извините, у вас есть логин, у вас есть пароль, ваш логин известен любому хакеру, потому что он является вашим почтовым адресом. А ваш пароль, извините, господа, все, кто меня слушает… ну-ка, подумайте, как быстро можно угадать ваш пароль? Если он хоть сколько-нибудь сложный, то хакер обычно не ломает вас. Но если у вас пароль «123456» или «мамапапа», или любимые пароли американских фильмов sex, money… И что там еще? Бог, по-моему.



Екатерина Пархоменко: Kin .



Максим Мошков: То вы попали.



Алексей Кузнецов: Валерий Аркадьевич из города Королев.



Слушатель: Мне нравится осведомленность, уровень знаний, компетентность вашего специалиста, который комментирует все. Скажите, Максим, из вашей практики подобный способ общения принес кому-нибудь желательные результаты в личностном развитии, в специализации какой-то, в духовном становлении или это же просто развлекаловка, игра, на которую граждане, которые несерьезно относятся к себе, просто тратят свое личное время?



Алексей Кузнецов: А можно я отвечу? Валерий Аркадьевич, я вот недавно женился, как раз с помощью интернета нашел жену, и очень рад. Так что мне лично принес интернет большой успех.



Максим Мошков: Я могу добавить к этому. Вот вы звоните к нам на передачу, вы пользуетесь техническим средством «телефон», а ведь его можно использовать для тупой болтовни, для хулиганства, для всего остального. В этом смысле интернет - это лишь средство связи, которое связывает людей. А уж о чем они говорят… Я по большей части через интернет по совершенно техническим и вопросам бизнеса общаюсь или программистским делам.



Алексей Кузнецов: Известно, что микроскопом можно гвозди забивать, а можно научные открытия делать.



Максим Мошков: Добавим, что всем этим можно заниматься прекрасно без всякого интернета – прийти, сесть на лавочку, взять бутылку портвейна…



Алексей Кузнецов: И творчески развиваться.



Максим Мошков: И творчески развиваться. Ну, при чем здесь интернет? С другой стороны, интернет – что-то великое, безусловно, потому что пить портвейн с соседом можно, а пообщаться с одноклассником бывшим и решать проблемы мгновенно, этого раньше не было.



Слушатель: У нас есть звонок от Сергея из города Томска.



Слушатель: Возможно ли пользоваться сервисом, который называется «архив Интернета» для того, чтобы не бэкапиться?



Максим Мошков: Ну, как сказать? Можно. Но исходя из тех же положений, что в любой момент он может прекратить существование.



Екатерина Пархоменко: Это опять чужой сервер, не контролируемый.



Максим Мошков: В этом смысле да. То, что он бэкапит по своему собственному усмотрению, в том, что та страничка, которая нужна именно вам кровь из носа, почему-то оказывается в нем или с другой датой. Я, кстати, сам пользовался неоднократно этим сервером, очень полезная штука, имеется в виду веб-архив – «Архив.орг», замечательная вещь. Но, понимаете, гарантий-то нет. Гарантию дает только то, где ты сам взял, забэкапил, да еще на болванки нарезал, да поставил сейф не у себя дома, потому что дома будет пожар и сгорит и компьютер, и архив вместе с ним, а где-то еще, где пожара не будет. Кстати, свою библиотеку я не бэкаплю. Знаете почему? У нее примерно 40 копий по всему миру, «зеркала».



Алексей Кузнецов: Сами по себе, да?



Максим Мошков: Сами по себе. И к слову сказать, информация, которая мне сильно дорога и необходима, я ее просто в библиотеку кладу, и за этот счет она так расползается через какое-то время по своим 40 «зеркалам».



Екатерина Пархоменко: Берите пример с Мошкова, заводите себе такие сайты, которым будут строить по 40 «зеркал».



Алексей Кузнецов: Еще один звонок – Татьяна из Москвы.



Слушатель: Максим, посоветуйте, пожалуйста, я бы хотела все, что мной напечатано и написано, сбросить на какой-то сайт, может быть, не один, но не в зоне .ру, а в .орг или .ком. Можно ли это сделать, находясь в России, за разумные деньги и насколько это будет надежно? И второе, как вы оцениваете надежность таких серверов, как «Стихи.ру» и «Проза.ру»?



Максим Мошков: Любой человек в Москве - путем несложных телодвижений и заплатив вполне разумные деньги - может завести себе сайт в зоне .орг, в зоне .ком, к слову сказать, стоит это удовольствие – просто домен купить – 10 или 20 долларов в год.



Екатерина Пархоменко: 20, я только что регистрировала.



Максим Мошков: Есть место, где 10. Да, там за углом. Дальше, если вы хорошо разбираетесь в английском языке, то несложно купить у иностранного – американского или немецкого - провайдера место под хостинг, которое будет стоить подороже, но там есть тоже разумное решение, и завести на него этот домен и закачать туда всю информацию. И она будет а) на зарубежном сервере в зоне, в домене, который находится не в «точка ру», а в «точка где вы хотите». Это вопрос – день поразбираться и заплатить денег, допустим, 30 долларов, а потом каждый год платить еще долларов по 50 за то, чтобы все это дело не уничтожили. Как только вы перестанете платить, у вас вся эта информация - хлоп и исчезнет. Вторая часть - насколько я оцениваю надежность «Прозы.ру» и «Стихи.ру»? У меня у самого сервер примерно такой же степени надежности – он может грохнуться. Я надеюсь, что они там делают бэкап, сильно на это надеюсь. Если они делают бэкапы, то надежность вполне достаточная, на мой взгляд. С другой стороны, если там информация, которая нужна именно вам, я бы на вашем месте хранил информацию еще где-нибудь. Кстати, у меня есть библиотеке журнал «Самиздат», «Журнал.либ.ру», где с такой же степенью надежности можно разместить те же самые произведения.



Екатерина Пархоменко: То есть оба сразу точно не упадут.



Максим Мошков: Судя по тому, что для Татьяны опасно вообще российская интернет-зона, она боится атомной войны. Ну, не волнуйтесь, если будет атомная война, нам будет не до стихов…



Алексей Кузнецов: И не до зон.



Максим Мошков: Так что не переживайте на этот счет. А во всех остальных случаях будет жива и зона .ру, и «Самиздат», и «Стихи.ру», и «Проза.ру» тоже будут жить.



Екатерина Пархоменко: Максим, а давай все-таки вернемся к блогам. Мы поговорили про безопасность ящика. А есть ли еще какие-то уязвимые места в этой системе?



Максим Мошков: Уязвимое место – ваш собственный компьютер. В Microsoft Windows довольно регулярно обнаруживаются новые и новые «дырки», это раз. Домашняя машина, подключенная к интернету, теоретически и даже не теоретически очень подвержена любым… как только на нее не поставлены сервис-паки все необходимые, становится потенциальной жертвой. И жертва – это все. Ваш компьютер попадает под чужой контроль по сети. Все, что вы делаете, потенциально доступно врагу, который из него вытащит все, что хочет. Поэтому либо надо иметь виндовую машину более-менее защищенную, на которой поставлены все апдейты, либо ставьте Linux и мучайтесь с ним, тоже замечательная, гораздо более безопасная система, но требующая, мягко выражаясь, более ответственного подхода и знаний. Хотя моя жена поставила себе Linux , потому что с Windows уже жить не могла, и справляется почему-то, несмотря на то, что для меня это аттракцион – женщина, живущая на Linux’е . Но у нее почта не ломается, и компьютер не сломают хакеры. Так что требуется аккуратненько следить за своей машиной, раз. Второе – почта. У почтовых серверов не только можно пароль подобрать, как пользуются многие хакеры, в вашей локальной сети, если вы выходите в интернет через локальную сеть, теоретически есть возможность подсмотреть ваш логин и пароль, передающийся прямо по сети открытым текстом. Хотя для этого нужно иметь либо достаточную квалификацию, либо работать у провайдера. С одной стороны, провайдер не держит у себя придурков и хакеров, которые в свободное от работы время «ломают» его пользователей, но всякое случается. Я, например, сам наблюдал ситуацию, когда у одного латышского провайдера в домовой сети сотрудники обиделись на руководство и устроили пользователям этого провайдера массу гадостей. Например, от лица литовского мужика к нам на сервер приходили эти, мягко выражаясь, некультурные люди и писали какую-то ересь, ахинею и оскорбления, чтобы подумали, что это он. У них была такая техническая возможность – без его ведома выходить в сеть, как будто это он был. Так что такие вещи наблюдал вживую. Вероятность невелика, но всякое случается.



Екатерина Пархоменко: Максим, мы, к сожалению, практически исчерпали время нашего эфира и очень мало что успели обсудить. Но какие-то, мне кажется, базовые вещи вы успели сообщить нашим слушателям. Тема, мне кажется, очень важная. Чем больше людей выходит в интернет, тем важнее становится безопасность. Большое вам спасибо!