Юзер - это диагноз?

Игорь Крейн, Владислав Михеев
Прошлым летом, завершив анализ обнародованных злоумышленниками паролей сорока тысяч пользователей "ВКонтакте", мы были неприятно удивлены: мало того, что все эти люди добровольно передали свои данные фишерам, так ведь и пароли-то оказались просто никакущие. Скажем, больше 11 процентов из них можно было подобрать, обладая минимальной информацией о пользователе, доступной из его же анкеты.

Будучи интернетчиками с более чем десятилетним стажем, мы слишком хорошо помним те времена, когда для выхода в Сеть нужен был определённый уровень знаний и технической подготовки. Поэтому нам было непросто поверить в то, что все эти непроходимо наивные люди существуют в реальности.

Но факты налицо: эти люди не просто существуют, они находятся рядом с нами, в самой непосредственной близости. Их даже больше, чем кажется на первый взгляд — достаточно лишь присмотреться.

Наглядным подтверждением тезиса о том, что "надо что-то делать", может стать недавняя история с тысячами пользователей Facebook, которые пытались залогиниться на любимый сайт через статью, размещённую на совсем другом ресурсе. В наших сетевых просторах дела обстоят не лучше: вспомните, как часто на форумах встречаются вопли о помощи. И это лишь верхушка айсберга.

У нас тоже накопилось несколько историй из жизни, демонстрирующих разные степени безграмотности интернет-пользователей в том, что касается безопасности и защиты данных. Большинство из них мы приводим здесь чуть ли не один в один, кое-что творчески обработали в силу своих способностей.

Эпизод первый: Открытая угроза

— Алло, Галя? Скажи свой почтовый пароль.
— С какой стати я должна тебе свой пароль говорить?
— Ты что, совсем не соображаешь? Как же я без твоего пароля тебе отправлю письмо?!

* * *

Выше приведён фрагмент диалога двух немолодых женщин, каждая из которых не менее двух лет мало-помалу осваивает компьютер и Интернет. За всё это время одной из них никто так и не удосужился объяснить, чем отличается логин от пароля. Немаловажно, что вторая, не будучи сильно продвинутым пользователем, в какой-то момент поддалась влиянию первой и засомневалась — а вдруг она неправа, и паролем всё-таки надо было поделиться. К счастью, её вовремя остановили.

Загляните ещё раз в наш анализ базы паролей "ВКонтакте" — и вы удивитесь тому, сколько народу не видит разницы между паролем и именем пользователя.

Но можно ли назвать всех этих людей тупыми? Вряд ли. Незнание вами терминологии ядерной физики и правил техники безопасности при работе на атомной электростанции не делает вас дураком. Однако вас вряд ли допустят к управлению реактором без соответствующих знаний. Так почему же в Интернет выпускают кого попало без справки из психоневрологического без малейшей предварительной подготовки?

Эпизод второй: Атака клоуна

— То есть, я смогу общаться с женой бесплатно?
— Ну да.
— Тогда регистрируюсь. Меня устроит имя пользователя dan...
— Не трать время, там десятки миллионов пользователей, и имя dan уже много лет занято...
— А я проверю... Гм, и правда занято...
— Постой-постой... Ты сейчас чего творишь?
— Хочу задать свой обычный пароль — "123".
— Там минимальный пароль — шесть символов.
— Ну а я всё же попробую... Не принимает, зараза... А если "321"?
— Всё равно в нём нет шести символов...
— Блин, ну как же так! У меня везде стоит пароль "123" — чтобы не забыть... Ну, в крайнем случае, "123456"...
— Ну и ты понимаешь, что это небезопасно?
— Ёлки-палки, ну нахрена мне эта безопасность?
— Ну да, так всегда и бывает. Сначала — "нахрена", а потом — "почему от моего имени кто-то у моих друзей по аське денег просит"...
— Да брось, не нужен я этим вашим хакерам...
— Вот видел бы ты логи моего сервера, который тоже "не нужен хакерам". Понимаешь, просто ползают боты и пытаются подобрать пароль. А если бы я был такой же умный и задал пароль "123", то на моих сайтах давно бы угнездились вирусы...
— А я всё же попробую задать пароль покороче... Вдруг пропустит...

* * *

Этот пользователь, буквально атакующий вражеский сервис "Скайп", не выдуман. Это реально существующий студент театрального вуза, между репетициями заглянувший с ноутбуком к одному из авторов этой статьи.

Наиболее показательно в этой ситуации то, что даже узнав, почему нельзя использовать короткий пароль, пользователь всё равно пытается это сделать — а вдруг получится! Выходит, что наиболее надёжным способом борьбы с подобной безалаберностью является даже не просвещение, а жёсткий программный контроль криптостойкости создаваемых паролей.

Попросту говоря, веб-сервис не должен принимать "слабые" пароли, как бы этого ни хотелось пользователю. И уже в дополнение к этому совать под нос инструкцию по безопасности.

К сожалению, на практике далеко не все интернет-сервисы грамотно контролируют качество пользовательских паролей. В результате мы имеем угнанные аськи, скайпы, аккаунты "Жадноклассников" и "ВКонтактов". А потом наблюдаем толпы раздражённых пользователей, яростно строчащих жалобы в "Спортлото".

Эпизод третий: Месть ситхадмина

— В общем, с Нового года ты у нас не работаешь. Сисадмин нам больше не нужен.
— Ну, я даже не огорчусь, вы знаете. Не зарплата и была — я получаю больше, даже не выходя из дома.
— Вот и ладушки.
...
— Алло.
— С Новым годом, Владислав! Как дела?
— Соответствующе. 10 утра, третье января...
— Понятно. А у нас проблема с компьютером.
— И каким боком меня касаются проблемы вашего компьютера?
— Ну, мы подумали, что это ты сделал что-то не то. У нас ничего не работает. В смысле, твой компьютер странно себя ведёт и в Интернет не пускает.
— Знаете, такое могло произойти, только если вы сделали что-то не то. Прямой вопрос: что именно вы сделали?
— Ну... Нам вот пришло что-то по почте... После этого на "Рабочем столе" появился новый ярлык "Гость"... И мы на него нажали. Надо же было посмотреть, что там такое...
— Что ж, поздравляю: вы заразили машину вирусом, причём своими собственными руками. В связи с этим хотелось бы напомнить, что я у вас больше не работаю и ничем помочь не могу. Могу порекомендовать хорошего сисадмина... Но он за визит берёт почти столько же, сколько вы мне платили в месяц...

* * *

Данный пример наглядно показывает, что как волка ни корми как юзера ни воспитывай, оставшись без присмотра, он в первый же день своими руками установит заботливо присланный спамерами вирус или найдёт ещё какое-нибудь приключение на свою машину.

На предприятиях, где не организовано просвещение сотрудников и при этом всячески экономят на сисадминах, подобные вещи происходят сплошь и рядом. Тут, ребята, либо вы берёте на работу только компьютерно грамотных людей, либо хорошо платите сисадмину, чтобы он ходил за ламерами и подтирал обеспечивал безопасность инфраструктуры. А лучше — и то, и другое.

Эпизод четвёртый: Полная безнадёжность

— Достало уже!
— Что тебя достало?
— Вот эти вот дурацкие предупреждения меня достали: "Посещение этого сайта может нанести вред вашему компьютеру..." Бла-бла-бла...
— Вполне нормальное предупреждение. Значит, что на сайте, скорее всего, вирусняк какой-нибудь.
— Блин, если мне нужен этот сайт, я всё равно на него зайду!
— Прости, что такого на этом вот конкретном сайте, чего нельзя найти на другом, не завирусованном?
— Э-э-э... М-м-м-м... Ы-ы-ы-ы... Я всё равно зайду, меня Машка просила посмотреть там кое-что... Вообще этот ваш фишинг-контроль в браузере надо отключить.

* * *

Столь сильное стремление ряда пользователей непременно сходить по всем ссылкам, присланным Машкой, Сашкой, Пашкой и Ксюшкой, заслуживает всяческого внимания. Британским учёным ещё предстоит выявить причины такой настойчивости.

А вот одну из причин игнорирования предупреждающих надписей мы, похоже, нашли. Упомянутый выше сайт "ВКонтакте", на наш взгляд, сыграл очень серьёзную роль в дискредитации подобных сообщений — ведь он выдаёт их при переходе по любой внешней ссылке, а не только по заражённой.

Следующим шагом любителей ссылок может быть отключение визжащей тещи Касперского надоедливого антивируса. Если, конечно, он вообще установлен...

Эпизод пятый: Империя добра наносит ответный удар

— Слушаю.
— Приветы... Млин, тут такое дело... К тебе можно вписаться на пару дней?
— Г-хм... А что случилось-то?
— Да это... Ксюха закатила скандал. Звоню сейчас из кафе. Сижу с чемоданом...
— Опять по порносайтам лазил?
— Да нет. Тут ваще песец. Прочитала переписку с Ленкой.
— Ты что, её письма в коробочке хранишь? С розовой ленточкой?..
— Да нет, в "Гмыле".
— Ах, в "Гмыле"! Ну и как же Ксюха туда залезла? Забыл разлогиниться?
— Да фиг поймешь. Гугл же запустил недавно шнягу. То ли "Зебб", то ли "Базз", не помню...
— А, "Живая лента", да. И что?
— Ну и я там с Ленкой перекинулся парой слов...
— Постой, ты что, в комментариях к какой-нибудь записи с ней трепался?
— Да кто его знает. Наверное. Я ж думал, этого никто больше не видит, только мы с Ленкой.
— Ну вы, блин, даёте. Ты бы в настройки влез сперва, прежде чем языком болтать. Там же всё настраивается. Сейчас все твои бабы наверняка подписаны на твои сообщения — с твоего разрешения, между прочим.
— Никому я ничего не разрешал!
— Это тебе кажется. Как только начал пользоваться "Баззом", так сразу и разрешил. Там все твои девки из "списка контактов" автоматически подцепились.
— Ох ты ж, ёма-народ... И чего теперь делать?
— Зависит от того, о чём вы там ворковали, голубки. Погодь, ща гляну...
— Э-э... Ты чего сейчас делаешь?
— А ты догадайся с трёх раз... Я ж тоже в твоих контактах.
— Ты тоже это видишь, что ли?
— Ещё как вижу!.. Ого! Да я смотрю, ты парой дней не отделаешься... Переезжал бы сразу к родителям, что ли... Бугагашенька!

* * *

Тут всё довольно прозрачно. Веб-сервисами надо пользоваться с умом. И крайне желательно — только после того как разберётесь в их настройках.

При этом трудно поспорить с тем, что в данной ситуации облажался и "Гугль". Ежу понятно, что подавляющее большинство пользователей подпишется на новую услугу, не читая правил и не заглядывая в настройки, — хотя бы для того, чтобы поскорее избавиться от дурацкого сообщения о появлении нового сервиса и перейти к чтению почты.

Эпизод шестой: Заражение джедая

— Слышь, чего это от тебя в аську какие-то левые ссылки прут?
— Не может такого быть.
— Да может, может. Вирусняк подхватил или что?
— С чего бы это? Вирусы только у ламеров заводятся.
— Вирусы могут завестись у кого угодно, хоть у Касперского. Антивирус у тебя какой, кстати?
— Нет у меня антивируса, нафик надо.
— А-а-а, всё понятно...
— Что тебе понятно? Я же "не первый год замужем". На левые сайты не хожу, на ссылки из почты и аськи не нажимаю, "Винды" обновляю регулярно, "Файрфокс" тоже, "Интернет-эксплорер" в последний раз запускал ещё при Брежневе... С чего бы мне подхватить вирус?
— Да я тебе десяток причин придумаю.
— Например?
— Ну, например, твой любимый "нелевый" сайт заразили, а как ты туда зашёл "Файрфоксом", к тебе через незалатанную дырку пролез троянчик. Кстати, браузер у тебя в последнее время не падал без причины?
— Да нет вроде.
— Неважно. И без браузера можно залететь. Черви, скажем, пролезают сами, через дыры в системе. Помню, лет пять назад экспериментировал: поставил начисто XPюшу, накатил сервис-пак, все дела, вышел в Интернет при включённом файрволе и начал следить за тем, кто ко мне снаружи стучится...
— Ну и?
— Ну и... Без файрвола и антивируса мой комп был бы заражён уже через несколько часов максимум. И это когда было. Сейчас, говорят, можно заразиться за сорок минут. Или за сорок секунд — тут уж как повезет...
— Типа с файрволом и антивирусом пронесло бы?
— У меня вот сейчас работает аппаратный файрвол в маршрутизаторе и "Каспер" на компьютере. Года два полёт нормальный. Но стопроцентную гарантию не даст ни один "Дюрекс", ты ж понимаешь...

* * *

Даже продвинутые пользователи нередко страдают — но чаще не столько от неведения, сколько от ложной самоуверенности. Давно прошли времена, когда, чтобы подцепить заразу в систему, от пользователя непременно требовались какие-то более явные действия, чем просто включение компьютера. Безусловно, на ссылки тыкать нужно с включённой головой, но и принять разумные меры автоматической защиты тоже необходимо.

Заключение

Не хотелось бы в очередной раз повторять очевидные истины, но придётся. Постараемся покороче, с минимумом аргументации, ибо эта тема чересчур благодатная.

Итак, корень зла — в массовой компьютерной безграмотности. Понятно, что лучше бы в мире вообще не было вирусописателей и прочей швали. Но это утопия, а потому такой вариант мы даже гипотетически рассматривать не будем. Следовательно — надо, чтобы утопающие если и не спасались сами, то хотя бы не отбивались всеми конечностями от спасателей.

Позиция "каждый сам за себя" нам представляется неразумной. От заражённых компьютеров страдают все, а не только их владельцы. Ведь именно благодаря слабой компьютерной грамотности мегатоннами рассылается почтовый мусор, в мессенджер сыплются вредные ссылки и просьбы от фальшивых друзей о вспомоществовании, блоги пестрят сеошными комментариями, а сайты валяются под DDoS-атаками.

Вывод: юзеров надо защищать и просвещать. Глупо надеяться на то, что пользователь, чьи интересы ограничиваются общением в "Жадноклассниках" и выкачиванием порнухи с торрентов, когда-либо займётся самообразованием. Возможно, какую-то роль в ликвидации компьютерной безграмотности могли бы сыграть уроки информатики в школах, но роль эта вряд ли станет сколько-нибудь значимой в обозримом будущем.

На наш взгляд, здесь должны активно включиться поставщики интернет-услуг. Интернет-провайдеры, а также крупные "ламерские" сервисы — то есть те, кто так или иначе зарабатывает на пользователях и напрямую в них заинтересован. Пока что у них хватает фантазии лишь на запугивания абонентов-зомби отключениями или на публикацию куцых заметок о кибербезопасности где-то в недрах своих справочных систем.

Пока провайдеры не начнут всерьёз заниматься данными вопросами, количество интернет-мошенников и вредоносных программ будет только расти.