Интернет скинул маску анонимности

Интернет охватила эпидемия разоблачений. Не успел отгреметь скандал с появившимися в Yandex смсками "Мегафона", как накатила новая волна. Отныне, если грамотно составить запрос, можно узнать, кто и чем закупался в онлайн секс-шопах, а также выяснить паспортные данные людей, заказавших в Сети железнодорожные билеты. Что за беда накрыла Рунет? Виновата ли в этом нескромность поисковиков? Своим мнением с NewsInfo поделился бывший член хакерской группы, ныне директор компании "Росинн" Александр Варской.

Все больше и больше пользователей Рунета приобретают в Сети сомнительную и нежелательную известность. Нет, речь не о том, что кто-то выложил на всеобщий обзор свои фотографии с пьяной вечеринки или написал в открытом доступе, что думает про собственное начальство, и на следующий день оказался уволен с работы. Все гораздо хуже. Можно вести себя очень осторожно, не участвовать в социальных сетях, использовать Интернет только по делу... и все равно попасться.

Оказалось, что в недрах поисковиков хранятся такие тайны, как паспортные данные людей, покупающих онлайн железнодорожные билеты, заказы, сделанные в сетевых магазинах - с указанием телефона, адреса и ФИО клиента, и другие увлекательные детали личной жизни. Внезапно выяснилось, что достаточно грамотно забить в поисковую строку запрос - и чужие тайны будут у тебя, как на ладони. Теперь никто не может быть уверен, что его сетевая переписка, покупки, интересы не станут достоянием любопытствующих.

Лавина "разоблачений" началась с прошлой недели, когда выяснилось - забив в поисковую строку "Яндекса" определенный запрос, можно почитать смски пользователей "Мегафона" с указанием мобильных телефонов. Но запросы-то могут быть разными. Народ бросился экспериментировать, и в результате оказалось, что немалое количество сайтов откровенно не заморачивается безопасностью своих посетителей. Стоит добавить к их адресу буквально одно-два слова - и voila, вот тебе админские права. А можно заставить Yandex или Google "пошерстить" на каком-нибудь сайте, грамотно указав, что именно ты хочешь найти.

Так и становится известно, что некая Елена В. заказала в секс-шопе костюм медсестры и попросила привезти его на указанный домашний адрес, а Александр К. - набор нескромных игрушек, и просит курьера перезвонить ему на оставленный мобильный телефон. Согласитесь, мало приятного, если кто попало узнает, что именно вы приобрели в секс-шопе. Но неизвестно, что хуже: открытие подобных пикантных секретов или попавшая Бог весть к кому информация о паспортах, домашних адресах и номерах мобильных телефонов.

"Мегафон" посылает всех в Яндекс

"Личную информацию посетителей сайта необходимо защитить, например, закрыть паролем. Если же такая информация никак не защищена, она запросто может стать доступна всем пользователям Сети. Для этого достаточно оставить где-нибудь в Интернете ссылку на страницу пользователя - хоть на страницу заказа, хоть на страницу регистрации, - рассказал Владимир Иванов, представитель службы информационной безопасности "Яндекса". - Вторая важная вещь - необходимо запретить поисковым роботам индексировать страницы сайтов с информацией, которая не должна стать публичной. Для этого существует файл robots.txt. Это текстовый файл, который предназначен для роботов поисковых систем. В этом файле вебмастер может указать параметры индексирования своего сайта как для всех роботов сразу, так и для каждой поисковой системы по отдельности".

Кто виноват в том, что поисковики внезапно вытащили наружу "нижнее белье" интернет-пользователей? Следует ли ругать Yandex или Google, чьи роботы исправно трудятся, собирая информацию по всему Интернету? Продолжится ли вал разоблачений? Своим мнением с NewsInfo поделился бывший член хакерской группы, ныне директор компании "Росинн" Александр Варской.

- Скажите, как технически стало возможным попадание личных данных в общий доступ?

- Об одном способе рассказал сам "Яндекс". Но версия с файлом robots.txt - лишь одна из версий произошедшего. Иногда администрации оставляют открытые директории, и доходит до такого дебилизма, что если после названия сайта вбить заветное слово, например, admin после слеша - то попадаешь в администраторскую панель без какого-либо пароля. Что же касается файла robots.txt, то он прописывает директории, куда робот не должен заходить. А это значит, если в файл залезть, то можно выяснить - какие именно директории на данном сайте закрыты. Иными словами, файл может носить информативную функцию. В начале 2000 годов некоторые сайты так и ломались. В общем, попадание в открытый доступ зависит от администратора ресурса.

Хакеров будут "мочить в сортирах"

Сами поисковики, конечно, не ставят перед собой задачу лезть куда не надо. У них просто так получается. Другое дело, что с помощью некоторых запросов можно подавать журналистам информационные поводы раз в день. Вот, например, почему подряд произошло два таких крупных скандала - с смсками и онлайн-магазинами? Потому что после первого случая журналисты начали искать и другие. Или кто-то начал подкидывать журналистам подобные случаи. И оно так и будет продолжаться, пока волна не стихнет и тема не перестанет быть модной.

Есть закрытые, есть открытые хакерские форумы. И там пишут: давайте мы журналистам подкинем еще одну тему. Just for fun, никакой специальной цели не преследовалось, магазины все разные, скомпрометировать кого-то конкретного цели не ставилось. А может быть, журналисты сами стали лазить на хакерские сайты, выдирать оттуда подобные новости и писать о них. Может быть, правда, это и заставит поисковики в будущем переписать своих роботов.

- Получается, что никакого случайного попадания в поисковики не было? Выплывшая информация была в них всегда, просто сейчас это обнаружилось?

- Безусловно, она всегда была там. И если журналист поставит себе задачу раскопать очередной подобный скандал - он обязательно его раскопает. Как были в кэше Яндекса и Гугла различные интересные материалы по интересным запросам, так они и остаются. Более того, куча технических журналов писало про это уже лет шесть назад. Даже целая программа под это была придумана - хакерские запросы в Гугл. Это поиск всего: логов, открытых баз данных, списков пользователей, мейл-листы, базы клиентов, администраторская панель - все, что угодно.

Позориться на весь мир стало выгодно

- То есть в открытом доступе есть абсолютно все, надо лишь знать, что спрашивать?

- Да, но не на каждый сайт, а на те, которые где-то подставились, где, например, администраторы забыли права в каталогах прописать или предсказуемы названия файлов

- Значит, никакой прямой связи между скандалом с смсками и нынешним скандалом с секс-шопом и другими магазинами нет?

- Никакой - кроме той, что журналисты начали внимательнее разбираться в этой теме или получать информацию с какого-нибудь форума хакеров. Думаю, что в будущем нас ждет настоящая эпидемия таких "разоблачений". Это будет вполне закономерно: дыр много, проблемы с robots.txt - это вообще проблема многолетней давности, интерес к теме есть.

- Как Вы думаете, пошатнутся ли позиции онлайн-торговли после этих случаев?

- Нет. Новости по поводу краж кредиток - самые "романтичные" новости - появляются примерно раз в неделю. 52 раза в год - и никаких выводов, все равно ими пользуются. Это было, будет, и люди все равно продолжат покупать.

- Разоблачение - это случайность или диверсия?

- Интересный вопрос. Информация-то в кэше лежала всегда. Но ведь ее надо было найти специально. И сделать достоянием общественности. Хакерские находки ведь далеко не всегда попадают журналистам. Это нужно было кому-то кинуть. Впрочем, вполне вероятно, что это было сделано just for fun, хотя это уже не так распространено, как, допустим, до 2004 года.

- А может ли пользователь, заходя в интернет-магазин, как-то прикинуть, насколько здесь защищена его безопасность?

- Нет, не может. Он может разве что прикинуть, не является ли магазин фейковым, фальшивым. Когда черт знает как выходишь на магазин, который требует предоплату, не обещает доставки, особенно если там продаются коды, серийные номера... У магазина должны быть сертификаты, высокий рейтинг, чтобы было понятно, что он настоящий. А что касается безопасности... даже говоря о таких магазинах, как "Озон" или "Болеро", нельзя сказать, что они безопасны. У них могут быть точно такие же проблемы, о которых просто пока неизвестно. И возможно через пару лет появится новый информационный повод...