Из-за серии взломов аккаунтов пользователей самых различных сервисов вопрос защиты личных данных в интернете встал особенно остро. Google представила решение, которое может помочь в нелегком деле борьбы со взломщиками.
Идея Google не нова — это USB-ключ, который вставляется в соответствующий разъем компьютера. Устройство, получившее название Secure Key, запускает утилиту, которая проверяет, действительно ли вы вводите данные на сайте, который принадлежит Google, или же это подставная страница.
В данный момент хакеры обходят двухэтапную аутентификацию именно с помощью поддельных страниц. После того как пользователь вводит на такой странице код подтверждения, он моментально, вместе с остальными данными об аккаунте, попадает в руки злоумышленников. Пользователь же может увидеть страницу, на которой говорится, что произошла ошибка, после чего его могут перенаправить на реальную страницу, чтобы усыпить его бдительность.
USB-ключ, или, как его называет сама компания на русской справочной странице, «аппаратный токен», работает только при использовании браузера Google Chrome. В выборе системы для компьютера пользователь не ограничен — это может быть как Windows, так и Mac OS и Linux.
Разумеется, производить эти ключи Google самостоятельно не собирается — вместо этого компания заключила партнерство с альянсом FIDO (Fast Identity Online), членами которого являются компании, разрабатывающие методы аутентификации. Сотрудничество с FIDO позволило Google применять их наработки, и в качестве USB-ключа можно воспользоваться любым устройством, имеющим сертификат FIDO U2F.
Применение данного ключа дает возможность пользователю обходиться без ввода кода подтверждения, который Google отправляет по SMS. Компания утверждает, что данные с этого «аппаратного токена» нельзя украсть и таким образом сделать виртуальный «дубликат», который позволит взламывать аккаунты.
Подобные технологии защиты информации с использованием USB-устройств уже давно применяются на практике. Многие производители флешек предлагают пользователям собственное ПО, которое позволяет создать из накопителя USB-ключ. Без этого ключа, например, не откроется зашифрованная папка или же просто невозможно будет войти в учетную запись на компьютере.
Повышенный интерес Google к защите данных неудивителен: фишинговые атаки на данные пользователей становятся все более активными. Так, на этой неделе масштабной атаке подверглись китайские пользователи облачного сервиса компании Apple, iCloud.
Об атаке сообщила китайская организация Great Fire, занимающаяся мониторингом интернет-цензуры в стране.
«Это явная преднамеренная атака на Apple, осуществленная для получения данных об именах пользователей и паролях и, как следствие, доступа к данным сервиса iCloud, таких как iMessage, фотографиям и контактам», — говорится в сообщении организации.
Стоит отметить, что атака на iCloud последовала сразу за стартом продаж в Китае iPhone 6.
Китайские пользователи облачного сервиса хранения данных подверглись атаке man-in-the-middle (человек посередине), при которой посредник-хакер изменяет информацию, переданную пользователями. Хакер пытается перехватить коммуникации пользователей, думающих, что они используют защищенный сайт. После этого он может следить за действиями жертвы.
После сообщения Great Fire Apple предупредила пользователей об атаках на сайт «облачного хранилища», заявление размещено на официальном сайте Apple в разделе техподдержки.
В сообщении Apple не говорится о Китае напрямую, однако в компании отметили, что «осведомлены о прерывистых организованных сетевых атаках» на сервис iCloud, цель которых — получение доступа к информации пользователей.
В Great Fire утверждают, что за атаками стоит китайское правительство, правда, во вторник представители министерства иностранных дел Китая опровергли сотрудничество правительства с хакерами.
Эксперты по кибербезопасности отмечают: у пользователей, в том числе имеющих iPhone, есть достаточно других способов защитить свою информацию от подобных атак, кроме брелка от Google.
Руководитель отдела технического и маркетингового сопровождения продуктов компании ESET Алексей Оськин рекомендует выбирать устройства, оснащенные сканером отпечатка пальца — он предустановлен, например, в некоторых мобильных гаджетах Apple и Samsung. Еще один вариант — девайсы с доработками, функциями и фичами «для параноиков», созданными для защиты от взлома, слежки и пр., например, BlackPhone — смартфон на базе специальной PrivatOS, которая, в свою очередь, создана на основе платформы Android, перечисляет Оськин. Впрочем, на конференции по информационной безопасности BlackHat этот смартфон взломали за пять минут, добавляет он.
«Третий вариант — только Nokia 3310, только хардкор. Стопроцентная гарантия защиты от утечек — отсутствие интернета. В данном случае — мобильного».
Гарантировать безопасность невозможно, можно только минимизировать риски, констатирует Алексей Оськин. «Способы защиты не меняются: регулярные бэкапы, блокировка экрана, сложные неповторяющиеся пароли, антивирусное ПО как на компьютерах и ноутбуках, так и на мобильных Android-устройствах. Наконец, важно задумываться, какую информацию о себе вы оставляете в открытых источниках», — резюмирует эксперт.