Недавно компания Adobe подверглась атаке хакеров: злоумышленники взломали систему и получили доступ к конфиденциальной информации пользователей, в частности, к данным по кредитным и дебитовым картам 2,9 миллионов клиентов. Примечательно, что хакеры украли только зашифрованные данные по картам, при этом Adobe оповестил банки и владельцев карт о взломе. В качестве компенсации Adobe предложил своим клиентам бесплатный годичный мониторинг клиентских карт. Насколько безопасны зашифрованные данные о кредитных картах?
Специалисты в области информационной безопасности отвечают, что это значительно лучше, чем незашифрованные данные, которыми злоумышленники могут воспользоваться сразу, совершая покупки и нанося ущерб владельцам карт. Уровень безопасности зависит в этом случае от компании-поставщика, в данном случае, от Adobe. Специалисты подчеркивают, что при обеспечении должного уровня безопасности понадобятся века и гигантские компьютерные мощности, чтобы взломать эти данные.
Директор по стратегии Thales e-Security Ричард Моулдс отмечает: «Любой Интернет-ресурс, хранящий информацию о вашей кредитной карте, даже самый маленький, должен соответствовать уровню защиты стандарта PCI DSS».
Тот небольшой риск взлома, который все-таки остается, связан с ключами шифрования. Ключи становятся все более длинными и сложными. Однако многие компании хранят их на серверах вместе с данными, которые они шифруют, и тем самым создают дополнительную угрозу инсайдерских атак.
Компании должны защищать некоторые из этих ключей на протяжении многих лет, даже если они устаревают. Маловероятно, что такая компания, как Adobe, оставила эту необходимость без внимания, но есть и другие опасности. Например, слабые генераторы случайных чисел, используемые в криптографии, могут быть также взломаны при помощи облачных вычислений с производительностью, эквивалентной нескольким обычным настольным компьютерам.
Если в системе имеются такие слабые места, это станет для пользователей настоящей проблемой. Для киберпреступников типичен вариант атаки «буря и натиск», когда крадется все, что может быть быстро украдено. Если данные в карте были зашифрованы при помощи слабого генератора, они легко могут быть взломаны, говорит Ануп Гош, основатель и СЕО компании Invincea, занимающейся информационной безопасностью.
Если же вы обладаете вычислительными мощностями, сопоставимыми с правительственными, ситуация обстоит по-другому, подчеркивает Гош, который получил медаль от министра безопасности за свою работу в Управлении перспективного планирования оборонных научно-исследовательских работ, работающем на Министерство безопасности. «Но если злоумышленники попытаются взломать систему Агентства национальной безопасности, это уже другой разговор».
В случае с Adobe, эксперты считают, что клиенты могут вздохнуть спокойно: все слабые места, которые были обнаружены, были закрыты. Выяснение того, каким образом злоумышленникам удалось украсть данные, может занять несколько недель.
Если возникает проблема, эмитент карты обычно извещает об этом банки, карту блокируют и перевыпускают, говорит представитель Bank of America. В MasterCard же говорят, что были в курсе кражи данных и сообщили бы банку в случае обнаружения любого риска их компрометации. Visa отказалась давать комментарии относительно взлома Adobe, но представитель компании подтвердил, что Visa фокусируется в первую очередь на быстрой локализации проблемы и только потом на раскрытых данных.
Если Adobe использовала бы более продвинутые подходы к криптографической защите, безопасность была бы близка к абсолютной, – говорит Ричард Моулдс. А эмитенты карт несут ответственность перед клиентами за мошеннические операции. Хорошо, не так ли?
Не совсем. В одном случае действительно стоит беспокоиться – о менее конфиденциальных данных, которые, чаще всего, не зашифрованы. Это касается любой информации, кроме номера кредитной карты и паспорта, и она привлекательна для злоумышленников.
Сотрудники Adobe не дали комментариев, в зашифрованном ли виде были украдены персональные данные. Если нет, то эта информация, например, фактический и электронный адрес, может быть продана спаммерам или злоумышленникам занимающимся фишингом, чтобы завлечь вас на мошеннический сайт.
Многие компании не шифруют эту информацию, потому что опасаются больших трудностей, связанных с поиском по группам или ключевым словам в базах данных, говорит Правин Котари, основатель и CEO компании Cipher Cloud, занимающейся облачным шифрованием. Тем не менее, в 44 штатах США по закону необходимо шифровать идентификационную информацию пользователей или немедленно извещать об их утечке если они были не зашифрованы. Котари предполагает, что в Adobe эти данные не шифровали, что и повлекло попытку взлома.