Бич конфиденциальности, или эти опасные поисковики

Конец июля 2011 года, видимо, войдет в анналы сетевой истории как время всеобщих разоблачений и кризиса конфиденциальности. Сначала в выдаче поисковой системы «Яндекс» обнаружились SMS-сообщения клиентов «Мегафона», потом там же всплыли сведения о заказах в Интернет-магазинах, и... понеслось. Как грибы после дождя, начали возникать темы для новостей и слухи: поисковики раскрыли сведения о покупателях электронных железнодорожных билетов, поисковики скомпрометировали секретные документы российских государственных ведомств... Журналисты радуются сенсациям, пользователи в ужасе вспоминают, в каких сетевых магазинах они обслуживались, а специалисты по безопасности недоумевают: поисковики-то чем провинились?


Как точно подметил некий аноним в комментариях к новостям, русский сектор Интернета неожиданно для себя обнаружил, что поисковые роботы, оказывается, индексируют веб-страницы. Действительно, возникший ажиотаж тяжело объяснить чем-то иным, кроме как этим удивительным и неповторимым открытием. Тому же «Яндексу» фактически пришлось оправдываться, выпустив целый рекомендательный бюллетень с пояснениями и советами для веб-мастеров; кроме того, всеобщее внимание почему-то оказалось привлечено только к нему, хотя в большинстве случаев те же самые сведения попали и в базы данных других популярных поисковых машин.

В небольшой заметке, посвященной этому вопросу, хотелось бы попытаться расставить все точки над i и определить, кто все-таки действительно виноват (и что делать, разумеется, тоже).

Если прочитать заголовки новостей в крупных сетевых изданиях, а потом и заглянуть в эти самые новости, то в воображении практически неизбежно нарисуется зловещий образ поискового паука, рыскающего по Сети в поисках конфиденциальных сведений, которые он мог бы скомпрометировать и выложить во всеобщий доступ. Подобно бесшумному ниндзя, он проникает во все щели в обороне веб-серверов, эксплуатирует уязвимости и умножает на ноль все усилия защитников информации, направленные на сохранение важных сведений в тайне. Конечно, это интересно и сенсационно, но не слишком близко к реальному положению дел.

Естественно, разработчики поисковых роботов не встраивают в них эксплойт-наборы и не оснащают их инструментарием для подбора паролей доступа. Это попросту противозаконно, и крупная компания вроде «Яндекса» не станет этим заниматься. Нет у этих организаций и официальных корпоративных «политик партии» по поиску и раскрытию конфиденциальных сведений в Интернете. Все инциденты, которые сейчас активно обсуждаются сетевым сообществом, связаны с самой сущностью поисковиков, и было бы странно обвинять их в целенаправленной компрометации сведений.

Поисковый робот – это в первую очередь автономный программный комплекс, набор алгоритмов индексации. У него не может быть злого умысла или враждебных намерений. Он просто перемещается по веб-ресурсам и читает материалы, которые находятся в открытом доступе, после чего обрабатывает их и помещает необходимые отсылочные сведения в базу данных. Он не может отличать конфиденциальные данные от обычных, и в отсутствие надлежащего режима доступа он с готовностью их проиндексирует в полном объеме. Иными словами, во всех случаях с раскрытием информации поисковик просто выполнял свою обычную повседневную работу.

Некоторые пользователи задаются вопросом, может ли «Яндекс» или, к примеру, Google быть привлечен к ответственности за подобную компрометацию конфиденциальных сведений. Ответ на этот вопрос отрицателен: в действиях поисковика нет состава преступления, поскольку ознакомление с общедоступными сведениями не является нарушением информационного законодательства. Данные считаются защищенными и охраняемыми, а ознакомление с ними трактуется как противозаконное только тогда, когда владелец или оператор принимает необходимые меры для обеспечения их конфиденциальности. Естественно и то, что поисковик в данном случае не является ни владельцем, ни оператором, да и аспект сознательности в его действиях по понятным причинам отсутствует.

Попытка обвинить в случившемся поисковики – естественная первичная реакция, и неудивительно, что проштрафившиеся компании в ряде случаев предпочли направить перст указующий именно на них (что и привело к появлению многочисленных заголовков вида «Яндекс раскрыл...»). Однако не следует отвлекаться от истинной причины всех вышеописанных инцидентов – ненадлежащей разработки веб-приложений и недостаточности усилий, предпринимаемых владельцами и операторами той или иной информации для сохранения ее конфиденциальности, а также изъянов (либо полного отсутствия) необходимого аудита безопасности информационных активов.

Нередко в русском секторе Интернета слышны жалобы на порочную практику максимальной экономии средств, направляемых на создание информационных систем, и на привлечение к работам по их построению неквалифицированного персонала. Свое негативное влияние оказывает и отсутствие необходимых знаний и опыта у лиц, ответственных за разработку технических заданий на подобные проекты. В результате в проигрыше оказываются, как это часто бывает, рядовые пользователи: где-то систему защиты информации не предусмотрели изначально, где-то не хватило денег на ее построение, а где-то соответствующий модуль писал студент-фрилансер, который еще не знает о необходимости проверять свои разработки на предмет уязвимостей. Результат, впрочем, всегда один: утечка данных.

«Яндекс» в комментариях по поводу инцидентов и в рекомендательном бюллетене акцентировал внимание на необходимости использования веб-мастерами файлов robots.txt, которые запрещают поисковикам просматривать определенные каталоги и индексировать содержимое определенных страниц. Это, конечно, простая и разумная мера (хотя некоторым авторам сайтов даже заполнение robots.txt бывает не под силу), но ее недостаточно.

Разработчикам веб-приложений, которые предназначены для обработки конфиденциальных сведений, принципиально не следует надеяться, что данные с какой-либо страницы навсегда останутся тайной просто потому, что они никому и никогда об этой странице не расскажут. Это наивный подход. Если вы обслуживаете миллион клиентов, то среди них обязательно найдется кто-нибудь, кто опубликует ссылку на «секретную» страницу в общем доступе, где на нее наткнется поисковик, или непременно обнаружится пользователь, к обозревателю которого подключена поисковая панель инструментов вроде «Яндекс.Бар» - такие панели скрупулезно делятся со своим создателем сведениями об адресах, посещаемых клиентом. Так или иначе, тайное станет явным.

Любая конфиденциальная информация должна быть защищена от посторонних взглядов. Видеть ее должны только сам пользователь и административно-сервисная группа веб-ресурса. Все остальные даже подозревать не должны о ее существовании. Количество информации, выдаваемой «наружу», должно строго контролироваться. К сожалению, эти простые правила часто оказываются забытыми.

Тем временем правоохранительные органы и спецслужбы уже успели задекларировать свой интерес к произошедшему, но в своеобразной форме. Несомненно, что подобные инциденты настоятельно требуют расследования, и о намерении провести таковое, действительно, заявили и полиция, и госбезопасность. Однако предложенные ими методы вызывают разве что тягостное недоумение: следователи намерены разыскивать и привлекать к ответственности... тех лиц, которые сформировали поисковые запросы на конфиденциальные сведения и / или выложили в общем доступе готовые ссылки на результаты поиска. Складывается впечатление, что стражам правопорядка недостает практики в разборе подобных дел – в ином случае для них было бы вполне очевидно, что они ищут виноватых, мягко говоря, не в том направлении. Впрочем, справедливости ради стоит заметить, что однозначно решать вопрос о чьей-либо виновности пока не готовы даже профильные специалисты.

"До недавнего времени, - комментирует «поисковые» инциденты главный аналитик InfoWatch Н.Н. Федотов, - это был вполне нормальный способ защиты конфиденциальности - уникальный длинный URL страницы без внешних ссылок на неё. Специалисты считали сей метод умеренно надёжным. Ведь угадать такой адрес невозможно. Поисковик на такую страницу не попадёт без внешних ссылок. Передача адреса другому лицу эквивалентна передаче ему пароля для доступа.

Метод перестал защищать не потому, что он был плох. А из-за обычного технического прогресса. Появились "домашние шпионы" типа "Яндекс-бара", которые докладывают поисковой системе обо всех посещённых пользователем страницах. С формального согласия пользователя, разумеется.

Реальность изменилась. Из-под неплохого метода защиты выдернули основание, на котором он когда-то строился. Защита пропала, но "секретные" URLы остались в немалом количестве. Теперь они запросто индексируются поисковиками, которые всё делают автоматически, поэтому не в состоянии отличить "закрытую" страницу от публичной.

Бессмысленно спорить, кто тут больше виноват: поисковики или веб-мастера. Новые технологии всегда делают старые методы неэффективными, невыгодными а иногда - и небезопасными. Нельзя винить инноваторов, что не подумали о совместимости со старым. Нельзя винить старых разработчиков, что не предсказали будущих технологий. Надо общими усилиями побыстрее выявлять и ликвидировать подобные дыры.

Представляется, что можно считать подобные "поисковые утечки" реализацией оправданного риска".

Итак – что делать?

Поставщикам сетевых услуг следует помнить: любые конфиденциальные сведения должны быть защищены хотя бы средствами авторизации пользователя. Заказы в Интернет-магазине, список номеров, на которые отправлялись SMS-сообщения, данные о железнодорожных билетах – все это должно быть надежно заперто в пределах личного кабинета, попасть в который можно лишь после ввода логина и пароля. Если пользователь без идентификационного файла cookie пытается попасть в личный кабинет, его должна встречать не страница «Ваш заказ отправлен», а форма для входа в систему. Это простейший и в то же время вполне эффективный способ защиты от «пронырливых» поисковиков.

Кроме того, объем информации, выдаваемой веб-приложением, необходимо тщательно регламентировать в зависимости от доступных средств защиты. Например, в случае с SMS это может выглядеть так: полноценная обратная связь с указанием текста отправленного письма требует авторизационной защиты (тайна переписки), а если защиту обеспечить не удается (например, строить логин-парольную систему ради одной лишь формы отправки сообщений нецелесообразно), то и от обратной связи надо избавляться, ограничившись банальным «Ваше сообщение отправлено, спасибо».

Клиентам, в свою очередь, нужно всегда проверять, не видна ли их информация случайным гостям. Всегда полезно «посмотреть на себя» глазами незнакомца – например, выйти из системы и попытаться получить доступ к своему заказу или пользовательскому профилю, не авторизуясь. Если какой-нибудь магазин всегда рад показать первому попавшемуся гостю любые сведения о покупателях, то, возможно, стоит обслужиться в другом месте.

Подводя итог, хотелось бы выразить надежду на то, что Интернет-сервисы станут более ответственными, а их пользователи – более осторожными и внимательными. Если печальный опыт «Мегафона» и многочисленных онлайн-магазинов хоть кого-нибудь чему-нибудь научит, то по крайней мере можно будет сказать, что их клиенты пострадали не зря. Жаль только, что изучение чужих ошибок для большинства людей не является любимым предметом.

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции    Система Orphus

RSS: Новые статьи на Anti-Malware.ru