Скандал с "Мегафоном": "люди смертны, а системы уязвимы"

20/07/2011 - 09:29
Читать u-f.ru на

В России продолжают обсуждать скандал с сотовой компанией "Мегафон". Один из тройки национальных гигантов мобильной связи, известный рекламным слоганом: "Мегафон": будущее зависит от тебя!", допустил утечку в интернет около восьми тысяч личных SMS-сообщений.

Гуру рунета не верят в версии о хулиганстве или происках конкурентов. Они советуют операторам электронной связи лучше работать, а пользователям - не доверять безоглядно телефонам и компьютерам.

"Облажались"

"Мегафон" попросту облажался, - заявил Русской службе Би-би-си главный редактор журнала "Хакер" Никита Кислицин. - Это в чистом виде проблема компании и ее некачественной работы".

"Если бы речь шла об одной компании "Мегафон", еще можно было бы выстраивать детективные сюжеты или искать персональных виновных, - соглашается с коллегой один из основателей Рунета Антон Носик. - Но такие же точно дырки обнаружены на Пермском городском портале отправки SMS, и в "Почте России", и даже на сервер компании DHL. В тот же день, когда грянул скандал с "Мегафоном", их нашли путем простого перебора в "Яндексе". Следовательно, есть общая уязвимость в архитектуре подобных публичных интерфейсов, о которой полезно знать всем их операторам, и закрывать их, благо сделать это очень легко".

Обсуждаемое на форумах и в блогах предположение, будто за инцидентом стоят российские спецслужбы, стремящиеся создать предлог для того, чтобы "прижать интернет", тоже представляется экспертам сомнительным.

"Полный бред! - считает Антон Носик. - С таким же успехом можно подозревать, что все это устроил в рекламных целях сам "Мегафон". Конспирология существует для тех, кто неспособен принять жизнь во всей ее сложности. Реально, дырки в системах безопасности периодически обнаруживаются во всем мире".

"Теории заговора тем и отличаются, что их невозможно ни опровергнуть, ни доказать, - заявил Никита Кислицин. - Спецслужбы на то и спецслужбы, чтобы хотеть контролировать все на свете. Но я бы все-таки слушал президента Медведева и министра связи Щеголева, которые много раз высказывались за свободу интернета, а не каких-то странных людей из управления "К".

Где подтекает?

Стало известно, что личные сообщения попали в открытый доступ из-за отсутствия на сайте www.sendsms.megafon.ru файла robots.txt, в котором прописаны инструкции для поисковых роботов.

"Данный файл присутствует на любом сайте, который индексируется поисковыми машинами, - пояснил Антон Носик. - Он говорит поисковым машинам, в какие директории им смотреть, а в какие не надо. Поисковые машины воспринимают эти файлы одинаково и им свято следуют. Это их юридическая защита от ответственности за результаты индексации. Поисковые машины никогда не станут индексировать то, что им запрещают владельцы сайтов. В данном случае хозяева "Мегафона" просто не подумали об этом".

По словам Никиты Кислицина, данная проблема имеет, как минимум, десятилетнюю историю. Поисковые системы, в том числе "Яндекс", для того и существуют, чтобы немедленно "подсасывать" все, что попадает в интернет. Файл для защиты от нежелательной индексации был создан вслед за первыми "поисковиками", и его отсутствие на сайте "Мегафона" можно объяснить только ротозейством.

"Я сомневаюсь, чтобы его кто-то умышленно удалил, - говорит Кислицин. - Они, по крайней мере, об этом не заявляли, и, насколько я понимаю, его не было там никогда. Думаю, эта ситуация продолжалась довольно долго, просто сейчас ее заметили".

Гарантий нет

Эксперты уверены, что подобные истории будут случаться и в дальнейшем.

"До тех пор, пока мы будем размещать данные в компьютерных сетях, в них будут обнаруживаться ошибки защиты и уязвимые места, - говорит Антон Носик. - Это неизбежно. Стопроцентно защищенных компьютерных сетей не существует, так же как не существует бессмертных людей. Люди смертны - системы уязвимы".

"Эта история всколыхнула всех только потому, что задела множество людей, - заявил Никита Кислицин. - А вообще, постоянно утекают не только SMS-сообщения. Известно множество случаев непреднамеренной утечки секретных документов или, скажем, видео с камер наблюдения. В Google можно найти тысячи веб-камер и смотреть в режиме реального времени, что там происходит. Эта проблема была, есть и будет, время от времени к ней возвращаются".

"Практически не было "дырок" в системах компьютерной безопасности, о которых кто-то подумал бы заранее, - соглашается Носик. - Все они выявляются вот таким болезненным способом. После того, как в "дырку" кто-то залез, находятся способы ее закрыть, а через какое-то время обнаруживается другая".

Несопоставимые вещи

По мнению наблюдателей, случай с "Мегафоном" и скандалы с сайтом Wikileaks и газетой News of the World - явления совершенно разного порядка. Там, как известно, шла речь об умышленном получении доступа к конфиденциальным данным.

События вокруг Нажать сайта Джулиана Ассанжа и
Нажать
медиа-империи Руперта Мёрдока в России обсуждаются, в основном, под рубрикой "Их нравы". В условиях жесткой властной вертикали выведывать государственные секреты и шпионить за высокопоставленными персонами мало кому охота.

Одно из свидетельств тому - негласное, но действенное табу на информацию о семье Владимира Путина, которое соблюдают даже СМИ, считающиеся свободными и оппозиционными.

Антикоррупционный сайт Нажать "РосПил", который иногда ошибочно
называют "русским Викиликсом", содержит только открытые данные. Его основатель Алексей Навальный просто умеет их находить и анализировать.

Перспективы судебных исков

Пострадавшие относятся к случившемуся по-разному. Если москвич Никита не видит в публикации его SMS-сообщений "ничего такого страшного", то абонент Олеся "возмущена до глубины души".

Антон Носик уверен, что клиентам не удастся засудить "Мегафон", и "скандал ограничится медийным шумом".

Дело в том, что ставшая общедоступной информация содержит телефонные номера получателей, но не отправителей SMS-сообщений.

"Следовательно, отправители, даже если захотят, не смогут доказать, что именно они посылали SMS и именно их приватность была нарушена, - рассуждает Носик. - Адресаты, конечно, могут предъявить претензии, но каким образом люди, получившие SMS определенного содержания, докажут, что понесли в результате ущерб, представить себе трудно".

Кроме того, напоминает эксперт, "российская судебная практика отличается от американской отсутствием так называемых punitive damages. В России нельзя взыскать миллионы долларов за неконкретный моральный вред. Сумма ущерба должна быть доказуема в суде".

Никита Кислицин настроен менее скептически.

"На большую сумму - вряд ли, - считает он. - Так устроена наша судебная система. Но если будет коллективный иск, в принципе, могут выйти довольно приличные деньги. Во всяком случае, если бы мой телефон там оказался, я бы подумал об этом".

Артем Кречетников
bbc.co.uk

Автор: Сергей САХАРКОВ